Os Alicerces Tecnológicos e a (in)Segurança da Informação Hoteleira

Na Hotelaria contemporânea é imperiosa a estratégia de quantificar eficientemente um orçamento em tecnologia, que seja autónomo do orçamento dos restantes departamentos, dado que a tecnologia é, como sobejamente sabido, transversal a todos os restantes departamentos, no entanto, consubstancia também, os alicerces de todo o sistema de informação Hoteleiro.

Dentro do orçamento global em tecnologia, há que distinguir claramente a camada da infraestrutura das restantes, a que designo “alicerces tecnológicos”, das restantes camadas de sistemas de informação do Hotel, onde obviamente se inclui o Property Management System, mais conhecido por PMS.

Na figura abaixo, estão descritas algumas das principais “camadas tecnológicas”, que permitem a interconexão entre os diversos sistemas informáticos existentes nos Hotéis, sejam Hotéis independentes ou grupos Hoteleiros.

Neste artigo, vamo-nos debruçar sobre a cada da Infraestrutura Tecnológica, que acima está representada em duas componentes, para mais facilmente poder distinguir estas duas subespecialidades integrantes na Infraestrutura Tecnológica.

A camada de base, que suporta todas as restantes, i.e., a componente de rede, designadamente: Switch, Routers, Antenas Wifi e Firewalls – formam os alicerces tecnológicos, que irão robustecer todas as restantes componentes, não só a nível funcional, como ao nível da segurança necessária a que todo o ecossistema se encaixe harmoniosamente, permitindo desta forma, aos Hoteleiros, prestarem um serviço hoteleiro que se coadune com a estratégia definida pela Administração.
A nível da Engenharia Informática, recorremos amiudamente à designação da camada OSI dos Sistemas de Informação... que ajustei no esquema acima designado, para que os hoteleiros que leiam este artigo na Rede-T mais facilmente entendam a criticidade da cada da Infraestrutura, não só a nível da segurança informática, como ao nível da componente funcional do ou dos hotéis que gerem.

Importa clarificar um pouco mais a camada OSI - Open Systems Interconnection: 

É uma componente conceptual que permite identificar e desenvolver os diferentes níveis que compõem os diversos subsistemas informáticos, fornecendo-lhes o que todos nós utilizadores ambicionamos: a capacidade de diferentes equipamentos tecnológicos de comunicarem uns com os outros, independentemente de serem mais ou menos evoluídos, sem que os utilizadores (que podem ser ou criadores de conteúdos, ou apenas consultores de conteúdos) se preocupem minimamente qual o equipamento que devem utilizar para aceder a determinado conteúdo ou a determinada tecnologia...
No entanto, esta portabilidade incrementa exponencialmente a probabilidade de deteção de vulnerabilidades entre as camadas e, obviamente, dentro das próprias camadas OSI... 

Qual a razão pela qual estou a escrever estas linhas mais técnicas quando a esmagadora maioria das pessoas que leem estes meus artigos são hoteleiros? 
Porque é através destes diferentes níveis que os atacantes acedem aos sistemas, sem que os profissionais hoteleiros deem por isso, mesmo quando estão a utilizar o próprio computador... já escrevi vários artigos sobre esta temática, há muitos colegas meus, Engenheiros Informáticos que também escrevem sobre esta temática, e, infelizmente, nunca é demais alertar e elucidar os profissionais do turismo em geral e os hoteleiros em particular, sobre esta temática.

Permitam-me enquadrar o tema... 
Em 2019, segundo a Global data, 13% dos ciber ataques globais com sucesso, foram executados a Hotéis! Lamentavelmente, temo que, quando lançarem novos resultados acerca da percentagem de ataques concretizados nos últimos anos, a percentagem tenha subido significativamente. 

Eu e outros amigos meus, temos sido crescentemente contactados, por antigos alunos da ESHTE, uns diretores de hotéis, outros donos de unidades hoteleiras, a solicitar ajuda, porque ficaram sem acesso aos sistemas de informação do hotel, com todos os sistemas encriptados, via ataque Ransomware. Há outras variantes menos críticas para a organização, mas igualmente nefastas para o “bom nome Hoteleiro”, e que têm um enorme impacte na operação diária do Hotel ou do Grupo Hoteleiro.
Razões pelas quais os hotéis estão progressivamente mais expostos a estes ciber-ataques (mesmo os que investem eficazmente em estratégias de ciber segurança):

À medida que o volume de dados processados se incrementa, com o natural crescimento hoteleiro, aumenta a exposição aos ataques informáticos, fora e dentro dos Hoteis;

Com o incremento da complexidade dos processos financeiros e transações de dados, internos e externos aos Hotéis, temos obviamente maior exposição aos ataques externos;

Com a natural implementação, pelos hotéis, de soluções de Internet das Coisas, IdC, como o incremento de antenas Wifi, de sistemas que permitem gerir a iluminação, o ar condicionado, o controle de água e gás, entre outros, temos também uma natural exposição externa e interna a ataques informáticos, razão pela qual, a implementação de estratégias e camadas de segurança extra, nos hotéis, se torna progressivamente mais imperiosa.

A crescente adesão dos hoteleiros a APPS e web APP que lhes permitem mais eficazmente comunicarem com os hóspedes, vem acarretar também outro nível de exposição a ataques informáticos, que devem ser previamente mitigados, antes das soluções tecnológicas serem implementadas e disponibilizadas aos Hóspedes.

Pelas razões acima descritas, entre outras, e porque os atacantes são cada vez mais, e mais experientes, não temos que lhes facilitar a vida!

Assim, reitero algumas recomendações de boas práticas na utilização de tecnologia, no nosso quotidiano de trabalho/lazer:

Todos os computadores, sem exceção, devem ter o sistema operativo (Windows, Linux, OS X) atualizado, com antivírus também atualizado, este com componente Anti-Ransomware ativa. 
Nos Hotéis deverão ser os servidores a executar a ordem de atualização dos computadores, e não os utilizadores a decidir quando podem atualizar sistemas operativos dos computadores, ou mesmo Firmware dos computadores.

É imperativo que os Hotéis tenham uma ou mais Firewall de última geração, para que consigam intercetar códigos maliciosos em email e na web, bem como gerir os acessos internos e externos à organização. 

Estas Firewall, devem, para além de barrar determinado tipo de acessos do exterior, cumulativamente, têm o poder de monitorizar e informar quem de direito, sempre que sejam detetados determinados tipos e/ou tentativas de acessos indesejados, externos ou internos!

É também imperiosa a existência de uma política concreta de acesso à informação interna, e à informação proveniente de clientes, fornecedores e parceiros de negócio. A implementação de políticas de password e de controlo de acessos informáticos, é fundamental e obrigatória!

É absolutamente fundamental que, ao nível da camada de rede (switching e Wifi) existam Switch com inteligência e fiabilidade suficientes para implementação de políticas de VLAN, tantas quanto as necessárias, para, pelo menos, segregar os hóspedes dos hoteleiros. Há demasiados restaurantes, bares, e hotéis sem que as redes Guest e Staff estejam separadas, pelo menos logicamente!
Uma rede de Switch sem VLAN é com uma porta sem chave.

É absolutamente indispensável criar e gerir acessos ao nível do servidor de ficheiros, com base em regras departamentais. 
Pastas e ficheiros sem regras de acesso (leitura e escrita) é como uma porta sem chave.

Temos então, que proteger todas estas camadas que se interligam, e que, no seu todo constituem o nosso sistema de informação/conhecimento do nosso Hotel.

Tendo noção de que a esmagadora maioria dos nossos hotéis são de muito pequena dimensão, em que o conceito “Segurança Informática” é algo de abstrato e difuso, creio que este será um tema crescentemente recorrente, nos próximos meses e anos… Para piorar o cenário, quando empresas enormes e de cariz fundamentalmente tecnológico, como as empresas de telecomunicações nacionais e internacionais ficam literalmente OFF durante mais de 48h, a probabilidade da coisa piorar é brutal… e ainda temos os drones, Internet das Coisas, e os carros autónomos… 

Em jeito de conclusão, há relatos de que as grandes cadeias hoteleiras também estão vulneráveis e alegadamente sucedem, de forma crescente, casos de reservas hoteleiras fictícias… o manancial de escrita de artigos relativos a esta temática é quase tão promissor quanto o arrepio na espinha que sinto quando escrevo este tipo de artigos…

Enquanto profissionais de turismo, temos que:

1. Proteger os nossos sistemas informáticos de forma efetiva, adquirindo as ferramentas necessárias para que seja mais difícil aos atacantes, entrarem nos nossos sistemas informáticos.
2. Manter um comportamento responsável na utilização quotidiana do nosso sistema informático, pois de muito pouco servem as ferramentas de proteção informática, se mantivermos uma postura irresponsável e muito pouco cuidada, provocando o colapso da nossa informação e das pessoas que connosco trabalham.
3. Auditar os sistemas e os processos de negócio que são suportados pelos sistemas informáticos da nossa organização, bem como o acesso dos nossos parceiros de negócio, (clientes ou fornecedores).
    

João Pronto

Professor Adjunto da ESHTE – Escola Superior de Hotelaria e Turismo do Estoril

Professor Especialista em Hotelaria e Restauração

Coordenador de Estágios