Oteller neden siber saldırıların hedefi oluyor?  

Büşra Uğral - Siber Güvenlik Yazarı

2018 yılının kasım ayında Marriott International’ın yaklaşık olarak 500 milyon müşterisinin kişisel bilgilerinin çalındığı ortaya çıkmıştı. Bu siber saldırının, otel zinciri Starwood bayisindeki rezervasyon ağı üzerinden gerçekleştirildiği açıklandı. Daha da kötü olan ise, bu yetkisiz erişimin yeni olmadığıydı. Otelin müşteri bilgileri 2014’ten beri çalınıyordu.

Konaklama sektörü, siber saldırganlar için yaygın bir hedef. Çünkü otellerin sahip olduğu veriler çok önemli. Bu veriler hem finansal bilgileri içeriyorlar, hem de veri miktarı çok fazla. Otellerde siber güvenlik önlemi olarak VPN,  saldırı tespit sistemleri, güvenlik duvarları, otelin elektronik ekipmanları için fiziksel koruma, biyometrik kimlik doğrulamaları, erişim kontrolleri, zafiyet taraması ve sızma testi gibi önlemler alınabilir.

Otel endüstrisi veri ihlaline en çok uğrayan ikinci endüstri

PwC’nin 2018-2022 Otel Raporuna göre, otel endüstrisi veri ihlaline en çok sahip olan ikinci endüstri. Bu da aslında dijital dünyada güvenlik söz konusu olduğunda otellerin ne kadar yetersiz kaldığını gösteriyor.

Marriott International, Starwood otel zincirini 2016 yılında yaklaşık olarak 14 milyar dolara satın aldı. Starwood’un satın alınmasının asıl sebebi Starwood’un sahip olduğu müşteri verileriydi ve alım sırasında Marriott’un CEO’su bile Starwood’un Sadakat Programından bahsetmişti. Marriott International’ın maruz kaldığı bu siber saldırı 2014’e dayandığından dolayı Marriott International’ın aslında zaten sürmekte olan bir veri ihlalini satın aldığını söylemek mümkün.

Otel endüstrisinin buradan çıkarması gereken ders ne?

Otel endüstrisinin buradan çıkarması gereken ders, herhangi bir alım öncesi şirketlerin sahip olduğu veriler ile nasıl başa çıktığı ve bu şirketlerin siber güvenlik derecelerinin ne olduğunu araştırmaları gerektiğidir. Siber saldırı alım öncesi gerçekleşmiş olsa dahi burada itibarı zedelenen ve cezaya çarptırılan Marriott’un kendisi.

Yeni ekipman, yazılım ve sistem alımlarında da şirketlerin dikkatli olması çok önemlidir. Bu tarz alımlar birer mülk alımı gibi gözükse de, özellikle veri güvenliğinin söz konusu olduğu alımlarda kontrol edilmesi ve itina gösterilmesi gereken birer siber güvenlik sorumluluğu olarak düşünülmelidirler. Teknolojide her geçen gün yeniliklerin gerçekleştiği günümüzde, bu gelişmelerdeki şifreleme ve güvenlik derecelerine dikkat edilmeli.

Görüntülü konuşma otel endüstrisinde hala keşfedilmekte olan bir teknoloji

Ayima’nın 2018’in Kasım ayında yeni teknolojiler üzerine https://www.haberturk.com/facebook-portal-tanitildi-2172490-ekonomi yayınladığı raporda Facebook’un yeni videolu görüşme ürünü olan Portal’a yer verilmişti. Portal oda içinde insanların hareketlerini takip eden akıllı bir kamera. Görüntülü konuşma otel endüstrisinde hala keşfedilmekte olan bir teknoloji olmakla birlikte havaalanlarında karşılıklı iletişimin sağlanması için interaktif ekranlara sahip küçük kulübeler yerleştiriliyor.

Bir otel Facebook ile bu konuda ortaklık yapmak istese, öncelikle Facebook’un veri güvenliği protokollerini gözden geçirmesi gerekir. Bununla birlikte, 2018 yılında ortaya çıkan Facebook Cambridge Analytica Skandalı düşünüldüğünde, otellerin Facebook’un veri güvenlik protokolleri yerine kendi siber güvenlik önlemlerini almaları gerektiği daha makul bir çözüm gibi gözüküyor.

Verilerin nasıl saklandığı önemli

Marriott veri ihlalinde daha da tedirgin edici olan kısım ise; şirket, kredi kartlarını korumak için kullanılan şifreleme anahtarlarının siber saldırganlar tarafından ele geçirilip geçirilmediğini bilememesi. Bir şirketin ekipman kimliklerini koruyan anahtarların konumu hakkında tam bilgi sahibi olmadığında sahip olduğu sistemlerin zayıf noktalarını bilmemesi çok doğaldır.

Bu saldırı eğer ödeme bilgilerini içermeyen verilerin yanında kredi kartı bilgileri saklanmasaydı kaçınılabilirdi. Bu şekilde yapılan küçük hatalar siber saldırganların işini kolaylaştırıyor çünkü önemli verileri ele geçirebilmek için sadece bir zayıf noktayı istismar etmeleri gerekiyor.

Otel endüstrisinde alışılmadık aktivitelerin tespit edilebilmesi için denetimler yapılması hem siber saldırıların gerçekleşmesini önlemeye yardımcı oluyor hem de veri bütünlüğünü ve güvenli dijital ortamı sağlıyor. Marriott’un veri ihlalini fark etmesi alım gerçekleştikten yaklaşık iki yıl sonraydı.