Door karma4:

Door Anoniem:
Vraag: kan jij de links delen waaruit blijkt dat:
a) Starwood veel gebruik maakt van OSS, zoals je stelt te hebben gevonden, en
b) Starwood aannam dat verantwoordelijkheden wel gratis zouden worden ingevuld door OSS?

Voor wat betreft a) Ik ben op zoek gegaan naar spg en analytics.

[…] R als tool is open source.

Dit speelt een rol in het boekingsproces (dynamisch bepalen van prijzen). Er is dus een component die een open source programmeertaal gebruikt.

“The company, which operates 1,200 properties in nearly 100 countries and 200,000 employees, transitioned to Oracle Exadata Database Machine running on Oracle Linux. “

En ze gebruiken een propriëtair DBMS dat op de Linux-distro van de commerciële leverancier van dat DBMS draait.

Hoe blijkt daaruit dat bij Starwood dit geldt:

Inderdaad de belofte dat een ander het wel gratis en voor niets jouw verantwoordelijkheden zou invullen.

Je antwoord:

Voor wat betreft b) Je kent vast de verhalen van Target en Maersk,

Dat zijn compleet andere ondernemingen, heel andere soorten ondernemingen zelfs, die zeggen niets over de situatie bij Starwood.

Over Marriot vond je:

Ik heb niets over de security kunnen vinden, dan maar het annual report in.[ur]https://marriott.gcs-web.com/search?query=2017+annual+report[/url] Onderaan pag 17 is een vooruitziende blik
“Cyber-attacks could have a disruptive effect on our business. Efforts to hack or breach security measures, failures of
systems or software to operate as designed or intended, viruses, “ransomware” or other malware, operator error, or inadvertent releases of data may materially impact our information systems and records and those of our owners, franchisees, licensees, or service providers. ” Je kunt de board of directors ook vinden, kun je daar iets van ICT terugzien?

Dat zegt niets over propriëtaire versus open source software.

Dank overigens voor je uitgebreide antwoord. Ik haal eruit dat er inderdaad hier en daar open source is ingezet, maar niet dat dat een rol heeft gespeeld in dit datalek en ook niet dat de reden om ervoor te kiezen iets te maken heeft met “gratis en voor niets jouw verantwoordelijkheden […] invullen” te maken heeft. Men heeft voor Oracle Linux gekozen omdat het propriëtaire Oracle Exadata daar nou eenmaal op draait, en dat R voor statistische analyses wordt ingezet is niet vreemd, het staat hoog aangeschreven daarvoor.

Wat de oorzaak van het datalek is is tot nu toe niet bekendgemaakt. Het lijkt me duidelijk dat het om een complexe IT-infrastructuur gaat waarin heel wat verschillende dingen gaande zijn. Dat betekent ook dat het op heel wat verschillende plaatsen en manieren misgegaan kan zijn en dat je als buitenstaander niet zomaar naar onderdelen kan gaan wijzen, dat is voorbarig. We hebben geen idee of die open sourcecomponenten iets met dit datalek te maken hebben. Voor hetzelfde geld is een slecht beheerd Windows-systeem bij een van de aangesloten hotels de ingang geweest en is er privilege-escalatie gebruikt om het netwerk bevoegdheden te verkrijgen in softwarecomponenten die helemaal niet ter sprake zijn geweest.

Het gebruik van een paar open source-componenten (of wat dan ook) gebruiken om een mentaliteit die jij ermee associeert op een organisatie die je niet door en door kent te projecteren getuigt eerder van je laten leiden door vooroordelen dan door inzicht en analytisch vermogen. Dat laatste houdt namelijk ook in dat je inziet wanneer je niet over de informatie beschikt waarmee je een situatie kan beoordelen.