31/7/2013
Piotrek Król podesłał nam artykuł Dziennika Łódzkiego, w którym napisano, że Urząd Miasta Łodzi wydał 43 tys. zł na likwidację szkód po ataku “hakera” na www.uml.lodz.pl. Chodzi o atak, który miał miejsce 13 czerwca.
Deface uml.lodz.pl
Dziennik pisze “aż” 43 tys. zł., sugerując, że jest to wysoka kwota jak na naprawę strony WWW. Niestety, w artykule nie znajdziemy rzetelnych danych na temat tego co dokładnie zostało zrobione. Rzecznik prezydent Łodzi w oświadczył, że:
Firma wykonała bardzo pracochłonne zadanie (…) Sprawdzono wszystkie portale internetowe funkcjonujące na tym samym serwerze, na którym była uruchomiona główna strona urzędu. Atakujący mógł bowiem wykorzystać jeden portal do działań, które mogły zagrozić działaniu całego systemu informatycznego magistratu. (…) Aby zabezpieczyć nasz serwer firma wymieniła jego oprogramowanie. Nie bez znaczenia jest też to, że wykonujący usługę bardzo szybko zareagował na nasze zgłoszenie i rozpoczął prace w niedzielę.
Przez inne portale należy rozumieć, wedle DŁ, “uml.lodz.pl, ale również: czystemiasto.uml.lodz.pl, ulicapiotrkowska.pl, dworzec.lodz.pl, turystyczna.uml.lodz.pl oraz kilka innych.”
35 000, czy to dużo, czy mało?
Wysoka, wedle Dziennika Łódzkiego cena, wcale może nie być taką wysoką, jeśli zwrócimy uwagę, że usługa tak naprawdę kosztowała 35 000 PLN netto (czyli bez VAT-u), co po średnich rynkowych stawkach daje +/- 25 dniówek specjalisty.
Czy to mało czy dużo, to niestety zależy od zakresu prac. Jeśli samo odtworzenie strony z backupu, to pewnie wycena jest naciągana, jeśli jednak do reinstalacji systemów dodać analizę powłamaniową, wykonanie testów penetracyjnych kilku serwisów oraz np. analizę malware’u znalezionego na zaatakowanych serwerach, to obawiamy się, że cena staje się wręcz dumpingowa.
Aby prowadzić merytoryczną dyskusję w tym zakresie, należy posiadać więcej danych, dlatego wysłaliśmy zapytanie do rzecznika UMŁ z prośbą o doprecyzowanie zakresu i czasu pracy specjalistów — ale może ktoś, idąc wzorem Vagli, złoży wniosek o dostęp do informacji publicznej?
Nasze pytania przesłane UMŁ:
1. Jak nazywa się i jakie dokładnie czynności wykonała firma usuwająca
skutki włamania, którą w artykule Dziennika Łódzkiego z dn. 31.07.2013
roku wskazuje Pan Marcin Masłowski, rzecznik prezydent Łodzi? Prosimy
o szczegółowe opisanie wykonanych zadań, wraz oszacowaniem czasu, jaki
poświęcono na ich realizację.2. Czy, a jeśli tak to gdzie i kiedy, dostępny będzie raport z działań
ww. firmy?3. Na jakiej podstawie wybrano tę a nie inną firmę do przeprowadzenia
operacji usuwania skutków ataku informatycznego na serwis
www.uml.lodz.pl?
PS. Ciekawe ile kosztowały audyty po zabawie na serwisach Urzędu Wojewódzkiego w Kielcach?
PS2. Żeby nie narzekać ciągle na Łódź, warto zauważyć, że zawsze mogło być gorzej, np. tak jak w USA, gdzie ostatnio wydano ponad 8 milionów złotych na analizę powłamaniową i walkę z zagrożeniem, którego nie było ;-)
Aktualizacja 15:00
Pan Marcin Masłowski przesłał nam swoją pełną wypowiedź, którą wczoraj przekazał e-mailowo do Dziennika Łódzkiego:
Informuję, że w ramach realizacji zadania dotyczącego zabezpieczenia zagrożeń wywołanych atakiem hakerów na główną stronę WWW Urzędu Miasta Łodzi musiała zostać wykonana bardzo pracochłonna praca związana z analizą kodów źródłowych wszystkich portali internetowych funkcjonujących na tym samym serwerze, na którym była uruchomiona główna strona Urzędu. Było to niezbędne, gdyż atakujący mógł wykorzystać jeden portal do dalszych działań, które mogły stanowić zagrożenie dla systemu informatycznego Urzędu Miasta Łodzi.
W ramach realizacji tego zadania zostały przeanalizowane i usunięte zagrożenia, związane a atakiem hakerów.
Sprawdzono między innymi portale:http://www.uml.lodz.pl
http://www.turystyczna.lodz.pl
http://www.sportowa.lodz.pl
http://www.en.uml.lodz.pl
http://www.przyroda.uml.lodz.pl
http://www.czystemiasto.uml.lodz.pl
http://www.itpo.uml.lodz.pl
http://www.css.samorzad.lodz.pl
http://www.rowery.uml.lodz.pl
http://www.ulicapiotrkowska.pl
http://www.kreatywna.lodz.pl
http://www.dworzec.lodz.pl
http://www.invest.lodz.pl
http://www.tansman.lodz.plPragnę również podkreślić, że wiele z tych stron posiada swoje moduły zarządzające, które funkcjonują jako osobne serwisy na ty samym serwerze. Zatem, również i te portale (nie są one dostępne dla mieszkańców), musiały być poddane weryfikacji.
Jednocześnie w celu zabezpieczenia serwera, zostało wymienione jego oprogramowanie systemowe. Wymusiło to dodatkowe prace dostosowawcze, w celu uruchomienia portali internetowych w nowym środowisku systemowym.
Należy również podkreślić, szybkość reakcji wykonawcy na nasze zgłoszenie oraz fakt, że prace rozpoczęły się w niedzielę.
Polityka zarządzania danymi w Urzędzie, która jest dotychczas stosowana, wymusza przechowywanie danych na serwerach WWW, a szczególności tych o charakterze informacyjnym, które są publicznie dostępne. Wynika z tego, że ich kradzież nie stanowi zagrożenia dla danych osobowych. Dodatkowo, dotychczasowe ustalenia pozwalają przypuszczać, że włamanie nie miało na celu kradzieży danych z systemu informatycznego Urzędu, a jedynie zaprezentowanie możliwości technicznych włamującego się.
Opisywane portale uruchomione są na serwerach UMŁ.
[poll id=”39″]
W sumie to ciekawi mnie czemu informacje o zakresie wykonanych prac nie są ujawniane, w końcu jakby nie patrzeć: poszła na to publiczna kasa :X
Proste. W Polsce urzędnicy jeszcze nie wiedzą, że muszą spowiadać się z każdej wydanej złotówki. Właściwie to – w praktyce nie muszą, nawet jeśli prawo teoretycznie mówi co innego.
czy mogło być gorzej, czy nie, to okaże się jak poznamy za co to cena. Bo jak za full service to “lepiej być już nie mogło” :)
Gorzej jeżeli to było tylko przywrócenie backupu/ustawienie tej samej strony od zera. Wtedy będzie powód do śmiechu na najbliższe 25 lat :D
Chcialem im maila napisac ale w RIPE maila nie ma .. Cichą nadzieję mam, ze admin sieci lódzkiego urzędu zagląda czasem na niebezpiecznika i do niego dotrze info, żeby sobie transfer strefy DNS zablokował bo dłuższego spokoju nie zaznają jeśli będą łatać zawsze PO incydencie..
@jan3sobieski
Jak nie możesz bezpośrednio do nich, to uderz do CERTu.
Przyjechali panowie w czarnych garniturach i zaczęli robić “magię” ohy i ahy, terminologia branży IT i oczy jak pięć złotych u niewtejemniczonych. No to trzeba było sowicie panów nagrodzić, bo “hakiery” mogły dużo bardziej nabroić.
No, jeśli ci urzędnicy mają podejście podobne do Twojego to nic dziwnego, że dalej tkwimy w średniowieczu.
Jeśli nie wiadomo co było zrobione na serwerze, to ankieta moim zdaniem mija się z celem. Trochę jak wróżenie z fusów
polowa pracy adminow [ dla zwyklych userow ] to jest wrozenie z fusow
wiec w czym problem :P
Zależy też czy nowe zabezpieczenia pomogą, bo jeśli znowu padnie w najbliższym czasie no to komuś się oberwie :]
Jakby się tak zastanowić, to przecież to zostało opłacone z podatków, licząc w zaokrągleniu na każdego mieszkańca (wg. liczby mieszkańców na rok 2012) Łodzi koszt tego wyniósł zastraszające 5 groszy, faktycznie afera…
Moim zdaniem to zupełnie niewłaściwe nastawienie do tej sprawy. Stosując ten tok rozumowania, można uznać, że np. kradzież kilkudziesięciu tysięcy PLN z publicznej kasy to nic złego, bo przecież to parę groszy na obywatela, i w zasadzie to nawet nie trzeba dzwonić po Policję… Nie sugeruję oczywiście, że tutaj ktoś coś ukradł, no ale nie można być tak pobłażliwym tylko dlatego, że Państwo obraca miliardami, więc tysiące złotych to pomijalne kwoty…
Nie no.. z tą ankietą to pojechaliście..
Najpierw pół strony nawijania, że cieżko powiedzieć czy to dużo czy mało bez większej ilości informacji na temat wykonanych prac, a potem ankieta w której co dokładnie mamy zrobić – zgadywać?
Heheh .. troche to zabawne.
3 tygodnie pracy specjalisty to 35k PLN? Chcę być takim specjalistą!
Żeby dodatkowo obedrzeć stawkę z atrakcyjności, sugeruję zwrócenie uwagi na to, że w tej dniówce, która wygląda na atrakcyjną pieniądze nie płyną bezpośrednio do kieszeni specjalisty, ale do firmy, która go użycza, a ta ma koszty (biuro, podróże, itp.). Mało tego, od tego 35k netto trzeba odjąć podatek dochodowy (z regułu 19%)
przecież nie robił tego freelancer (chyba ;) ), który zgarnął 35k (-podatek) do kieszeni. 175zł za godzinę to na prawdę sensowna stawka.
stawka w miare, ale bym sie pokosil o stawierdzenie czy nie za mala
oczywiscie pod warunkiem ze zrobili to co mowia, jesli to tylko bym restore backup calego serwera to tez troszke duzo, bo to by bylo cos z tydzien bawienia sie [ plus przezucenie z systemow zapasowych ]
ale my se mozemy gdybac tylko, jesli nie pokaza rachunku za co to
3 tygodnie pracy specjalisty? O ja nieszczęsny, jestem tylko prostym lekarzem stomatologiem ze świetnie prosperującą praktyką prywatną i dla mnie 35 tysięcy miesięcznie to kwota nieosiągalna. Chyba pora podnieść ceny skoro “specjalista” z zerową odpowiedzialnością, bez całego zaplecza, zarabia dwa razy tyle co ja…
ale ty masz staly doplyw pacjentow a ja lape takie zlecenia jak to raz na kwartal i sporo inwestuje w ludzi co mi pomagaja dosc do firm z oferta ;]]
@Marek jeżeli tylko masz kasę fiskalną, to śmiało podnoś stawki :)
Polska będzie Ci wdzięczna …
nieodpowiedzialna praca … żebyś k**wa padł ofiara stalkingu, żeby ci wysłali grama heroiny do domy i zadzwonili na policje, wyczyścili kartę debetową, albo wsadzili do pierdla za pedofilie…
patrząc na to ile płacę u stomatologa \ czas wizyt i ilość
takich możliwych wizyt \ standardowy dzień pracy itp – to stawki
stomatologów sa o wiele wyższe niż ta która tutaj wychodzi :). Może
zależy to od miejsca. I z tą zerową odpowiedzialnością to trochę
uproszczone – firma wykonująca usługę ponosi za nią
odpowiedzialność i za jej skutki też, wszystko jest w umowie i
zależy jaką ktoś umowę podpisał. Tak że przystopowałbym z tego typu
ocenami. BTW: są specjaliści których stawki są kilkukrotnie wyższe
per-dzień niż te o których tutaj rozmawiamy
No bez jaj… 175 za godzinę pracy nie wychodzi? Byle plomba kosztuje 150zł, a pracy przy tym najczęściej jakieś pół godzinki.
o przepraszam bardzo, a w Polsce lekarz jest za cos odpowiedzialny ? od kiedy ?
Chętnie poznam firmę która płaci “specjaliście” ponad 10 tyś pln netto tygodniowo. W modelu B2B czasem zdarzają się kontrakty jednostkowe na wyższe kwoty ale porównując do skali zleceń jest to raczej igła w stogu siana. Skąd taka informacja że jest to średnia rynkowa ?
pierwsza lepsza firma, zatrudniająca specjalistów od SAP płaci im tygodniowo 10k netto, takie są stawki w dużych projektach
Bo jest. Ale niektórzy dają się dymać ;)
A skąd pomysł z 10k/tydzień?
A na te koszty faktur nie bierze, czy je gubi?
jak pracuje na umowe o prace to nie ma jak brac .
Wniosek o dostęp do informacji publicznej może i coś da ale nasuwa się kolejne pytanie.
Skoro “informatycy” Urzędu nie poradzili sobie z posprzątaniem, zabezpieczeniem i weryfikacją po włamaniową to czy ktoś zweryfikował to co zrobiła ta Firma.
Liczę na update artykułu po odpowiedzi z urzędu. :)
Oh wait
“pieniądze nie płyną bezpośrednio do kieszeni specjalisty, ale do firmy, która go użycza, a ta ma koszty (biuro, podróże, itp.). “
Czy mi się tylko wydaje czy ktoś/coś zrobił ze strona uml.lodz.pl :)
A co jeśli hakerem był ktoś z firmy, która teraz to naprawia? Taki ustawiony atak, podmiana strony a teraz w pełni legalne naprawienie jej za grubą kasę.
Dlatego należy też spytać o kryterium wyboru firmy :) Chociaż włamanie to wielki szum. Jest wiele lepszych sposób na drenaż środków z urzędu.
Podstawowe pytanie wysłane do urzędników powinno brzmieć: po co wam tyle serwisów internetowych. Urząd tak naprawdę powinien prowadzić wyłącznie BIP. Z jednej strony słyszy się, że nie ma kasy, a z drugiej, że urzędnicy potrafią wydać na portal 65 mln
Wybierz któryś i spytaj (art. 61 Konstytucji RP) o podstawę funkcjonowania w oparciu o zasadę legalizmu (art. 7 Konstytucji RP), gdyż władza zwierzchnia należy do Narodu (art. 4 ust. 1 Konstytucji RP) :)
Całe sprzątanie polegało na aptitude update aptitude upgrade. System bezpieczny Kasa skasowana :)
Źródło?
Bez źródła bo to moje domysły :D
Widze, ze wielu oburza stawka 175/h (35 000 PLN/25 dni/8h).
Nie znam dokladnie stawek firm zajmujacych sie audytami IT, ale orientuje sie w cenach krazacych wsrod firm zajmujacych sie automatyka i programowaniem i powiem wam, ze jest to cena jak najbardziej rynkowa.
Sam prowadze firme (automatyka przemyslowa), zatrudniam 11 osob i robilem (calkiem niedawno) wyliczenia. Wierzcie albo nie-stale koszty miesieczne mojej firmy oscyluja w granicach 40-50K. W tym miesci sie:
-utrzymanie biura (media, net, kawa do ekspresu, ochrona, serwis narzedzi, telefony komorkowe, kurierzy, wywoz smieci, ubezieczenia dla pracownikow, zakup i serwis drukarek, skanerow, itp.)
-utrzymanie samochodow (waha, przeglady, naprawy)
-splaty rat leasingow i kredytow (ciezko prowadzic dzis biznes bez tego)
-pensje sekretarki i ksiegowej (ktore rowniez wplywaja na cene godzinowa, choc nie generuja bezposrednio zysku
Do tego trzeba dodac koszty promocji (materialy reklamowe, wyjazdy na targi, spotkania biznesowe w drogich restauracjach) no i zalozyc jeszcze jakis zysk nizej podpisanego ;).
Do tego wezcie jeszcze pod uwage, iz w zadnej firmie NIGDY kazdy pracownik nie pracuje efektywnie przez pelne 8h dziennie. Bo tu poranna kawa, papieros, tam czekanie na telefon, itp… Natomiast pracownikom etatowym placi sie ich pelna stawke (czyli minimalnie 25-35 zl za godzine) niezaleznie od tego ile z ich dnia pracy faktycznie da sie efektywnie “sprzedac” klientowi jako roboczogodzine.
Dodajcie jeszcze do tego fakt, iz czasem zdarzaja sie miesiace posuchy gdy w ogole nie ma roboty i trzeba miec jakiekolwiek oszczednosci, aby nie splajtowac.
Reasumujac-w przypadku mojej firmy, aby ja utrzymac i wyjsc na zero (w dluzszej perspektywie) musze miesiac w miesiac “naruchac” 70-80 tys. zl. Zakladajac, ze statystyczny miesiac to ok. 21 dni roboczych-przy stawce 175/h jeden pracownik, przy 100% zatrudnieniu (jak wspomnialem wczesniej-realnie nieosiagalnym) przyniesie nam 30 800,- przychodu. Czyli mniej niz 50% ;).
Serdecznie pozdrawiam wszystkich (w tym rowniez ekspertow od liczenia cudzych pieniedzy ;) ).
+1
niestety nikt kto sam nie prowadzil firmy nigdy tego nie zrozumie … i zawsze przecietnemu etatowcowi bedzie sie wydawalo , ze jesli firma wystawia za jego projekt fakture na 30k on zarabia 7k pensji miesiecznej na swoj rachunek to prezes firmy go wyruchal na na 23 patyki co jest bzdura jak sporzec na to ile faktycznie placi prezes za pracownika a placi 12 kola z faktury ma 19k po odliczeniu pit i vat wiec zostaje prezesowi tez 7 ale prezes musi za to oplacic rachunki biura i innych pracownikow wiec tak naprawde wychodzi na tym gorzej niz pracownik ;]]
W zeszłym roku powiesił się im 63 letni informatyk. Może teraz za zombie robi?
http://www.dzienniklodzki.pl/artykul/707281,pracownik-urzedu-miasta-lodzi-powiesil-sie-w-magistracie,id,t.html
Niebezpiecznik, przyznać się – miesięcznie po ilu hakerach pracujących dla was, musicie sprzątać? :)
To w końcu to dużo czy mało?
Bez uzyskania kopii umowy i zakresu nie sposób ocenić.
Wniosek o informacje publiczną? Już wysłany… :)
od: Adam Dobrawy
do: uml@uml.lodz.pl
data: 31 lipca 2013 16:19
temat: Wniosek o informacje publiczne
Stosownie do art. 61 Konstytucji RP wnoszę o przesłanie pod adres ad_m@siecobywatelska.pl informacji publicznej w zakresie kopii treści umowy na działania o których mowa w artykule https://niebezpiecznik.pl/post/43-000-pln-to-koszt-sprzatania-po-hackerze-w-lodzi/ wraz z kopią treści właściwych faktur, rachunków, upoważnień dot. zawarcia umowy oraz informacje o sposobie wyboru firmy.
Z wyrazami szacunku,
****
—–
od: UMŁ przez s36.linuxpl.com
do: ad_m@siecobywatelska.pl
data: 31 lipca 2013 16:20
temat: Re: Wniosek o informacje publiczne
To jest potwierdzenie dostarczenia do serwera pocztowego Urzędu Miasta Łodzi
Można takie rzeczy e-mailem, nie trzeba przez epuap?
Absolutnie nie. Nie budzi to wątpliwości w sądownictwie.
W ocenie Naczelnego Sądu Administracyjnego przedstawionej w wyroku z dn.2009-03-16 (sygn.I OSK 1277/08) za wniosek pisemny uznawać należy również przesłanie zapytania pocztą elektroniczną i to nawet gdy do jej autoryzacji nie zostanie użyty podpis elektroniczny. Pogląd ten wydaje się uzasadniony brakiem konieczności pełnego zidentyfikowania wnioskodawcy, a to z uwagi na to, że żądając informacji nie musi się on wykazać jakimkolwiek interesem prawnym lub faktycznym, aby otrzymać informację. Wniosek o udzielenie informacji publicznej może przybrać każdą formę, o ile wynika z niego w sposób jasny, co jest przedmiotem wniosku. Wniosek taki wszczyna postępowanie w sprawie, ale na tym etapie nie mają jeszcze zastosowania przepisy K.p.a. Zgodnie z art. 16 ust. 2 ustawy o dostępie do informacji publicznej przepisy K.p.a. stosuje się do decyzji o odmowie udostępnienia informacji publicznej oraz decyzji o umorzeniu postępowania. Dopiero zatem w takich sytuacjach znajdzie zastosowanie art. 63 § 3a K.p.a. stanowiący o obowiązku opatrzenia podania wniesionego w formie dokumentu elektronicznego bezpiecznym podpisem elektronicznym. Uwzględniając powyższe należy uznać, że nie mają zastosowania przepisy ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, w tym art. 226 w.w. ustawy i par.8 rozporządzenia Rady Ministrów z dnia 8 stycznia 2002 r. w sprawie organizacji przyjmowania i rozpatrywania skarg i wniosków i wniosek podlega rozpatrzeniu bez uzupełnienia w podpis.
s36.linuxpl.com ;—-))))
Odpowiedź uzyskano: http://www.scribd.com/doc/160353861/?secret_password=15y9am7lr7dy1a0b6uhc
Wykonawca: PIXEL s.c. z siedzibą w Łodzi przy ulicy Pięknej 1
Zakres jak każdy widzi – cerowanie byle tylko przestano podmieniać.
Zapis “s36.linuxpl.com” odnosi się do służbowego serwera pocztowego przez który poczta na moją skrzynkę wpadła. Nie ma nic wspólnego z siecią UMŁ. Zaznaczam na wszelki wypadek.
Bo jak teleinformatycy zarabiają w urzędach panstwowych np WOGach (MON)1600 zl to takich ataków będzie więcej.
W creditsach jest dopisany ‘dedik’, to ten koleś który za
małolata hakował przez znane luki w cmsach różne strony. On też
jest z łodzi… nie rozumiem wiec czemu te flagi po
bokach?
A mnie wkurza co innego. Mail z pytaniami: 1- co dokładnie
zrobili? 2- kiedy dostaniemy pełny raport? 3- kryteria wyboru
firmy? Mail z odpowiedziami: 1- a przejrzeli kilka adresów i cośtam
popatrzyli. 2- ?? 3- ?? A wogóle to fajne chłopaki bo tyle się
napracowali i w niedziele i to było takie trudne i jeszcze coś
mieli do roboty i to w niedziele i nie było dostępu do danych
osobowych i wogóle fajnie jest. Ja rozumiem, że poszło to po
znajomości, na szybko i przepłacone, żeby tylko papiórek był, więc
będą kręcić ile się da, żeby nie dać konkretnych odpowiedzi. Ale z
czymś takim (stosunek odpowiedzi do pytań) spotykam się notorycznie
gdy tylko w mailu użyte jest więcej niż jedno krótkie zdanie
pojedyńcze, nie wymagające dużo ambitniejszej odpowiedzi niż
tak/nie. Nosz kurna, czy percepcja ludzi czytającyh maile kończy
się pierwszej kropce lub przecinku użytym w zdaniu, a potem albo
nic nie napiszą, albo zaczynają się rozwodzić jacy to oni są super,
albo jaka pogoda akurat ładna? Ehhh..
Pan z tych, którzy myślą, że na każdą pracę przy urzędzie
trzeba robić przetargi, bo jak nie ma przetargu to “po znajomości”
? No to gratuluję.
Spoko – paranoikiem nie jestem.
Zresztą nie mam nic do dawania zarobić znajomym pod warunkiem, że jest to względnie rozsądne jakościowo i cenowo.
Natomiast nie zmienia to faktu, że koleś jest urzędnikiem państwowym nie objętym w żaden sposób tajemnicą zawodową, urzędową, jakąkolwiek inną (pada pytanie: jak wybraliście firmę, a nie jaką macie adresację i hasła administracyjne), a i tak nie chcec po dobroci odpowiedzieć na pytanie. Adamowi Dobrawemu kilka postów wyżej też chyba jeszcze nie odpisali. Czyli coś tam nie do końca jest cacy. Czyli w sumie nic nadzwyczajnego. Niestety.
Zgadza się, nie odpisali. Lecz ustawowy termin DO 14 dni w praktyce urzędowej oznacza 14 dni wysłać. Jak śle średnio 1-3 wnioski dziennie z pikami 50 od pół roku to aby wysłano w terminie poniżej tygodnia to są dosyć sporadyczne przypadki.
Nie ma co wysnuwać żadnych wniosków po terminie odpowiedzi, gdy zachowany termin ustawowy – norma.
a ja za godzinę zarabiam 6zł netto po doktoracie
Jakbyś był po doktoracie, to byś wiedział, że zdanie zaczyna się dużą literą, a kończy kropką.
Może właśnie dlatego zarabia 6/godz. ?
Nikt do tej pory nie pomyślał, że nad tym zleceniem pracował więcej niż jeden człowiek.
No i FV na 35k netto obejmuje nie tylko sam czas pracy specjalisty(ów).
Mam wrażenie, że w większości wypowiadają się osoby, które FV nigdy nie dostały – co najwyżej u rodziców, jak rachunki za telefon im opłacają co miesiąc ;)
“Jednocześnie w celu zabezpieczenia serwera, zostało wymienione jego oprogramowanie systemowe.”
Ciekawe co to znaczy, albo niewspieranego Ubuntu LTS zaktualizowali do nowego, albo zrobili update apache i mysql :D
Tak, zazwyczaj oznacza to aktualizację. Wbrew pozorom –
często wiąże się z tym sporo komplikacji, szczególnie jeśli strony
chodziły na jakiś bardziej zaawansowanych, ale już kilkuletnich
CMSach. Jak ktoś robił pod “specyfikację przetargową” i wygrał na
zasadzie “najniższej ceny” to poprawek może być całe multum,
szczególnie jak przechodzisz np. z PHP 5.0 na 5.3 lub
nowszy.
ciekawe ile podatnosci byloby gdyby ta supersekurity liste
teraz jeszcze raz przetrzepac ;D
Nie orientuję się jak wyglądają kontrakty rządowe, ale w porównaniu do stawki, jaką rzucają za godzinę pracy np. sieciowca albo innego IT operations takie firmy jak HP czy IBM (które w dużej mierze funkcjonują dzięki kontraktom rządowym), 175zł/h to pikuś. Jak już ktoś wcześniej przytomnie zauważył, sam specjalista bynajmniej nie zgarnia tej kwoty dla siebie
Jeżeli chodzi o kryteria wyboru to są podane wprost:
“Należy również podkreślić, szybkość reakcji wykonawcy na nasze
zgłoszenie oraz fakt, że prace rozpoczęły się w niedzielę.” Czyli
robi to ta sama firma co ich już obsługuje. Dodatkowe
zlecenie.
‘Wymusiło to dodatkowe prace dostosowawcze, w celu
uruchomienia portali internetowych w nowym środowisku systemowym’ –
od kiedy to aplikacja/portal jest zależna od systemu? Mam tu na
myśli oczywiście tanie portale informacyjne na dupnych i tanich
rozwiązaniach.
Z racji tego że zajmuje się czymś podobnym na co dzień i
mam pewien rzut na koszta powiedzmy że w przybliżeniu koszt 1
specjalisty na 1 godzinę w normalny dzień roboczy (i to w ramach
kontraktu np.: rocznego czyli z zniżką) to dla klienta koszt 100
Euro czyli po dzisiejszym porannym kursie jakieś 425 PLN. Gdyby
liczyć wprost czas pracy takiej osoby to: 82 godziny przy tym
koszcie czyli około 10 dni roboczych :) Cena wydaje się mocno
zaniżona (zakres umiejętności takiej osoby obejmuje znajomość baz
danych, języków programowania, konstrukcji stron internetowych i
środowisk, procedur związanych z testowaniem zabezpieczeń i
wydajności nierzadko taki DevOps jest certyfikowany).
Ciekawe ile owa firma zapłaciła hakerowi :) Stawka jak
stawka, wszyscy chcieli żeby urzędy się internetowały, to trzeba
liczyć się z wydatkami. Z drugiej strony, jeśli trzeba było
zmieniać w niedzielę “oprogramowanie systemowe”, to ktoś trochę
przespał… Z drugiej strony – bardziej optymistycznej , procedury
musiały przewidywać takie coś wcześniej, bo skoro zaczęli w
niedzielę, to wszystko już musiało być przygotowane, przecież w
takim miejscu nic nie dzieje się bez stu podpisów. A to w sumie
dobrze świadczy o urzędzie. Przynajmniej fajnie tak pomyśleć :)
Chyba, że odbyło się to na sposób, że ktoś obdzwaniał firmy po
kolei w niedzielę i pierwsza, która się nawinęła zażądała 45k,
decyzyjny z UM się zgodził (no 2k utargowali) i poleciało. Choć też
czekam na to za co te 43k PLN …. No i pytanie – czy warto takie
rzeczy utrzymywać ? Nie lepiej zrobić kawałek równej trawy, żeby
można było pograć w piłkę ? Naprawdę te serwisy są potrzebne ? Za
takie pieniądze ?
35.000zł za diff -u to jakby nie patrzec sporo
pieniedzy.
Czyli tak jak napisałem wcześniej, guzik zrobił diff -u na
backup i nawet logów nie przeglądał tylko format c: “Aby
zabezpieczyć nasz serwer firma wymieniła jego
oprogramowanie”
skoro płacili podatnicy to sądzę że całkiem mało wydali ,
normalnie byłoby liczone w dziesiątkach milionów
Problemem jest też co innego, czemu akurat przy tak dużym (nie dużym :)) zapleczu WWW nie ma administratora bezpieczeństwa tylko trzeba na niedziele najmować kogoś z zewnątrz? Nie taniej by było zatrudnić specjalistę, który w obowiązkach miałby wykonywać analizy po włamaniowe, testy penetracyjne, współpracować w opracowywaniu polityki bezpieczeństwa itd.? Miesięczny koszt specjalisty ds. bezpieczeństwa teleinformatycznego dostępnego 24/7 niech będzie 5 000 zł/mies. netto. Dwa ataki na urząd i specjalista się zwraca :)
Bo każdy w miarę ogarnięty siecowiec “nawet” w lodzi zarabia więcej niż admin w UML czy innym łódzkim urzędzie. Jeśli taki specjalista ma dostać kasę taką jak dyrektor albo naczelnik takiego departamentu, to nigdy nie zatrudnią go w urzędzie. A za 2k miesięcznie bez możliwości szkoleń i braku “pleców” potrzebnych do dostania sie na takie stanowisko łatwiej znaleźć inna robotę.
Nasz dyro jak usłyszał ze chcemy ciscowca (siec i bez.) za 7k/mc brutto to powiedział ze informatykom to sie w dupach poprzewracało.
Łatwiej wydać kasę na jakąś firmę zew. niz pracownikom zapłacić porządnie.
Nepotyzm, brak wiedzy i świadomości u przełożonych to w takich miejscach norma.
wyglada, jakby ten temat był a propos waszej własnej działalnosci – wykonujecie przecież podobne prace? dlatego bronicie tej ceny? i czy nie w celach zarobkowych pytacie sie o to, w jaki sposób dana firma dostała owo zlecenie?
Powiedz mi, że znasz się na rzeczy i możesz robić rzetelną analizę powłamaniową przez miesiąc za np. 1/3 tej ceny. Zatrudniam Cię od razu (oczywiście z tej 1/3, która leci do klienta, opłacasz jeszcze dochodówkę, prowizję dla nas za załatwienie Ci zlecenia oraz twój udział w kosztach obsługi biura — ten wydatek nie jest jakiś strasznie wielki, jesteśmy małą, zgraną firmą bez złotego papieru toaletowego i własnego kucharza).
To co, kiedy zaczynasz? :-)
gdy publikowałem komentarz i zapomniałem podać mejla pojawił sie komunikat – po angielsku. trochę słabo to wyglada…
Co oznacza “dumpingowa” cena?
Dumpingowa – czyli niższa, niż cena rynkowa w danym
mieście/regionie/kraju. Generalnie w Polsce zabroniona po
przystąpieniu do UE, WTO i innych takich ;). Za cenę dumpingową
uważa się cenę, która jest poniżej kosztów produkcji w danym kraju
(w tym przypadku – poniżej kosztów tej samej usługi w tym samym
mieście/regionie).
[…] https://niebezpiecznik.pl/post/43-000-pln-to-koszt-sprzatania-po-hackerze-w-lodzi/ […]