O τουρισμός αποτελεί την βαριά βιομηχανία της χώρας. Η ανάπτυξή του είναι άμεσα συνδεδεμένη με την παροχή εξατομικευμένων υπηρεσιών. Η παροχή εξατομικευμένων υπηρεσιών απαιτεί γνώση για τις προτιμήσεις του πελάτη, γνώση η οποία θα προέλθει από την συλλογή και ανάλυση δεδομένων του.
Νίκος Γεωργόπουλος
Cyber Risks Insurance Advisor
Cromar coverholder at Lloyds
Σύμφωνα με στοιχεία της έρευνας “Ξενοδοχεία 2020” της εταιρίας Grant Thornton, οι απαιτήσεις των πελατών εξελίσσονται τόσο γρήγορα όσο και η ίδια η τεχνολογία των κινητών μέσων.
Για να μπορέσουν τα ξενοδοχεία να διατηρήσουν και να αυξήσουν το πελατολόγιό τους θα πρέπει να επενδύσουν σε τεχνολογικές λύσεις και υπηρεσίες με τη βοήθεια των οποίων θα παρέχουν εξατομικευμένες υπηρεσίες φροντίζοντας παράλληλα την ασφάλεια των προσωπικών δεδομένων των πελατών τους.
Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) ο οποίος θα ισχύσει στις 25.05.2018 απαιτεί από τις εταιρίες να :
- Έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους
- Έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών
- Κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας
- Σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας
- Ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων και τους πελάτες των οποίων τα δεδομένα χάθηκαν
- Έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer)
- Έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan)
- Αποζημιώνουν τους πελάτες των οποίων χάθηκαν τα δεδομένα τους
Επίσης προβλέπει πρόστιμα σε περιπτώσεις περιστατικών απώλειας προσωπικών δεδομένων τα οποία μπορούν να φθάσουν έως 4% του τζίρου ή 20εκ€ όποιο από τα δύο είναι μεγαλύτερο ανάλογα με την σπουδαιότητα της παραβίασης.
Έχουμε όμως περιστατικά παραβίασης στην Ελλάδα;
Ναι, ας δούμε μερικές περιπτώσεις οι οποίες είδαν το φώς της δημοσιότητας.
Α) Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια των Δικτύων και Πληροφοριών (ENISA) ενημέρωσε την Αρχή Προστασίας Προσωπικών Δεδομένων σχετικά με περιστατικό διαρροής δεδομένων πιστωτικών καρτών τριών ατόμων τα οποία πραγματοποίησαν, από ξεχωριστές τοποθεσίες (διαφορετικά κράτη),ηλεκτρονική κράτηση σε ξενοδοχείο.
Κατά την εξέταση της υπόθεσης, προέκυψε ότι η ηλεκτρονική πλατφόρμα που χρησιμοποιείται για τις διαδικτυακές κρατήσεις τηρούσε το σύνολο των δεδομένων των πιστωτικών καρτών (αριθμό κάρτας, αριθμό ασφαλείας, ημερομηνία λήξης), ενώ παράλληλα δεν είχαν υιοθετηθεί τα πλέον ενδεδειγμένα μέτρα για την ασφάλεια της επεξεργασίας, όπως δηλ. να επιτρέπονται προσβάσεις που επιχειρούνται από συγκεκριμένες στατικές IP διευθύνσεις, να τηρούνται αρχεία καταγραφής ενεργειών χρηστών, και να χρησιμοποιούνται συνθηματικά (password) με επαρκή πολυπλοκότητα.
Για το περιστατικό αυτό η αρχή προστασίας προσωπικών δεδομένων επέβαλε πρόστιμο €5.000 και ζήτησε την λήψη κατάλληλων μέτρων για την προστασία των προσωπικών δεδομένων.
Β) Αλλη μια πρόσφατη υπόθεση την οποία διερεύνησε η Δίωξη Ηλεκτρονικού εγκλήματος αφορούσε Ρεσεψιονίστ στη Σαντορίνη ο οποίος υπέκλεψε στοιχεία καρτών 1.500 πελατών του ξενοδοχείου που εργαζόταν
Συγκεκριμένα, ο δράστης, εκμεταλλευόμενος τη θέση εργασίας υπέκλεψε το σύνολο του πελατολογίου, (1.500 άτομα) με τα στοιχεία των πιστωτικών καρτών τους, για το διάστημα από τον Μάρτιο έως τον Νοέμβριο του 2016.
Για το περιστατικό αυτό δεν έχει εκδοθεί ακόμα απόφαση της αρχής προστασίας προσωπικών δεδομένων.
Άλλες απειλές που μπορούν να επηρεάσουν την λειτουργία των ξενοδοχείων
Εκτός από τα περιστατικά παραβίασης τα ξενοδοχεία και η βιομηχανία της φιλοξενίας απειλούνται από κυβερνοεπιθέσεις και προγράμματα ransomware τα οποία κρυπτογραφούν τα αρχεία και ζητούν πληρωμή λύτρων για την επανάκτησή τους.
Μία κυβερνοεπίθεση μπορεί να επηρεάσει τα συστήματα πληροφορικής που χρησιμοποιούν τα ξενοδοχεία να δημιουργήσει προβλήματα στην διαχείριση των κρατήσεων, την εξυπηρέτηση των πελατών τους και να οδηγήσει σε απώλεια εσόδων λόγω μη δυνατότητας λειτουργίας.
Περιστατικό προγράμματος ransomware είχαμε πρόσφατα σε ξενοδοχειακή μονάδα της Αυστρίας όπου τέθηκε εκτός λειτουργίας το σύστημα κλειδώματος των δωματίων της και ζητήθηκαν λύτρα για την επαναλειτουργία του.
Παραβιάσεις συστημάτων και απώλειας δεδομένων πιστωτικών καρτών έχουν διαπιστωθεί σε πελάτες αλυσίδων φιλοξενίας όπως το Marriott, το Holiday Inn, το Sheraton και άλλες.
Ο σημαντικός ρόλο της ασφάλισης Cyber Insurance
Τα παραδοσιακά ασφαλιστήρια που χρησιμοποιούνται για την ασφαλιστική κάλυψη των ξενοδοχειακών μονάδων δεν είναι πλέον αρκετά γιατι περιέχουν καλύψεις οι οποίες δεν μπορούν να ανταποκριθούν σε τέτοιο κίνδυνο, γιατί δεν σχεδιάστηκαν για αυτόν τον σκοπό.
Η ασφάλιση Cyber Insurance αποτελεί ένα εργαλείο διαχείρισης κινδύνου και αποτελεσματικής διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων πελατών.
Η ασφάλιση Cyber Insurance προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών. Η πρόσβαση σε ομάδες ειδικών μπορεί να βοηθήσει και να ελαχιστοποιήσει την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.
Λαμβάνοντας υπόψη τις ανάγκες των ξενοδοχειακών επιχειρήσεων η Cromar (www.cromar.gr) προσφέρει σε συνεργασία με τους Beazley (www.beazley.com) το Beazley Global Breach Solution το οποίο αποτελεί μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων και επιτρέπει στις επιχειρήσεις να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση της ασφάλειας των δεδομένων αυτών.
Τα παραπάνω θέματα αναλύθηκαν στο συνέδριο Hotel Tech 2017 στην παρουσίαση με θέμα “Περιστατικά Παραβίασης Προσωπικών Δεδομένων σε Ελληνικά Ξενοδοχεία” την οποία μπορείτε να βρείτε στο website του συνεδρίου www.hoteltech.gr.