Hoe een cyberaanval de beveiliging van dit hotel veranderde

Inleiding Hallo, allemaal. Welkom terug bij een nieuwe Matt Talks. Deze week wil ik het hebben over cyberbeveiliging, een onderwerp waar jullie allemaal gepassioneerd over zouden moeten zijn, maar misschien niet zijn. En ik hoop dat Josh ons enthousiast kan maken over dit specifieke onderwerp. Josh, bedankt voor je komst. Dank je wel. Fijn om hier te zijn. Dus je bent een hotelier. Toch? Je hebt je jarenlang door de loopgraven van de hotellerie gewerkt om te komen waar je nu bent. Kun je ons een tipje van de sluier oplichten over alle banen die je in hotels hebt gehad? Absoluut. Dus begon ik in tweeduizend zestien met werken voor Accor, voor Novotel. Ik werkte aan de frontdesk, gewoon als medewerker gastenservice, maar kreeg een soort hybride functie tussen frontdesk en food & beverage. Dus gebruik je een on premise PMS, een ouderwetse POS. Toen ben ik naar de verkoop gegaan. Daarom ben ik sales manager geworden. Dus weer zorgen voor conferenties, evenementen. Ook daar is het echt een hard old school systeem. Nou, ik denk er gewoon over na. Ontkracht. Oh, als ik het me kan herinneren was het Digi. Volgens mij heette het. Daar heb ik nog nooit mee gewerkt. Geen leuke. Maar ja. Toen ben ik natuurlijk in tweeduizend achttien overgestapt naar Penta Hotels. Daar begonnen als manager gastenservice. Zorgt dus voor alles wat operationeel is in het hotel. Ik zorgde voor food & beverage, front office, keuken, housekeeping, onderhoud, wat erg leuk was. En verhuisde toen in tweeëntwintig naar ons centrale ondersteuningskantoor in Frankfurt, maar vanuit huis in het VK. Oh, dat is leuk. Dus ja. Maar je hele architectuur bevindt zich tegenwoordig in de cloud. Als je vanuit huis werkt, neem ik aan dat je tegenwoordig gewoon in cloud systemen werkt? Meestal. We hebben er een paar die we nog aan het uitfaseren zijn. Deurslotsystemen of wat zijn dat voor systemen? Deurslotsystemen, financiële ERP die we proberen weg te geven. Natuurlijk. Dat is de andere. Ja. Maar vooral nu, in dit stadium, omdat we, tot mijn grote vreugde, vanaf vorige week onze uitrol naar Mewshebben voltooid. Leuk. Gefeliciteerd met de lancering. Het heeft ons veel tijd gekost van de eerste pilots tot de uitrol van de hele keten. Maar het is een persoonlijk passieproject voor me geweest om hier echt bij betrokken te raken en ik hou gewoon van de energie die ik van het merk heb gevoeld en hoe jullie hebben omarmd wat wij jullie hebben gebracht. Dus bedankt dat je dat zo succesvol doet. Ja. Maar toch bedankt. Het zijn drie spannende maanden geweest. Het is niet gemakkelijk geweest. Dat is het nooit. Ja. Maar nee Met de juiste instelling is het allemaal mogelijk. En ik denk eerlijk gezegd dat nu de pret begint, want nu heb je het juiste systeem om er bovenop te gaan bouwen. En ik denk echt dat het vanaf nu alleen maar beter wordt. Ja. Ik denk dat dat het grootste is wat de hotels is opgevallen. Het is het feit dat we kunnen zeggen, hé, we kunnen hier eigenlijk zo snel op voortbouwen in vergelijking met vroeger, toen we zoiets hadden van, oh, als we iets willen ontwikkelen of onze PMS partner iets willen laten toevoegen, moeten we zes maanden wachten. Ja. Weet je, ik heb zoiets van, hé, ik kan deze integratie in tien seconden activeren. Weet je dat? Ze worden er helemaal gek van. Het is echt te gek voor woorden. En je functietitel is manager bedrifssystemen. De meeste hotels hebben een traditionele IT-afdeling die de printers en de computers en de server beheert, maar zoals jouw functie klinkt, is het iets anders dan een IT-functie. Kun je het misschien uitleggen? Ja. We hebben dus een digitale afdeling die zich echt richt op alles, een soort kern-IT, dus de feitelijke hardware, het netwerkaspect. Maar wat we hebben gedaan is het afsplitsen van een systeemteam dat de echte experts zijn, ik zeg experts, maar experts op dit gebied omdat we zoveel weten over al deze systemen zoals PMS, POS, hoe je ze echt het beste kunt gebruiken omdat we ze hebben geleefd en ingeademd. Weet je, ik gebruik PMS nu al tien jaar. Ja. En ja, dan heb ik mijn collega bij me en zij is ook heel goed. Dus we hebben deze experts op dit gebied die het geweldig vonden om de hotels in te gaan en precies te weten waar we het over hebben om deze systemen echt aan te pakken, te ontwikkelen en verder uit te bouwen. Leuk. Vergeleken met een typisch IT-team dat misschien wel netwerkexperts zijn, maar niet zozeer hotelexperts. Ja. Cloud software-experts. Ja. Die begrijpen wat er in de werkzaamheden gebeurt en welke systemen je nodig hebt om dat te ondersteunen. Hoofdstuk Het cyberaanvalincident Ja. Het onderwerp van vandaag is dus beveiliging. En ik herinner me dat eenentwintig het jaar was waarin jullie een behoorlijke cyberaanval hadden. Kun je vertellen wat er is gebeurd? Ja. Het was dus op zevenentwintig oktober, de dag waarop mijn zoon werd geboren. Nu onthoud je die datum voor altijd, toch? Ja. Het was de dag dat mijn zoon werd geboren. Oh, daarom. Ja. Het was dus een geweldige dag en een verschrikkelijke dag tegelijkertijd. Ik weet nog dat ik in het ziekenhuis lag. Mijn zoon was net geboren. Alles was geweldig. En dan wordt mijn telefoon ineens gek en heb ik zoiets van, houd de baby vast. Even checken wat er aan de hand is. En toen zag ik, hé. We zijn gehackt. Alles werkt niet. Alles ligt plat. En in die tijd werkte ik in een van de hotels. Dus van mijn kant werkte ik niet centraal, maar de berichten begonnen gewoon binnen te rollen vanuit onze centrale afdeling. Ze hadden zoiets van, neem elk stukje hardware dat je hebt, elke computer, elke laptop, gooi alles in de prullenbak. En we hadden zoiets van, wat is er in hemelsnaam aan de hand? En op dat moment gebruikten we een on premise PMS. Dus we hadden zoiets van, maar hoe kunnen we werken? Ze hadden zoiets van, dat kan niet. Ze hadden zoiets van, we moeten stoppen met werken. Sluit alles af. Sluit de deuren. Schop iedereen eruit. Gedaan. Wauw. Het is als, dit is gek. Dus zoals we vroegen Hoe hadden ze toegang gekregen tot de systemen? Het was dus wat we een MPLS-opstelling van de oude school noemen. Dus multiprotocol, label switching. Dus eigenlijk hadden we een netwerktechnologie waarbij alles via elkaar loopt. Dus alle netwerken liepen door elkaar heen. Dus zodra deze hackers toegang kregen tot één onderdeel van ons systeem, hadden ze toegang tot onze hele infrastructuur. En van daaruit liepen ze gewoon vrij door ons hele netwerk. En ze hebben alleen de toegang van één persoon tot dat netwerk opengebroken? Of hoe zijn ze binnengekomen? Ja. Het was letterlijk door één enkele toegang. En zoals je al zei, vanaf dat punt hadden ze toegang tot elke server, elke virtuele machine, elke computer. Ze schakelden onze antivirus uit en toen plaatsten ze de ransomware. Dus dat is gek. En dan stel ik me voor dat als je een hotel runt, je geen systeem hebt om mensen in te checken. Je wist waarschijnlijk niet eens wie de gasten zouden zijn bij aankomst, tenzij je de back-up rapporten had uitgeprint. Ja. Gelukkig was dit een vrij strikt protocol dat we hadden in de dienst van het hotel. Vroeger waren dit in ieder geval de zaken die we als top cyberbeveiliging beschouwden. Maar nu ik terugkijk, is het gekkenwerk. Maar ja, ik bedoel, alleen al voor die ene dag hadden we in ieder geval het rapport van aankomst. Maar ik herinner me dat we naar de plaatselijke supermarkten moesten, we moesten supermarktlaptops kopen en we moesten onze sleutelencoders aansluiten met VGA-kabels. Er kon helemaal niets op het netwerk verblijven. We beheerden letterlijk alles van hoe laat. Hoeveel dagen? Dit deden we een hele week. Voor de hele keten? Ja. Elk hotel in zes verschillende landen. Dus als dat eenmaal online komt, begin je met het uitvoeren van een na start actie of postmortem, we noemen dit app nieuws waar we beginnen, zoals, hoe is dit gebeurd, maar hoe voorkomen we dat het verder gaat? Wat kwam er uit die bijeenkomsten? Wat was voor jullie de grootste strategiewijziging die zei dat we onze manier van denken over technologie moesten veranderen? Ja. Ik bedoel dat we alles volledig hebben herzien. Toen zijn we gaan samenwerken met een externe IT-partner en hebben we ons IT-team veranderd van IT-mensen in digitale experts. En we moesten bouwen aan wat we deze zes pijlers noemen en nu is het zo'n belangrijk onderwerp. Omdat we nu deze zes pijlers hebben: beschermen, voorkomen, detecteren, reageren, herstellen en herzien. En onder elk daarvan hebben we denk ik zo'n twintig, vijfentwintig verschillende stappen en elementen die we hebben ingevoerd om echt alles met betrekking tot beveiliging te controleren. Hoofdstuk Huidige beveiligingsmaatregelen Het is En en heb je het gevoel dat je nu veel beter in staat bent om te voorkomen dat dit opnieuw gebeurt? Oh ja. Dat denk ik nu. Als we het hebben over bescherming, dan hebben we alles van voorwaardelijke toegang tot IP restricties en filteren van webinhoud. Dan hebben we detectie Je begrijpt misschien niet wat je net zegt. Wat is bijvoorbeeld een IP restrictie? Dus wat we bijvoorbeeld zeggen is dat we weten dat iedereen vanuit onze hotels in Duitsland werkt. Als een van die mensen zijn laptop ophaalt en naar Canada vliegt en dan probeert in te loggen, zal dat niet lukken. Want we hebben zoiets van, we moeten detecteren waar dit waar iets niet erg gebruikelijk is, iets niet normaal is. En als we dat zien hebben we zoiets van, nee, je kunt niets doen. Eerst moet het door controles en goedkeuringen om er zeker van te zijn dat je kunt werken. Wauw. Wat heb je nog meer gedaan? Dus ik denk dat het ook duidelijk is, zoals het scannen en monitoren van netwerken. We hebben nu dus letterlijk een derde partij die constant het hele netwerk in de gaten houdt. Dus elke gebruiker, elke computer, alles dat wordt gemarkeerd als gevaarlijk, lijkt onmiddellijk dat hele apparaat of die hele gebruiker af te sluiten. En gebeurt dit vaak dat je iemand van zijn apparaat afsluit? Ik denk nu elke dag. Elke dag? Ja. Want het is ongelooflijk hoeveel er nu gebeurt. We zien het bijvoorbeeld bij diepe oplichtingspraktijken waarbij de e-mail van één persoon wordt gehackt en de CEO vervolgens een e-mail verstuurt waarin hij je vraagt om een miljoen euro over te maken. Het is ongelooflijk. Ja. Maar zie je dat teamleden zich er nu hyper bewust van zijn of is er constante training voor nodig? Ik denk dat het op een hoger niveau heel bekend is, maar hoe verder je naar beneden gaat, hoe meer mensen denken: oh je hebt tweestapsverificatie ingeschakeld. Dit is zo irritant. Het duurt zo lang voordat ik op mijn systeem kan inloggen. Ik heb zoiets van, ja, maar als je echt achter de deuren zou zien wat we doen en waarom we het doen, en ik denk dat dat het bewustzijn is dat we proberen te stimuleren. Want hoe neem je mensen mee op die reis? Door het vertellen van verhalen hebben mensen zoiets van, oh, oké. Er is hier dus een geschiedenis. Er is een reden waarom we dit doen. Hoe neem je mensen mee? Omdat het zo'n moeilijk onderwerp is om mensen betrokken bij te krijgen. Ja. Dus we maken elk jaar een soort trieste balans van het evenement. Dus elke zevende oktober halen we het weer naar boven en zeggen we, hé, dit is er gebeurd. Dit is ons trieste moment in de geschiedenis. Maar daarnaast hebben we ook typische trainingen, maar we proberen het op een meer betrokken manier te doen. We hebben dus een hele coole partner die veel meer engagement gebruikt, een soort trainingssoftware. Het is dus een soort meerkeuze. Het zijn meer engagement quizvragen dan je typische diavoorstellingen. Ja. En dan doet onze IT-afdeling ook nog een fantastische poging tot een phishing-campagne. Elke week of elke twee weken sturen ze iedereen een valse e-mail. We zien hoeveel mensen erop klikken, hoeveel mensen de bijlage openen. Deze dingen zijn echt gaaf om te zien. Hoe langer we doorgaan, hoe minder en minder mensen op die dingen klikken. Want hoe zou je adviseren omdat je in eenentwintig een kritisch evenement had dat je door het hele bedrijf kunt vertellen en om dat bewustzijn aan te maken. Maar veel hotels hebben misschien niet zo'n belangrijk evenement meegemaakt. Hoe raad je ze aan dit onderwerp aan te snijden en mensen aan het praten te krijgen over beveiligingsinstellingen enzovoort? Ik denk dat het belangrijkste is dat ze niet uitgaan van ervaring, maar wat zouden we doen in het scenario dat het wel gebeurt? Ze proberen zich echt in te leven in de geest van stel je voor dat we morgen geen toegang meer hebben tot alles. Dat iemand een versleuteling aanbrengt op al onze data en dat we hen moeten betalen of dat ze ons vragen hen te betalen. Ja. Hoe zouden we dat aanpakken? En als ze zeggen, oh, dat weten we niet, dan heb je een probleem. Ja. Weet je, en dan moet je daar echt gaan zitten en trainen. Het is een goed functiespel om met het team te doen en te zeggen: "Goed, we zitten in een crisisscenario. We hebben drie uur en over drie uur is alle toegang afgesloten. Of zelfs nu de toegang is afgesneden. Hoe zou je dit in een functie spelen? En het is echt interessant om te zien hoe mensen erop reageren. Ik weet nog dat ik in hotels werkte en dat ze ons dit vroegen, want als je wordt opgeleid tot manager, zeggen ze: "Nou, wat zou jij doen? En we hadden Excel-sheets ingesteld op onze computers van waaruit we alle check-in's en check-outs uitvoerden. En ik dacht: dit is gek. Dit gaat nooit gebeuren. Maar het gebeurde wel. En als het gebeurt, ben je heel dankbaar voor die training. Oh, absoluut. Ja. Het is, zoals ik al zei, ik kan het me nog steeds herinneren. En gelukkig was ik op dat moment met vaderschapsverlof, maar ik werkte nog steeds veel vanaf mijn telefoon en hoorde van het team dat ze zeiden: "We doen alles via WhatsApp en ze zeiden: "Dit is gewoon krankzinnig en je weet dat we in die tijd niet over de beste software beschikten omdat we, zoals ik al zei, on premise oplossingen gebruikten. Maar waarom is on premise volgens jou minder veilig dan in de cloud? Ik bedoel, je hebt dingen nodig, je hebt bepaalde setups nodig zoals VPN's en je moet een fysieke server in je hotel hebben en je bent dan zo verantwoordelijk voor het onderhouden van alles en het is oké als je een groot bedrijf bent, maar als je een klein bedrijf bent, zit je daar niet te denken aan manieren waarop je netwerk kan worden geïnfiltreerd. Je denkt niet na over compliance, zoals ISO en SOC two compliance. Je denkt niet na over die grote dingen, zoals of je een kleine keten bent of een kleine accommodatie. Dus als je dat soort verantwoordelijkheid geeft aan iemand die alles voor je onder controle heeft, zolang het een goed kader is, dan denk ik dat het je wat meer geruststelt. Ja. Ik herinner me nog dat ik vaak met hoteliers sprak en het debat voerde over on prem versus cloud en dat de eigenaren zeiden: ja, maar ik weet tenminste waar mijn server staat. Ik kan het besturen. Ik had zoiets van, ja, maar dat betekent ook dat anderen die kwaad willen weten waar je server staat en daar toegang toe kunnen krijgen. In de cloud is het alsof onze servers van Microsoft zijn en waarschijnlijk de best beveiligde servers ter wereld zijn, in tegenstelling tot een back office kamer met een slot erop. En het is die mentaliteit die we proberen te doorbreken, maar het is een hele uitdaging om dit gesprek te voeren. Ja. Nee. Ik kan het me voorstellen. Ik bedoel, soms zijn er zelfs kamers waar geen slot op zit. Als je dat gewend bent, is het, maar ja, net zo goed. Je zou niet verantwoordelijk moeten zijn voor het handmatig opnieuw opstarten en het op het netwerk laten zitten dat blootgesteld is en Ja. Vooral omdat er tegenwoordig zoveel opties zijn om het echt te hebben. Er is gewoon geen reden. Ja. Op de manier, gehost met Azure of dat soort dingen dan. En het afgelopen jaar hebben we een toename gezien van phishing, aanvallen tegen hospitality. En het is niet alleen tegen Mews. Het is tegen elk bedrijf dat werkzaamheden uitvoert met echt gevoelige data van gasten. Heb je dit al zien gebeuren bij Penta, of ben je tot nu toe gezegend? Helaas niet. Hoofdstuk Recente phishingaanvallen in hospitality We hebben het gezien, en de laatste tijd heel veel gezien. Het is, weet je, we hebben een soort eigenaar van een bedrijf, en helaas is een van de e-mailadressen bloot komen te liggen. Ja. En daarmee worden weer e-mails naar iedereen gestuurd, hé, dit moet gebeuren, dit moet gebeuren, dit moet gebeuren. En natuurlijk, als het van dat e-mailadres komt, ben je meer dan blij om zoiets te hebben van, oké, dan pas ik die persoon aan. Het lijkt in orde. En je doet gewoon wat je gevraagd wordt. En weet je, we zijn niet de enigen. We hebben e-mails gezien van andere hoteliers of andere leveranciers die hetzelfde probleem hebben. En omdat het gewoon van dat e-mailadres komt dat je de afgelopen drie jaar misschien wel vijfduizend keer hebt gemaild, denk je er niet eens over na. Nee. Dat doe je echt niet. Je neemt gewoon aan dat het klopt. En we krijgen zoveel e-mails dat je er gewoon vanuit gaat dat je overal op moet klikken. En gelukkig heb je deze IT ingesteld waarbij je, je weet wel, gefabriceerde phishing doet waarbij je de phishingpogingen aanmaakt om te zien of je je medewerkers kunt misleiden, en dat leidt dan tot training. En ik denk dat dat waarschijnlijk een van de beste manieren is om dat onderwijs te stimuleren. Maar je bent zo sterk als je zwakste schakel, en dat is echt waar. En het handhaven van de instellingen van wie toegang heeft tot wat is zo belangrijk om echt te kunnen beoordelen, hebben deze mensen beheerdersrechten nodig voor het systeem of kunnen ze prima zonder? En dat is een van die dingen waar je veel tegenin gaat, omdat beheerders zullen zeggen: Ja, ik heb het nodig omdat ik deze dingen moet doen. En jij hebt zoiets van, volgens mij eigenlijk niet, maar dat is een moeilijk gesprek, neem ik aan. Hoofdstuk Het belang van toegangscontrole Ja. Het gebeurt vrij veel. Ik bedoel, als ik uit ervaring spreek, kreeg ik vanochtend zelfs drie verschillende verzoeken. Hé, we hebben toegang nodig tot deze toestemming of deze persoon heeft toegang nodig tot deze toestemming. En hoe meer we je geven, hoe meer exposure er is, weet je. Als, zoals je zei, die ene persoon, iemand toegang krijgt tot zijn account, dan geldt: hoe meer bevoegdheden we hem geven, hoe meer hij ermee kan doen. Ja. En heb je al gezegd dat je tweestapsverificatie voor honderd procent gebruikt? Wil je passkey of andere manieren gebruiken om de systemen te beschermen? Ja. We hadden dus een behoorlijk groot systeemlandschap als ik het over de afgelopen jaren heb. We zijn het nu aan het verdichten en dat was de reden waarom we de afgelopen maanden alles met Mews hebben gedaan. Maar ik denk dat we zover zijn gegaan dat we op een gegeven moment zo'n vijfenzeventig verschillende systemen of applicaties in gebruik hadden op alle afdelingen en het was veel werk om 2FA, SSO, al deze dingen op al deze systemen en applicaties ingeschakeld te krijgen. Ja. Maar waar we nu ook aan proberen te werken is een passkey manager. We hebben dus vrij veel centrale gebruikers die het gebruiken, maar we willen nu een wachtwoord manager uitrollen naar elke gebruiker. Dat is allemaal goed. Dat betekent dat je die referenties alleen automatisch kunt invullen als je op de juiste website bent. Dus als je per ongeluk Google, Mews login en je gaat naar Mews met twee s's punt com, dan vult het niet automatisch je wachtwoord in en denk je: Hé, hier klopt iets niet. Ja. Dus dat zit al in het proces en dat is iets wat we zeker gaan uitrollen. Ja. Het scenario dat je net hebt uitgelegd, is iets dat we elke dag zien gebeuren. Dus je hebt deze phishingfarms in landen ver in het oosten die erop gericht zijn bedrijven aan te vallen. En ze maken een nepwebsite met alleen een spelfout in de URL. En dan werken ze samen met Google om AdWords te gebruiken om hun advertentie op te drijven en het ziet er honderd procent legitiem uit als je erop klikt. En pas als je erop hebt geklikt en de website opgaat, staat de URL er een beetje naast. Maar de inlogpagina ziet er precies zo uit als Mews. Ja. En gelukkig maar, want als je een wachtwoord manager hebt, ziet die de website niet, herkent die de website niet, dus geeft die je het wachtwoord niet. Maar veel hotels hebben deze dingen niet. Ze kennen hun wachtwoord uit hun hoofd en ze gebruiken hetzelfde wachtwoord op verschillende systemen. Dus op het moment dat ze je wachtwoord hebben, kunnen ze stroomafwaarts ook inloggen op alle andere systemen. En dit is waar tweestapsverificatie, single sign-on of passkey prachtige oplossingen zijn die hotels beschermen. Maar het is een strijd geweest. Toen we tweestapsverificatie uitrolden, kun je je alleen maar voorstellen hoeveel haat we kregen van hoteliers die zoiets hadden van: jullie maken ons het leven zuur. Ik had zoiets van, nee. Zo beschermen we de data van je gasten. Maar hoteliers, wij loggen graag zo snel mogelijk in op systemen. Natuurlijk. Ik bedoel, ik zie het zelfs nu nog. Zoals ik al zei, ik ben de afgelopen negen, tien weken op accommodaties geweest om nieuws uit te rollen en je ziet nog steeds mensen wachtwoorden opschrijven op post-it briefjes. En dan heb je zoiets van, wat doe je? Ja. Het is ongelooflijk. Maar nee, ik denk dat we, ook met de Mews passkey, proberen ze wat informatie mee te geven. Maar als je Mews passkey gebruikt, kun je met één klik inloggen. Je hoeft niet te wachten en je code te vinden op je authenticator app, maar het is dan ook een extra beschermingslaag. Hoofdstuk Passkey technologie Ik heb nooit echt begrepen wat Passkey was totdat ik het ging gebruiken en het is in principe biometrisch inloggen. Met je wachtwoord manager stel je dus een biometrische login in. Dus elke keer dat je daar op je computer inlogt, log je in met je gezichtsscan of met je vingerafdruk en dat kunnen ze niet kopiëren. Dat is onmogelijk te kopiëren. Het is dus de veiligste manier om overal in te loggen. En we hebben allemaal Passkey. We hebben allemaal een smart like, er is niemand die ik ken die geen smartphone heeft waarop deze dingen zijn geïnstalleerd. En het is echt ongelooflijk. En ik zag vorige week nog dat WhatsApp nu zelfs Passkey heeft ingesteld en ik had zoiets van, oh, ze hebben onze blogs in de gaten gehouden. Het is echt leuk dat ze eindelijk beseffen dat dit de toekomst is. Maar ik zou zeggen, als je iets doet, is het echt de passkey afdwingen en ervoor zorgen dat biometrisch inloggen de enige manier is. Ik had dit weekend een succes, want ik had geluncht met mijn moeder en mijn vader, en ik heb mijn moeder eindelijk zover gekregen dat ze Apple Pay gebruikt. Oh, wow. En ik omdat ik zoiets had van, het is biometrisch. Elke keer als je betaalt, weet het apparaat dat jij het bent vanwege je gezichtsherkenning. Maar daar heb ik een paar jaar tegen gevochten. Dus dat is mijn grote overwinning deze week. Ja. Dat gevecht heb ik nog steeds als ik veel naar Duitsland ga. Dus in het Verenigd Koninkrijk wordt het dragen van een portemonnee zelfs als gek gezien. Ja. Alsof het alleen Apple Pay is of Android of zoals Google Pay overal. Ja. Toen herinner ik me de eerste keer dat ik naar Duitsland ging, ik stapte in een taxi en de man zei, alleen contant of als je echt kapot gaat is het PayPal. En ik had zoiets van PayPal. Wat is er aan de hand? Ik ging naar een winkel en ze zeiden: ja, het is contant of je hebt een fysieke kaart nodig. We accepteren geen Apple Pay. Ik had zoiets van, dit is krankzinnig. Dus Penta hotels vertelt ons nu volledig in de cloud ingeschakeld met beveiligingsinstellingen. Volgende? Waar raak je opgewonden van vanuit het oogpunt van beveiliging? Hoofdstuk Beveiliging in gedeelde omgevingen Ik denk dat het vanaf hier meer opschalen is. Zoals ik al zei, zoiets simpels als, met de passleutels, gaat het wel. Bijvoorbeeld als iemand een persoonlijk apparaat heeft, toch? Omdat je een camera op je laptop hebt of een vingerafdrukscanner op je laptop. Maar veel hotels zullen waarschijnlijk denken: hoe zit het met frontdesk computers waar iedereen een login deelt? Er is geen laptop. Het is een echte computer. Ik denk dat ze moeten denken dat het eigenlijk heel eenvoudig is. Je kunt bijvoorbeeld de Windows Hello camera's kopen die je op je computer plakt, in het stopcontact steekt en dan heeft iedereen gezichtsherkenning. Ja, elke gebruiker zou zijn eigen Microsoft account moeten hebben, maar je kunt er geen geld of kosten tegenover zetten zoals cyberbeveiliging. Ik denk dat dat het grootste is wat we hebben begrepen. Ja. En zoals, wie in het bedrijf heeft jou het recht gegeven om de beveiligingsinstellingen zo ver door te drukken? Wie is de persoon die jou in staat stelt om het voortouw te nemen in deze conversaties? Dus ons hoofd digitale zaken is zo pro cyberveiligheid, zoals cyberbeveiliging. En we hebben gesprekken gevoerd met ons managementteam. Dus ik denk, weet je, Victoria, toch? Ja. En dan hoef je niet eens een verklaring te geven. Je hebt zoiets van: Hé, nee, dit is absoluut verplicht in termen van veiligheid. En we kunnen niet zeggen: Hé, dit is te duur. Ja. Ja. Je kunt heel ver gaan en zeggen dat we zoveel maatregelen hebben genomen dat het gekkenwerk is. Maar zelfs voor de basislaag kun je niet denken dat het te duur voor ons is. Single Sign-On (SSO) is een hele infrastructuur die je instelt om alle aanmeldingen van medewerkers op alle systemen te beheren. Maar op het moment dat de medewerker vertrekt, verwijder je de persoon gewoon uit Single Sign-On (SSO) en wordt hij mooi uit alle systemen verwijderd. Maar het is wel prijzig. En voor sommige kleinere hotelgroepen is dit misschien niet de beste oplossing. En daarom hebben we Passkey geïntroduceerd, omdat we dachten: inloggen in het systeem is tenminste veilig, maar Single Sign-On is verreweg het beste om te doen. Maar voer een gesprek over budgetten voordat je dit gaat uitrollen, want het is niet goedkoop. Ja. Nee. Waar. Hoofdstuk Single sign-on in hotels En zoals ik al zei, zolang er meerdere opties beschikbaar zijn. Ja. SSO is, zoals je al zei, geweldig omdat je het maar één keer hoeft te verwijderen en dan wordt het verwijderd op alle systemen waarmee je het hebt ingeschakeld. Ja. En er is veel verloop in onze sector. Mensen vertrekken. Dit is gewoon iets dat elke dag gebeurt. Weet je, mensen vergeten altijd mensen van boord te halen. Je kunt ze bijvoorbeeld verwijderen van de plek waar het je het meeste geld kost, zoals bij Active Directory of Azure waar je de licentiekosten betaalt. Maar als je die gebruiker op vijftien andere systemen hebt, zal iemand ergens vergeten die gebruiker te verwijderen. Elke keer is dat een extra risico-element en het blijft maar bouwen. En vooral in deze tijd kun je geen van die blootstellingen hebben. Nee. Josh, ik heb echt genoten van het gesprek. Ik kan me de stress voorstellen die eenentwintig en die aanval bij jullie teweeg hebben gebracht, maar ik vind het geweldig hoe jullie dat hebben opgevat als een moment van verandering en dat jullie je daarop hebben ingesteld. Je hebt de cloud omarmd. Je hebt de instellingen voor beveiliging omarmd. Ik denk dat je zo'n geweldig voorbeeld hebt gegeven voor onze sector, die voortdurend wordt aangevallen door deze cybercriminelen. Dus bedankt dat je dit zo openlijk deelt. Ik denk dat mensen zoals jij die hierover praten, hopelijk de ogen van sommige mensen openen en denken dat vandaag misschien de dag is dat ik deze dingen ga veranderen. Dus bedankt voor het delen. Nee. Het was me een genoegen. Het is zeker iets dat we onder de aandacht moeten brengen. Leuk. Dank je wel. Dank je wel.