Prima che sia troppo tardi

Gli hacker sono oggi in grado di “crackare” un hotel in 20 minuti, un server in dieci e le procedure di check-in in un quarto d’ora. Gli attacchi digitali agli alberghi sono aumentati di oltre il 40% in un solo anno tra il 2016 e il 2015. E tutte le evidenze tendono a far pensare che il trend di crescita non sia destinato a fermarsi presto (dati Kpmg). Ciononostante l’industria dell’ospitalità pare ancora sottostimare la minaccia: molti operatori non hanno neppure idea di come prevenire o reagire agli attacchi It. Eppure, il cyber crimine è potenzialmente in grado non solo di danneggiare economicamente a breve termine una struttura o un’intera compagnia, ma anche di minarne fortemente la reputazione e persino di attivare le pesanti sanzioni previste dalla nuova normativa europea sulla privacy. Hacker e affini sono stati al centro di un intenso dibattito, organizzato alla fiera Expo Real di Monaco di Baviera dal magazine hospitalityinside.com, nel contesto del forum «Hospitality industry dialogue».
Per la verità non si tratta di minacce del tutto nuove, ha esordito il vicepresidente corporate safety and security di Carlson Rezidor, Paul Moxness. Sono gli strumenti e i mezzi a disposizione dei criminali a essere diventati molto più pericolosi, rispetto al tempo in cui «qualche impiegato senza scrupoli si serviva dalla carta carbone, con l’intento di copiare le credenziali delle carte di credito degli ospiti». Per di più gli hotel di oggi sono particolarmente vulnerabili agli attacchi It, perché spesso utilizzano computer, software di prenotazione e property management system datati, ha rivelato invece Peter Kestner. Con un passato giovanile da hacker, il membro del cybersecurity team della società di consulenza Kpmg conosce bene la materia: «Ci sono moltissimi modi con cui un pirata informatico può entrare nel network digitale di un hotel».
Grazie alle connessioni wifi, per esempio, si possono persino sfruttare i device portatili degli ospiti. «Gli hacker seguono sempre la via più semplice», è stata l’efficace sintesi di Moxness: le vulnerabilità possono essere le più diverse e variano sensibilmente da struttura a struttura, a seconda dei sistemi di sicurezza in essere e del grado di formazione del personale. Ogni hotel avrebbe perciò bisogno di un’attenta valutazione dei rischi, specificamente tarata sulle proprie caratteristiche.
Il vero problema, secondo Theodor Kubak di Union Investment, è lo scarso livello di consapevolezza che si registra nel settore. La maggior parte degli operatori, e in generale degli stakeholders, non ha semplicemente idea del grado di minaccia che incombe su di loro: «L’ex direttore dell’Fbi, Robert Mueller, oggi incaricato di indagare sulle presunte interferenze russe durante le elezioni Usa, sostiene che esistano soltanto due tipologie di imprese», ha raccontato il senior investment manager dell’asset management company tedesca: «Quelle che sono state hackerate, e quelle che lo sono state ma non lo sanno». Dal punto di vista della proprietà, peraltro, la questione non riguarda solo il rischio di furto delle carte di credito. A spaventare molto di più «è la possibilità che i cybercriminali possano prendere il controllo di un intero edificio, avendo in questo modo libero accesso ai programmi di gestione dell’aria condizionata e del riscaldamento, nonché del sistema elettrico della struttura. Chiunque può facilmente immaginare l’enorme entità di danni reputazionali potenzialmente derivanti da un’eventualità del genere».
Per proteggersi da tali minacce, si deve partire dall’approccio tradizionale delle strategie di sicurezza, è stato allora il suggerimento di Moxness: isolare nel miglior modo possibile qualsiasi apparecchio potenzialmente accessibile dagli hacker. A cominciare dai server, da conservare nelle stanze più sicure, per arrivare fino alla connessione wifi dedicata agli ospiti, da mantenere rigorosamente separata dal network interno dell’hotel.
Il problema è che tutto ciò potrebbe non rivelarsi sufficiente: «Ci stiamo muovendo verso l’era della cosiddetta Internet of things, durante la quale, qualsiasi cosa, anche il più piccolo oggetto, sarà presto connessa al web e a ogni altra rete informatica», ha fatto notare Kestner. Gli hacker già oggi non hanno più bisogno di decodificare i server: per entrare nel sistema, basta un solo punto debole. E nel prossimo futuro le vulnerabilità non riguarderanno esclusivamente i device portatili degli ospiti, ma anche oggetti insospettabili come i frigoriferi o le macchine per il caffè. Persino il sistema di intrattenimento digitale in camera è a rischio, in quanto le televisioni ormai altro non sono che dei piccoli computer.
Ma il cyber crimine non è unicamente una questione di tecnologia. In realtà il sistema It spesso rappresenta meno della metà del problema, se è vero che almeno l’80% degli attacchi analizzati dal cybersecurity team di Kpmg proviene in realtà dall’interno: «Questo non significa che tutti i dipendenti siano dei criminali», ha spiegato Kestner. Certo, a volte capita di imbattersi in episodi di corruzione. Molti collaboratori però sono semplicemente sfruttati a loro insaputa dagli hacker: tramite raffinate tecniche di social engineering (utilizzate da hacker e spie per ottenere informazioni riservate), o anche semplicemente fingendo di dimenticare una chiavetta Usb su un tavolino, che poi si spera qualche dipendente imprudente possa inserire in un computer connesso con il network interno dell’hotel.
Un ulteriore punto debole è inoltre rappresentato dai fornitori: società, non necessariamente provider It, di cui gli hotelier si fidano, ma i cui software e apparecchi possono anch’essi essere utilizzati per hackerare gli alberghi. «Io suggerisco sempre di rivolgersi esclusivamente a fornitori in possesso di qualche sorta di procedura di sicurezza informatica», ha quindi sottolineato l’esperto di Kpmg.
Se al centro della questione non c’è solo la tecnologia, è evidente perciò che, per risolvere il problema, non sia sufficiente affidarsi esclusivamente a sistemi It super aggiornati. «La sicurezza parte sicuramente dagli aspetti tecnologici, ma può davvero essere efficace se questi ultimi sono combinati con delle procedure e un’organizzazione d’impresa adeguate, nonché con programmi di formazione ad hoc per i dipendenti», ha osservato ancora Kestner. «Chiunque di noi abbia accesso alla rete della compagnia», gli ha fatto quindi eco il manager Carlson Rezidor, «è tenuto a frequentare corsi di aggiornamento annuali, pensati proprio per informare sulle vulnerabilità e sulle tipologie di minacce potenziali».
La risorsa di ultima istanza, una volta che una struttura ha subito un attacco, è quindi rappresentata dalle assicurazioni. Ma garantirsi una copertura adeguata può rivelarsi un esercizio decisamente più costoso degli investimenti necessari alle attività di prevenzione, ha ragionato sempre Moxness. Le assicurazioni sono l’ultima linea di difesa, ma non sono in grado di risolvere tutti i problemi, ha confermato Kestner: possono certo coprire i costi delle spese legali e quelli necessari a ripristinare i sistemi It danneggiati. Tuttavia, è la reputazione il vero problema: se un hotel finisce sui giornali per un fatto del genere, non esiste assicurazione che possa ripagare i danni. Non solo: poiché il cyber crimine spesso comporta il furto di dati personali, le strutture potrebbero anche incorrere nelle multe del nuovo regolamento sulla privacy della Ue, che entrerà in vigore dal prossimo 25 maggio e che, in caso di inosservanza, prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato globale di un’impresa (qualunque valore tra i due sia maggiore).
Secondo Moxness, bisognerebbe perciò cominciare a volgere lo sguardo oltre al settore dell’ospitalità, confrontandosi con tutti i comparti, per condividere e migliorare le best practice a livello globale: «Dovremmo imitare l’industria dei trasporti aerei, che ha sviluppato standard operativi di portata mondiale, a cui tutte le compagnie sono tenute a conformarsi. Nell’ospitalità non abbiamo nulla di comparabile, né a livello operativo, né tantomeno in tema di sicurezza digitale».