Θεωρία: Κυβερνοασφάλεια και Κυβερνοανθεκτικότητα στις Τουριστικές ΜμΕ

Ο όρος Κυβερνοασφάλεια αποτελείται από 2 βασικές έννοιες-κλειδιά: 

1. Το πρώτο συνθετικό κυβερνο- (cyber) αφορά την τεχνολογία που σχετίζεται με πληροφοριακά συστήματα, δίκτυα ή/και δεδομένα. 

2. Η ασφάλεια σχετίζεται με την έννοια της προστασίας, η οποία περιλαμβάνει την ασφάλεια συστημάτων, την ασφάλεια δικτύων και την ασφάλεια εφαρμογών και πληροφοριών. 

Η ΕΕ ορίζει την Κυβερνοασφάλεια ως «τις δραστηριότητες που απαιτούνται για την προστασία των συστημάτων δικτύου και πληροφοριών, των χρηστών των εν λόγω συστημάτων και άλλων επηρεαζόμενων από κυβερνοαπειλές προσώπων». 

Η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα, γνωστές ως τριάδα CIA, αποτελούν τις 3 βασικές αρχές της Κυβερνοασφάλεια. 

• Εμπιστευτικότητα (Confidentiality): τα μέτρα για την εξασφάλιση της εμπιστευτικότητας αποτρέπουν την αποκάλυψη ευαίσθητων πληροφοριών χωρίς εξουσιοδοτημένη πρόσβαση (π.χ. κρυπτογράφηση δεδομένων, έλεγχος ταυτότητας δύο παραγόντων). 

• Ακεραιότητα (Integrity): τα μέτρα για την ακεραιότητα εξασφαλίζουν τη διατήρηση της συνέπειας, της ακρίβειας και της αξιοπιστίας των δεδομένων καθ’ όλη τη διάρκεια του κύκλου ζωής τους, εμποδίζοντας την τροποποίησή τους από μη εξουσιοδοτημένα μέρη (π.χ. δημιουργία αντιγράφων ασφαλείας, άδεια πρόσβασης αρχείων). 

• Διαθεσιμότητα (Availability): τα μέτρα για την διαθεσιμότητα διασφαλίζουν ότι οι πληροφορίες είναι συνεχώς και εύκολα προσβάσιμες στα εξουσιοδοτημένα μέρη, και συντηρούν τα υλικά και λογισμικά συστήματα στα οποία αυτές αποθηκεύονται και εμφανίζονται. 

Σε ένα περιβάλλον προηγμένων και σύνθετων απειλών, οι παραδοσιακές τακτικές προστασίας που εστιάζουν στην Κυβερνοασφάλεια αδυνατούν να ανταποκριθούν αποτελεσματικά. Κανένας οργανισμός δεν μπορεί ταυτόχρονα να ελέγχει όλες τις μεταβλητές, να ανιχνεύει τα τρωτά σημεία και να εφαρμόζει πολιτικές ασφαλείας σε διαφορετικά συστήματα.  

Για να διαχειριστούν αυτές τις ανταγωνιστικές προκλήσεις, οι οργανισμοί θα πρέπει να αλλάξουν μεθόδους, και αντί να εστιάζουν στην άμυνα εναντίον κακόβουλων λογισμικών, να υιοθετήσουν μία πιο ρεαλιστική και ανθεκτική προσέγγιση, την Κυβερνοανθεκτικότητα (Symantec, 2014). 

Η ιδέα της Κυβερνοανθεκτικότητας μπορεί να γίνει αντιληπτή ως ένα πλαίσιο, αποτελούμενο από 5 βασικούς άξονες. 

1. Προετοιμασία/ Αναγνώριση: κατανόηση του τρόπου προστασίας της επιχείρησης και αναγνώριση πιθανών κινδύνων με σκοπό τον εντοπισμό τρωτών σημείων στο σύστημα ασφαλείας· 

2. Προστασία: η κατανόηση του τοπίου των κυβερνοαπειλών της επιχείρησης (π.χ. του βαθμού ευαλωτότητας και αντοχής της σε ενδεχόμενους κινδύνους) εξασφαλίζει την ύπαρξη υποδομών προστασίας· 

3. Ανίχνευση: μετά την εγκατάσταση των μέτρων προστασίας, μπορούν να καθοριστούν οι κατάλληλες ενέργειες για την ταχεία ανίχνευση μίας επίθεσης, τον προσδιορισμό των συστημάτων που έχουν προσβληθεί και την διασφάλιση έγκαιρης αντίδρασης· 

4. Αντίδραση: σε αυτό το στάδιο είναι κρίσιμη η καθοδήγηση ως προς το ποιες ενέργειες μπορούν να συμβάλουν στην επιτάχυνση του χρόνου αντίδρασης και να περιορίσουν τις συνέπειες της επίθεσης αφότου αυτή εντοπιστεί· 

5. Αποκατάσταση: το στάδιο ανάπτυξης και εφαρμογής των κατάλληλων συστημάτων για την ανάκτηση δεδομένων σε περίπτωση κυβερνοεπίθεσης, το οποίο αποτελεί βασικό συστατικό κάθε ανθεκτικής στρατηγικής ασφαλείας.

Πώς συνδέονται η Κυβερνοασφάλεια με την Κυβερνοανθεκτικότητα; 

Οι έννοιες Κυβερνοασφάλεια και Κυβερνοανθεκτικότητα ενδέχεται συχνά να φαίνονται εναλλάξιμες, δεδομένου ότι αναφέρονται αμφότερες στο ζήτημα της ασφάλειας στον κυβερνοχώρο. Παρ’ όλα αυτά, δεν ταυτίζονται: 

• Η Κυβερνοασφάλεια αφορά τις ενέργειες περιορισμού των απειλών ενός οργανισμού, διατηρώντας μια ενεργητική προνοητική διάθεση ενάντια στον ολοένα και αυξανόμενο κίνδυνο των κυβερνοεπιθέσεων. 

• Η ψηφιακή καινοτομία επαναπροσδιόρισε την τουριστική εμπειρία, και κατέστησε τον τουριστικό κλάδο πιο επιρρεπή σε κινδύνους για την ασφάλεια. 

• Η Κυβερνοασφάλεια και η Κυβερνοανθεκτικότητα αποτελούν εργαλεία που διαμορφώνουν τον κλάδο και μπορούν να διασφαλίσουν ένα ασφαλέστερο μέλλον για τον τουρισμό και τις τουριστικές Μικρομεσαίες Επιχειρήσεις (ΜμΕ). 

Πλέον, η τεχνολογία παίζει καθοριστικό ρόλο σχεδόν σε κάθε πτυχή της ταξιδιωτικής και της τουριστικής εμπειρίας: 

• από το να εμπνέει τους τουρίστες, κατά το στάδιο στο ταξίδι του καταναλωτή πριν την αγορά,  

• έως και την online καταχώρηση κριτικής ή σχολίων στο στάδιο μετά την αγορά. 

Από το 2010, έχουν αναφερθεί αρκετές παραβιάσεις Κυβερνοασφάλειας, ακόμα κι από τις μεγαλύτερες ξενοδοχειακές αλυσίδες παγκοσμίως: 

• Το 2020, ο όμιλος ξενοδοχείων Marriott International είχε την ευθύνη για ένα περιστατικό παραβίασης δεδομένων, καθώς απέτυχε να προστατέψει τα προσωπικά δεδομένα των πελατών του και άφησε να διαρρεύσουν ονοματεπώνυμα, ηλεκτρονικές διευθύνσεις, αριθμοί λογαριασμών επιβράβευσης, και πολλές άλλες ευαίσθητες πληροφορίες.  

• Αυτή η επίθεση υπολογίζεται ότι αφορούσε περίπου 340 εκατομμύρια επισκέπτες. Δύο χρόνια νωρίτερα, το 2018, η Marriott International είχε λάβει από ένα εργαλείο εσωτερικής ασφάλειας ειδοποίηση, η οποία αφορούσε απόπειρα μη εξουσιοδοτημένης πρόσβασης στη βάση δεδομένων των κρατήσεων τους στις ΗΠΑ.  

Ο αντίκτυπος των κυβερνοαπειλών ή/και των κυβερνοεπιθέσεων μπορεί να βλάψει σημαντικά τη φήμη μίας επωνυμίας και την εμπιστοσύνη των καταναλωτών, και να επιφέρει σημαντικές οικονομικές, νομικές και κανονιστικές επιπτώσεις. Οι πάροχοι τουριστικών υπηρεσιών μπορεί να υποστούν τόσο άμεσες όσο και έμμεσες οικονομικές απώλειες (Παρασκευάς, 2020) – 

• Άμεσες οικονομικές απώλειες: εταιρικά έξοδα που αφορούν υπηρεσίες πληροφορικής και ανάκτησης δεδομένων, καθώς και δικαστικά έξοδα και αμοιβές υπηρεσιών δημοσίων σχέσεων. 

• Έμμεσες οικονομικές απώλειες: έξοδα πρόσληψης επιπλέον τεχνικού προσωπικού, κόστος επιμόρφωσης του γενικού προσωπικού σχετικά με την Κυβερνοασφάλεια και την Κυβερνοανθεκτικότητα, αναβάθμισης των συστημάτων Κυβερνοασφάλειας κ.ά. 

• Ζημιά στην φήμη και την υπόληψη: σε περίπτωση παραβίασης δεδομένων, πρέπει να συνυπολογιστεί και το κόστος στη φήμη και την υπόληψη της εταιρείας, το οποίο μπορεί να αποβεί τεράστιο και να μειώσει την εμπιστοσύνη και τις κρατήσεις των πελατών. Οι τουριστικοί πάροχοι οφείλουν να αναγνωρίζουν την υποχρέωσή τους να διασφαλίζουν την προστασία των δεδομένων και των πληροφοριών για να αποφύγουν σημαντικές αρνητικές συνέπειες για την επιχείρησή τους.  

Επομένως, είναι εξαιρετικά σημαντικό για τις επιχειρήσεις, και ειδικά για τις ΜμΕ που απασχολούνται στον τομέα των ταξιδιών και του τουρισμού, να κατανοήσουν την σπουδαιότητα της Κυβερνοασφάλειας και της Κυβερνοανθεκτικότητας και να τις θέσουν χωρίς δεύτερη σκέψη ως προτεραιότητες. 

Εξελίξεις μετά τον Covid-19 

Τα τελευταία χρόνια, οι τουριστικές ΜμΕ έχουν γίνει ιδιαίτερα ελκυστικός στόχος για τους εγκληματίες του κυβερνοχώρου: 

• Το υψηλό επίπεδο ψηφιακής ωριμότητας έχει καταστήσει τις τουριστικές ΜμΕ μία εξαιρετικά ευάλωτη βιομηχανία όσον αφορά την Κυβερνοασφάλεια και την Κυβερνοανθεκτικότητα, ιδίως εξαιτίας της ελλιπούς άμυνάς τους στον τομέα της πληροφορικής και στα συστήματα των σημείων πώλησης (POS) (Fragniere & Yagci, 2021). Σύμφωνα με τον Hussain (2023), οι χάκερς έχουν αντιληφθεί ότι οι ΜμΕ αποτελούν ευκολότερο στόχο συγκριτικά με μεγαλύτερες εταιρείες με ελλιπή Κυβερνοασφάλεια, είτε λόγω έλλειψης εξειδικευμένου και έμπειρου προσωπικού (δηλαδή ανθρώπινου σφάλματος), είτε λόγω ανεπαρκών πόρων. 

• Οι τουριστικές ΜμΕ είναι εξαιρετικά ευάλωτες σε κυβερνοαπειλές, διότι αποθηκεύουν στον κυβερνοχώρο εξαιρετικά ευαίσθητα δεδομένα και αναλύσεις δεδομένων (analytics), τα οποία αποτελούν πολύτιμες πληροφορίες για τους εγκληματίες του κυβερνοχώρου που επιχειρούν να παραβιάσουν τέτοιου είδους δεδομένα, οδηγώντας στην κλοπή ταυτότητας και οικονομικών στοιχείων και θέτοντας σε κίνδυνο τη διακυβέρνηση δεδομένων και το απόρρητο των προσωπικών στοιχείων των πελατών και των εργαζομένων (διευθύνσεις e-mail πελατών, αριθμούς διαβατηρίων, στοιχεία πιστωτικών καρτών, κτλ.). 

• Η βιομηχανία των τουριστικών ΜμΕ είναι ιδιαίτερα επιρρεπής σε κυβερνοαπειλές, καθώς αποτελεί φύσει κατακερματισμένο κλάδο και ολόκληρη η αλυσίδα εφοδιασμού της, η οποία περιλαμβάνει αναρίθμητους πράκτορες και τρίτους παρόχους υπηρεσιών, αποτελεί δυνάμει πεδίο εισόδου κυβερνοαπειλών. Η λήψη προληπτικών μέτρων Κυβερνοασφάλειας είναι απαραίτητη για την εξασφάλιση της Κυβερνοανθεκτικότητας και τη διατήρηση της αποτελεσματικής λειτουργίας της επιχείρησης. 

Εάν η παραβίαση θέτει σε κίνδυνο το υποκείμενο στο οποίο αναφέρονται τα δεδομένα, η επιχείρηση οφείλει να ενημερώσει την αρμόδια εποπτεύουσα Αρχή.  

Αυτές είναι 5 συγκεκριμένες ενέργειες στις οποίες μπορεί να προβεί μία ΜμΕ σε περίπτωση παραβίασης των δεδομένων της. 

1. Αναγνώριση της πηγής και του μεγέθους της παραβίασης. 

2. Ειδοποίηση της ειδικής ομάδας δράσης για τις παραβιάσεις και αντιμετώπιση της παραβίασης το συντομότερο δυνατόν. 

3. Δοκιμή της επιδιόρθωσης της ασφάλειας. 

4. Ενημέρωση των αρχών και όλων των θιγόμενων πελατών. 

5. Προετοιμασία για την διαχείριση και τον έλεγχο της ζημιάς μετά την παραβίαση.

Τι είναι οι κυβερνοαπειλές; 

Κάθε περίπτωση ή συμβάν που έχει τη δυνατότητα να επιφέρει αρνητικές επιπτώσεις στη λειτουργία, τα περιουσιακά στοιχεία και τους εργαζόμενους μίας επιχείρησης, και/ ή σε άλλους οργανισμούς, ή σε ένα έθνος, μέσω μη εξουσιοδοτημένης πρόσβασης, καταστροφής, αποκάλυψης, τροποποίησης πληροφοριών και/ή άρνησης παροχής υπηρεσιών εντός ενός συστήματος. 

Υπάρχουν 3 βασικά είδη κυβερνοαπειλών: 

1. Το κυβερνοέγκλημα, το οποίο περιλαμβάνει μεμονωμένους δράστες ή ομάδες ατόμων που στοχεύουν συγκεκριμένα συστήματα, με σκοπό το οικονομικό κέρδος ή την αποδιοργάνωση και την πρόκληση αναστάτωσης. 

2. Η κυβερνοεπίθεση, που συχνά αφορά τη συλλογή πληροφοριών με πολιτικά κίνητρα. 

3. Η κυβερνοτρομοκρατία, που αποτελεί την εσκεμμένη υπονόμευση ηλεκτρονικών συστημάτων, επιδιώκοντας να προκαλέσει πανικό ή φόβο. 

Ποιοι είναι τα βασικά είδη κυβερνοαπειλών κατά των τουριστικών ΜμΕ; 

Όσον αφορά τις απόπειρες κυβερνοαπειλής, οι τουριστικές ΜμΕ αποτελούν μία από τις πιο βαριά πληγείσες βιομηχανίες παγκοσμίως. 

Οι κυβερνοεπιθέσεις στον τουριστικό τομέα στοχεύουν κυρίως στοιχεία πιστωτικών καρτών και ταυτοτήτων, προγράμματα επιβράβευσης ξενοδοχείων και δημόσια διαθέσιμα δεδομένα διαδικτύου (Walson, 2022). 

Μία έκθεση της PwC για τις Προοπτικές των Ξενοδοχείων που καλύπτει το διάστημα από το 2018 ως το 2022, αναφέρει ότι η βιομηχανία των ξενοδοχείων είχε τον μεγαλύτερο αριθμό παραβιάσεων δεδομένων μετά τον τομέα του λιανικού εμπορίου.  

Οι συνηθέστερες μέθοδοι που χρησιμοποιούν οι κακόβουλοι δράστες, όταν επιχειρούν να απειλήσουν την Κυβερνοασφάλεια και την Κυβερνοανθεκτικότητα μίας τουριστικής επιχείρησης είναι οι εξής: 

• Κακόβουλο λογισμικό (malware): πρόκειται για ένα από τα συνηθέστερα είδη κυβερνοαπειλής, το οποίο διαδίδεται ως συνημμένο αρχείο μέσω ενός ανεπιθύμητου e-mail ή με τη νομιμοφανή λήψη ενός αρχείου. Η επίθεση από malware θέτει σε κίνδυνο τα ευαίσθητα συστήματα και δεδομένα ενός οργανισμού, μολύνοντας τα με κακόβουλο λογισμικό, όπως ιούς (viruses), ιούς τύπου σκουληκιών (worms), τύπου δούρειου ίππου (trojan horses), και άλλα κατασκοπευτικά λογισμικά (spyware) (Παρασκευάς, 2020). 

Είναι ζωτικής σημασίας να γίνονται γνωστά τα μέτρα ασφαλείας που εφαρμόζονται, όπως και οι λόγοι για τη συλλογή και τη χρήση δεδομένων, και η χρονική περίοδος αποθήκευσής τους. Οι τουριστικές ΜμΕ θα πρέπει να συγκεντρώνουν τον ελάχιστο δυνατό αριθμό προσωπικών δεδομένων και στοιχειών πληρωμής που απαιτείται, και να προσφέρουν υψηλότατα επίπεδα προστασίας ώστε να δημιουργήσουν ένα κλίμα εμπιστοσύνης. Επιπλέον, θα πρέπει να δίνουν έμφαση στην συμμόρφωση με τη νομοθεσία και τα πρότυπα σε ισχύ (π.χ. GDPR). Σε περίπτωση παραβίασης, θα πρέπει να ενημερώνονται άμεσα τα θιγόμενα μέρη και οι ρυθμιστικές αρχές, και να λαμβάνονται μέτρα για τον μετριασμό των επιπτώσεων της παραβίασης. 

7. Εφαρμογή ενός οργανωτικού προτύπου 

Οι επικεφαλής των επιχειρήσεων θα πρέπει να συμμορφώνονται με την νομοθεσία της περιοχής στην οποία δραστηριοποιούνται. Η αποστολή της ΕΕ να καλλιεργήσει μία ενιαία προσέγγιση ως προς την Κυβερνοασφάλεια, την Κυβερνοανθεκτικότητα και την προστασία των δεδομένων οδήγησε στο να προκύψουν τα παρακάτω:  

• Η Δράση της ΕΕ για την Κυβερνοανθεκτικότητα, η οποία επιδιώκει να εγκαθιδρύσει κοινούς κανόνες Κυβερνοασφάλειας για τα ψηφιακά προϊόντα και τις σχετικές υπηρεσίες που κυκλοφορούν στην ευρωπαϊκή αγορά. 

• Η Δράση της ΕΕ για την Κυβερνοασφάλεια, που ισχυροποιεί τον ρόλο της ENISA και καθιερώνει ένα πλαίσιο πιστοποίησης της Κυβερνοασφάλειας για προϊόντα και υπηρεσίες. 

• Το συνεχώς εξελισσόμενο τοπίο του κυβερνοχώρου κατέστησε απαραίτητη την ύπαρξη νόμων για την ενίσχυση της πολιτικής προστασίας. Αυτό το κενό ήρθε να καλύψει ο Γενικός Κανονισμός της ΕΕ για την Προστασία Δεδομένων (GDPR). Η τρέχουσα προτεραιότητα του ENISA είναι να ενθαρρύνει τη λήψη μέτρων προστασίας δεδομένων για να δείξει πώς οι τεχνολογίες στον τομέα της Κυβερνοασφάλειας μπορούν να υποστηρίξουν την υλοποίηση των αρχών προστασίας δεδομένων του GDPR (βλ. το κεφάλαιο 10.3 για τα βήματα αντιμετώπισης της παραβίασης δεδομένων). 

• Στο πλαίσιο του Ευρωπαϊκού Έτους Δεξιοτήτων 2023, η Ευρωπαϊκή Επιτροπή στις 18 Απριλίου 2023 εξέδωσε ανακοίνωση σχετικά με την Ακαδημία Δεξιοτήτων για την Κυβερνοασφάλεια (Cybersecurity Skills Academy). 

Οι τουριστικές ΜμΕ θα πρέπει να λαμβάνουν υπόψη τέτοιου είδους κανονισμούς και πρωτοβουλίες πολιτικής όταν αναπτύσσουν και εφαρμόζουν ένα οργανωτικό πρότυπο, το οποίο θα πρέπει επίσης να ενημερώνεται από ειδικούς σε ζητήματα Κυβερνοασφάλειας, απορρήτου και νομικών.  

Ο ENISA ανέπτυξε έναν οδηγό Κυβερνοασφάλειας για τις ΜμΕ, όπου επισημαίνονται 12 βήματα μέσω των οποίων μπορούν να θωρακιστούν οι επιχειρήσεις. 

Τα βήματα είναι τα εξής: 

1. Αναπτύξτε μία θετική κουλτούρα Κυβερνοασφάλειας 

2. Προσφέρετε κατάλληλη και επαρκή επιμόρφωση 

3. Διασφαλίστε την αποτελεσματική διαχείριση των τρίτων μερών 

4. Καταρτίστε ένα σχέδιο αντιμετώπισης περιστατικών 

5. Προφυλάξτε την πρόσβαση στα συστήματά σας 

6. Προφυλάξτε τις συσκευές σας 

7. Προφυλάξτε το δίκτυο σας 

8. Βελτιώστε την υλική σας ασφάλεια 

9. Προφυλάξτε τα αντίγραφα ασφαλείας σας 

10. Αφιερώστε χρόνο και ασχοληθείτε με υπηρεσίες cloud 

11. Προφυλάξτε τις ιστοσελίδες σας 

12. Αναζητήστε και μοιραστείτε πληροφορίες