*Otel misafirlerinizin kişisel ve finansal bilgilerinin veri hırsızları tarafından sızdırılmasının ne gibi sonuçlar doğuracağını hayal edebiliyor musunuz?
Marriott'un 5,2 milyon konuğu, CEO gibi davranan bir sahtekarın gönderdiği bir e-posta ile kimlik avı dolandırıcılığının kurbanı oldular.
Ancak Marriott, kimlik avcılarının ve siber suçluların saldırılarına maruz kalan ilk veya tek şirket değil.
Kimlik avı da siber korsanların kullandığı tek strateji değil. Dünyadaki hemen hemen her otel kötü amaçlı yazılımlara, fidye yazılımlarına, istenmeyen postalara ve bilgisayar korsanlığına karşı savunmasız olabilir.
*Bilgisayar korsanlarının size fiziksel olarak zarar verebileceğini düşünmüyor musunuz?
-2010'da Stuxnet'in İran'ın nükleer santrifüjlerinin neredeyse beşte birini mahvettiği bildirildi.
Endüstriyel kontrol sistemlerini hedef alan solucan, 200.000'den fazla bilgisayara bulaştı ve 1000 makinenin fiziksel olarak hasar görmesine neden oldu.
Bu santrifüjlerden biri bile patlasaydı neden olacak yıkımı hayal edebiliyor musunuz?
-Bir başka örnek, Amerika Epilepsi Vakfı'nın web sitesinde 22 Mart 2008'de başlayan hack saldırısı girişimi ile ilgili.
JavaScript kodu kullanılarak yüzlerce bilgisayar animasyonunun yanıp sönmesiyle gerçekleştirilen saldırıda; web sitesinde yer alan destek forumuna erişmeye çalışan, desene ve ışığa duyarlı bazı kişilerde migren baş ağrıları ve nöbetlerin tetiklemesi amaçlandı.
-18 Eylül 2020’de Düsseldorf Üniversite Hastanesi, siber suçlular tarafından saldırıya uğradı. Bilgisayar korsanları; hastaneye ait hayati ve tıbbi kayıtları şifreledi ve hastane ödeme yapana kadar fidye yazılımı ile rehin tuttu.
Bu saldırı sonucunda hayati tehlikesi olan bir hasta 30 km uzaktaki bir hastaneye yönlendirilmek zorunda kaldı. Sonunda uygun tedaviyi zamanında alamadığı için öldü.
Tehdit analisti olan Brett Callow’a göre, bu kaçınılmaz son ile daha önce karşılaşmadığınız için şanslısınız.
Siber güvenlik için aldığınız önlemleri yeterli buluyor musunuz? Cevabınız hayır ise tüm çalışanlarınız için acil bir siber güvenlik eğitimi talep etmelisiniz.
Oteller Neden Çalışanlar İçin Siber Güvenlik Farkındalık Eğitimi Sunmalıdır?
Personeli siber güvenlik konusunda eğitmenin argümanı basittir: Personel bir güvenlik tehdidini nasıl tanıyacağını bilmiyorsa; bundan kaçması, rapor etmesi veya kaldırması beklenemez.
Şaşırtıcı istatistiklere birlikte göz atalım:
* 2019 Bilgi Teknolojileri (BT) Güvenliği Durumu Anketi, e-posta güvenliğinin ve personel eğitiminin BT güvenlik uzmanlarının karşılaştığı en önemli sorunlar olarak listelendiğini buldu.
Ankete katılan personelin% 30'undan fazlası kimlik avının veya kötü amaçlı yazılımın ne olduğunu bilmiyor.
Bu, Şirket E-posta dolandırıcılığı (BEC) gibi dolandırıcılıkların 3 milyar doların üzerinde büyük kayıplara neden olmasının nedenidir.
Otellerde güvenlik duvarı ve güvenlik yazılımı yok mu?
Var fakat yeterli değil. Kimlik avcıları için en yaygın giriş noktası teknoloji değil personeldir.
Otel müşterileri; otelciler hata yaptıkça tıklama tuzağına kapılıyor ve suçlular tarafından şirket bilgilerine erişmek için kullanılan diğer sinsi taktiklere karşı savunmasız kalıyorlar.
Tabii ki,otel personeli sıkı siber güvenlik eğitim programlarına katılmadıkları sürece. Personelin kendilerini ve oteli siber saldırılara karşı korumak için siber güvenlik eğitimi alması çok önemli.
Çalışanlarınızı; güvenlik tehditlerinden, işiniz üzerindeki etkisinden ve bir tehdit belirlendiğinde hangi prosedürleri takip edeceklerinden haberdar ederek, zincirdeki en savunmasız bağlantıyı güçlendirmiş olursunuz.
Otel Personelini Siber Güvenlik Konusunda Nasıl Eğitirsiniz?
Dünya Ekonomik Forumu'nun son raporu The Global Risks 2019, siber saldırıları ve veri hırsızlığını 2019 boyunca ortalamanın üzerinde bir olasılık grubuna yerleştiriyor.
Siber suçlular, bu rekor seviyedeki veri ihlallerine ve siber tehditlere ulaşmak için dikkatlerini insan davranışının manipülasyonuna odaklıyor. İnsanlar siber suç için katalizör olarak rol oynuyor. İnternet, siber suçlulara kötü niyetli eylemlerinde hizmet eden ve çoğu zaman otel personelini silah olarak kullanan bir Pandora'nın kutusunu açtı.
Peki bu tehditlere nasıl karşı koyacağız? Eğitim, eğitim, eğitim.
Personelimizi güvenlik bilincine sahip ve siber suçlara karşı ön cephede savunmamız olacak şekilde nasıl eğitebiliriz?
Güvenlik Farkındalığı Eğitim Süreci
Güvenlik bilinci eğitimi bir süreçtir.
Güvenlik bilinci, bütünsel bir güvenlik bilinci eğitim programı geliştirmek için kullanılan bir dizi fikir, düşünce ve hazırlıktan doğar.
Burada, her otelin eğitim programında olması gereken bazı temel alanlara bir göz atacağız.
Otel Güvenliği Farkındalık Eğitimi Kontrol Listesi:
1. Otelin / Mülkün Spesifik Siber Güvenlik İhtiyaçlarını Belirleyin
Neye ihtiyacınız olduğunu ve ne istediğinizi bilmek, programın başarılı olmasını sağlamanın ilk adımıdır.
İyi bir güvenlik bilinci eğitim paketi, şirket ve sektör ihtiyaçlarınızı yansıtacak şekilde değiştirilebilir.
Programı ayrı bölümler için ayarlamanız gerekebilir.
Örneğin, Şirket E-posta Dolandırcılığı (BEC) suçunun, temizlik işindekilere göre bilgisayara erişimi olan personeli etkileme olasılığı daha yüksektir.
Bu nedenle, organizasyon genelinde kimlik avı belirtilerinin nasıl tespit edileceği konusunda bilgisayar erişimi olan personeli eğiten genel bir paket ve simüle edilmiş kimlik avı egzersizlerine ihtiyaç duyulacaktır.
2. İlk Ders: Siber Güvenlik Farkındalık Eğitimi
Personel için siber güvenlik eğitimi bekleyemez.
Her an bir siber saldırı meydana gelebilir.
Yeni personel genellikle yeni çalışma ortamlarına uyum sağlamaya devam etmektedir. Dolayısıyla siber güvenlik onların ana gündeminde değil. Bu, parolalar veya fiziksel güvenlik gibi konularda dikkatsiz olabilecekleri anlamına gelir.
Ayrıca, şirkette kimin ne yaptığını tespit edemedikleri için siber saldırılarının daha kolay kurbanlarıdırlar.
Katılım sırasında siber güvenlik farkındalığını artırmak, personeliniz arasında zayıf bağlantılar olmamasını sağlar.
Ayrıca siber güvenliğin, sürekli bir sorumluluk alanı olduğunu personele anlatmanın etkili bir yoludur. Personel, online güvenliğin temel bir sorun olduğunu anlamalıdır.
3. İlgili Konuları Seçin
Güvenlik bilinci kampanyanızı oluştururken konu seçimi çok önemlidir. Dikkate alınacak seçenekler şunları içerir:
*E-dolandırıcılık
Kimlik avı dolandırıcılığının belirtilerini tüm hatlarıyla tespit edebilmek, güvenlik bilinci listesindeki en önemli konudur.
Kimlik avı, kötü amaçlı yazılımların bir ağda bulunmasının hala bir numaralı yoludur. Ancak bir organizasyonda farklı gruptan insanları eğitmek, farklı eğitim stratejileri gerektirir.
*Eğitim, gerçekten fiziksel olarak uyguladığınızda en iyi şekilde çalışır.
Gerçeğe yakın veya gerçeğe yakın senaryolar sunan bir eğitim programı kullanın.
Bu şekilde personel, bir kimlik avı girişiminin alıcı tarafında olmanın nasıl bir şey olduğunu görerek öğrenecektir..
Onları süreçten gerçekten geçirmek, eğitimi daha akılda kalıcı ve daha başarılı hale getirecektir.
*Etkileşimli olmayan video eğitimine güvenmeyin.
Personeli siber güvenliğin özüne ve dolandırılmanın nasıl hissettirdiğine dahil edin.
*Siber Hijyen
Personele siber hijyen hakkında bilgi verilmelidir.
Bu, otelin genel güvenlik politikasını yansıtmalıdır.
Parola paylaşımı ve masanın üzerinde pasaportlar ve kimlik kartları gibi hassas belgelerin bırakılmaması alanları içerecektir.
*Güvenli Gezinme
Çalışanlarınıza internette güvenli sörf yapmayı öğretin.
Bu genellikle şunları içerir: oturum açma kimlik bilgilerini veya diğer verileri girmeden önce bir sitenin güvenli olup olmadığını kontrol etmek, açılır pencereleri devre dışı bırakmak ve uygulamaları indirirken dikkatli olmak.
4. Personel Siber Güvenlik Eğitimini Devamlı Hale Getirin
Personel, zaman geçtikçe yanlış bir güvenlik duygusu geliştirebilir.
Sonunda, siber saldırılara karşı korunmalarını azaltacak ve daha kolay hedef haline gelecektir.
En önemli siber güvenlik eğitimi ipuçlarından biri, güvenlik bilinci eğitimini düzenli olarak tekrarlamaktır.
Bu şekilde, personeli her türlü saldırıya karşı hazır tutarsınız.
Personele ara sıra temel siber hijyen kurallarını içeren (şifrelerini değiştirme veya antivirüs yazılımını güncelleme hatırlatmaları ) gibi e-postalar gönderin.
Ayrıca, güncel olaylara dikkat edin ve bunları personelinize iletin.
Saldırı yöntemleri bir gecede önemli ölçüde değişmez. Ancak siber suçlular, odaklarını daha karlı hedeflere veya daha kolay giriş noktalarına kaydırır.
İyi fiziksel güvenlik ve siber güvenlik uygulaması, veri ihlallerinin azalmasına neden olur.
Dikkatli davranarak ve farkındalık eğitimi programlarına sahip olarak, saldırganların personeli yanlışlıkla fidye yazılımı yüklemeleri için kandırmalarını çok zorlaştıracaktır.
Otelimizin güvenlik tehdidini azaltmak istiyorsak, her zaman tetikte olmalı ve personelin günlük çalışmaları boyunca daha bilinçli olmasını sağlamalısınız.
Açık Kapı Politikası
Hepimiz bazen hata yaparız. Personelin size gelerek işlerini kaybetme riski olmadan sorunları bildirebileceklerini bilmeleri gerçekten önemlidir. Bu, kişisel yönetim tarzınız ile ilgilidir.
Sorumluluk Herkesindir
Siber güvenlik herkesin sorumluluğudur. Yönetim, muhasebe, temizlik, bakım veya resepsiyon, farketmez.
Herkesin otelin bireysel siber güvenlik politikaları, tavrı ve kültürü konusunda bilinçlendirilmesi gerekir.
Eğitim, Eğitim, Eğitim
*E-posta, Slack veya otelinizin şifreleri değiştirmek, antivirüs programlarını güncellemek ve en son kimlik avı teknikleri hakkında bilgilerle birlikte kullanabileceği başka bir mesajlaşma ağı aracılığıyla sürekli olarak hatırlatıcılar gönderin.
*Özel siber güvenlik sınıfları da yılda en az iki kez yapılmalıdır.
*Kuruluşunuzda bir siber güvenlik bilinci kültürü yaratırsanız, kuruluşunuzun mağdur olma şansı büyük ölçüde azalır.