Secondo l’Allianz Risk Barometer, il “barometro” che ogni anno stila la classifica degli eventi più temuti da manager e amministratori delegati, non è l’interruzione dell’attività, e nemmeno il Covid-19. Si tratta, invece, del timore di subire un attacco dagli hacker. Una preoccupazione più che motivata, dal momento che la cybercriminalità sta aumentando a dismisura la sua attività negli ultimi anni, mettendo nel mirino chiunque: grandi organizzazioni e singoli cittadini, gruppi industriali e microimprese. Anche le modalità di attacco sono sempre più diversificate e pericolose. Lo certifica il Rapporto 2021 sulla Sicurezza Informatica in Italia, realizzato dal Clusit, l’associazione nazionale che studia e analizza i crimini informatici.
Crescita continua
L’escalation è iniziata nel 2017, definito da Clusit come “’anno del trionfo del malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli da gruppi organizzati che guadagnano miliardi, dell’alterazione di massa della percezione e della definitiva discesa in campo degli stati come attori di minaccia”. Ebbene, dal 2017, secondo Clusit, gli attacchi informatici gravi sono cresciuti nel mondo del 66% e i danni globali causati dalle minacce cibernetiche “rappresentano ormai una cifra enorme, pari se non superiore al Pil italiano”. Insomma, è finito il tempo in cui l’hacker era un oscuro e isolato nerd che operava in autonomia da uno scantinato. Oggi il crimine informatico paga, ed è diventato un’industria vera e propria.
Colpite anche le strutture ricettive
Come è coinvolto in questo fenomeno il settore alberghiero? Innanzi tutto va detto che i dati dell’ultimo anno non sono significativi. Il calo del 18% dei cyberattacchi gravi subiti dal settore, secondo il rapporto Clusit, è viziato dal fatto che per lunghi mesi nel 2020 il settore è rimasto pressoché fermo. Negli anni precedenti il comparto si era segnalato comunque per essere nella top ten dei più colpiti, con alcuni casi eclatanti come il clamoroso data breach (furto di dati) subito dalla catena Marriott durante un attacco prolungato e non rilevato dagli esperti informatici del gruppo, protrattosi dal 2014 al 2018 e costato la sottrazione di informazioni di quasi 340 milioni di ospiti in tutto il mondo. L’Europa ha sanzionato con una multa da 18,4 milioni di sterline la catena per i danni indiretti causati ai proprietari dei dati violati. Sempre nel 2018 un attacco cyber ha colpito, in Francia, i server della piattaforma Fastbooking, usata da molti alberghi nel mondo per gestire prenotazioni e pagamenti, sottraendo in particolare i dati della catena giapponese Prince Hotel.
I dati raccolti ed esaminati dal Clusit nel suo Rapporto 2021 sulla Sicurezza Informatica in Italia indicano una crescita elevata degli attacchi informatici gravi condotti nel mondo, con il cybercrime, cioè le attività che colpiscono le aziende e i cittadini per estorcere denaro, che rappresenta l’81% di tutto il fenomeno. Questo genere di attacchi è cresciuto del 77% dal 2017 a oggi e del 9,7% dal 2019 al 2020. Altre modalità di offesa sul web sono lo spionaggio, l’attività degli hacker e la guerra informatica, quest’ultima condotta soprattutto tra paesi. Tra i settori più colpiti dagli attacchi gravi, sempre secondo Clusit, l’ospitalità è al decimo posto, in compagnia delle attività di grande distribuzione di retail, ma molte piccole strutture rientrano nella casistica degli attacchi verso bersagli multipli, in grande crescita negli ultimi anni, che mira a diffondere malware a caso, senza curarsi dell’obiettivo, colpendo in modo indiscriminato.
I rischi più frequenti
Le minacce principali, oltre al furto di dati, sono i ransomware, programmi malevoli che vengono installati con particolari tecniche sui computer aziendali, copiandone i dati. I cybercriminali poi, grazie a questa intrusione lanciano un doppio attacco: bloccano il sistema informatico chiedendo un riscatto per ripristinarlo e minacciano di vendere i dati sul dark web, pretendendo così un secondo pagamento. Un altro tipo di attacco consiste nella creazione di siti civetta attivi sul web, con un nome di dominio e un aspetto ingannevoli, la cui funzione è raccogliere pagamenti e dati di prenotazioni che, ovviamente, non giungono mai a destinazione dell’albergo, ma arricchiscono i criminali informatici. Oltre al furto di dati, quindi, gli alberghi possono soffrire danni materiali da queste attività illecite e anche la sospensione o il blocco di servizi essenziali.
Chiunque può essere un bersaglio
Ma quanto è probabile che un albergo a conduzione familiare possa diventare obiettivo di simili minacce? Lo abbiamo chiesto a Mauro Cicognini, membro del consiglio direttivo di Clusit e grande esperto in materia. “La vulnerabilità degli hotel è difficile da quantificare. In teoria le strutture più piccole e territoriali sono meno interessanti per i cybercriminali rispetto alle grandi catene, ma sono anche più soggette a rischi perché sono meno organizzate per affrontarli. Ultimamente, poi, la ramificazione sempre maggiore delle organizzazioni che agiscono in maniera truffaldina sul web ha attivato modalità di attacco sempre meno mirate e sempre più generalizzate. Conducono una sorta di ‘pesca a strascico’, che espone indiscriminatamente tutti”.
- non aprire le mail sospette
- proteggere le reti wireless
- precisare ai clienti il nome della rete
- fornire password personali
- intervenire con velocità
- tenere distinta la rete aziendale da quella per i clienti
- rivolgersi ad aziende esterne affidabili
- offrire un servizio base e uno premium
Da dove entrano i criminali?
Il punto di ingresso da cui un software malevolo si insinua nel sistema informatico di un hotel può essere l’email. Classici messaggi di phishing, aperti inavvertitamente da un dipendente della struttura, possono infettare rapidamente tutti i computer della rete. Ma molto frequenti per gli hotel, spiega Cicognini, “sono i casi in cui gli ospiti delle strutture sono causa dell’infezione, connettendosi al wifi con computer già infettati da virus. Di solito le reti wireless messe a disposizione dei clienti sono scarsamente protette. Molti hotel non adottano particolari contromisure e addirittura, anziché sottoscrivere contratti aziendali, attivano offerte per privati per offrire il wifi agli ospiti. Ci sono anche quelli che mettono a disposizione device dotati di una sim, le cosiddette ‘saponette’, spesso senza alcun tipo di protezione dagli attacchi esterni”.
Proteggersi con reti diverse
Per gli alberghi è pertanto fondamentale separare la rete messa a disposizione degli ospiti per i servizi wireless da quella informatica che, invece, consente l’attività aziendale, la gestione di prenotazioni e pagamenti e, in molti casi, funzionalità delle camere come il controllo remoto dell’aria condizionata, la formattazione delle tessere-chiavi, i servizi di intrattenimento e anche il controllo dei consumi dei minibar. La separazione tra i due network può essere fisica, ottenuta realizzando due cablaggi dipendenti, oppure realizzata tramite un dispositivo di firewall, che divide virtualmente la rete informatica.
Se l’ospite è un hacker
Più vulnerabile è la rete wireless più esposti sono anche gli ospiti degli hotel, che a loro volta possono subire attacchi informatici a causa dell’insufficiente livello di protezione. “Può succedere per esempio”, osserva Cicognini, “e ne abbiamo avuto più di un riscontro negli hotel, che un ospite malintenzionato crei una rete wireless interna, usando per esempio il suo laptop, denominata in modo ingannevole e senza password di accesso. Altri ospiti poco accorti, attirati dal fatto di non dover attivare la rete con parole d’ordine, possono utilizzarle, con il rischio di vedersi sottrarre dati fondamentali, personali e anche bancari”.
Tutelarsi con servizi e formule
Nel caso di una situazione del genere, l’ospite colpito può rivalersi sull’hotel, accusandolo di negligenza? “È un’eventualità molto improbabile”, osserva Cicognini, “perché è sempre assai arduo chiamare in causa chi offre un servizio wifi come corresponsabile di un reato commesso da altri. È anche molto difficile dimostrare che l’hacker sia stato favorito da una vulnerabilità della rete o che agisse dall’interno della struttura. Però è sempre opportuno, soprattutto quando si offre gratuitamente il servizio wireless agli ospiti, specificare loro sempre molto bene il nome della rete wifi a cui accedere e fornire password personalizzate, diverse per ognuno di loro. Inoltre è meglio specificare che il servizio è offerto in condizioni di “best effort””. Questa formula è ampiamente utilizzata da tutti coloro che forniscono servizi informatici per specificare che la loro erogazione è effettuata al meglio delle condizioni possibili, senza quindi definire dei parametri minimi, per esempio di volumi di traffico o di sicurezza. È un modo per dire che la struttura ha fatto tutto quello che era in suo potere per fornire un servizio all’altezza, ma che non è responsabile di eventuali disservizi. Un’opzione può essere fornire una connessione base “free”, magari con limiti sui giga scaricabili, e di richiedere il pagamento di una quota per un servizio “vip”, “premium” o “business”, con dati illimitati e la possibilità di utilizzare una vpn, per esempio per effettuare videoconferenze. In questi casi non soltanto occorre avere un provider in grado di assicurare un servizio adeguato, ma è opportuno proporre un contratto a chi acquista il servizio in questione.
Trovare l’assistenza adeguata
Infine, un aspetto a cui l’hotel deve sempre prestare molta attenzione è la reazione in caso di attacco informatico, che deve essere immediata. Un albergo non può permettersi interrompere a lungo i servizi di reception, di gestione delle prenotazioni o anche solo il controllo della climatizzazione delle stanze. Deve quindi rivolgersi ad aziende esterne, e attive nel territorio, in grado di intervenire efficacemente e subito per bloccare l’attacco e ripristinare la funzionalità della rete informatica. Per individuare il referente giusto può essere una buona idea chiedere consiglio a chi ha realizzato l’impianto o fare una ricerca sul web. “Nell’ambito della security”, osserva Cicognini, “la reputazione conta moltissimo. Cercare qualcuno con buone recensioni può essere quindi una soluzione”.
