HBX Group’un Teknoloji ve Operasyonlardan Sorumlu Başkanı Paula Felstead ile keyifli bir sohbet gerçekleştirdik. MarketHub Europe’ta konuşan Felstead, otellerin siber güvenliğinin öneminden bahsetti. Felstead, “Hangi ülke olursa olsun tüm hükümetlerin ve tüm polis güçlerinin bu konuyu çok daha ciddiye aldıklarını görüyorum, çünkü buna mecburlar” dedi.
Türkiye’de de otel sitelerinin kopyalanarak dolandırıcılık amaçlı kullanımı hakkında uyarılar yapılıyor. Oteller ve turizm şirketleri siber güvenlik tedbirlerini güçlendirmeye kararlı. Konunun uzmanlarından HBX Group’un Teknoloji ve Operasyonlardan Sorumlu Başkanı Paula Felstead, detayları anlattı.
Seyahat konaklama şirketlerine yönelik siber saldırılarda artış olduğunu gösteren herhangi bir rapor var mı?
Paula Felstead: Evet, aslında çok fazla veri var, bunlara şahit oluyoruz. Biz hem tedarik hem de dağıtım tarafının arasında yer alıyoruz. Her iki tarafta da neler olduğunu görüyoruz. Otellerde kimlik avı e-postalarıyla ilgili bir sorunumuz olduğunu biliyorduk, çünkü resepsiyonistleriniz var, personel değişiminiz var. Bu müşterilerden ya da kullanıcılardan kimlik bilgilerini almak nispeten kolay. Şu anda gördüğümüz şey, siber suçluların sadece arkadaşları ve aileleri için ücretsiz rezervasyonlar oluşturmaya çalışmadıkları gerçeğidir. Aslında yaptıkları şey, dağıtım sitesinden kimlik bilgilerini almak için aynı tür bir taktik kullanmak. Her iki tarafa da oynayan bir siber suçlunuz olduğunda, ya tedarikçiye ya da dağıtıcıya ya da bazı durumlarda her ikisine de önemli mali kayıplar yaşatıyorsunuz. Bu yıl beni gerçekten şok eden şey bu oldu. Bu yıla kadar bunu görmemiştik, ancak siber suçluların seyahat konusunda ne kadar aktif olduklarına dair kamuya açık pek çok bilgi var.
Sunumlardan da anladığım kadarıyla, siber güvenlikte en önemli unsur sadece yazılım değil, kullanıcıların eğitimi de çok önemli. Buna rağmen dünya genelinde seyahat konaklama sektörü çalışanlarına yönelik siber güvenlikle ilgili herhangi bir eğitim semineri görmüyorum.
Paula Felstead: Evet, HBX’te bu platformları kullanmayı sevmemizin nedenlerinden biri de bu; burada aslında hafif ancak katılan herkes için ciddi bir değeri olan konuları tartışıyoruz. Yapabileceğiniz tek bir şey varsa o da personelinizi olası kimlik avı e-postalarını tespit etmeleri için eğitmektir. Siber güvenlik için turizm personelini eğitmelisiniz. Bunu iki faktörlü kimlik doğrulama ve e-posta filtreleriyle birleştirirseniz, karşılaşabileceğiniz kimlik avı e-postalarının %99 oranında kurtulmuş olursunuz. Bu nispeten basittir. Yapmamız gereken şey, resepsiyon personelinizden bazılarını işe alırken, onları bilgilendirmek olacak. ‘Kimlik avı e-postaları nedir, bunları nasıl tespit edeceksiniz ve bir şeye tıkladıysanız, bu yangını nasıl hızlı bir şekilde söndüreceksiniz?’ Bu konular hakkında konuştuğunuzdan emin olmalısınız, bu bir zihniyet yaratmaktır. Bir kimlik avı e-postasına tıklamak ne yazık ki çok kolaydır. Ancak, tıklamamanız gereken bir şeye tıkladığınız gerçeğine ne kadar hızlı tepki verirseniz, bu çok küçük bir yangın anlamına gelir ve çok hızlı bir şekilde çözebilirsiniz. Yapmaya çalıştığımız şey; bu anlayışı ve harekete geçme çağrısını yaratmak, siber güvenliğin seyahat sektörü genelinde çözmemiz gereken bir sorun olduğunu söylemek. Toplu olarak, bunu bireysel olarak yapamayız.
HBX grubunda hiç siber saldırıya maruz kaldınız mı?
Paula Felstead: Her zaman. Ama çoğu zaman onları püskürtmekte çok iyiyiz. İşte bu yüzden “hacklendik ya da hacklendik ama haberimiz yok” yerine “henüz hacklenmedik” kampında yer almaya kararlıyım. Eylül ayında CTOO olarak göreve başlayalı üç yıl oldu ve bu dönüşümde öncelik verdiğimiz ilk şeylerden biri güvenlik oldu. Bu yüzden bir siber güvenlik ekibine yatırım yaptık. İnternet üzerindeki tüm arayüzlerimizde kesinlikle sistematik bir yaklaşım benimsedik ve ayrıca yeni, güvenli, API’leri denemek için bazı ortaklarımızla iş birliği yapıyoruz. API’nize erişmek için bir anahtar yerine iki anahtara sahip olduğunuz mtls adlı bir şeyi deniyoruz ve bu da %90 oranında azalttığınız anlamına geliyor. İnsanların bir tarafta kimlik bilgilerini kaybetmesi, diğer tarafta hala korunduğunuz anlamına gelir. Hizmetlerimizi kullanan herkesi korumak ve aynı zamanda yolcularımızın istedikleri hizmetleri sunabilmemiz için bize verdikleri verileri korumak açısından bu alanda gerçekten lider olmak istiyoruz.
Sizce şu anda bunu iyi yapan herhangi bir oyuncu var mı, yoksa herkesin kat etmesi gereken bir yol olduğunu mu düşünüyorsunuz?
Paula Felstead: Bu konuda öne çıkan herhangi bir kişi olduğunu söyleyebileceğimi sanmıyorum. Bence büyük isimler bile zorlanıyor ve bu neredeyse birilerini aramak istemediğiniz ve sonra da ertesi gün hacklendiklerini kabul ettiklerini söylemek istemediğiniz bir durum. Bu ortak bir cevap, yani sadece zincirdeki en zayıf parça kadar iyisiniz. Şu anda, Christo’nun geleneksel olarak söylediği gibi, zincirdeki en zayıf parça otellerdi. Diğer geleneksel zayıf halka ise yolcunun kendisidir. Bilirsiniz, telefonları hacklenebilir, Wi Fi’leri hacklenebilir. Geçmişte Çin destekli siber suçluların büyük otellerin wifilerini hackledikleri gerçekten ilginç örnekler oldu çünkü gerçekten ilgilendikleri şey üst düzey büyükelçilerin, kamuya mal olmuş kişilerin, otelde kaldıkları zamanki hareketleriydi.
Siber suçluların ilgi alanlarının ne olduğu ve bunlara karşı nasıl savunma yapılacağı konusunda kesinlikle bir çözüm yolu var. Çoğu otelin artık eskisinden çok daha iyi bir WiFi’ye sahip olduğunu söylemekten memnuniyet duyuyorum.
Paula Felstead: Evet, biliyorsunuz, telefonumda her zaman bir VPN var. Bu sadece açık olmak için.
Selçuk Meral: Türkiye’de hibrit sistemler de var. Online ve çağrı merkeziyle konuşuyorlar, online ödeme yapıyorlar. Bu geçen yıl çok fazla kriminal siber saldırı ve sahte web sitesinde etkili oldu. Sahte web siteleri yaptılar. Hilton Beaumont yazmıyorlar, ‘Tilton Beaumont’ yazıyorlar, aynı siteyi yapıyorlar. Bir keresinde bu şeyi yapan biriyle konuşmaya şahit oldu. Pişkin davranıyor ve “Yakalayabilirsen yakala” diyordu.
Paula Felstead: Evet.
Selçuk Meral: Yani siber saldırılar için, hükümetten ve polisiye kurallarından gelen güvenlik sistemleri, her ülkede nasıl işliyor? Birbirinden farklı olabilir. Bunu nasıl görüyorsunuz?
Paula Felstead: Sanırım bugün bu konuya pek değinmedik ama Amerika Pazar Merkezi’ndeki panelde aslında İç Güvenlik ve FBI’dan bir kişi konuşuyordu. Bence hangi ülke olursa olsun tüm hükümetler ve tüm polis güçleri bu konuyu çok daha ciddiye alıyor çünkü buna mecburlar. Bence bazıları daha fazla yatırım yapıyor ve bazıları diğerlerinden daha fazla odaklanıyor. Benim karşılaştığım zorluklardan biri de hükümetlerimizi ve düzenleyici kurumlarımızı etkilemeye yardımcı olmamız gerektiğini düşünüyorum, özellikle Avrupa’da düzenleyici kurumlar bu konuda polisten çok daha hızlıydı. 72 saat kuralını getirdiler, eğer ihlal edildiyseniz 72 saat içinde bildirmeniz gerekiyor. Ancak benim eksik bulduğum şey aslında polisin bu konuda size destek olmasıydı. Bugün Elena Brunt’ı dinlerken ilginç bir noktaya değindim; daha önce de büyük siber vakalar yaşadım, sadece düzenleyici kurumla değil, polisle ve olayla da uğraşıyorsunuz ve bu üçünü aynı anda yönetmek inanılmaz derecede zor, özellikle de Türkiye’de bir otelinizin olduğu ama yolcunun İngiltere’den olduğu uluslararası bir durum söz konusu olduğunda. Peki hangisine, hangi düzenlemeye uymanız gerekiyor? Hangi polis gücünü bilgilendirmelisiniz? Sonra buna sigortacıları da ekliyorsunuz. Bence bu noktada yaratmaya çalıştığım şey, aslında bir sektör olarak polisle konuşabileceğimiz, düzenleyicilerle konuşabileceğimiz, sigorta şirketleriyle konuşabileceğimiz ve kendi aramızda bunu nasıl daha kolay hale getirebileceğimizi konuşabileceğimiz bir diyalogdur, çünkü hepimiz bunu hayatımız boyunca bir şekilde yaşayacağız.
