Döntéshozói kérdezz-felelek: Mit kell tudni a szállodáknak az adatbiztonságról 2021-ben?

Skift nézőpont:

Mivel minden nap olyan sok értékes ügyfélinformációt dolgoznak fel, a szállodák az ún. „data breach”-ek, vagyis a személyes adatokkal való visszaélések elsődleges célpontjai. Éppen ezért létfontosságú, hogy a hotelek lépést tartsanak az adatbiztonsági technológiák fejlődésével, hiszen a fenyegetések is változnak. - Shiji Group

A SkiftX nemrégiben Aleksander Ludynia-val, a Shiji Group biztonsági igazgatójával beszélt arról, hogy a vendéglátással foglalkozó cégeknek milyen aspektusokat kell szem előtt tartania az adatvédelemmel és a magánélet védelmével kapcsolatban az előttünk álló esztendőben.

SkiftX: Miért ennyire vonzóak a szállodai ügyfelek adatai a hackerek számára?

Aleksander Ludynia: Kezdjük néhány jó hírrel: A vendéglátás nem tartozik a kiberbűnözők által leginkább megcélzott iparágak közé, különösen, ha a pénzügyi vagy az egészségügyi szektorhoz viszonyítunk. Egyes jelentések szerint a vendéglátóhely-adatokkal történő visszaélés kárösszegei az elmúlt öt évben valóban csökkentek - valószínűleg a súlyos jogsértések után végrehajtott biztonsági intézkedéseknek és világszerte a magánélet védelmére irányuló fokozott figyelemnek köszönhetően.

Mivel ezek a jogsértések ügyfelek millióit érinthetik, a médiában gyakran nagy nyilvánosságot kapnak. Ez azt a benyomást kelti, hogy az iparág kevésbé biztonságos, más területekkel összevetve. Sajnos a kockázatnak való kitettség, valamint az aktív kiberbűnözők növekvő száma azt jelenti, hogy az iparágban egyre több „data breach” fog történni. Mindez összetettebbé fogja tenni a szoftverek fejlesztését és a biztonsági folyamatokat, illetve protokollokat.

SkiftX: Hogyan vélekednek a fogyasztók arról, ha meg kell osztaniuk a személyes adataikat a nagyobb szállodákkal?

Ludynia: A vendégek rájönnek, hogy személyes adataik megosztása a szállodákkal az üzlet része, és a hűségprogram tagjai általában felismerik, hogy adataikat a kapott szolgáltatások javítására használják fel, tehát minél több információt osztanak meg, annál jobb lesz a szolgálatás. De a vendégek nem akarják, hogy adataikat ok nélkül harmadik féllel is megosszák. A szállodáknak egyensúlyt kell teremteniük, és a begyűjtött adatokat és preferenciákat a profitmaximalizálás helyett az ügyfelek elégedettségének növelésére kell használniuk.

A GDPR-nak és más szabályozásoknak köszönhetően az ügyfelek remélhetőleg már jobban bíznak abban, hogy a szállodák nem tesznek semmi kéretlen dolgot a személyes adataikkal. A mi feladatunk, hogy ez a bizalom megmaradjon.

SkiftX: A biztonság szerepe korábban elsősorban a vállalat, vagy annak rendszereinek védelmére korlátozódott. Most pedig már arról van szó, hogy megvédjük a vállalat ügyfeleit, különösen a vendéglátásban. Minek a hatására alakult ez így?

Ludynia: A biztonság mindig is az információ védelméről szólt. A személyes adatok biztonságára azonban a digitális technológiák terjedése, az új szabályozások, a nagyobb bírságok és az egyre tolakodóbbá váló marketing technikák miatt különösen nagy figyelem irányul.

SkiftX: Melyek azok az előnyök és hátrányok, amelyeket a GDPR jelentett a szállodavállalatoknak? Mennyire sikeresen reagált eddig az iparág?

Ludynia: A GDPR meghatározta, hogy a szállodák mit tehetnek és mit nem tehetnek vendégeik személyes adataival, kiküszöbölve az adatvédelmi szabályokkal és elvekkel kapcsolatos minden bizonytalanságot. Segített a szállodáknak egységesíteni a személyes adatokkal kapcsolatos folyamataikat és belső szabályaikat. Ez még Európán is túlnőtt, mivel a GDPR válik szabvánnyá, és elveit az EU-n kívüli országok szállodái és szabályozói is alkalmazzák.

A GDPR egyik kihívása a régi informatikai rendszerek igényeihez való alkalmazkodás volt. Bizonyos esetekben a szállodáknak el kellett dönteniük, hogy frissítik-e a teljes rendszrüket, vagy új megoldások megvalósítására összpontosítanak. Úgy gondolom, hogy az olyan felhőmegoldások, amelyekben architektúra szinten megjelenik a személyes adatok védelme,  tökéletesen megoldják az ilyen problémákat. A jövőbeni kiigazítások felelősségét is áthárítják a szolgáltatás biztosítójára, ami megkönnyíti a szállodák informatikai személyzetének életét.

Soha nem könnyű új szabályozásokat régi rendszerekre szabni, de úgy vélem, hogy az iparág összességében pozitívan reagált.

SkiftX: Hogyan kellene gondolkodniuk a szállodaláncoknak az adatszuverenitáson? Miként jöhet szóba az adatszuverenitás kérdése egy szállodalánc esetében?

Ludynia: Az adatvédelmi törvények, mint például a GDPR, nem írnak elő adatok lokalizálására vonatkozó követelményeket - ehelyett a határokon átnyúló adatátvitelt szabályozzák. Ezek a szabályok viszonylag átláthatók és egyértelműek. Néhány joghatóság azonban kidolgozta a megfelelő ágazati jogszabályokat - párhuzamosan az adatvédelmi törvényekkel, amelyek meghatározzák az adatok tárolási helyét.

Például egy joghatósági szabályozás előírhatja, hogy egy hotel az ügyfelek adatait abban az országban tárolja, ahol működik. Egy másik joghatóság szabályozása pedig azt írhatja elő, hogy az adatokat abban az országban kell tárolni, ahol a szállodának a vendége állampolgár. A szállodának meg kell határoznia, hogy mely adattárolási lokációt használja: a hotel helyét vagy a vendég állampolgársága szerinti országát.

Az adatszuverenitás bonyolítja a vendégprofilok egyetlen profilba egyesítésének folyamatát is. Megkövetelheti a vállalattól, hogy több adattárolási helyet valósítson meg és szigorú kontrollt gyakoroljon, hogy az adatokat miképp továbbítja. Ennek ismeretében kifejezetten úgy alakítottuk ki profilkezelő rendszerünket, hogy az alkalmazkodni tudjon a globális láncokhoz és a nemzetközi előírásokhoz.

SkiftX: Mit tehetnek a vállalati szállodavállalatok annak érdekében, hogy megvédjék magukat az adatokkal való visszaélés ellen?

Ludynia: Úgy védhetik meg magukat, valamint ügyfeleik és a kártyabirtokosok adatait, ha megértik, hogy mik a kockázati kitettségeik és ehhez kapcsolódóan megfelelő biztonsági intézkedéseket valósítanak meg. A legjelentősebb kockázatokat úgy kell kezelniük, hogy felmérik a legértékesebb erőforrásaikat, hogy kik és miért célozhatják meg a vállalatot, milyen támadások történhetnek, és milyen hatása lehet az ilyen támadásoknak. Biztosítaniuk kell továbbá üzleti rendszereik elérhetőségét és pontosságát, valamint az ezeken a rendszereken tárolt adatok integritását - például a foglalások feldolgozásához szükséges információk esetében.

SkiftX: Min javíthatnak a szállodavállalatok az adatbiztonság terén?

Ludynia: A vállalati szállodák adatbiztonságának egyik leggyengébb láncszeme, hogy a gyakran használt régi rendszerek megnehezítik az új biztonsági ellenőrzések bevezetését. A szállodáknak át kell térniük az új technológiákra és informatikai megoldásokra, amelyekben a biztonság és az adatvédelem már az alapvető architektúrán belül lett megtervezve, ahelyett, hogy ezek mint egy külön rétegként lettek volna hozzáadva.

Egy másik fejlesztendő terület a munkavállalók képzése. Az alkalmazottaknak tisztában kell lenniük az általuk feldolgozott adatok érzékenységével, az esetleges fenyegetettségekkel és támadásokkal, valamint azokkal az eljárásokkal, amelyeket a visszaélések és behatolási kísérletek megelőzése érdekében követniük kell. Megfelelő, rendszeres képzés nélkül a leggyengébb láncszemekké válhatnak. Éppen ezért fontos felismerni, hogy a biztonság kérdésére sosincs végleges válasz. A technológiai változások és a fenyegetettségek fejlődésével mindig lesznek fejlesztendő területek.

SkiftX: Milyen előrelépések várhatók a szállodák adatbiztonságában és adatvédelmében 2021-ben és azon túl?

Ludynia: Arra számítok, hogy látni fogunk előrelépéseket abban, hogy a vendéglátó vállalatok hogyan tárolják és kezelik a regionális adatokat, és úgy gondolom, hogy az adatok szuverenitása is egyre fontosabbá válik a vendégbiztonság és bizalom szempontjából. Azt is megjósolom, hogy kibővül az általunk „privát információnak” tekinthető kör. Jelenleg az olyan információkat, mint a név, cím és telefonszám, közvetlenül azonosítható személyes adatnak tekintjük. A technológia fejlődésével azonban szélesebb körű adat lesz felhasználható arra, hogy azt egyénekhez társíthassuk. Ezért az olyan adatokra, mint a viselkedéselemzés, az étkezési preferenciák vagy a kiadások, végül ugyancsak vonatkozhatnak adatvédelmi előírások a jövőben. Végül a szállodák által alkalmazott összes új technológia új kockázatokat is jelent, amelyekkel az IT biztonsági szakembereknek foglalkozniuk kell.

SkiftX: A felhőalapú technológiai gyártók gyakran azt állítják, hogy a felhő biztonságosabb, mint a telephelyi technológia. Mi a véleménye erről?

Ludynia: Egyetértek azzal, hogy a felhőmegoldások általában biztonságosabbak, mint a régi telephelyen létesített IT rendszerek. A technikai korlátok miatt ezek a régebbi rendszerek nem biztosíthatnak kellő szintű biztonságot, különösen az összekapcsolt környezetekben. Ez várhatóan csak nagyobb kihívássá válik az API használat növekedésével.

Nekünk a Shiji-nél „az ügyfélbiztonság az első” a szemléletünk, de ez nem feltétlenül érvényes minden felhőbiztonsági szolgáltató esetében.

Ezt a tartalmat Shiji és a Skift tartalomstúdiója, a SkiftX hozta létre.

A cikk szerzője Nagy Simon Aladár