Otelciler misafirlerin kişisel verilerini nasıl koruyabilir?

Elena Varol, Bilgi Güvenliği İş Geliştirme Uzmanı

Günümüzde oteller için korkutucu ifadelerden biri şüphesiz ki "veri sızıntısı"dır. Veri sızıntısının yol açtığı sorunlar çok boyutlu ve uzun süreli olup; finansal zararlar, itibar kaybı, hukuki davalar, operasyonel aksaklıklar ve müşteri güveninin azalması gibi olumsuz sonuçlara neden olabilir.

Bu yazımızda turizm sektöründe faaliyet gösteren işletmelerin kişisel verileri nasıl daha etkin koruyabileceklerine yakından bakacağız.

Otelciler neden veri korumasına önem vermeli?

İstatistiğe göre, dünya çapındaki otellerin yaklaşık %31’i veri sızıntısı vakası yaşamıştır. Bu kuruluşların %89'u ise yılda birden fazla kez veri sızıntısından etkilenmiştir.

Oteller, müşterilerine ait çok çeşitli kişisel verileri hizmet kalitesini artırmak, hizmetleri kişiselleştirmek, müşteri bağlılığı oluşturmak ve talebi öngörmek amacıyla depolayıp işlemektedir. Bu geniş veri kullanım alanı nedeniyle oteller, siber saldırılar ve veri hırsızlığı için cazip hedefler haline gelmektedir.

Veri ihlallerinin yol açabileceği olumsuz etkiler şunları kapsar:

• Müşterilere zarar: Konukların seyahat detayları, ödeme bilgileri gibi hassas verilerinin çalınması.
• Çalışanlara zarar: Maaş bilgileri veya diğer kişisel bilgilerinin açığa çıkması.
• Yasal problemler (Uyumsuzluk): Para cezaları ve hukuki süreçler.
• İşletme riskleri: İtibar kaybı, yaptırımlar, faaliyetlerin durması ve gelir kaybı.

Yukarıda belirtilen kayıpları önlemek ve olası riskleri öngörmek için güvenilir bir veri koruma yöntemi bulmak kritik öneme sahiptir. Üstelik bilgi güvenliği, yalnızca müşteri giriş ve çıkış süreciyle sınırlı kalmamalı, aksine uzun vadeli bir yaklaşım benimsenmelidir. Müşteri veritabanı yıllar içinde büyümeye devam ettiğinden, güvenlik önlemlerinin kesintisiz ve sürdürülebilir bir şekilde uygulanması gerekmektedir.

Otellerde kişisel veri güvenliğini tehdit eden riskler nelerdir?

Veri korumasında otellerin sıklıkla karşılaştığı başlıca tehditler üç kategoriye ayrılır:

1. Dış saldırılar

Fidye yazılımlar, phishing (oltalama) veya DoS (hizmet engelleme) saldırıları, otellerin karşılaştığı temel riskler arasındadır. Bununla birlikte, güvenlik konusunda yetersiz önlemler alan üçüncü taraf rezervasyon ve ödeme sistemleriyle iş birliği yapmak, saldırganlar için bir giriş noktası oluşturmaktadır.

Bu bağlamda, 2024 yılında Otelier yazılım tedarikçisinin yaşadığı güvenlik ihlali, konaklama sektöründeki siber riskleri gözler önüne seren çarpıcı bir örnek oldu. Dünya çapında Marriott, Hilton ve Hyatt gibi önde gelen otel markalarının yanı sıra 10.000’den fazla tesisin işletmesini destekleyen Otelier’in bulut tabanlı yazılımı, ciddi bir veri sızıntısıyla gündeme geldi. 

Have I Been Pwned (HIBP) platformunun verilerine göre, 2024 yılında saldırganlar Otelier sistemlerine sızarak bu büyük otel zincirlerinin müşteri verilerini ele geçirdi.

2. İç kaynaklı tehditler

Genellikle hafife alınsa da iç tehditler en az dış saldırılar kadar tehlikelidir. Dışarıdan bir saldırganın sisteme sızabilmesi için ciddi hazırlık yapması gerekirken, kurum içindeki bir çalışanın zaten doğrudan kurumsal ağa ve hassas verilere erişimi bulunmaktadır. Çalışan kaynaklı veri sızıntıları, dış müdahale olmaksızın gerçekleşen ve oldukça yaygın bir güvenlik ihlali türüdür. 

Kurumsal güvenlik kurallarının kasıtlı olarak ihlal edilmesi veya çalışanların siber güvenlik konusundaki bilinç eksikliği, aynı sonucu doğurur: gizli bilgilerin açığa çıkması. İç tehditler çoğu zaman dış saldırılar için de bir başlangıç noktası oluşturur. Kimi zaman bir çalışan, bilinçli veya bilinçsiz şekilde bir saldırganla iletişime geçerek hassas verileri paylaşabilir ya da yalnızca bir oltalama (phishing) bağlantısına tıklayarak kötü niyetli birinin sistemlere sızmasına neden olabilir. Bu tür vakaları önceden tahmin etmek zor olduğundan, iç tehditlere karşı güçlü bir güvenlik önlemi almak, siber güvenlik stratejisinin olmazsa olmazıdır. 

Tecrübemden bir örnek vereyim. Bir otel çalışanı, işten ayrılma sürecine girerken bir yandan sözleşme feshiyle ilgili yasal dayanakları araştırırken diğer yandan otel müşterilerine ait veritabanını izinsiz olarak bulut sistemine yüklüyor. Dosyaların yalnızca tek seferlik indirilebilmesi için özel ayarlar yapıyor. Ancak otelin güvenlik ekibi durumu zamanında fark ediyor ve çalışan, verileri indirmeden önce müdahale edilerek yetkisiz erişim engelliyor. Ertesi gün, çalışanın tüm hesapları kapatılıyor ve kendisi işten çıkarılıyor. Yapılan incelemelerde, çalışanın rakip bir otelde işe başlamaya hazırlandığı ortaya çıktı.

Bu olay, iç tehditlerin nasıl ciddi sonuçlar doğurabileceğini ve şirketlerin yalnızca dış saldırılara karşı değil, çalışan kaynaklı veri sızıntılarına karşı da proaktif önlemler alması gerektiğini net bir şekilde ortaya koymaktadır.

3. Yetkisiz erişim

Yukarıda bahsedilen sorunlara ek olarak, dikkatsizlik ya da kasıtlı eylemler sonucu genel erişime açık bırakılan veriler de ciddi bir risk oluşturuyor. Bugün herhangi bir çalışan tarafından kullanılan bu verilere, yarın doğrudan rakipleriniz de ulaşabilir. Üstelik yalnızca erişmekle kalmaz, eğer bir DCAP (veri merkezli denetim ve koruma) sistemi devreye alınmazsa, bu verileri geri döndürülemez şekilde silebilirler. DCAP sistemleri, hassas verileri içeren dosyaların arşivlenmesini sağlayarak, bir bozulma veya kayıp durumunda önceki sürümlerin geri yüklenmesine olanak tanır. Ayrıca, erişim yetkilerinin doğru şekilde belirlenmesi büyük önem taşır; çünkü korunmayan verilere herkes erişebilir ve bunları dilediği gibi kullanabilir.

Gerçek riskleri daha iyi anlamak için müşterilerimizin deneyimlerinden bir örnek paylaşalım: Pasaport taramalarına dair tipik bir ihmal vakası.

Birkaç yıl önce, analitik ekibimiz bir otelde misafirlerin pasaport taramalarının genel erişime açık olduğunu tespit etti. (Otelin adını paylaşmıyoruz, çünkü sorunu hızla çözdüler.) Ücretsiz Wi-Fi ağına bağlanan herhangi bir kişi, otel sistemindeki bazı bilgisayarları görebiliyordu. Bu cihazlardan biri de resepsiyona ait bilgisayardı ve masaüstünde "müşteri pasaport taramaları" adlı bir klasör bulunuyordu. Analistimiz, misafirlerin pasaport kopyalarına kolayca erişilebildiğini fark etti ve durumu derhal otel yönetimine bildirdi.

Bu tür ihmaller, müşteri güvenini sarsmakla kalmaz, aynı zamanda ciddi yasal yaptırımlara da yol açabilir. Hassas verilerin korunması için güçlü erişim kontrolleri ve kapsamlı güvenlik politikaları şarttır.Ayrıca böyle durumlar, rakip şirketlerin veya kötü niyetli kişilerin bilgileri ele geçirmesi için büyük bir fırsat yaratır.

Veri koruması için uygulanması gereken stratejiler

Veri güvenliğini artırmak için otellerin uygulaması gereken başlıca önlemler şöyle sıralanabilir.

Güvenlik yazılımları ve güncellemeler

Sistem yazılımlarınızı düzenli olarak güncelleyerek güvenlik açıklarını kapatın ve genel sistem güvenliğini artırın. Temel koruma için en az bir antivirüs programı kullanın, ancak daha güçlü bir güvenlik sağlamak için mümkünse EDR (Endpoint Detection and Response) ile birlikte kullanarak zararlı yazılımlara karşı ek koruma oluşturun. Ayrıca, ödeme işlemlerinde PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) gerekliliklerine uygun güvenli çözümleri tercih edin.

İç tehditlere karşı önlem almak

Veri güvenliğinin klasik çözümlerinden biri olan DLP (veri kaybı önleme) sistemleri, bilgi sızıntılarını önlerken kurumsal dolandırıcılık ve hırsızlık gibi olayları da tespit etmeye yardımcı olur. Yeni nesil DLP çözümleri, veri iletimini en geniş kapsamda kontrol ederek hem gelen hem de giden trafiği analiz eder. Bu sayede, kişisel verilerin ve diğer hassas bilgilerin e-posta veya mesajlaşma uygulamaları üzerinden gönderilmesini, bulut depolama alanlarına yüklenmesini ya da taşınabilir cihazlara kaydedilmesini engeller. Üstelik, bu sistemler veri aktarımının hangi formatta olduğu fark etmeksizin koruma sağlar.

Potansiyel tehditlere proaktif şekilde yanıt verebilmek için SIEM (güvenlik bilgi ve olay yönetimi) sistemlerinin kullanılması da gerekir. SIEM, güvenlik olayları ve tehditlerle ilgili verileri toplayarak analiz eder, olaylar arasındaki ilişkileri değerlendirir ve gerçek zamanlı olarak anormallikleri tespit eder. Böylece ağda olup bitenler hakkında tam bir görünürlük sağlayarak güvenlik ihlallerine hızlı müdahale imkanı sunar.

Yetki ve erişim kontrolü

Yapılandırılmamış verilerin korunmasında DCAP (veri merkezli denetim ve koruma) sistemleri kullanılır. DCAP sistemleri, dosyaların içeriğini analiz ederek hangi dosyaların kişisel veriler (KVKK kapsamında), hangilerinin finansal bilgiler veya diğer hassas veriler içerdiğini otomatik olarak belirler. Aynı zamanda, hangi kullanıcının hangi dosyalara erişim yetkisi olduğunu ve belgelerle hangi işlemleri yaptıklarını da takip eder. Böylece şirketler, belirli bir veri kategorisine ait tüm belgeleri tek hamlede etkin şekilde koruma altına alabilir ve erişim yetkilerini rahatlıkla yönetebilir.

Yasalara ve Standartlara Uyum

Türk otelcilerin yalnızca İş Kanunu’na değil, KVKK’ya (Kişisel Verileri Korunması Kanunu) da tam uyum sağlamaları önemlidir. KVKK, GDPR ile uyumlu biçimde verilerin işlenmesi, kullanılması ve saklanması süreçlerini kapsar. Burada sadece müşterilerin kişisel verilerini diledikleri zaman geri çekme hakkını sağlamak yeterli değildir; aynı zamanda bu verileri, veri sızıntılarına karşı özel güvenlik sistemleriyle de korumak gerekir.

Sonuç olarak, veri güvenliği konusunda otellerin başarıyla uygulayabileceği temel stratejiler şunlardır:

• Siber güvenlik bilincini geliştirme ve düzenli çalışan eğitimleri,
• Kurumsal güvenlik politikalarının uygulanması,
• Düzenli güvenlik denetimleri,
• Yasal düzenlemelerle tam uyum,
• Teknik çözümlerin dengeli biçimde kullanımı.

Oteller, bu adımları takip ederek müşterilerinin güvenini koruyabilir, finansal zararları ve imaj kayıplarını önleyebilir ve sektörde sürdürülebilir bir büyüme sağlayabilirler.