Een datalek, wat kan je doen?

De afgelopen dagen hebben meerdere hotels te maken gehad met incidenten waarbij gast- en reserveringsgegevens mogelijk zijn buitgemaakt. Je kunt de komende periode vragen krijgen van gasten over de veiligheid van hun boeking of over de betrouwbaarheid van ontvangen communicatie.

Het is aan jou als ondernemer om te bepalen of en hoe je je gasten hierover informeert. Je kunt:

• je gasten actief attenderen bij contactmomenten;
• een korte waarschuwing plaatsen op je website;
• je medewerkers instrueren om alert te reageren op vragen 

Vanuit KHN adviseren we je om ervoor te zorgen dat je voorbereid bent op vragen van gasten en dat je medewerkers weten hoe zij deze kunnen beantwoorden. Adviseer je gasten om verdachte berichten altijd te verifiëren via officiële kanalen en kijk mee met je gasten.

Welke maatregelen kun je treffen?

Dit soort incidenten komen helaas steeds vaker voor. Ondanks dat niet te herleiden is welke partner in de boekingsketen is gehackt, zien we dat hackers zich richting de gast vaak voordoen als het hotel of boekingsplatform. Hotels zijn extra kwetsbaar, omdat zij veel persoons- en betaalgegevens verwerken, gebruikmaken van boekingsplatforms en externe systemen. Cyberaanvallen richten zich met name op phishing en social engineering, ransomware en kwetsbare koppelingen met externe systemen. 

Je kunt je hiertegen beschermen door te focussen op een aantal belangrijke maatregelen.

1. Zorg voor een sterke basisbeveiliging (de “hygiëne”)
   Sterke wachtwoorden en multi-factor authenticatie, regelmatige updates en patches van systemen, gebruik van antivirus, firewalls en monitoring en versleuteling van data zoals betalingen, reserveringen en e-mails vormen de basis.
2. Beperk toegang tot systemen 
   Geef je medewerkers alleen toegang tot wat ze nodig hebben. Werk met functie- en rol-gebaseerde toegang en gebruik extra verificatie voor gevoelige systemen.
3. Train je medewerkers 
   Veel aanvallen beginnen met een medewerker die op een link klikt, inloggegevens deelt of telefonisch wordt misleid. Met regelmatige phishing-trainingen, simulaties en duidelijke instructies kun je dit risico beperken.
4. Beveilig je wifi en netwerken
   Scheid gastwifi en interne systemen, gebruik sterke encryptie en beveilig ook IoT-apparaten, zoals slimme sloten of thermostaten.
5. Let op externe partijen en boekingsplatforms
   Werk je met Online Travel Agency’s, PMS-systemen en betaalproviders? Controleer de beveiliging van je partners, beperk de toegang van externe systemen en monitor verdachte activiteiten.
6. Maak back-ups en bereid incidenten voor
   Zorg voor regelmatige offline back-ups, stel een incident response plan op en oefen wat je kunt doen bij een hack.
7. Controleer en test regelmatig
   Voer security audits uit, laat systemen testen en blijf je beveiliging continu verbeteren.
8. Kijk voor praktische tips op Platform Veilig Ondernemen.