12:22
31/7/2013

Piotrek Król podesłał nam artykuł Dziennika Łódzkiego, w którym napisano, że Urząd Miasta Łodzi wydał 43 tys. zł na likwidację szkód po ataku “hakera” na www.uml.lodz.pl. Chodzi o atak, który miał miejsce 13 czerwca.

Deface uml.lodz.pl

www.uml.lodz.pl_hacked._Notified_by_KeyNey

www.uml.lodz.pl hacked by KeyNey

Dziennik pisze “aż” 43 tys. zł., sugerując, że jest to wysoka kwota jak na naprawę strony WWW. Niestety, w artykule nie znajdziemy rzetelnych danych na temat tego co dokładnie zostało zrobione. Rzecznik prezydent Łodzi w oświadczył, że:

Firma wykonała bardzo pracochłonne zadanie (…) Sprawdzono wszystkie portale internetowe funkcjonujące na tym samym serwerze, na którym była uruchomiona główna strona urzędu. Atakujący mógł bowiem wykorzystać jeden portal do działań, które mogły zagrozić działaniu całego systemu informatycznego magistratu. (…) Aby zabezpieczyć nasz serwer firma wymieniła jego oprogramowanie. Nie bez znaczenia jest też to, że wykonujący usługę bardzo szybko zareagował na nasze zgłoszenie i rozpoczął prace w niedzielę.

Przez inne portale należy rozumieć, wedle DŁ, “uml.lodz.pl, ale również: czystemiasto.uml.lodz.pl, ulicapiotrkowska.pl, dworzec.lodz.pl, turystyczna.uml.lodz.pl oraz kilka innych.”

35 000, czy to dużo, czy mało?

Wysoka, wedle Dziennika Łódzkiego cena, wcale może nie być taką wysoką, jeśli zwrócimy uwagę, że usługa tak naprawdę kosztowała 35 000 PLN netto (czyli bez VAT-u), co po średnich rynkowych stawkach daje +/- 25 dniówek specjalisty.

Czy to mało czy dużo, to niestety zależy od zakresu prac. Jeśli samo odtworzenie strony z backupu, to pewnie wycena jest naciągana, jeśli jednak do reinstalacji systemów dodać analizę powłamaniową, wykonanie testów penetracyjnych kilku serwisów oraz np. analizę malware’u znalezionego na zaatakowanych serwerach, to obawiamy się, że cena staje się wręcz dumpingowa.

Aby prowadzić merytoryczną dyskusję w tym zakresie, należy posiadać więcej danych, dlatego wysłaliśmy zapytanie do rzecznika UMŁ z prośbą o doprecyzowanie zakresu i czasu pracy specjalistów — ale może ktoś, idąc wzorem Vagli, złoży wniosek o dostęp do informacji publicznej?

Nasze pytania przesłane UMŁ:

1. Jak nazywa się i jakie dokładnie czynności wykonała firma usuwająca
skutki włamania, którą w artykule Dziennika Łódzkiego z dn. 31.07.2013
roku wskazuje Pan Marcin Masłowski, rzecznik prezydent Łodzi? Prosimy
o szczegółowe opisanie wykonanych zadań, wraz oszacowaniem czasu, jaki
poświęcono na ich realizację.

2. Czy, a jeśli tak to gdzie i kiedy, dostępny będzie raport z działań
ww. firmy?

3. Na jakiej podstawie wybrano tę a nie inną firmę do przeprowadzenia
operacji usuwania skutków ataku informatycznego na serwis
www.uml.lodz.pl?

PS. Ciekawe ile kosztowały audyty po zabawie na serwisach Urzędu Wojewódzkiego w Kielcach?

PS2. Żeby nie narzekać ciągle na Łódź, warto zauważyć, że zawsze mogło być gorzej, np. tak jak w USA, gdzie ostatnio wydano ponad 8 milionów złotych na analizę powłamaniową i walkę z zagrożeniem, którego nie było ;-)

Aktualizacja 15:00
Pan Marcin Masłowski przesłał nam swoją pełną wypowiedź, którą wczoraj przekazał e-mailowo do Dziennika Łódzkiego:

Informuję, że w ramach realizacji zadania dotyczącego zabezpieczenia zagrożeń wywołanych atakiem hakerów na główną stronę WWW Urzędu Miasta Łodzi musiała zostać wykonana bardzo pracochłonna praca związana z analizą kodów źródłowych wszystkich portali internetowych funkcjonujących na tym samym serwerze, na którym była uruchomiona główna strona Urzędu. Było to niezbędne, gdyż atakujący mógł wykorzystać jeden portal do dalszych działań, które mogły stanowić zagrożenie dla systemu informatycznego Urzędu Miasta Łodzi.
W ramach realizacji tego zadania zostały przeanalizowane i usunięte zagrożenia, związane a atakiem hakerów.
Sprawdzono między innymi portale:

http://www.uml.lodz.pl
http://www.turystyczna.lodz.pl
http://www.sportowa.lodz.pl
http://www.en.uml.lodz.pl
http://www.przyroda.uml.lodz.pl
http://www.czystemiasto.uml.lodz.pl
http://www.itpo.uml.lodz.pl
http://www.css.samorzad.lodz.pl
http://www.rowery.uml.lodz.pl
http://www.ulicapiotrkowska.pl
http://www.kreatywna.lodz.pl
http://www.dworzec.lodz.pl
http://www.invest.lodz.pl
http://www.tansman.lodz.pl

Pragnę również podkreślić, że wiele z tych stron posiada swoje moduły zarządzające, które funkcjonują jako osobne serwisy na ty samym serwerze. Zatem, również i te portale (nie są one dostępne dla mieszkańców), musiały być poddane weryfikacji.
Jednocześnie w celu zabezpieczenia serwera, zostało wymienione jego oprogramowanie systemowe. Wymusiło to dodatkowe prace dostosowawcze, w celu uruchomienia portali internetowych w nowym środowisku systemowym.
Należy również podkreślić, szybkość reakcji wykonawcy na nasze zgłoszenie oraz fakt, że prace rozpoczęły się w niedzielę.
Polityka zarządzania danymi w Urzędzie, która jest dotychczas stosowana, wymusza przechowywanie danych na serwerach WWW, a szczególności tych o charakterze informacyjnym, które są publicznie dostępne. Wynika z tego, że ich kradzież nie stanowi zagrożenia dla danych osobowych. Dodatkowo, dotychczasowe ustalenia pozwalają przypuszczać, że włamanie nie miało na celu kradzieży danych z systemu informatycznego Urzędu, a jedynie zaprezentowanie możliwości technicznych włamującego się.
Opisywane portale uruchomione są na serwerach UMŁ.

[poll id=”39″]

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

84 komentarzy

Dodaj komentarz
  1. W sumie to ciekawi mnie czemu informacje o zakresie wykonanych prac nie są ujawniane, w końcu jakby nie patrzeć: poszła na to publiczna kasa :X

    • Proste. W Polsce urzędnicy jeszcze nie wiedzą, że muszą spowiadać się z każdej wydanej złotówki. Właściwie to – w praktyce nie muszą, nawet jeśli prawo teoretycznie mówi co innego.

  2. czy mogło być gorzej, czy nie, to okaże się jak poznamy za co to cena. Bo jak za full service to “lepiej być już nie mogło” :)

    • Gorzej jeżeli to było tylko przywrócenie backupu/ustawienie tej samej strony od zera. Wtedy będzie powód do śmiechu na najbliższe 25 lat :D

    • Chcialem im maila napisac ale w RIPE maila nie ma .. Cichą nadzieję mam, ze admin sieci lódzkiego urzędu zagląda czasem na niebezpiecznika i do niego dotrze info, żeby sobie transfer strefy DNS zablokował bo dłuższego spokoju nie zaznają jeśli będą łatać zawsze PO incydencie..

    • @jan3sobieski
      Jak nie możesz bezpośrednio do nich, to uderz do CERTu.

  3. Przyjechali panowie w czarnych garniturach i zaczęli robić “magię” ohy i ahy, terminologia branży IT i oczy jak pięć złotych u niewtejemniczonych. No to trzeba było sowicie panów nagrodzić, bo “hakiery” mogły dużo bardziej nabroić.

    • No, jeśli ci urzędnicy mają podejście podobne do Twojego to nic dziwnego, że dalej tkwimy w średniowieczu.

  4. Jeśli nie wiadomo co było zrobione na serwerze, to ankieta moim zdaniem mija się z celem. Trochę jak wróżenie z fusów

    • polowa pracy adminow [ dla zwyklych userow ] to jest wrozenie z fusow
      wiec w czym problem :P

  5. Zależy też czy nowe zabezpieczenia pomogą, bo jeśli znowu padnie w najbliższym czasie no to komuś się oberwie :]

  6. Jakby się tak zastanowić, to przecież to zostało opłacone z podatków, licząc w zaokrągleniu na każdego mieszkańca (wg. liczby mieszkańców na rok 2012) Łodzi koszt tego wyniósł zastraszające 5 groszy, faktycznie afera…

    • Moim zdaniem to zupełnie niewłaściwe nastawienie do tej sprawy. Stosując ten tok rozumowania, można uznać, że np. kradzież kilkudziesięciu tysięcy PLN z publicznej kasy to nic złego, bo przecież to parę groszy na obywatela, i w zasadzie to nawet nie trzeba dzwonić po Policję… Nie sugeruję oczywiście, że tutaj ktoś coś ukradł, no ale nie można być tak pobłażliwym tylko dlatego, że Państwo obraca miliardami, więc tysiące złotych to pomijalne kwoty…

  7. Nie no.. z tą ankietą to pojechaliście..
    Najpierw pół strony nawijania, że cieżko powiedzieć czy to dużo czy mało bez większej ilości informacji na temat wykonanych prac, a potem ankieta w której co dokładnie mamy zrobić – zgadywać?
    Heheh .. troche to zabawne.

  8. 3 tygodnie pracy specjalisty to 35k PLN? Chcę być takim specjalistą!

    • Żeby dodatkowo obedrzeć stawkę z atrakcyjności, sugeruję zwrócenie uwagi na to, że w tej dniówce, która wygląda na atrakcyjną pieniądze nie płyną bezpośrednio do kieszeni specjalisty, ale do firmy, która go użycza, a ta ma koszty (biuro, podróże, itp.). Mało tego, od tego 35k netto trzeba odjąć podatek dochodowy (z regułu 19%)

    • przecież nie robił tego freelancer (chyba ;) ), który zgarnął 35k (-podatek) do kieszeni. 175zł za godzinę to na prawdę sensowna stawka.

    • stawka w miare, ale bym sie pokosil o stawierdzenie czy nie za mala
      oczywiscie pod warunkiem ze zrobili to co mowia, jesli to tylko bym restore backup calego serwera to tez troszke duzo, bo to by bylo cos z tydzien bawienia sie [ plus przezucenie z systemow zapasowych ]
      ale my se mozemy gdybac tylko, jesli nie pokaza rachunku za co to

  9. 3 tygodnie pracy specjalisty? O ja nieszczęsny, jestem tylko prostym lekarzem stomatologiem ze świetnie prosperującą praktyką prywatną i dla mnie 35 tysięcy miesięcznie to kwota nieosiągalna. Chyba pora podnieść ceny skoro “specjalista” z zerową odpowiedzialnością, bez całego zaplecza, zarabia dwa razy tyle co ja…

    • ale ty masz staly doplyw pacjentow a ja lape takie zlecenia jak to raz na kwartal i sporo inwestuje w ludzi co mi pomagaja dosc do firm z oferta ;]]

    • @Marek jeżeli tylko masz kasę fiskalną, to śmiało podnoś stawki :)
      Polska będzie Ci wdzięczna …

    • nieodpowiedzialna praca … żebyś k**wa padł ofiara stalkingu, żeby ci wysłali grama heroiny do domy i zadzwonili na policje, wyczyścili kartę debetową, albo wsadzili do pierdla za pedofilie…

    • patrząc na to ile płacę u stomatologa \ czas wizyt i ilość
      takich możliwych wizyt \ standardowy dzień pracy itp – to stawki
      stomatologów sa o wiele wyższe niż ta która tutaj wychodzi :). Może
      zależy to od miejsca. I z tą zerową odpowiedzialnością to trochę
      uproszczone – firma wykonująca usługę ponosi za nią
      odpowiedzialność i za jej skutki też, wszystko jest w umowie i
      zależy jaką ktoś umowę podpisał. Tak że przystopowałbym z tego typu
      ocenami. BTW: są specjaliści których stawki są kilkukrotnie wyższe
      per-dzień niż te o których tutaj rozmawiamy

    • No bez jaj… 175 za godzinę pracy nie wychodzi? Byle plomba kosztuje 150zł, a pracy przy tym najczęściej jakieś pół godzinki.

    • o przepraszam bardzo, a w Polsce lekarz jest za cos odpowiedzialny ? od kiedy ?

  10. Chętnie poznam firmę która płaci “specjaliście” ponad 10 tyś pln netto tygodniowo. W modelu B2B czasem zdarzają się kontrakty jednostkowe na wyższe kwoty ale porównując do skali zleceń jest to raczej igła w stogu siana. Skąd taka informacja że jest to średnia rynkowa ?

    • pierwsza lepsza firma, zatrudniająca specjalistów od SAP płaci im tygodniowo 10k netto, takie są stawki w dużych projektach

    • Bo jest. Ale niektórzy dają się dymać ;)

    • A skąd pomysł z 10k/tydzień?

  11. A na te koszty faktur nie bierze, czy je gubi?

    • jak pracuje na umowe o prace to nie ma jak brac .

  12. Wniosek o dostęp do informacji publicznej może i coś da ale nasuwa się kolejne pytanie.
    Skoro “informatycy” Urzędu nie poradzili sobie z posprzątaniem, zabezpieczeniem i weryfikacją po włamaniową to czy ktoś zweryfikował to co zrobiła ta Firma.

  13. Liczę na update artykułu po odpowiedzi z urzędu. :)

  14. Oh wait
    “pieniądze nie płyną bezpośrednio do kieszeni specjalisty, ale do firmy, która go użycza, a ta ma koszty (biuro, podróże, itp.). “

  15. Czy mi się tylko wydaje czy ktoś/coś zrobił ze strona uml.lodz.pl :)

  16. A co jeśli hakerem był ktoś z firmy, która teraz to naprawia? Taki ustawiony atak, podmiana strony a teraz w pełni legalne naprawienie jej za grubą kasę.

    • Dlatego należy też spytać o kryterium wyboru firmy :) Chociaż włamanie to wielki szum. Jest wiele lepszych sposób na drenaż środków z urzędu.

  17. Podstawowe pytanie wysłane do urzędników powinno brzmieć: po co wam tyle serwisów internetowych. Urząd tak naprawdę powinien prowadzić wyłącznie BIP. Z jednej strony słyszy się, że nie ma kasy, a z drugiej, że urzędnicy potrafią wydać na portal 65 mln

    • Wybierz któryś i spytaj (art. 61 Konstytucji RP) o podstawę funkcjonowania w oparciu o zasadę legalizmu (art. 7 Konstytucji RP), gdyż władza zwierzchnia należy do Narodu (art. 4 ust. 1 Konstytucji RP) :)

  18. Całe sprzątanie polegało na aptitude update aptitude upgrade. System bezpieczny Kasa skasowana :)

    • Źródło?

    • Bez źródła bo to moje domysły :D

  19. Widze, ze wielu oburza stawka 175/h (35 000 PLN/25 dni/8h).
    Nie znam dokladnie stawek firm zajmujacych sie audytami IT, ale orientuje sie w cenach krazacych wsrod firm zajmujacych sie automatyka i programowaniem i powiem wam, ze jest to cena jak najbardziej rynkowa.

    Sam prowadze firme (automatyka przemyslowa), zatrudniam 11 osob i robilem (calkiem niedawno) wyliczenia. Wierzcie albo nie-stale koszty miesieczne mojej firmy oscyluja w granicach 40-50K. W tym miesci sie:
    -utrzymanie biura (media, net, kawa do ekspresu, ochrona, serwis narzedzi, telefony komorkowe, kurierzy, wywoz smieci, ubezieczenia dla pracownikow, zakup i serwis drukarek, skanerow, itp.)
    -utrzymanie samochodow (waha, przeglady, naprawy)
    -splaty rat leasingow i kredytow (ciezko prowadzic dzis biznes bez tego)
    -pensje sekretarki i ksiegowej (ktore rowniez wplywaja na cene godzinowa, choc nie generuja bezposrednio zysku

    Do tego trzeba dodac koszty promocji (materialy reklamowe, wyjazdy na targi, spotkania biznesowe w drogich restauracjach) no i zalozyc jeszcze jakis zysk nizej podpisanego ;).

    Do tego wezcie jeszcze pod uwage, iz w zadnej firmie NIGDY kazdy pracownik nie pracuje efektywnie przez pelne 8h dziennie. Bo tu poranna kawa, papieros, tam czekanie na telefon, itp… Natomiast pracownikom etatowym placi sie ich pelna stawke (czyli minimalnie 25-35 zl za godzine) niezaleznie od tego ile z ich dnia pracy faktycznie da sie efektywnie “sprzedac” klientowi jako roboczogodzine.
    Dodajcie jeszcze do tego fakt, iz czasem zdarzaja sie miesiace posuchy gdy w ogole nie ma roboty i trzeba miec jakiekolwiek oszczednosci, aby nie splajtowac.

    Reasumujac-w przypadku mojej firmy, aby ja utrzymac i wyjsc na zero (w dluzszej perspektywie) musze miesiac w miesiac “naruchac” 70-80 tys. zl. Zakladajac, ze statystyczny miesiac to ok. 21 dni roboczych-przy stawce 175/h jeden pracownik, przy 100% zatrudnieniu (jak wspomnialem wczesniej-realnie nieosiagalnym) przyniesie nam 30 800,- przychodu. Czyli mniej niz 50% ;).

    Serdecznie pozdrawiam wszystkich (w tym rowniez ekspertow od liczenia cudzych pieniedzy ;) ).

    • +1

      niestety nikt kto sam nie prowadzil firmy nigdy tego nie zrozumie … i zawsze przecietnemu etatowcowi bedzie sie wydawalo , ze jesli firma wystawia za jego projekt fakture na 30k on zarabia 7k pensji miesiecznej na swoj rachunek to prezes firmy go wyruchal na na 23 patyki co jest bzdura jak sporzec na to ile faktycznie placi prezes za pracownika a placi 12 kola z faktury ma 19k po odliczeniu pit i vat wiec zostaje prezesowi tez 7 ale prezes musi za to oplacic rachunki biura i innych pracownikow wiec tak naprawde wychodzi na tym gorzej niz pracownik ;]]

  20. W zeszłym roku powiesił się im 63 letni informatyk. Może teraz za zombie robi?
    http://www.dzienniklodzki.pl/artykul/707281,pracownik-urzedu-miasta-lodzi-powiesil-sie-w-magistracie,id,t.html

  21. Niebezpiecznik, przyznać się – miesięcznie po ilu hakerach pracujących dla was, musicie sprzątać? :)

  22. To w końcu to dużo czy mało?

    • Bez uzyskania kopii umowy i zakresu nie sposób ocenić.

  23. Wniosek o informacje publiczną? Już wysłany… :)

    od: Adam Dobrawy
    do: uml@uml.lodz.pl
    data: 31 lipca 2013 16:19
    temat: Wniosek o informacje publiczne
    Stosownie do art. 61 Konstytucji RP wnoszę o przesłanie pod adres ad_m@siecobywatelska.pl informacji publicznej w zakresie kopii treści umowy na działania o których mowa w artykule https://niebezpiecznik.pl/post/43-000-pln-to-koszt-sprzatania-po-hackerze-w-lodzi/ wraz z kopią treści właściwych faktur, rachunków, upoważnień dot. zawarcia umowy oraz informacje o sposobie wyboru firmy.

    Z wyrazami szacunku,
    ****
    —–
    od: UMŁ przez s36.linuxpl.com
    do: ad_m@siecobywatelska.pl
    data: 31 lipca 2013 16:20
    temat: Re: Wniosek o informacje publiczne
    To jest potwierdzenie dostarczenia do serwera pocztowego Urzędu Miasta Łodzi

    • Można takie rzeczy e-mailem, nie trzeba przez epuap?

    • Absolutnie nie. Nie budzi to wątpliwości w sądownictwie.

      W ocenie Naczelnego Sądu Administracyjnego przedstawionej w wyroku z dn.2009-03-16 (sygn.I OSK 1277/08) za wniosek pisemny uznawać należy również przesłanie zapytania pocztą elektroniczną i to nawet gdy do jej autoryzacji nie zostanie użyty podpis elektroniczny. Pogląd ten wydaje się uzasadniony brakiem konieczności pełnego zidentyfikowania wnioskodawcy, a to z uwagi na to, że żądając informacji nie musi się on wykazać jakimkolwiek interesem prawnym lub faktycznym, aby otrzymać informację. Wniosek o udzielenie informacji publicznej może przybrać każdą formę, o ile wynika z niego w sposób jasny, co jest przedmiotem wniosku. Wniosek taki wszczyna postępowanie w sprawie, ale na tym etapie nie mają jeszcze zastosowania przepisy K.p.a. Zgodnie z art. 16 ust. 2 ustawy o dostępie do informacji publicznej przepisy K.p.a. stosuje się do decyzji o odmowie udostępnienia informacji publicznej oraz decyzji o umorzeniu postępowania. Dopiero zatem w takich sytuacjach znajdzie zastosowanie art. 63 § 3a K.p.a. stanowiący o obowiązku opatrzenia podania wniesionego w formie dokumentu elektronicznego bezpiecznym podpisem elektronicznym. Uwzględniając powyższe należy uznać, że nie mają zastosowania przepisy ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w tym art. 226 w.w. ustawy i par.8 rozporządzenia Rady Ministrów z dnia 8 stycznia 2002 r. w sprawie organizacji przyjmowania i rozpatrywania skarg i wniosków i wniosek podlega rozpatrzeniu bez uzupełnienia w podpis.

    • s36.linuxpl.com ;—-))))

    • Odpowiedź uzyskano: http://www.scribd.com/doc/160353861/?secret_password=15y9am7lr7dy1a0b6uhc
      Wykonawca: PIXEL s.c. z siedzibą w Łodzi przy ulicy Pięknej 1
      Zakres jak każdy widzi – cerowanie byle tylko przestano podmieniać.

    • Zapis “s36.linuxpl.com” odnosi się do służbowego serwera pocztowego przez który poczta na moją skrzynkę wpadła. Nie ma nic wspólnego z siecią UMŁ. Zaznaczam na wszelki wypadek.

  24. Bo jak teleinformatycy zarabiają w urzędach panstwowych np WOGach (MON)1600 zl to takich ataków będzie więcej.

  25. W creditsach jest dopisany ‘dedik’, to ten koleś który za
    małolata hakował przez znane luki w cmsach różne strony. On też
    jest z łodzi… nie rozumiem wiec czemu te flagi po
    bokach?

  26. A mnie wkurza co innego. Mail z pytaniami: 1- co dokładnie
    zrobili? 2- kiedy dostaniemy pełny raport? 3- kryteria wyboru
    firmy? Mail z odpowiedziami: 1- a przejrzeli kilka adresów i cośtam
    popatrzyli. 2- ?? 3- ?? A wogóle to fajne chłopaki bo tyle się
    napracowali i w niedziele i to było takie trudne i jeszcze coś
    mieli do roboty i to w niedziele i nie było dostępu do danych
    osobowych i wogóle fajnie jest. Ja rozumiem, że poszło to po
    znajomości, na szybko i przepłacone, żeby tylko papiórek był, więc
    będą kręcić ile się da, żeby nie dać konkretnych odpowiedzi. Ale z
    czymś takim (stosunek odpowiedzi do pytań) spotykam się notorycznie
    gdy tylko w mailu użyte jest więcej niż jedno krótkie zdanie
    pojedyńcze, nie wymagające dużo ambitniejszej odpowiedzi niż
    tak/nie. Nosz kurna, czy percepcja ludzi czytającyh maile kończy
    się pierwszej kropce lub przecinku użytym w zdaniu, a potem albo
    nic nie napiszą, albo zaczynają się rozwodzić jacy to oni są super,
    albo jaka pogoda akurat ładna? Ehhh..

    • Pan z tych, którzy myślą, że na każdą pracę przy urzędzie
      trzeba robić przetargi, bo jak nie ma przetargu to “po znajomości”
      ? No to gratuluję.

    • Spoko – paranoikiem nie jestem.
      Zresztą nie mam nic do dawania zarobić znajomym pod warunkiem, że jest to względnie rozsądne jakościowo i cenowo.
      Natomiast nie zmienia to faktu, że koleś jest urzędnikiem państwowym nie objętym w żaden sposób tajemnicą zawodową, urzędową, jakąkolwiek inną (pada pytanie: jak wybraliście firmę, a nie jaką macie adresację i hasła administracyjne), a i tak nie chcec po dobroci odpowiedzieć na pytanie. Adamowi Dobrawemu kilka postów wyżej też chyba jeszcze nie odpisali. Czyli coś tam nie do końca jest cacy. Czyli w sumie nic nadzwyczajnego. Niestety.

    • Zgadza się, nie odpisali. Lecz ustawowy termin DO 14 dni w praktyce urzędowej oznacza 14 dni wysłać. Jak śle średnio 1-3 wnioski dziennie z pikami 50 od pół roku to aby wysłano w terminie poniżej tygodnia to są dosyć sporadyczne przypadki.
      Nie ma co wysnuwać żadnych wniosków po terminie odpowiedzi, gdy zachowany termin ustawowy – norma.

  27. a ja za godzinę zarabiam 6zł netto po doktoracie

    • Jakbyś był po doktoracie, to byś wiedział, że zdanie zaczyna się dużą literą, a kończy kropką.

    • Może właśnie dlatego zarabia 6/godz. ?

  28. Nikt do tej pory nie pomyślał, że nad tym zleceniem pracował więcej niż jeden człowiek.
    No i FV na 35k netto obejmuje nie tylko sam czas pracy specjalisty(ów).

    Mam wrażenie, że w większości wypowiadają się osoby, które FV nigdy nie dostały – co najwyżej u rodziców, jak rachunki za telefon im opłacają co miesiąc ;)

  29. “Jednocześnie w celu zabezpieczenia serwera, zostało wymienione jego oprogramowanie systemowe.”

    Ciekawe co to znaczy, albo niewspieranego Ubuntu LTS zaktualizowali do nowego, albo zrobili update apache i mysql :D

    • Tak, zazwyczaj oznacza to aktualizację. Wbrew pozorom –
      często wiąże się z tym sporo komplikacji, szczególnie jeśli strony
      chodziły na jakiś bardziej zaawansowanych, ale już kilkuletnich
      CMSach. Jak ktoś robił pod “specyfikację przetargową” i wygrał na
      zasadzie “najniższej ceny” to poprawek może być całe multum,
      szczególnie jak przechodzisz np. z PHP 5.0 na 5.3 lub
      nowszy.

  30. ciekawe ile podatnosci byloby gdyby ta supersekurity liste
    teraz jeszcze raz przetrzepac ;D

  31. Nie orientuję się jak wyglądają kontrakty rządowe, ale w porównaniu do stawki, jaką rzucają za godzinę pracy np. sieciowca albo innego IT operations takie firmy jak HP czy IBM (które w dużej mierze funkcjonują dzięki kontraktom rządowym), 175zł/h to pikuś. Jak już ktoś wcześniej przytomnie zauważył, sam specjalista bynajmniej nie zgarnia tej kwoty dla siebie

  32. Jeżeli chodzi o kryteria wyboru to są podane wprost:
    “Należy również podkreślić, szybkość reakcji wykonawcy na nasze
    zgłoszenie oraz fakt, że prace rozpoczęły się w niedzielę.” Czyli
    robi to ta sama firma co ich już obsługuje. Dodatkowe
    zlecenie.

  33. ‘Wymusiło to dodatkowe prace dostosowawcze, w celu
    uruchomienia portali internetowych w nowym środowisku systemowym’ –
    od kiedy to aplikacja/portal jest zależna od systemu? Mam tu na
    myśli oczywiście tanie portale informacyjne na dupnych i tanich
    rozwiązaniach.

  34. Z racji tego że zajmuje się czymś podobnym na co dzień i
    mam pewien rzut na koszta powiedzmy że w przybliżeniu koszt 1
    specjalisty na 1 godzinę w normalny dzień roboczy (i to w ramach
    kontraktu np.: rocznego czyli z zniżką) to dla klienta koszt 100
    Euro czyli po dzisiejszym porannym kursie jakieś 425 PLN. Gdyby
    liczyć wprost czas pracy takiej osoby to: 82 godziny przy tym
    koszcie czyli około 10 dni roboczych :) Cena wydaje się mocno
    zaniżona (zakres umiejętności takiej osoby obejmuje znajomość baz
    danych, języków programowania, konstrukcji stron internetowych i
    środowisk, procedur związanych z testowaniem zabezpieczeń i
    wydajności nierzadko taki DevOps jest certyfikowany).

  35. Ciekawe ile owa firma zapłaciła hakerowi :) Stawka jak
    stawka, wszyscy chcieli żeby urzędy się internetowały, to trzeba
    liczyć się z wydatkami. Z drugiej strony, jeśli trzeba było
    zmieniać w niedzielę “oprogramowanie systemowe”, to ktoś trochę
    przespał… Z drugiej strony – bardziej optymistycznej , procedury
    musiały przewidywać takie coś wcześniej, bo skoro zaczęli w
    niedzielę, to wszystko już musiało być przygotowane, przecież w
    takim miejscu nic nie dzieje się bez stu podpisów. A to w sumie
    dobrze świadczy o urzędzie. Przynajmniej fajnie tak pomyśleć :)
    Chyba, że odbyło się to na sposób, że ktoś obdzwaniał firmy po
    kolei w niedzielę i pierwsza, która się nawinęła zażądała 45k,
    decyzyjny z UM się zgodził (no 2k utargowali) i poleciało. Choć też
    czekam na to za co te 43k PLN …. No i pytanie – czy warto takie
    rzeczy utrzymywać ? Nie lepiej zrobić kawałek równej trawy, żeby
    można było pograć w piłkę ? Naprawdę te serwisy są potrzebne ? Za
    takie pieniądze ?

  36. 35.000zł za diff -u to jakby nie patrzec sporo
    pieniedzy.

  37. Czyli tak jak napisałem wcześniej, guzik zrobił diff -u na
    backup i nawet logów nie przeglądał tylko format c: “Aby
    zabezpieczyć nasz serwer firma wymieniła jego
    oprogramowanie”

  38. skoro płacili podatnicy to sądzę że całkiem mało wydali ,
    normalnie byłoby liczone w dziesiątkach milionów

  39. Problemem jest też co innego, czemu akurat przy tak dużym (nie dużym :)) zapleczu WWW nie ma administratora bezpieczeństwa tylko trzeba na niedziele najmować kogoś z zewnątrz? Nie taniej by było zatrudnić specjalistę, który w obowiązkach miałby wykonywać analizy po włamaniowe, testy penetracyjne, współpracować w opracowywaniu polityki bezpieczeństwa itd.? Miesięczny koszt specjalisty ds. bezpieczeństwa teleinformatycznego dostępnego 24/7 niech będzie 5 000 zł/mies. netto. Dwa ataki na urząd i specjalista się zwraca :)

    • Bo każdy w miarę ogarnięty siecowiec “nawet” w lodzi zarabia więcej niż admin w UML czy innym łódzkim urzędzie. Jeśli taki specjalista ma dostać kasę taką jak dyrektor albo naczelnik takiego departamentu, to nigdy nie zatrudnią go w urzędzie. A za 2k miesięcznie bez możliwości szkoleń i braku “pleców” potrzebnych do dostania sie na takie stanowisko łatwiej znaleźć inna robotę.
      Nasz dyro jak usłyszał ze chcemy ciscowca (siec i bez.) za 7k/mc brutto to powiedział ze informatykom to sie w dupach poprzewracało.
      Łatwiej wydać kasę na jakąś firmę zew. niz pracownikom zapłacić porządnie.
      Nepotyzm, brak wiedzy i świadomości u przełożonych to w takich miejscach norma.

  40. wyglada, jakby ten temat był a propos waszej własnej działalnosci – wykonujecie przecież podobne prace? dlatego bronicie tej ceny? i czy nie w celach zarobkowych pytacie sie o to, w jaki sposób dana firma dostała owo zlecenie?

    • Powiedz mi, że znasz się na rzeczy i możesz robić rzetelną analizę powłamaniową przez miesiąc za np. 1/3 tej ceny. Zatrudniam Cię od razu (oczywiście z tej 1/3, która leci do klienta, opłacasz jeszcze dochodówkę, prowizję dla nas za załatwienie Ci zlecenia oraz twój udział w kosztach obsługi biura — ten wydatek nie jest jakiś strasznie wielki, jesteśmy małą, zgraną firmą bez złotego papieru toaletowego i własnego kucharza).
      To co, kiedy zaczynasz? :-)

  41. gdy publikowałem komentarz i zapomniałem podać mejla pojawił sie komunikat – po angielsku. trochę słabo to wyglada…

  42. Co oznacza “dumpingowa” cena?

    • Dumpingowa – czyli niższa, niż cena rynkowa w danym
      mieście/regionie/kraju. Generalnie w Polsce zabroniona po
      przystąpieniu do UE, WTO i innych takich ;). Za cenę dumpingową
      uważa się cenę, która jest poniżej kosztów produkcji w danym kraju
      (w tym przypadku – poniżej kosztów tej samej usługi w tym samym
      mieście/regionie).

Odpowiadasz na komentarz WujekBogumił

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: