In het huidige economische klimaat draait alles om data, en die moeten zo goed mogelijk beschermd worden tegen invloeden van buitenaf. Hoe pak je die bescherming van uw IT-gegevens aan in uw Horecazaak? Wij gingen het na.
In samenwerking met de Antwerp Hotel Association en Apogado, een onafhankelijk IT-consultantbedrijf gespecialiseerd in gegevensbescherming, cybersecurity en AI-compliance, organiseerde Coriotech, een bedrijf gespecialiseerd in netwerk- en audiovisuele toepassingen voor o.a. de hotelsector, onlangs een ronde tafel over de gevaren van cybercriminaliteit en de maatregelen die je hiertegen kan nemen.
Anno 2026 zijn het vooral de telecom- en de energiesector alsook de gezondheidszorg die het vaakst digitaal worden aangevallen, maar het kan natuurlijk elk bedrijf overkomen.
Met name de Horeca is een aantrekkelijk doelwit, omdat de sector met kleine marges werkt, een groot personeelsverloop heeft, digitaal sterk afhankelijk is (kassa’s, reserveringssystemen, betalingen) en meestal geen eigen IT-afdeling heeft.
Wat zijn nu de meest voorkomende gevallen van cybercrime in de hospitality sector?
“Globaal zijn er 5 vormen van cybercriminaliteit”, aldus Koert Van Espen, managing partner van Apogado:
- Phishing en factuurfraude: medewerkers ontvangen ogenschijnlijk legitieme e-mails van leveranciers of boekingsplatformen (Booking.com, energieleveranciers, vaste partners…) met gewijzigde betaalgegevens
- Ransomware-aanvallen: kassasystemen, reserveringssystemen of backoffice-omgevingen worden versleuteld en onbeschikbaar gemaakt in ruil voor losgeld. Steeds vaker zien we ‘dubbele afpersing’: uitbaters moeten betalen om hun systemen terug te krijgen én om te vermijden dat vertrouwelijke klantgegevens publiek worden gemaakt
- Accountovernames van sociale media of reservatieplatformen, bijvoorbeeld wanneer fraudeurs de Facebookpagina of het Booking-account van een hotel overnemen
- Datalekken van klantgegevens (GDPR-risico, met mogelijke zware boetes), vaak door zwakke wachtwoorden of onvoldoende beveiligde wifi-netwerken
- CEO-fraude: komt vooral voor in grotere hotelgroepen, waarbij een medewerker een bericht of telefoontje ontvangt van iemand die zich voordoet als de zaakvoerder of directie met een dringende betalingsvraag
Wat ook duidelijk toeneemt, is het gebruik van AI-gegenereerde phishingmails. Deze zijn foutloos geschreven en sterk gepersonaliseerd, waardoor ze veel moeilijker te herkennen zijn. Daarnaast zien we een stijging van aanvallen via leveranciers of softwarepartners, de zogenaamde supply chain-aanvallen”.
Een tweede beveliging van wachtwoorden, de zogenaamde tweestapsverificatie (2FA, of tweefactorenauthentificatie/MFA, of meervoudige verificatie), is vandaag één van de meest effectieve én laagdrempelige maatregelen tegen accountovernames. Maar wordt dit voldoende toegepast ‘on the field’?
“In de praktijk stellen wij vast dat grote hotelketens dit doorgaans correct implementeren, maar dat kleine en middelgrote Horecazaken dit nog onvoldoende toepassen, vervolgt Koert Van Espen. Ook wordt 2FA vaak niet geactiveerd op sociale media, e-mailaccounts of boekingsplatformen; net daar waar het risico het grootst is. Ook de sector zelf moet verantwoordelijkheid nemen door sterker in te zetten op opleiding, bewustmaking en structurele beveiligingsmaatregelen”.
Bedrijven kunnen ook opteren voor een ISO-certificering informatieveiligheid. Wat houdt dit in, en is het verplicht?
“De meest relevante norm is ISO/IEC 27001, de internationale standaard voor informatieveiligheidsmanagement. Om deze certificering te behalen moet een onderneming:
- Een grondige risicoanalyse uitvoeren
- Technische, organisatorische en juridische beveiligingsmaatregelen implementeren
- Procedures en beleidsdocumenten formaliseren
- Interne audits uitvoeren
- Zich laten auditeren door een geaccrediteerde certificatie-instelling
Is dit verplicht?
“Neen. ISO 27001 is niet wettelijk verplicht voor Horecaondernemingen. Het is wel een sterk kwaliteitslabel dat aantoont dat een bedrijf cybersecurity structureel en professioneel aanpakt. Dit kan een competitief voordeel bieden en is soms contractueel vereist bij een samenwerking met grotere partners of overheden”.
Voor het voorbereidende traject kan een onderneming tot 50% subsidies verkrijgen via de VLAIO Cybersecurity-Verbetertrajecten wanneer zij hiervoor een erkende dienstverlener zoals bv. Apogado inschakelt.
Belangrijk: ook zonder ISO-certificering blijven ondernemingen onderworpen aan de GDPR (AVG) en (afhankelijk van hun positie in de keten) mogelijk aan nieuwe Europese regelgeving zoals NIS2.
Wat is het ‘minimum minimorum’ dat een Horecabedrijf in huis moet hebben tegen cybercrimes?
“Elke Horecazaak zou minimaal moeten beschikken over:
- Sterke wachtwoorden en tweestapsverificatie op alle kritieke accounts
- Automatische software-updates op kassa’s, computers en netwerkapparatuur
- Een gescheiden gastennetwerk (wifi) voor klanten
- Regelmatig geteste back-ups
- Basisopleiding voor personeel rond phishing en digitale fraude
- Een duidelijk aanspreekpunt of vaste IT-partner bij incidenten
Cyberveiligheid hoeft niet complex of extreem duur te zijn, maar moet wel structureel worden aangepakt”.
Welke oplossingen biedt Apogado aan voor Horeca-uitbaters?
“Wij kunnen Horecaondernemers ondersteunen via een geïntegreerde aanpak. Ons team bestaat uit ingenieurs en ICT-juristen, waardoor wij zowel de technische als juridische/compliance-aspecten kunnen afdekken.
Wij voeren een grondige doorlichting uit om kwetsbaarheden in kaart te brengen, stellen een realistisch en gefaseerd stappenplan op, begeleiden bij de concrete implementatie van technische en organisatorische maatregelen, ondersteunen bij GDPR-, NIS2- en ISO-trajecten, en zorgen voor continue opvolging waar nodig. Dit kan in veel gevallen met de hoger vermelde 50% subsidie via de VLAIO Cybersecurity-Verbetertrajecten.
Wij combineren technische beveiliging met governance en compliance, zodat ondernemers niet alleen beter beschermd zijn, maar ook aantoonbaar in regel zijn met de geldende regelgeving.
Daarnaast bieden we verschillende opleidingssessies en workshops aan. Cyberveiligheid is immers geen eenmalige investering, maar een continu proces. Permanente vorming verhoogt de weerbaarheid aanzienlijk”, aldus nog Koert Van Espen.
Voor meer info, surf naar www.apogado.com, www.coriotech.be en www.antwerphotelassociation.be
(dv)
