‘Cybercriminaliteit elimineert je hospitality’

Voor een goed gesprek over ICT en cybercriminaliteit, ben je altijd aan het goede adres bij Dave Maasland, CEO van ESET. En, naar eigen zeggen z’n hele leven al ‘intrinsiek gemotiveerd op ICT’. “Ik ben er van overtuigd dat technologie een groot onderdeel kan zijn van de oplossingen waar we in de samenleving naar op zoek zijn. Maar, die technologie moet dan wel op orde zijn. Dat geldt ook voor ondernemers in de hotelsector. Prima om te streven naar efficiency en innovatie. Maar doe het wel veilig en bewust.” 

Dat goede gesprek met Dave gaven we vorm door het stellen van 5 vragen.

“Ik geef een 5. Een onvoldoende dus. Overigens geldt dat cijfer ook voor ondernemers buiten de hotelsector. Deze onvoldoende is dus niet hotelbranche-gemotiveerd. Maar ik ga niet belerend met het vingertje wijzen. Want, die ‘5’ ga ik hier wel nuanceren…”

“Kijk, ondernemers zijn bezig met ondernemen. Toen kwam corona. Tegen wil en dank ontstond er een digitale transformatie. Er moesten moeilijke keuzes worden gemaakt. Echter, veiligheid bleek helemaal geen agendapunt. Het was in die periode vooral een kwestie van overleven. Natuurlijk zijn ondernemers niet gek: ze wisten en weten wel dat er qua cybercriminaliteit ‘iets aan de hand’ is. Maar er werd nog niet naar gehandeld.”

“Zo was het in die coronatijd een kwestie van het snel introduceren van een nieuwe manier van werken. Of dit nu ging om thuiswerksystemen of – in de hotelsector – om het op een andere wijze verwerken van boekingen… digitale risico’s lagen gewoon niet op het netvlies. Er werd niet over nagedacht. Maar, ergens niet over nadenken betekent niet dat het er niet is.” 

“Als eerste benoem ik de digitale hartstilstand. Kortom, Ransomware! Als een bedrijf daardoor wordt getroffen, dan werkt de gehele ICT niet meer. Van boekingssystemen tot het aanmaken van pasjes. Je kunt dan geen hospitality meer leveren. Je kunt pas weer van start als je het geëiste losgeld afrekent. Afgelopen september was er een groot probleem van deze aard bij NH Hotels. Dit heeft een ongekende impact gehad op de klantbeleving.”

“Het tweede gevaar is het uitlekken van data. Cybercriminelen deinzen er niet voor terug om data gewoon openbaar te maken als je niet betaalt. Dat is wat je als ondernemer niet wilt. Je concurrentiepositie kan daarmee onder druk komen te staan. Immers, je concurrenten kunnen dan ook jouw data zien.

Je wilt toch niet dat andere hotels er achter komen welke interessante deals jij hebt gesloten met leveranciers? En dan hebben we het dus nog niet eens gehad over imagoschade!”

“Tot slot stip ik hier de CEO-fraude aan. Criminelen doen alsof ze de leverancier zijn. Het is heel simpel: je krijgt dan een mailtje met de mededeling dat ‘het rekeningnummer is gewijzigd’. En dus ga jij vanaf dat moment facturen naar de verkeerde rekening overmaken: een direct verlies van geld.”

“Absoluut! Natuurlijk kun je de hele organisatie trainen maar ik pleit eerder voor het aanstellen van ambassadeurs binnen een organisatie. Je kunt namelijk beter een paar mensen héél goed trainen dan een gehele organisatie een beetje trainen.”

“De vraag is dan wie je benoemt als ambassadeur. Wel, je hebt in je eigen bedrijf altijd wel medewerkers die geïnteresseerd zijn of al een zekere affiniteit hebben met computers en data. Die zou je de voorlopers-rol moeten gunnen. Die kunnen de eigen collega’s inspireren. Dat werkt beter dan een van bovenaf opgelegde training.”

“Een goed voorbeeld is dat zo’n DHV’er (Digitale Hulpverlener) goede protocollen kan opstellen. Of, een handelingsperspectief kan schetsen. Wat doe je als je ontdekt dat je computer is gehackt? Zet je je computer uit Of, zet je alleen de WIFI uit? Maar ook: bij wie meld je het als je een phishingmail ontvangt?”

“Ja. Criminelen zijn ongelooflijk professioneel. Ze weten dat ze miljarden kunnen verdienen omdat de hele samenleving door-digitaliseert. Ze weten ook dat die digitale hygiëne niet overal op orde is. Dus, we moeten ons leren verdedigen. Maar dat kan pas als je je zaken op orde hebt. We hebben nog een lange weg te gaan op dit vlak! Toch wil ik hier toch iets positiefs zeggen: dankzij aankomende wetgeving en de Nederlandse cybersecurity strategie stel ik hier ook dat we wél op de goede weg zijn. Doemdenken heeft geen zin. Juist handelen wél.”

“Ik denk aan een cyberaanval op een familiebedrijf. Dat bedrijf liep al niet zo goed, maar ineens bleken cybercriminelen alle back-ups te hebben versleuteld. Van de een op de andere dag sloeg de wanhoop toe. Dat hele bedrijf – van directie tot medewerkers – is door een grote hel gegaan terwijl een eerste simpele tip veel ellende had kunnen wegnemen: zorg dat je back-ups altijd gescheiden zijn van je online verbindingen. Wat ik bij dat bedrijf zag, dat gun ik niemand. Maar ik vrees wel dat dit soort hacks nog veel vaker zullen gebeuren. Ook in de hotelsector.”