Wat kun je verwachten?
Hoofdstukken
Transcript
[00:00:00] Fleur van Leusden: Hotels, die hebben nog veel goud te winnen zeg maar. Hotels hebben dus veel interessante data waar criminelen hun voordeel mee kunnen doen. Ze hebben betalingsdata, ze hebben persoonlijke informatie, e-mail adressen, fysieke adressen, en ze hebben er heel veel van. En dat maakt ze een interessant doelwit voor criminelen om aan te vallen.
[00:00:33] Matt Welle: Hallo, allemaal. Welkom terug bij een nieuwe aflevering van Matt Talks Hospitality, en deze week is een andere. Het draait allemaal om veiligheid. Hotels zijn altijd al een zaak van vertrouwen geweest. Gasten overhandigen hun paspoort op het moment dat ze aankomen in een hotel. Ze geven die creditcard weg en gaan ervan uit dat die persoonlijke data veilig is. Cybercriminelen hebben echter hospitality aangewezen als een van de sectoren waar ze zich op willen richten. Daarom wil ik het vandaag hebben over een aantal van de meest voorkomende bedreigingen voor de beveiliging van data in hotels. Wat zijn dat? En wat kun je doen om je ertegen te beschermen? Ik heb twee van de beste mensen meegenomen voor dit gesprek. Fleur van Leusden werkt als CISO, een soort chief information security officer, in de publieke sector met een achtergrond die enkele van de vroegste internetonderzoeken omvat die plaatsvonden bij de Nederlandse Nationale Politie. Ze host ook haar eigen podcast, CISO Praat, wat zich laat vertalen als CISO talks, waar ze haar expertise over de sector deelt. En dan voegt Terry Brown zich bij Fleur. Terry werkt bij Mews. Hij is senior director of engineering bij Mews, die de systemen bouwt en onderhoudt waarop duizenden hotels dagelijks vertrouwen om zich te beschermen tegen bedreigingen van buitenaf. We gaan het vandaag hebben over hospitality. Waarom is deze sector zo in trek bij deze criminelen op internet? Wie wil daarmee beginnen?
[00:01:49] Fleur van Leusden: Ik denk dat een van de redenen is dat er in hotels veel goud te winnen valt, om het zo maar te zeggen. Hotels hebben dus veel interessante data waar criminelen hun voordeel mee kunnen doen. Ze hebben betalingsdata, ze hebben persoonlijke informatie, e-mail adressen, fysieke adressen, en ze hebben er heel veel van. En dat maakt ze een interessant doelwit voor criminelen om aan te vallen.
[00:02:15] Matt Welle: Ja. Ik denk niet dat iemand het daarmee oneens is. Waarschijnlijk, Terry, nog iets toe te voegen?
[00:02:20] Terry Brown: Ja. Ik denk ook dat de hospitality sector over het algemeen relatief traag is met het invoeren van technologie. En ik denk dat tot voor kort veel hotels geen prioriteit gaven aan IT-beveiliging als onderdeel van hun dagelijkse werkzaamheden. Ik denk dat hospitality het geluk heeft gehad dat het een hele tijd onder de radar is gebleven. Er zijn veel, veel grotere doelen geweest, fintech, farma, weet je, bankieren in het algemeen, dat soort dingen. Ik denk dat aanvallers zich beginnen te realiseren dat er hier een markt is waarin mogelijk al een tijdje te weinig is geïnvesteerd, en dat maakt het een soort rijpe pluk voor het laaghangende fruit. Ik denk dus dat we in de hospitality sector bezig zijn met een inhaalslag ten opzichte van sommige andere sectoren. Maar ja, we lopen hard.
[00:03:18] Matt Welle: Want Fleur, jij bent de buitenstaander vanuit het bredere perspectief. Welke sectoren worden op dit moment het meest bedreigd?
[00:03:26] Fleur van Leusden: Ik denk dat het niet specifiek sector gerelateerd is. Het is zoals Terry zei. Ze zijn op zoek naar het laaghangende fruit. Dus alles wat ze kunnen vinden dat kwetsbaar is, zullen ze aanvallen. En over het algemeen is het niet noodzakelijkerwijs in een specifieke sector, maar is het een specifieke kwetsbaarheid in software, of is het een database die is gelekt, die kan worden misbruikt om phishing-aanvallen uit te voeren en zo voet aan de grond te krijgen in een netwerk en daar verder te gaan. Zoals Terry al zei, als je als sector te weinig investeert of andere prioriteiten hebt dan beveiliging, ben je automatisch kwetsbaarder voor aanvallen. Niet specifiek vanwege het werk dat je doet, maar het is een combinatie van die twee. Er is goud te winnen en de kans op succes is erg groot.
[00:04:21] Matt Welle: Omdat ik me de persberichten herinner. Ik denk dat Marriott een enorm lek had. Hyatt had een enorme lekkage. Maar ze voelden anders. Dit was 10, 15 jaar geleden, toen ze een gigantische database met onversleutelde creditcard data stalen. Dat lijkt vandaag niet het geval te zijn. Wat is er eigenlijk veranderd in de afgelopen decennia, naar wat de nieuwste en beste technieken zijn die deze criminelen gebruiken om toegang te krijgen tot dezelfde data waar ze toegang tot proberen te krijgen, maar wat is er veranderd?
[Terry Brown: De aanvallers realiseren zich duidelijk de grote waarde van hospitality. Ik bedoel, traditioneel hebben we te maken met mensen met een besteedbaar inkomen en dat soort dingen, je weet wel, de gasten. En uiteindelijk maakt dat die data ongelooflijk lucratief vanuit aanvalsperspectief. Als je dat koppelt aan de commoditisatie van aanvallen, weet je, vroeger was het ongelooflijk moeilijk om een aanval op schaal uit te voeren. Je zou dus een kleinschalige aanval kunnen doen, maar niets belangrijks. Weet je, er zijn nu phishkits zoals speciale software die veel aanbieders in alle sectoren kunnen nabootsen, echt waar, en een heel eenvoudig pad bieden voor dat laaghangende fruit waar we het net over hadden, waar aanvallers nu routinematig, het zijn geen georganiseerde groepen, het zijn kinderen, stukjes software laten draaien met, je weet wel, een speciaal doel om bepaalde producten aan te vallen.
[00:05:52] Matt Welle: En Fleur, zie je dat ook in andere sectoren of is dit specifiek voor hospitality?
[00:05:56] Fleur van Leusden: Nee. Denk ik. Zoals ik al zei, het zijn criminelen. Het zijn opportunisten. Over het algemeen zijn ze dus op zoek naar systemen waar je gemakkelijk in kunt komen, die gemakkelijk voor een lange periode onopgemerkt kunnen blijven en die een hoge kans op succes hebben. En ja, soms zijn het kinderen, maar er zijn ook georganiseerde groepen zoals de grotere ransomware groepen die professionele criminelen zijn. En er zijn natuurlijk ook door de staat gesponsorde aanvallers. Maar ik denk dat hospitality voor staatsgesponsorde aanvallers minder interessant is. Ik zeg niet dat het helemaal niet interessant is, want je hebt natuurlijk hoogwaardige gasten en hun data is erg waardevol. Ja. Het is een scala aan aanvallen die er zijn. Wat volgens mij ook veranderd is, is dat we anders naar deze incidenten kijken. Dus, 10 jaar geleden, als je een bedrijf was dat gehackt werd, zouden we zeggen, oh, dat is zo triest voor dit en dat bedrijf dat gehackt werd. We voelen dus met ze mee dat ze het slachtoffer zijn geworden van deze gemene criminelen. Als je vandaag de dag gehackt wordt, hebben we meer zoiets van: nou, heb je al je beveiliging op orde? We zijn bij wijze van spreken kritischer op het slachtoffer dan 10 jaar geleden. Ik denk dat dat ook een rol speelt.
[00:07:27] Matt Welle: Waarom denk je dat dat is?
[00:07:28] Fleur van Leusden: Ik denk dat het 10 jaar geleden misschien minder gebruikelijk was. En nu, omdat we ervan uitgaan dat iedereen weet dat deze dreiging bestaat. Het is alsof je de Mona Lisa in je huis ophangt en je voordeur op slot doet met een normaal slot, en dat is het dan. Als je bijvoorbeeld waardevolle data hebt, verwachten we dat je die goed beschermt. En keer op keer komen we erachter dat deze bedrijven onze data niet beschermen zoals we denken dat ze hadden moeten of kunnen doen. Dat nemen we ze kwalijk.
[00:08:05] Matt Welle: En dat voelen we als bedrijf. We worden dus constant aangevallen. Al jaren worden we elke dag aangevallen door die hackers uit het oosten. En we bouwen en bouwen en bouwen beveiligingsprogramma's, en we hebben deze diensten geleverd aan onze gasten die weigerden om ze gewoon in te stellen, of gewoon, je weet wel, ze hebben het druk, en ze geven er gewoon geen prioriteit aan totdat het te laat is. En dan worden ze echt boos op de softwareleverancier. Hoe vertellen we dit aan gasten? Want ja, we runnen bedrijven, maar hoe maken we er een prioriteit van voordat het te laat is? En dit is een van de grote worstelingen die ik heb, en ik probeer dit op de een of andere manier een stem te geven omdat we echt bezig zijn met het niet instellen van de beveiligingsinstellingen. En dan, als het te laat is, zal het al je informatiebronnen als bedrijf uitputten.
[00:08:54] Fleur van Leusden: Maar waarom zijn het instellingen? Waarom zijn ze dan niet standaard? Waarom is het mogelijk om Ik zeg het niet, ik ken Mews niet zo goed, maar waarom verwachten we nog steeds dat het mogelijk is om een inlogportaal zonder MFA te hebben? Waarom bouwen we nog steeds deze portalen? Omdat ze ontworpen zijn om onzeker te zijn. Dus, en dit weten we. En wat ik steeds meer probeer te doen is manieren vinden om beveiliging moeiteloos te maken. Wat ik zo mooi vind, is het voorbeeld van je smartphone. Ik denk dat Apple hiermee is begonnen, maar Android en andere telefoons hebben het ook. Het is de manier om je scherm met je vinger te ontgrendelen. Dat is een heel veilige manier om je telefoon te ontgrendelen, en het gaat ook heel gemakkelijk. Mensen zullen dit dus graag doen. Ze ontgrendelen hun telefoon liever op deze manier dan dat ze een veegcode of pincode moeten vastmaken, omdat het gemakkelijk is. Dus ik denk dat wij in de beveiliging en IT meer moeite moeten doen om meer van dit soort oplossingen te maken voor toegang tot netwerken of software of waar de gebruikersvriendelijke manier ook de veiligste manier is.
[00:10:08] Matt Welle: Zoals het uitschakelen van instellingen. Als je echt geen energie wilt, moet je zeggen: ik zou mijn tweestapsverificatie uitschakelen. Ik neem het risico graag.
[00:10:16] Fleur van Leusden: Nou, soms is er wel wat voor te zeggen omdat je een test wilt doen of je hebt een script dat moet draaien en dat kan niet overweg met MFA en het is gewoon een testomgeving. Het is dus niet zo belangrijk. Ik zeg dus niet dat het helemaal niet mogelijk zou moeten zijn om een MFA minder login te hebben. Ik zeg alleen maar, zoals je al zei, dat is wat ik zou voorstellen: maak de meest veilige manier, de standaard manier, en je moet echt, echt willen om dit onveilige ding te doen, dat moet het moeilijkste zijn om te doen. En de makkelijkste manier zou de veiligste moeten zijn.
[00:10:53] Terry Brown: Ja. Ik denk dat dat een van de belangrijkste Challenges is geweest tijdens de phishingcampagne die we misschien al 18 maanden lang hebben gezien, omdat we tweestapsverificatie hebben afgedwongen voor onze gebruikers. Wat we hebben gevonden en waarom Mews een doelwit voor aanvallers blijft, is dat als je bereid bent om je wachtwoord te geven, je ook bereid bent om je TOTP, de zescijferige code, te geven. En routinematig is dat nu de aanvalsvector. Je punt is heel goed, Fleur, maar hoe kun je dan beter afdwingen of aanmoedigen? Passkeys zijn zeker iets dat we aanbieden. We hebben onlangs een gratis Single Sign-On uitgerold voor onze gasten. Het kost ons natuurlijk kosten om dat te implementeren, maar het was gewoon een verstandige beveiliging om te doen. De uitdaging is nog steeds de enorme adoptie, want binnen een hotel probeer je een klus te klaren. Je probeert een kamer schoon te maken. Je probeert een gast in te checken of iets dergelijks. Routinematig gebruiken die mensen niet dezelfde apparaten of zijn de passkeys moeilijk, of ze hebben te veel toegang omdat iemand de op functies gebaseerde toegang niet goed heeft ingesteld. Er zijn dus veel verschillende uitdagingen. En die investering lijkt altijd een minimale aanpak te zijn. Ik zou ook graag je gedachten daarover horen.
[00:12:18] Fleur van Leusden: Nee. Ik denk dat je helemaal gelijk hebt. En ik denk dat de extra uitdaging is dat hotels over het algemeen allerlei verschillende systemen gebruiken. Je hebt dus ook compatibiliteit om over na te denken. Want terwijl u sprak, dacht ik: kunnen we in hospitality niet hetzelfde gebruiken als in ziekenhuizen of medische faciliteiten? We hebben een fysieke kaart, de veegkaart die je op een kaartlezer kunt zetten. En dat is gemakkelijk, zodat je niet elke vijf seconden je wachtwoord hoeft in te typen. Maar als je het bureau verlaat, dan wordt automatisch je scherm vergrendeld en al dat soort fancy dingen. Dat is geweldig als je in een ziekenhuis werkt, want ziekenhuizen hebben over het algemeen ongeveer hetzelfde. Ze gebruiken de kaart voor allerlei toegangszaken. Ik weet het niet zeker. Ik denk dat hotels en hospitality een hele regenboog aan verschillende toegangswegen hebben. Sommigen gebruiken veegkaarten. Anderen zullen apps hebben. Anderen hebben nog steeds sleutels, alleen fysieke sleutels. Dat is dus een grotere uitdaging.
[00:13:16] Matt Welle: Ja. Het moeilijkste vinden we dat de hardware in hotels over het algemeen erg oud is. Bijvoorbeeld, als er hotels zijn die nog steeds Windows 97 of wat voor versie dan ook draaien, wat eng is omdat je dan niet beschermd bent met de nieuwste software. En ze delen ook computers, de receptie. Als je denkt aan een receptie, dan spring je heel vaak van balie naar balie en dan loggen ze in en uit of gebruiken ze elkaars inloggegevens. Of er hangt een plakbriefje op de computer met de inloggegevens. En dit is waar we, toen we twee jaar geleden tweestapsverificatie afdwongen, zoveel tegenkanting van onszelf kregen. We hebben zoiets van, ik wil niet elke keer als ik inlog mijn persoonlijke telefoon tevoorschijn halen om dat TOTP token te vinden, dat nu eigenlijk niet meer veilig is omdat ze daar een manier voor hebben gevonden. Dus nu pushen we ze naar passkeys, maar dan hebben ze zoiets van, ja, maar onze infrastructuur staat passkeys eigenlijk niet toe omdat het op de een of andere manier wordt geblokkeerd, of we, weet je, we delen computers, dus ik kan mijn passkey hier niet op instellen op een gedeelde computer. En we rennen voortdurend door deze cirkels van vuur, het voelt alsof we bijna niets geïmplementeerd krijgen.
[00:14:21] Fleur van Leusden: En doe je omdat ik denk Mews, het is een soort cloud, een SaaS soort dienst. Dus wat ik me kan voorstellen is dat je je software heel streng in de gaten houdt. Zelfs dan is het moeilijk te ontdekken, want hoe weet je of iemand legaal is ingelogd of dat het echt een aanvaller is? Dat kan soms moeilijk te zien zijn. Maar misschien kun jij, Terry, dieper ingaan op je monitoring.
[00:14:49] Terry Brown: Absoluut. Dat is een geweldig punt. Zelfs vorig jaar al, goedheid, begin vorig jaar, onderkenden we enkele van de uitdagingen die we hadden: we hadden toegewijde beveiligingsteams, maar we hadden geen beveiligingswerkzaamheden, die zich richtten op dat soort laatste mijl, de bewaking en de bescherming. Dus hebben we daar een speciaal team voor opgezet en zij beheren een systeem voor het monitoren van beveiligingsincidenten, dat goed bekend staat in de sector. En ze doen veel aan anomaliedetectie. Dus zodra we nieuwe patronen zien, veranderen we de regels en zorgen we ervoor dat de detectie zo snel mogelijk verloopt. Het is niet preventief, maar uiteindelijk toch veel beter. We kunnen veel sneller reageren. Maar het sluit de deur van het kasteel niet. Het stelt ons alleen in staat om te detecteren.
[00:15:41] Matt Welle: Dus, wat wij zien als de belangrijkste aanvalsfactor tegen onze sector, en het is niet alleen tegen Mews, het is tegen de meeste cloudsystemen, is dat ze een valse landingspagina maken voor de inlogpagina. Ze adverteren het op Google, en ze kunnen 100% nabootsen hoe het eruit ziet van Mews ook in de advertentie. Gebruikers zoeken gewoon naar de inlogpagina van PMS en dan komen ze bij de advertentie. Ze komen op de pagina. Ze loggen in. Dan gaan ze naar de tweestapsverificatie. Ze kopiëren dat token van de Google app naar de pagina, die de hacker tegelijkertijd ook live kopieert. En als de hacker dan toegang krijgt, sturen we e-mails naar de gebruiker met de vraag of hij inbelt vanuit Rusland, of dat hij inbelt vanuit, en soms zegt de gebruiker, ja, dat ben ik. Omdat ze denken dat de gebruiker inlogt, de e-mail niet leest en op de knop klikt. En we hebben zoveel 'fail safes' ingebouwd. En op het moment dat de hacker in het systeem zit, downloaden ze de data bestanden binnen enkele minuten omdat deze hackers getraind zijn op deze oplossingen. Ze weten precies waar ze heen moeten, wat de data bestanden zijn en nu blokkeren we zelfs wanneer je een bestand download, je ingelogd moet zijn met een passkey of met een Single Sign-On (SSO). Dat is de enige manier om toegang te krijgen tot die data. En het is net als de trechter die we proberen te beperken, maar we vechten hier al jaren tegen. En elke keer als je iets bouwt, vinden ze er op de een of andere manier een weg omheen, wat erg pijnlijk is.
[00:17:03] Terry Brown: Dat is ook een heel interessant punt. Deze aanvalsvectoren, zoals een vispakket om een valse Mews log-in site op te zetten op bijvoorbeeld app.meows.com. Dat is relatief eenvoudig om te doen en als man in het midden te zitten en die data te verzamelen. Het is niet eenvoudig om dat op schaal te doen. En we merken dat zoekmachineadvertenties hier zeker worden gemanipuleerd. Dus uiteindelijk stellen ze iets in dat wijst naar de echte Mews site, valideren het en veranderen het vervolgens in de kwaadaardige payload. Uiteindelijk geef je je referenties aan die valse site. En net als bij een man in the middle aanval log je dan op de achtergrond in op de hoofdsite Mews. Maar Matt's punt is echt heel interessant. Onlangs hadden we zelfs een gast in Europa die een e-mail kreeg met de boodschap: oh, je logt in vanuit de VS. Je hebt nog niet eerder vanaf hier ingelogd, is dat goed? En ze klikten ja, weet je, als je dat niveau van bewustzijn van beveiliging hebt, denk ik, als iemand gewoon zijn werk probeert te doen, is het echt moeilijk om zeker te handhaven.
[00:18:12] Fleur van Leusden: Je kunt als aanbieder maar zoveel doen. Op een gegeven moment moet je als bedrijf ook zelf de verantwoordelijkheid nemen, ja, om zo veilig mogelijk te werken met de software die je hebt gekocht. En als je al deze voorzorgsmaatregelen hebt genomen, zullen mensen ze negeren of zeggen, ja, ik ben in de VS, terwijl zij dat niet zijn, er is maar zoveel dat je kunt doen.
[00:18:40] Matt Welle: Heb je bedrijven gezien die het onderwijs op een andere manier aanpakken? Of omdat hoe we de eigenaren van de bedrijven ervan bewust maken dat dit gebeurt, of er daadwerkelijk aandacht aan besteden omdat we schreeuwen in de…
[00:18:54] Fleur van Leusden: In de stem?
[00:18:56] Matt Welle: In principe. Ja. En niemand luistert. Hoe zorgen we ervoor dat mensen naar ons luisteren?
[00:19:00] Fleur van Leusden: Ik denk dat het belangrijk is. En ik denk dat je nu geholpen wordt met wetgeving met de NIST 2, waarbij het bestuur eigenlijk wettelijk verplicht is om een bepaalde mate van training in cyberbeveiliging te hebben, het is overigens niet voor hospitality, helaas, denk ik. Maar voor veel sectoren is het nu verplicht voor directies om een bepaald niveau van bewustzijn, begrip en training op het gebied van cyberbeveiliging te hebben. En dat zou moeten helpen, maar ook in je contracten en in je onderhandelingen zou ik zeggen: onderstreep en specificeer altijd dat dat een gedeelde verantwoordelijkheid is, beveiliging. Het is niet allemaal jij, en het is niet allemaal zij. Het wordt gedeeld. En er is een prachtige grafiek die, als je SaaS of EaaS of PaaS bent, laat zien wat het verantwoordelijkheidsniveau is en waar de balans doorslaat. En bij SaaS zit het meestal aan jouw kant als leverancier, maar er is nog steeds een bepaald niveau van beveiliging dat de gast zelf moet regelen. En persoonlijk ben ik geen grote fan van bewustzijnstrainingen over phishing, omdat ik denk dat als je, ten eerste, als je met één klik op één link je hele netwerk kunt vernietigen, de klik op de link misschien niet echt het probleem is. Zoals je net al zei, heb je al deze dingen op hun plaats gezet, zodat één gecompromitteerd account niet je hele platform vernietigt, wat volgens mij heel verstandig is om te doen. Er zijn dus allerlei dingen die je kunt doen, maar je moet ervan uitgaan dat als je in een sector werkt of in een bedrijf of waar dan ook, waar duizenden mensen werken en het verloop als mensen vertrekken en nieuwe mensen worden aangenomen erg hoog is, het onmogelijk is om mensen als computers te trainen om altijd alles te doen, nooit op links te klikken, forensisch onderzoek te doen naar elke e-mail die ze krijgen om te controleren of de header correct is en zo. Het is niet redelijk om te verwachten dat mensen dat doen. Juist daarom ben ik geen groot voorstander van bewustzijnstrainingen of phishingtrainingen, omdat ik denk dat je er gewoon van uit moet gaan dat op elke link die in een mailbox binnenkomt geklikt zal worden en van daaruit verder moet gaan. Dat is wat ik zou zeggen. En ook vraag ik gewoon zoveel tijd van mensen, en mensen voelen zich voor gek gezet als ze worden geconfronteerd met deze simulaties voor bewustzijn over phishing. Misschien doen ze er sportief over en lachen ze erom, maar niemand vindt het leuk om op de verplichte training te zitten omdat je gezakt bent voor de test, weet je.
[00:21:49] Terry Brown: Ja. Nee. Absoluut. En ik denk dat ik het daar helemaal mee eens ben. Ik denk dat training, weet je, 1% helpt in plaats van 50%. En wat we proberen te doen, zeker op Mews, is dat we een soort beveiligingscentrum in het product hebben ingebouwd dat je op zijn minst een realtime indicator geeft van hoe je er vanuit beveiligingsoogpunt voor staat. Dus als je alleen MFA zou hebben, bijvoorbeeld een melding aan de persoon die is ingelogd, dan is de kans groot dat je niet zo veilig bent als je denkt. En we hebben een algemene beveiligingsscore voor het hotel gebaseerd op, je weet wel, de prevalentie van dingen zoals MFA en dat soort dingen. Het is nog steeds, als ik eerlijk ben, niet per se gedragsverandering.
[00:22:34] Matt Welle: Ik had deze week een e-mailconversatie met een hotelier en ik zei, hé, ik zie dat je instellingen voor beveiliging laag zijn en er zijn nog drie categorieën hoger waar je naartoe zou moeten gaan. En het antwoord was: ja, ik ben me ervan bewust, maar ik heb het nu erg druk. Dus, ik kom er aan toe als ik er aan toe kom. En ik had zoiets van, oké. Dat is, ja, dat snap ik. Alsof dat moeilijk is. En echt, het is moeilijk omdat ik je wil beschermen. En laatst was ik bij een hotelier en ik zei, voordat we beginnen met de vergadering, wil ik dat je het dashboard opent en ik wil dat je gewoon, laten we deze instellingen doornemen, en ik kan dat doen met één hotelier persoonlijk, maar ik kan dit niet op schaal doen met 15.000 hoteliers. Ik denk dat dat de grootste uitdaging is die we hebben. We bouwen de hulpmiddelen, maar hoe zorgen we ervoor dat ze sommige dingen die we aanbevelen ook echt gaan gebruiken? Ik denk dat wat ik probeer te zeggen.
[00:23:21] Fleur van Leusden: Ja. Ik begrijp dat het een uitdaging is.
[00:23:24] Matt Welle: Ja. Hoe voel je je, bijvoorbeeld in een hotel, waar we zijn binnengekomen en in de cloud zitten, maar er zijn veel systemen die lokaal zijn geïnstalleerd. Dus je hebt je Wi-Fi systemen. Je deurslot is een lokaal systeem. En dan heb je nog alle cloud systemen die gast data hosten. Welke is het gevoeligst? Want weet je, wij denken alleen aan onszelf als PMS systeem, maar een hotelier zou holistisch moeten denken over het hele ecosysteem. Heb je het gevoel dat sommige systemen gevoeliger zijn voor aanvallen, zoals lokale systemen versus cloud systemen?
[00:23:53] Terry Brown: Ik denk dat de uitdaging in hospitality niet zozeer individuele systemen of benaderingen zijn. Het is de prevalentie van meerdere systemen. Elk van hen, om Fleur's eerdere punt aan te halen, is een soort aanvalsvector van de toeleveringsketen. Dus als je één onveilig systeem hebt of je maakt bijvoorbeeld gebruik van 15 verschillende leveranciers, dan is de kans op een aanval veel groter, simpelweg omdat al die leveranciers al hun systemen patchen? Gebruikt elk van die leveranciers de nieuwste versie van de software die ze je zouden kunnen leveren? Dus ik denk niet dat er één bepaalde vector is die er voor mij uitspringt. Het is meer de prevalentie van meer systemen. Maar gedachten van jou, Fleur?
[00:24:37] Fleur van Leusden: Nee. Daar ben ik het mee eens. Ik ben het er helemaal mee eens. Denk ik, maar dat betekent niet dat je als bedrijf of organisatie niets kunt doen om die te beschermen. Dus, wat ik graag doe is een kaart maken in, het is gewoon simpel in PowerPoint, het zijn twee cirkels die overlappen, weet je, waar ik een lijn in het midden heb, en het is boven, het is essentieel, en onder, het is niet-essentieel. En ik map de leveranciers, alle leveranciers waar we een contract mee hebben of de gratis spullen die we gebruiken, zoals Signal. We hebben dan wel geen contract met ze, maar er staat wel gevoelige informatie in. Dus ik mapping ze in de cirkels, en de eerste cirkel is bedrijf, dus het is alleen voor ons en de tweede cirkel is primaire processen. Dus wat doen we als deze leverancier plotseling wordt gehackt of om wat voor reden dan ook stopt met werken op het meest kritieke moment voor ons als organisatie? Kunnen we nog steeds ons primaire doel bereiken, waarvoor we hier op deze planeet zijn? En dit, en dan heb ik daar ook nog de leveranciers aan toegevoegd die een cloud gebruiken. En ook of het een Amerikaanse cloud is of een Europese cloud, want als Amazon, Microsoft of Google een storing hebben, dan weet ik automatisch: oh, dat betekent dat deze leverancier er niet is. We kunnen deze software niet gebruiken. We kunnen dat niet gebruiken omdat er een grote storing is en zo. En we kunnen onze bedrijfscontinuïteit plannen op basis van die mapping, omdat ik precies weet welke leveranciers voor ons essentieel zijn, welke we zonder enige moeite meteen kunnen overschakelen op iets anders, en waar de afhankelijkheden van de cloud zitten, en waar die afhankelijkheden buiten Europa of binnen Europa zitten? Dus dat is iets wat je kunt doen. En in het algemeen denk ik dat je een bedrijfscontinuïteitsplan moet hebben als je veel IT in je bedrijf hebt waarvan je afhankelijk bent voor je primaire proces. Wat ga je doen als het internet om wat voor reden dan ook twee dagen niet werkt? Je moet een hotel runnen. Je hebt alles in de cloud. Al je data, informatie over je gasten. Wat nu? Dit is dus geen erg exotisch scenario. Dit kan om allerlei redenen gebeuren. Het hoeft niet eens een aanval te zijn. En dan moet je een plan hebben, nou, als het een dag duurt, kunnen we dit wisselen. We kunnen nog steeds dit of dat doen. En wat als het een week duurt? En bedenk ook wat als het nooit meer terugkomt. Nee. Ik zeg niet per se internet, maar wat als je data wordt verwijderd of verloren gaat, of als er een migratie is geweest en die is fout gegaan? En dan? En deze dingen moet je plannen in tijden dat er niet veel aan de hand is, in plaats van dat je midden in een crisis aan al deze dingen moet denken. En zoals je al zei, Matt, je sprak met een hotelier die zei: "Nou, ik kom er wel." Nou, ik zou voorstellen om te proberen er sneller aan te beginnen dan later, omdat je een dezer dagen misschien met dit probleem wordt geconfronteerd en het 10 keer moeilijker zal zijn om het uit te zoeken dan nu, wanneer er niet echt een crisis of iets dergelijks is.
[00:28:13] Matt Welle: Toen ik in de hotels begon, draaiden we nog steeds op DOS, en dat is nog niet zo lang geleden. Dit is 2012, toen ik nog op DOS zat. Maar omdat het systeem verkocht was, hadden we veel uitval en we stonden klaar om in te springen als het systeem het begaf. En ik heb altijd het gevoel dat we nu zulke betrouwbare systemen hebben dat als er een storing optreedt, en weet je, we hadden de CrowdStrike storing, wat was dat vorig jaar? Het hele internet viel uit en plotseling waren de gasten er gewoon niet klaar voor om met die situatie om te gaan. Het is dus bijna alsof we, omdat systemen betrouwbaarder zijn, er minder klaar voor zijn als ze niet beschikbaar zijn. En ik weet niet of je je er ooit goed op kunt voorbereiden, maar ik ben het met je eens. We zouden vuurtraining moeten doen. Als je een brandoefening doet, zou je dat ook met de systemen moeten doen. Wat gebeurt er als we geen systemen hebben? En dit zou bijna onderdeel moeten zijn van de handleiding die je jaarlijks doet. In plaats van een brandoefening doe je een systeemuitvaltraining.
[00:29:04] Fleur van Leusden: In Nederland hadden we een expert. Zijn naam is Bert Hubert. En hij ging, hij werd geïnterviewd voor een krant, en hij zei dat we een Cloud Out Wednesday moesten houden, dus gewoon op een woensdag al je cloud-infrastructuur uitschakelen, kijken wat nog werkt en wat niet.
[00:29:22] Matt Welle: Heeft hij dat ooit gedaan?
[00:29:23] Fleur van Leusden: Ik weet niet zeker of hij het specifiek heeft gedaan. Hij is een zeer, zeer, hij is een vriend van mij en hij is een zeer voorstander van soevereiniteit. Maar nee, dat idee bevalt me wel. En dit is ook de reden waarom ik zei dat ik ervoor zorg dat ik voor mijn organisatie weet welke afhankelijkheden we hebben, want ja, dat is belangrijk.
[00:29:45] Matt Welle: Kunnen we het kort hebben over Wi-Fi? Want ik sta op het punt om weer naar het vliegveld te vertrekken en ik log in op openbare Wi-Fi en ik denk er niet echt over na. Wat doe je? Want het is duidelijk dat je veel om veiligheid geeft. Hoe log je in op openbare Wi-Fi?
[00:29:58] Fleur van Leusden: Ik heb presentaties gedaan over dit onderwerp, want openbare Wi-Fi in beveiliging, het is een soort van, ik noem het een dogma. Dus een hele tijd geleden, ik denk 5 tot 10 jaar, was het eigenlijk best erg. De beveiliging van Wi-Fi was behoorlijk slecht. Je kon een man-in-the-middle aanval doen en wachtwoorden zien, platte tekst, je kon foto's zien, je kon alles zien, maar dat was 10 jaar geleden. In de tussentijd hebben we nu dingen als HSTS, die ervoor zorgen dat als er een slot op je browser zit, dat niet zomaar door een ander slot kan worden verwijderd, omdat het controleert. Je browser controleert nu of je naar mews.com gaat. Als het de echte mews.com is, kun je niet zomaar worden doorgestuurd zoals in het verleden. Als de verbinding niet beveiligd is, zal je browser de verbinding ook weigeren. Je kunt dus niet naar een website gaan die geen beveiligde verbinding heeft zonder door 5 of 10 waarschuwingen te moeten klikken die zeggen, doe dit niet, dit is niet veilig. Je kunt nog steeds een man-in-the-middle aanval uitvoeren op Wi-Fi. Het is niet onmogelijk. Het punt is echter dat het veel minder nuttig is. Je ziet geen wachtwoorden meer in platte tekst. Je kunt mensen niet zomaar van de echte Google.com omleiden naar je nepwebsite. Je kunt mensen nog steeds naar je nepwebsite laten gaan. Het is nog steeds mogelijk. Maar als mensen MFA of YubiKeys of al dat soort bescherming gebruiken, dan is het zinloos om ze alleen hun wachtwoorden te laten invoeren omdat alleen hun wachtwoorden niet meer genoeg zijn om ze aan te vallen. En je moet ook vectoren in schaal. Zoals Terry al eerder zei, zijn Wi-Fi aanvallen meestal erg kleinschalig omdat je fysiek in de buurt van mensen moet zijn om ze aan te vallen.
[00:32:06] Matt Welle: Op dezelfde, zoals een router of, hoe werkt dit?
[00:32:09] Fleur van Leusden: Je moet een malafide Wi-Fi apparaat hebben dat je mensen probeert te omzeilen om verbinding te maken met je echte Wi-Fi. Het zal ze verbinden met je malafide Wi-Fi en zo val je ze aan. Maar je moet fysiek in hun buurt zijn om dit te kunnen doen. Als je alleen op zoek bent naar de referenties van algemene mensen, dan maakt het je niet uit wiens referenties het zijn; dit is een erg domme manier om aan te vallen omdat je fysiek aanwezig moet zijn, wat je pakkans vergroot. Het is een erg lage vaardigheid omdat het alleen degene is die je kunt vinden die in de buurt is. Terwijl als je een phishing aanval wilt doen waarbij het je niet uitmaakt wiens referenties je pakt, je e-mails stuurt. Je gaat via het internet. Je pakkans is veel en veel kleiner omdat je niet eens je huis uit hoeft. Dus als je op zoek bent naar referenties van het grote publiek, dan is Wi-Fi niet echt aantrekkelijk. Als je achter een specifiek persoon aanzit, omdat hij een overheidsfunctionaris is of omdat hij over zeer hightech informatie beschikt, dan is het een ander verhaal, want dan kan het interessant zijn om hem aan te vallen via een malafide Wi-Fi punt. Maar voor de meeste mensen zoals ik of wie dan ook, mijn moeder of wat dan ook, die naar een hotel of een vliegveld gaan en gewoon, je weet wel, in een bakkerij werken of zo. Het is geen aanval waar je je echt zorgen over hoeft te maken, en het is helemaal niet de moeite waard om geld uit te geven aan VPN's of dat soort dingen, want een VPN beschermt je eigenlijk niet tegen een phishing aanval. Veel Wi-Fi in hotels of op vliegvelden werkt eigenlijk niet als je er een VPN voor probeert te zetten. Het is duur en het betekent ook niet noodzakelijkerwijs extra veiligheid, want het enige wat je doet is, in plaats van je data te sturen via het toegangspunt waarmee je verbinding probeert te maken, stuur je het naar je VPN-provider, die deze data ook kan zien.
[00:34:29] Matt Welle: En Terry, jij werkt niet voor ITS, maar wij hebben VPN's op onze computers. Weet je waarom we het nog steeds doen?
[00:34:36] Terry Brown: Ik bedoel, het kan nog steeds nuttig zijn, maar het is nuttig in een beperkt aantal omstandigheden. Het moet nooit worden vertrouwd als een mechanisme om de gebruiker te beschermen tegen verkeerde dingen. Omdat ze dat kunnen, zoals Fleur heeft benadrukt, kan de gebruiker nog steeds de verkeerde dingen doen. Maar uiteindelijk, weet je, hebben we bijvoorbeeld privé interne diensten die alleen toegankelijk zijn als je op het VPN zit. Dat soort dingen is zeker een nuttig gebruik van een VPN. De uitdaging hier is degene waar we het eerder over hadden. Het is opportunisme. En binnen een hotel is dit geen aanvalsfactor waar je je zorgen over hoeft te maken, want routinematig komen mensen je hotel niet binnen met een rugzak met een antenne erop. En inderdaad, ik hoop dat niemand je zal volgen op het vliegveld, Matt. In reële termen is het zo'n lage beloning voor een scenario met een hoog risico dat uiteindelijk de juiste actie voor hotels is om zoiets te negeren en je volledig te richten op die andere mechanismen die je kunnen beschermen.
[00:35:44] Matt Welle: Dus als we zo terugschakelen, ben ik erg blij om dat te horen, want ik woon op vliegvelden en in hotels. Ik zou dus gewoon verbinding blijven maken met de Wi-Fi. Als we teruggaan naar het inloggen in een systeem dat een enorme hoeveelheid data bevat, zoals Mewsof een van deze CRM-systemen, wat is dan de veiligste manier om in te loggen met multifactor verificatie? Omdat je zoveel opties krijgt. Zoals, ik hoorde YubiKeys. We hadden SMS, TOTP, dat is dit bericht, zoals code van Google, magische links, gezichtsherkenning, of hoe noem je die? Passkeys. Wat is de veiligste manier om in te loggen op systemen?
[00:36:17] Terry Brown: Ik denk dat ik snel kan couperen wat we doen op Mews, en dan, Fleur, zou het geweldig zijn om ook jouw gedachten te krijgen. Dus sinds we Single Sign-On (SSO) hebben uitgerold, raden we dat altijd aan als het primaire mechanisme omdat het de verificatie volledig in handen van het hotel legt. Ze kunnen dus kiezen of ze veldpunten, UBK's of een equivalent willen inschakelen. Dat is dus altijd degene die we in de eerste plaats aanraden.
[00:36:44] Matt Welle: We hebben misschien hoteliers die luisteren die niet weten wat Single Sign-On is, omdat in onze sector heel weinig hotels het gebruiken of in ieder geval wat we hebben gezien heel weinig hotels gebruiken. Kun je uitleggen wat dat betekent?
[Terry Brown: Het is uiteindelijk het plaatsen van je personeelsrooster op een gecentraliseerde plaats en dat de verificatie en autorisatie afhandelen. Dus, kan ik dit doen als autorisatie? Mag ik hier zijn als een soort verificatie? En het maakt het zoveel gemakkelijker omdat je dan als hotel de volledige controle hebt. Er zijn veel hotels die dit vandaag de dag niet gebruiken en dat is begrijpelijk, vooral als je een kleiner hotel bent. Maar ja, Single Sign-On is meestal het beste vanuit een gelaagd perspectief. We raden altijd direct daarna passkeys aan. Passkeys kunnen gezichtsherkenning zijn, de vingerafdruk die Fleur eerder noemde of de hardware sleutel. Maar uiteindelijk, passkeys.
[00:37:48] Matt Welle: Ik had zoiets van, we hebben geen passkeys. Omdat ik niet wist wat het was totdat jij het me uitlegde. Hoe zou je uitleggen wat een passkey eigenlijk is?
[00:37:57] Fleur van Leusden: Het is in principe een certificaat. Ja.
[00:37:59] Terry Brown: Het is een certificaat. Uiteindelijk, en op menselijk niveau, is het waarschijnlijk een combinatie van wie je bent, het apparaat en de locatie. En het koppelt al die dingen aan iets, meestal een vingerafdruk of een gezicht of het feit dat je bent ingelogd op je computer, dat zijn een soort combinatorische dingen, dus het is zeer phishingbestendig, enorm phishingbestendig. Daaronder zouden we e-mail twee FA gebruiken, wat uiteindelijk inhoudt dat we een magische link naar een gast e-mailen, waarop deze klikt om terug te komen in de code.
[00:38:37] Matt Welle: Niet de e-mail in de code, maar een magische link. Dat maakt een verschil. Magische link.
[00:38:40] Terry Brown: Magische link. Ja. Ja. Ja. 100%. Ik denk dat wat we hebben geleerd van de tweestapsverificatie is dat als je bereid bent om je wachtwoord aan een aanvaller te geven, je ook bereid bent om die zescijferige code te geven. Dus uiteindelijk zeggen we nu dat we MFA niet behandelen met de TOTP, je weet wel, de enkele zescijferige code. We beschouwen dat tegenwoordig niet echt als iets veiligs. En afhankelijk van wat je in het product doet, kun je het niet gebruiken als je een beheerder bent. In het verleden was het minimum. En we moedigen hotels altijd aan om het aantal privileges voor FA gebruikers te beperken omdat je zoveel schade kunt aanrichten.
[00:39:22] Matt Welle: Ben je het eens met de ranglijst? Het is moeilijk te rangschikken, denk ik, omdat verschillende systemen misschien verschillende toegangsmogelijkheden hebben, maar ben je het ermee eens?
[00:39:28] Fleur van Leusden: Ik denk dat ik het er helemaal mee eens ben en dat het heel verstandig is. En ik ben eigenlijk onder de indruk van hoeveel denkwerk jullie hierin hebben gestoken, want er zijn nog steeds veel SaaS platforms die dit heel slecht doen. En ik denk dat het heel, heel goed is om dit op zijn plaats te hebben en om, zoals je al zei, de YubiKey of de sleutels voor beheerders op zijn minst af te dwingen. Ik denk dat dat heel goed is.
[00:39:57] Matt Welle: Dank je.
[00:39:58] Terry Brown: We hebben zeker nog werk te doen. Ik denk dat...
[00:39:59] Fleur van Leusden: Natuurlijk. Niemand is perfect. Ik moet de eerste wip vinden die zegt dat we 100% veilig zijn. En als ik die vind, zou ik zeggen: ontslaan, want…
[00:40:09] Matt Welle: We moeten budgettaire prioriteiten stellen, toch?
[00:40:12] Fleur van Leusden: Natuurlijk. Het is een balans.
[00:40:14] Matt Welle: Als je geen aanval krijgt, gaat de prioriteit omlaag. En dan opeens, als je een aanval krijgt, wordt dat budget aangemaakt. Hoe zorgen we ervoor dat dit een vast agendapunt wordt?
[00:40:21] Fleur van Leusden: Nou, ik vergelijk het een beetje met een huis als je een huis moet beveiligen. Alsof ik een normaal mens ben. Ik woon in een normaal huis. Ik heb geen dure spullen. Ik hou van videogames en ik maak podcasts. Ik heb dus wel wat dure spullen in huis, maar het is op geen enkele manier heel bijzonder. We hebben dus sloten op onze deuren. We hebben het laten inchecken om er zeker van te zijn dat het niet te gemakkelijk is om in te breken. We hebben een alarmsysteem, weet je, maar ik ben niet zo ver gegaan als het graven van greppels rond mijn huis, het hebben van waakhonden of dat soort dingen. Het is dus een balans tussen wat je moet beschermen, wat redelijk is, wat er van je verwacht kan worden en ook welke mate van pijn je bereid bent te accepteren in je processen om alles veilig te houden? En dat is eigenlijk het soort dingen dat ik graag op gevoel doe. Soms kun je dus echt het gevoel hebben dat dit te zwaar is. Deze beveiliging is te zwaar voor het ding dat we proberen te beschermen. En soms heb je bijvoorbeeld zoiets van, ik heb een cloud checklist die ik graag intern gebruik. Dus als iemand, als het bedrijf iets in de cloud wil, dan komen ze naar mij als hun CISO en zeggen, hé, Fleur, ik wil dit cloud SaaS-product. Ik ben erg geïnteresseerd. En veel CISO's zullen je terugsturen en zeggen: nee, dit specifieke product wil je niet. Wat je wilt is videogesprekken en ik zal je vertellen welke videosoftware voor jou geschikt is. En in de praktijk werkt dat heel slecht, want ze komen terug en zeggen dan: ik heb videosoftware nodig. Het moet beginnen met Microsoft en eindigen met Teams, en het moet dit paarse logo hebben. Dus je eindigt toch met wat zij willen. Dus ik probeer dat om te draaien en te zeggen, oké, dus je wilt deze specifieke SaaS-software. Hier is een checklist voor beveiliging. Vul jij het voor me in. Dus je gaat inchecken of ze een Single Sign-On (SSO) hebben? Hebben ze een login? Hebben ze een ISO-certificaat? Wat dan ook. Dan kom je bij me terug, bespreken we het een half uur, kijk ik naar je checklist en stel ik je een paar vragen. Dit plaatst mij als CISO in de zeer luxe positie om jou de vraag te stellen, als het bedrijf dat naar mij toe kwam. Goed. Je wilt dus zeer beperkte data van de overheid in een Chinese cloud zetten die geen logging, geen MFA en geen monitoring heeft. Als je dit ziet, hoe voel je je dan? Voel je je er ongemakkelijk bij? En als ze gaan, ja, dan is het een beetje ongemakkelijk. Misschien moeten we dit niet doen. In tegenstelling tot de oude situatie waarin je naar de CISO komt en zegt, ik wil deze zeer exotische cloud software, en ik zeg, nee, dat kan niet want het is niet veilig genoeg. En het is de CISO die nee zegt, of de beveiliging zegt nee. En nu is het niet de beveiliging die nee zegt, het is de beveiliging die zegt dat je hier zeker van bent als je ernaar kijkt? Vind je het een goed idee? En ook omdat ik rapport uitbreng aan de directeur. Dus als ik een checklist voor de cloud krijg en ik heb een aantal aanbevelingen, staat hij altijd in de cc van welke aanbeveling ik ook doe. Dus dat zet ook een beetje druk op degene die de vraag stelde om mijn aanbevelingen op te volgen. Dus eigenlijk zeg ik zelden nee. Ik raad soms wat extra veiligheidsmaatregelen aan, maar ik denk dat dit de manier is om dit aan te pakken. Het is een balans. Het is niet alles of niets
[00:44:01] Matt Welle: Als een hotelier vandaag naar deze podcast luistert en morgen één ding anders doet, wat zou je dan aanraden? En laten we met jou beginnen, Fleur.
[00:44:12] Fleur van Leusden: Ik zou zeggen, kijk naar dat dashboard dat je noemde met de beveiligingspostuur en kijk of je dat op een hoger niveau kunt krijgen want dat gaat echt, echt een verschil maken want daar zitten je kroonjuwelen. En breng in kaart hoe je IT-landschap eruit ziet wat betreft leveranciers en afhankelijkheden en zorg voor bedrijfscontinuïteit. Heb een plan voor als dingen mislukken en ga ervan uit dat ze zullen mislukken omdat het IT is. Een dezer dagen gaat het gebeuren en daar kun je maar beter rekening mee houden.
[00:44:51] Matt Welle: Hartelijk dank. Terry?
[00:44:53] Terry Brown: Ja. Ik denk en we hebben het er al zo vaak over gehad. Investeer een beetje tijd en moeite. Afhankelijk van de aanbieder hoop je dat het geen significante financiële kosten met zich meebrengt. Met Mewsproberen we dat voor de veiligheid op nul te houden. Maar ja, investeer wat tijd. Beveiliging is altijd een compromis. Het is altijd een compromis met bruikbaarheid en al die dingen. Maar als je niet een aantal van deze eenvoudige stappen neemt, zoals het inschakelen van passkeys of, je weet wel, de alternatieven, loop je uiteindelijk veel meer risico vanuit het oogpunt van AVG en inbreuk. Dus een beetje tijd, een beetje moeite, om hierover na te denken is volgens mij cruciaal.
[00:45:41] Matt Welle: Fleur, Terry, heel erg bedankt voor het delen van al jullie inzichten. Dat was geweldig.
[00:45:45] Fleur van Leusden: Bedankt dat ik mocht komen.
[00:45:47] Terry Brown: Dank je wel.
