Seyahat acenteleri tarafından günlük olarak kullanılan merkezi rezervasyon sistemleri olan GDS, siber suçlular için önemli bir giriş noktasıdır. Siber güvenlik uzmanı Christophe Mazzola, tourmag'daki köşe yazısında, ihmal edilen tek bir hesabın bile kritik bir ihlale dönüşebileceği için erişim ve teyakkuzun güçlendirilmesi gerektiği konusunda uyarıyor.

Kimlik avı, zayıf parolalar, sahte transferler... Çoğu seyahat acentesi bu tehditleri bertaraf etmeye çalışıyor.

Ancak birçok kişinin gözden kaçırdığı bir giriş noktası var: iş araçları. Özellikle de işlerinin büyük bir kısmının dayandığı rezervasyon sistemleri olan GDS'ler.

Amadeus, Sabre, Galileo... Bu platformlar günlük operasyonların merkezinde yer alıyor. Rezervasyonları, biletleri ve işlemleri yönetiyorlar.

Günde birkaç kez, hatta bazen hiç düşünmeden bile bu platformlara giriş yapıyoruz. Ancak aynı zamanda siber suçlular için de savunmasız giriş noktaları oluşturuyorlar.

Bir bilgisayar korsanı için bir GDS hesabına erişim sağlamak, kurumunuzun yedek anahtarını ele geçirmek gibidir.

Rezervasyonları görüntüleyebilir, verileri değiştirebilir, sahte bilet düzenleyebilir veya iş ortaklarınızın ya da müşterilerinizin kimliğine bürünmek için erişimi suistimal edebilirler.

Ve gerçek şu ki, bu erişimlerin güvenliği genellikle göz ardı edilir. Neden? Çünkü günlük hayatın bir parçasıdırlar ve alışkanlıktan onlara güveniriz:

• Parolalar bazen iş arkadaşları arasında paylaşılır;

• Kilidi açılmış bir iş istasyonunda oturum açma bilgileri açık kalır;

• Bir çalışan ayrıldıktan sonra bile erişim korunur;

• Kimlik doğrulama, iki kez kontrol edilmeden yalnızca bir oturum açma adı/parolaya dayanır.

Bunların hiçbiri "ciddi" görünmüyor... ta ki erişim ele geçirilene kadar.

Her Gün Kullandığınız Bir Aracın Güvenliğini Sağlamak

Siber güvenlik yalnızca yeni veya alışılmadık araçlarla ilgili değildir. En çok kullandığınız araçlarla başlar.

GDS'ler söz konusu olduğunda, birkaç en iyi uygulama gerçekten fark yaratabilir:

1. Ayrı kullanıcı hesapları kullanın. Her çalışanın kendi erişimi olmalıdır. Beş kişi tarafından paylaşılan "agency1" hesabı olmamalıdır. Bu, eylemleri takip etmenize ve şüphe durumunda erişimi devre dışı bırakmanıza olanak tanır.

2. Parolaları güçlendirin. Bir GDS'nin parolası diğer ofis araçlarıyla aynı olmamalıdır. Parolalar uzun, benzersiz olmalı ve gerekirse düzenli olarak değiştirilmelidir (örneğin, ayrılan bir çalışanla paylaşılan bir parola durumunda).

3. Düzenli erişim kontrolleri uygulayın. Kimin neye erişimi var? Kullanılmayan hesaplar devre dışı bırakılıyor mu? Bunu her üç ayda bir gözden geçirin.

4. Aracın önemi konusunda ekibi bilinçlendirin. Birçok kişi GDS erişiminin bu kadar kritik olabileceğinin farkında değil. Bunun açıkça açıklanması gerekiyor.

Bunu daha somut hale getirmek için size gerçek bir hikaye anlatayım.

Birkaç ay önce, bir kruvaziyer şirketinin denetimi üzerinde etik bir bilgisayar korsanıyla çalışıyordum. On dakikadan kısa bir sürede, şirket içi rezervasyon platformuna erişmeyi başardı.

Kusur neydi? Unutulmuş ama hala aktif olan, bir forumdan bilinen bir şifreye sahip eski bir hesap. Giriş yaptıktan sonra, veritabanına erişebildi, rezervasyonları görüntüleyebildi... ve herhangi bir uyarı sistemini tetiklemeden 1 avroya lüks bir süit kiralayabildi.

Virüse gerek yok. "Zeki bir bilgisayar korsanına" gerek yok. Sadece dikkatsiz erişim.

Bu anekdot, riski mükemmel bir şekilde özetliyor: Erişim kontrol edilmediğinde, bu önemsiz bir ayrıntı değildir. Bu bir ihlaldir. Ve her iş platformunun hassas verilere veya kritik işlevlere potansiyel olarak erişim sağladığı bir dünyada, her hesabın titizlikle yönetilmesi gerekir.

"Orta düzey" riskleri küçümsemeyin

GDS'ler etkilenen tek riskler değil. Birbirine bağlı tüm iş araçları (CRM, otel extranetleri, ödeme platformları, uçuş arama motorları vb.) aynı ilgiyi hak ediyor. Çünkü ne kadar çok platform eklerseniz, o kadar çok potansiyel fırsat yaratırsınız.

Acentelerin işleri doğru yapmak için güvenlik uzmanı olmaları gerekmez. Ancak doğru yerlere bakmaları gerekir. Ve bugün, GDS'ler genellikle acilen açıklığa kavuşturulması gereken bir kör noktadır.