13:32
27/5/2013

Ciekawe zawiadomienie o przestępstwie zostało opublikowane na stronie Przemysława Wiplera. Możemy w nim przeczytać, że w trakcie szkolenia dla 100 pracowników skarbówki rzekomo pracowano na realnych danych polskich podatników, które zostały przekazane uczestnikom na pendrive’ach. Uczestnicy szkoleń nie mieli też ponoć wymogu zwracania pendrive’ów po szkoleniu…

Strona Przemysława Wiplera

Strona Przemysława Wiplera

Takich informacji dostarcza uzasadnienia zawiadomienia o przestępstwie autorstwa Przemysława Wiplera:

W dniach 19-22 kwietnia 2013 roku w hotelu “Antałówka” w Zakopanem, prywatna firma, Instystut Szkoleń Profesjonalnych Sp. z o.o. zorganizowała szkolenie dla 100 pracowników skarbówki (koszt 2600 PLN za osobę [na stronie organizatora widnieje 2299 PLN za osobę — dop. red.]). Szkolenie dotyczyło m.in. tzw. hurtowni danych WHTAX , czyli agregatora informacji z baz danych podatników z wszystkich urzędów skarbowych w Polsce, umiejscowionego przy Izbie Skarbowej w Katowicach. Szkolącymi byli pracownicy resortu odpowiedzialni za obsługę WHTAX (osobą prowadzącą była p. Bożena Wosik – pracownik departamentu informatyki Ministerstwa Finansów). Szkolenie odbyło się na sprzęcie komercyjnej firmy organizującej szkolenie (każdy uczestnik miał do dyspozycji komputer na którym pracował).Jako materiał szkoleniowy wszyscy uczestnicy otrzymali dane pobrane z WHTAX z urzędu, z którego przyjechali – przekazane na nośniku pendrive. Obejmowały one m.in. NIP firm i osób prowadzących działalność gospodarczą, numery PESEL osób nieprowadzących działalności oraz przebieg prowadzonych przeciwko podatnikom postępowań egzekucyjnych, włącznie z tytułem i wysokością długów. Dane te tworzą tzw. bazę Egopoltax i odnoszą się do wszystkich podatników z obszaru właściwości danej izby skarbowej.

Przemysław Wipler zarzuca organizatorom szkolenia, że

Osoby prowadzące szkolenie wykorzystały zatem, do celów szkoleniowych – ale także komercyjnych (wszak szkolenie było odpłatne) dane podatników objęte tajemnicą skarbową. Co więcej, osoby, które się szkoliły otrzymały pendrivy z tymi danymi bez konieczności ich zwrotu. W ten sposób doszło do rażącego naruszenia Ordynacji podatkowej i ustawy o ochronie danych osobowych. Taki nieograniczony i niekontrolowany dostęp do baz danych jest wielkim zagrożeniem dla obywateli. Zawartość bazy WHTAX może służyć do szantażowania podatników i nakłaniania ich do korupcji bądź płatnej protekcji, może stać się przedmiotem handlu pomiędzy firmami windykacyjnymi.

Ponieważ nas interesuje nie polityka a warstwa techniczna zdarzenia, rozważając powyższy incydent pod tym kątem, ciekawe są 3 kwestie;

    0. Czy rzeczywiście takie dane, o jakich pisze p. Wipler znajdowały się na pendrive’ach? Na razie chyba nigdzie nie zaprezentowano “twardego” dowodu… Mogło być tak, że na potrzeby szkolenia wygenerowano dane testowe (przypominające prawdziwe) i któryś z uczestników dorobił do tego historię. Ale to łatwo wyjaśnić, trzeba zbadać jeden z 100 pendrive’ów — pytani, czy p. Wipler takim pendrivem dysponuje?

    1. Z informacji przekazanych przez Przemysława Wiplera nie wynika jednoznacznie, kto tak naprawdę (i na czyj wniosek) pobrał dane podatników z bazy WHTAX. Skoro na szkolenie zjechali pracownicy z całej Polski, a dane maiały pochodzić z ich regionów, to czy przywieźli je sami urzędnicy? Czy może dane dostarczył trener lub ktoś, kto miał dostęp do ogólnopolskiej bazy zgrał odpowiednie jej fragmenty? Czy w związku z tym rzeczywiście wyciec mogły dane podatników z całej Polski, czy tylko z urzędów, które miały swoich “reprezentantów” na szkoleniu? Weźmy największy pendrive o pojemności 64 GB i podzielimy tę przestrzeń na ok. 23 milionów (liczba wszystkich podatników) to da nam to 32 kb danych na podatnika — ale raczej nie takie pendrive’y otrzymali uczestnicy…

    2. Co stało się z laptopami po szkoleniu? Skoro to na nich pracowano, można założyć, że dane z pendrive’ów znalazły się na dyskach laptopów. Powszechną praktyką (z racji oszczędności czasu) jest niezbyt dokładne czyszczenie sprzętu przez firmy szkoleniowe pomiędzy szkoleniami — mogło się więc tak zdarzyć, że kolejna grupa (już nie urzędników, ale innych osób) która otrzymała ten sam sprzęt do pracy na innym szkoleniu, przypadkowo natknęła się na dane podatników. I to chyba jest groźniejsza sytuacja od takiej, w której danymi dysponują pracownicy skarbówki (oni przecież i tak mają w nie wgląd w trakcie wykonywania przez siebie obowiązków służbowych; co jednak nie usprawiedliwia faktu wynoszenia danych poza urząd).

Przyczyna problemu…

Sytuację z omawianego szkolenia dla pracowników skarbówki (którzy tutaj akurat są najmniej winni i chyba raczej czujni i praworządni, bo to zapewne od nich informacja o tym co znajdowało się na pendrive’ach przedostała się do p. Przemysła Winplera) można — o ile sytuacja rzeczywiście miała miejsce — porównać do problemu, z którym spotykamy się na co dzień wykonując testy penetracyjne — a mianowicie — development serwisów internetowych z wykorzystaniem danych z produkcji a nie odpowiednio przygotowanych danych testowych, symulujących realne.

Problem ten dotknął kilka lat temu serwis Wykop.pl, kiedy to na adresie +1 do oficjalnego adresu IP ktoś odkrył serwer testowy/developerski. Serwery developerskie charakteryzuje gorszy stan bezpieczeństwa od konfiguracji produkcyjnej (bo ma być szybko i wygodnie, a poza tym włączone komunikaty o błędach pomagają programistom). W przypadku Wykopu to słabsze bezpieczeństwo pozwoliło atakującym dostać się na serwer developerski. I w zasadzie nic złego by z tego nie wynikło (najwyżej ktoś poznałby przedwcześnie jakie nowe funkcje pojawią się w serwisie) gdyby nie to, że Wykop pod serwer testowy miał podpiętą bazę z produkcji – a zatem realne dane użytkowników. Wyciekły hasła, była afera.

W takich sytuacjach programiści zazwyczaj tłumaczą się tym, że tworzenie danych testowych jest trudne, a poza tym nie jest możliwe tak dokładne przestestowanie serwisu jak na danych oryginalnych (“nic tak dobrze nie testuje mechanizmów jak dane z produkcji“). Dziwnym jednak trafem wymogi chociażby PCI DSS, narzucające sposób rozwoju oprogramowania dedykowanego instytucjom finansowym, zabraniają korzystania w trakcie developmentu z oryginalnych danych kart płatniczych — i co ciekawe, programiści potrafią stworzyć oprogramowanie z takim ograniczeniem — jak oni to robią? :-)

PS. Na marginesie, bo to jeden z głośnych tematów w komentarzach do tej “afery”; wbrew pozorom koszt na poziomie 2299 PLN netto za 3 dni szkolenia nie jest wygórowany (zwłaszcza, jeśli zawiera się w nim nocleg i wynajem sprzętu na czas szkolenia) — średnia stawka rynkowa za przeprowadzenie szkolenia komputerowego to ok. 1000 PLN netto za osobę za dzień szkoleniowy, z lunchem ale bez pełnego wyżywienia czy noclegu, który w przypadku omawianego szkolenia był zapewniony.

Aktualizacja 20:38
Skontaktowaliśmy się z Przemysławem Wiplerem i zadaliśmy mu następujące pytania:

0. Od kogo uzyskał Pan informację o tym szkoleniu? Od jego uczestnika?

Przemysław Wipler: Informacje mam od pracownikow aparatu skarbowego zbulwersowanych tą sprawą, którzy brali udzial w szkoleniu.

1. Czy widział Pan dane z pendrive’a? Czy rzeczywiście były one prawdziwe, czy może na szkoleniu wykorzystywano generowane losowo dane, które jedynie sprawiały wrażenie poprawnych?

PW: Nie widziałem, ale próbuję zostać jego właścicielem, może mi sie udać… To Ministerstwo Finansów i firma szkoleniowa powinny pokazać, na czym szkołą urzędników, zwłaszcza powinni przekazać jeden z pendrajwow z materiałami szkoleniowymi jesli twierdzą ze nie zawierają one tajemnicy skarbowej. Może sie okazać, ze konieczne będzie powołanie komisji śledczej by wyjaśnić wszystkie wątpliwości związane z tą sprawą.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

66 komentarzy

Dodaj komentarz
  1. z tymi 32kB to pojechaliście jak Kaczyński z robieniem dzieci.
    Jako, że wiosenne słońce bywa przyczyną zaćmienia to wyjasnie – takie dane się świetnie kompresują. Wystarczą jakieś zaawansowane narzędzia hakerskie jak WinRAR czy 7-zip..

    • ale przeciez nie napiasali w jakim foracie te 32kb. natomiast tobie polecam sprawdzic ile mozesz maksymalnie danych tekstowych upchnac w archiwum 32kb, albo inaczej, ile wynosci minimalny narzut zwiazany z zipem … :> :>

    • @Maciek
      testy do gimnazjum już za rok, a Ty nadal nie rozumiesz tekstu pisanego?

    • też mi się wydaje że to jest założenie na wyrost 500kB to już jest bardzo dużo informacji o podatniku

    • oczywiście chodziło mi o B nie kB

    • @Maciek: ale też z drugiej strony bez sensu kompresować dane każdego z podatników osobno. Kompresja całej bazy da z pewnością duże oszczędności.

    • Autor sam napisał, ze [wszyscy uczestnicy otrzymali dane pobrane z WHTAX z urzędu, z którego przyjechali] więc każdy mógł otrzymać kilkadziesiąt/kilkaset tysięcy rekordów. Do 23 milionów jeszcze daleko :).

    • 32KB to bardzo dużo:
      32KB to aż ~32tys. znaków typu varchar na rekord, myślę że wszystkie dane wymienione w artykule się zmieszczą.

    • W tekście jest : 32 kb danych. 32 kb danych to nie to samo
      co 32 kB danych ( kb -kilobit, KB kilobajt).

    • Demol, powiedz mi zatem, kto i kiedy podaje pojemność w kilobitach?
      Z drugiej strony ciekawe, że mnie po podzieleniu 64GB na 23mln wyszło 2987.

  2. czy te dane gdzies wyciekly?
    przeciez ci pracownicy skarbowek maja do tych samych danych, dostep na co dzien. codziennie te same dane moga wyplywac ze skarbowek. kazdy kto zna kogos w skarbowce, wie jak wyglada dostep do danych i jak latwo nagrac sobie to na dowolny nosnik.

    • dlatego też słusznie zauważa niebezpiecznik, że “niezbyt dokładne czyszczenie sprzętu przez firmy szkoleniowe pomiędzy szkoleniami” może być większym ryzykiem niż te rozdane urzędnikom gwizdki, z czego aferę robi cały internet…

    • @robokop
      Jest parę programów dobrze czyszczących dane. Trochę to trwa, ale coś za coś. Można też robić obraz czystego systemu i przywracać po zakończeniu szkolenia. Problem w tym, że sprzęt szkoleniowy nie zawsze jest najnowszy i najszybszy, więc kuszą prostsze i szybsze rozwiązania, bo jak wspomniałem dokładne czyszczenie i odtwarzanie systemu trochę by potrwało.

    • @Paweł Nyczaj
      Wyczyszczenie 4 GB Gutmannem to kilkanaście minut…
      Cały problem polega na tym że w prywatnych firmach, nawet tych mających styczność z wrażliwymi danymi po prostu nie ma wdrożonych odpowiednich procedur – a bo to kosztowne, a bo to by trzeba przeszkolić pracowników, albo zatrudnić kogoś kto by dbał…

    • Może łatwo zgrać dane jednej osoby, ale nie wierzę że urzędas może sobie zrobić zrzut całej bazy czy choćby jej fragmentu. Do tego dochodzi kwestia kontroli – prawdopodobnie (mam nadzieje :P) każdy dostęp do danych jest logowany, a na penie masz wszystko i bez kontroli

    • Widzę że kolega nie jest do końca zaprzyjaźniony z
      problematyką dostępu do danych i prawnego usankcjonowania tego
      faktu… To że pracownicy ZUS-u, Skarbówki czy innego urzędu mają
      dostęp do danych osobowych to nie żadna rewelacja. Mają bo muszą .
      Ale oni wszyscy (pracownicy) podpisali pewne papiery żeby ów dostęp
      uzyskać i są na nich “kwity”. Wiem bo sam takie kwity podpisywałem.
      A tutaj chodzi o to że firma szkoleniowa – której pracownicy
      niczego nie podpisywali (bo nie muszą) – otrzymali poprzez swój
      sprzęt na którym odbyło się szkolenie – dane do których: 1) nie
      mieli prawa 2) nie są zobowiązani niczego dochowywać , tajemnicy
      etc 3) nie ma jak zweryfikować jaki dalszy los był tych danych
      Tylko i aż tyle :) Oczywiście, o ile okaże się prawdą, że szkolenie
      odbyło się rzeczywiście na danych REALNYCH (wybranych)
      podatników.

    • Ale sami pracownicy firmy szkoleniowej nie powinni miec tych danych.

  3. Jeszcze jedna uwaga: to nie było szkolenie skierowane li tylko do urzędników skarbowych. Mogła się tam zaplątać dowolne osoby, np. “z działów Analiz i Planowania”.

  4. No dobra, czekam na linki.
    Jeśli te dane są tak łatwo dostępne dla urzędasów to prawdopodobnie polska mafia i firmy windykacyjne już dawno je mają.

  5. Ciekawe, czy była klauzula o zakazie wykorzystania wiedzy (a więc i poznanych danych) w celach niezgodnych z prawem (udostępnienie danych osobom trzecim, sprzedaż firmom windykacyjnym itp.). O ile wiem taka klauzula jest na szkoleniach Niebezpiecznika (na żadnym nie byłem, ale widziałem warunki udziału w opisie szkoleń). Wymóg zwrotu mało wartego pendriwa na niewiele by się zdał, skoro przed zwrotem pendriwa bazę można po prostu przegrać na swój komputer. Poza tym pendrive musiałby być nadawany listem poleconym, aby zmniejszyć ryzyko zagubienia przesyłki i dane na nim przed nadaniem musiałyby być zaszyfrowane (kto nie dostałby klucza deszyfrującego miałby co najmniej poważny problem z odczytem danych). No chyba, że zwrot miałby nastąpić w momencie opuszczania szkolenia, czyli nie pozwolono by go wynosić. Swoją drogą ciekawi mnie kwestia szyfrowania danych w US-ach, bo przecież zawsze trzeba się liczyć z możliwością ich wycieku, choć należy mu do maksimum zapobiegać.

    • Tak sobie myślę … że w US, pracownik IT za 1800 zł netto nie będzie się przejmować jakie dane i gdzie są.

  6. 2299zł to nie problem – problem w tym, że szkolenie wyceniane na tą cenę odbyło się za kwotę 2600zł. Przy 100 pracownikach zazwyczaj dostaje się spory upust a nie zwyżkę jak w tym przypadku, no ale tak pewnie jest jak się jeden koleś z drugim ugada…

    Pewnie identycznie było z danymi “weź mi zrzuć dane z takich i takich regionów. spokojna głowa – to dla pracowników skarbówki”. Ale po drodze oczywiście poszła kopia dla siebie, tak z ciekawości.

    • a skad dane, ze sie odbylo za 2600 ? I czy to 2600 to brutto?

    • Może to być też kompromitująca wrzuta dla Wiplera, bo za dobrze w mediach stoi i jest zagrożeniem dla tfu rządzącej koalicji.

    • Zniżkę istotnie się dostaje za 100 pracowników ale tej samej firmy a tutaj mamy raczej przypadek 100 pracowników z różnych jednostek [osobne budżety] więc …

  7. Czyli zwyżka uprawniona. Świetnie. Ciekawe za co ta zwyżka? Chyba podatek korupcyjny lub oferta dla państwówki, specjalnie zawyżona.

    W ogóle szkolenie to parodia bo z tego co czytałem, ale nie jestem w stanie sam potwierdzić – prywatna firma robi szkolenie dla pracowników skarbówki zatrudniając ludzi z MF.

    O cenie 2600zł napisał Wipler http://www.wykop.pl/ramka/1533385/czy-wyciekly-dane-podatnikow/ – cóż, pozostaje ufać w jego kompetencję i wiarygodność.

  8. W całej tej sytuacji (o ile jest prawdziwa) jest tyle elementów wołających o pomstę do nieba, że aż nie wiadomo o czym napisać. Moje “bezpiecznikowe” serce krwawi.

  9. Tylko nie kolejna komisja śledcza!!!

    • Komisji śledczych powinno być jeszcze kilka – nie
      koniecznie medialnych, ale … To jedyna z nielicznych możliwości,
      dla opozycji do wyjaśnienia niewygodnych spraw Rządzących. Przy
      okazji… My zwykli zjadacze chleba możemy czegoś się dowiedzieć.
      Więc nie gadaj głupot. Pozdrawiam — GrupaKarczew.pl

  10. Kolo pojechał z tą komisją śledczą. Powinni też stworzyć jakąś komórkę w stylu Polska Izba Informatyki oraz Służba Bezpieczeństwa Cyfrowego.

  11. powołajmy komisję śledczą do spraw powoływania komisji śledczych, jako przewodniczący – Wipler głowa myślą nieskalana :)

    • Ty sie smiejesz… A ja pamietam audycje w radio, podczas ktorej jakis posel (czy inny senator) rzucil pomysl powolania komisji sledczej do spraw nieprawidlowosci w pracy komisji sledczej, majacej na celu wyjasnienie kulisow “afery Rywina”.
      I bynajmniej nie zartowal…

  12. Wipler osiagnal to co chcial, czyli rozglos.

    • I chyba zwrócił uwagę, co?! Najlepiej, to miejmy wszystko w
      pupie…

  13. Jak narazie sytuacja klaruje sie na 96.5% polityki i 2.5%
    wycieku, bo Pan Przemek uslyszal od zbulwersowanego kolegi ze
    szkolenia o akcji i juz pod cisnieniem wyprodukowal pisemko, ktorym
    pochwalil sie na swoim blogasku zdobywajac rozglos w internecie.
    Niestety jednak nie jest w stanie przekazac rzeczowych dowodow,
    zadnych rekordow, ktorych tez nawet na wlasne oczy nie widzial.
    Zyczmy mu szczescia z calego serca bo “moze mu sie uda…” chociaz
    zobaczyc co zbulwersowany kolega z szkolenia ma mu do pokazania –
    byle by pozniej “to” nie zostalo opublikowane na fejsiku.

  14. 32 kb nie, bo wg Wiplera każdy otrzymał dane “z urzędu, z
    którego przyjechał”. Więc 23 mln trzeba jeszcze podzielić przez
    liczbę urzędów i dopiero wtedy użyć tej liczy do oszacowania
    miejsca na dysku na jednego podatnika.

  15. Ależ się Panowie czepiacie tych 32 Kb (skąd innąd K –
    “Kilo”z dużej literki nieprawdaż ? :>) Przecież nawet
    dziecko wie (a takie które skończyło z powodzeniem nawet może
    rozumieć ) że do celów szkoleniowych bierze się nie CAŁĄ (!) jak
    sugeruje szan. Redakcja bazkę czyli dane tych 23 mln. podatników ,
    ale tak co setny / co tysięczny rekord. Prosto i wygodnie. Brałem
    udział w niejednym szkoleniu (w firmach budżetowych oraz
    prywatnych) w tym również zatrącających o względy bezpieczeństwa
    danych i parę razy sam widziałem i dotknąłem osobiście pracy na
    danych REALNYCH , ale tylko losowo wybranych klientów.. (Nawet
    kiedyś z policją było podobnie – pracowaliśmy na danych
    operacyjnych tyle że sprzed roku lub dwóch lat. ) Nie zdziwiłbym
    się (choć pewności nie mam) że podobnie sprawa miała się i na
    omawianym tutaj szkoleniu. Mogło tak być bo tak jest po prostu
    najłatwiej i najszybciej, a szkolenia z reguły są przygotowywane
    “na szybko” i w pośpiechu więc kto by się tam przejmował

    • Z tego co pamiętam (mogę się mylić) kilo jeszcze pisze się małą literką, mega i giga już dużą.

  16. rozgłos dobra rzecz:P
    mogą nawet stworzyć komórke: Państwowa Izba Zarządzania Danymi Administracyjnymi (P.I.Z.D.A.) pewnie połowa urzędasów się tam “WEPCHNIE”:p

    • +1

    • “Państwowa Izba Zarządzania Danymi Administracyjnymi (P.I.Z.D.A.)”
      Zrobiles moj dzien!

  17. Na stos! dosłownie i w przenośni

    • PUSH()

  18. Przemysław Wipler otrzymuje zaszczytne miano KONFIDENTA
    roku. Nie ma to jak zawiadamiać nie mając dowodów jedynie
    przypuszczenia. root187 nazwa komórki sprawiła, że zakrztusiłem się
    pijąc herbatę :)

    • Jako Poseł RP – Wipler ma psi obowiązek informować o każdym podejrzeniu popełnienia przestępstwa. Gdyby tego nie zrobił, życzliwy kolega ze skarbówki mógłby śmiało zgłosić takie niedopełnienie Wiplera do odpowiednich organów. Czas dorosnąć.

  19. Koleś nie wie, nie widział, podobno coś słyszał, bo ktoś mu
    coś szepnął… ale komisję śledczą od razu chciałby powołać. Niech
    sprawdzi najpierw te pendrive’y, jeszcze się okaże, że na 12.
    sektorze słychać strzały :-/

  20. Właśnie żadna komisja śledcza. A jeżeli chodzi o dodatkowe
    osoby to rzeczywiście słyszałem, że mogło być ich jeszcze
    więcej.

  21. Tylko pogratulować, duże brawa!

    2299 PLN + ewentualny kosz zwrotu za sprzedaż bazy.

  22. poprawcie PW: z błędów. fakt że w rządzie mamy
    niedouczonych jest wystarczający

  23. “Nie widziałem, ale próbuję zostać jego właścicielem, może
    mi sie udać…” HaH! Gdzie prokurator? Pan Wipler wlasnie
    zadeklarowal popelnienie przestepstwa! Takie sprawdzenie to powinny
    wykonywac uprawnione sluzby, no chyba ze ma Pan takowe uprawnienia
    w stosunku do danych z US z calej Polski?

  24. zwykły praktykant ma dostęp do bazy danych urzędu a
    przynajmniej mial 5 lat temu kiedy odbywałem 2 tygodniowe praktyki
    ze studiów

  25. Przepraszam, zapomnialem, wszak wygrywa ten kto pierwszy powola komisje sledcza…

    Obowiazkiem (i prawem) obywatela jest w tym momencie zlozenia doniesienia o mozliwosci dokonania przestepstwa, i potem ewentualnego monitorowania sprawy proszac dane sluzby o informacje osobiscie lub przy pomocy mediow.

    Zalosne zagranie pod publiczke w sumie dosc powazna sprawa.

  26. Poczekajmy, aż sprawa się wyjaśni i nabierze rumieńców:-)
    Możliwe, że taka sytuacja miała miejsce, co w sumie w polskich warunkach nie jest dziwne. Dużo takich rzeczy się zdarza i chwała niebezpiecznikowi, że nagłaśnia sprawę.|

    Na urzędników nie ma co narzekać, to tacy sami ludzie jak inni. Bardziej interesujące jest, jak wygląda organizacja szkoleń (dane!!!) i czy prowadzący – pracownicy resortu są świadomi jak należy postępować z danymi. Zapewne padnie odpowiedź, że były wykorzystane dane testowe. Ciekawe kto i kiedy je wygenerował – ciekawe czy są na to procedury i jakieś standardy?

    Interesująca będzie odpowiedź na pytanie – na jakich zasadach są wyłaniane firmy szkolące pracowników resortu.Jakie są kryteria? Czy mają kompetentnych trenerów?
    Jeśli są to pracownicy resortu, to po co zatrudniać firmy zewnętrzne, jak można to taniej zrobić własnymi siłami resortu?

    Jeśli to firmy przykrywki, dające dodatkowe przychody wybranym pracownikom resortu – czy przełożeni tych pracowników wiedzą o tym? Czy wiedzą jakie dane trenerzy wynoszą z resortu? Czy są procedury dokumentujące przepływ informacji w formie elektronicznej i papierowej w resorcie? Czy procedury obowiązują szarych pracowników? Czy rówznież wyższy szczebel zarządzania?

    A swoją drogą – jaki był temat tego szkolenia? (Czy to – ANALIZY, MIERNIKI, JAKOŚĆ INFORMACJI 2013 – szkolenie z wykorzystaniem komputerów dla pracowników egzekucji administracyjnej ) Jeśli to warsztaty – to bardziej ćwiczenia praktyczne:-)

    A swoją drogą – ktoś stworzył ten system i chyba ktoś przewidział aby pracowników wdrożyć i przeszkolić? Nasuwa się pytanie dlaczego Key Userzy nie szkolą kolejnych userów i tak dalej w dół? Ciekawe jak wygląd organizacja i szkolenia z wewnętrznego systemu resortu? Po co zewnętrzne firmy, przecież w instytucjach komercyjnych takie regularne szkolenia przeprowadza wewnętrzny dział szkoleń?

    Za ponad 2 tysiące (no może trochę dołożyć) można pracownika skierować na studia podyplomowe np. na Uniwersytecie Ekonomicznym i taki uczestnik ma wiedzę, papier.

    Dawanie materiałów na pendrive’ach to fajny pomysł – może inni szkolący z niego skorzystają? Czy obawiają się o prawa autorskie? Można jednak zabezpieczyć materiały i namierzyć pirata? W Polsce dalej się daje kolorowe prospekty na drogim papierze – zaprzyjaźnione drukarnie muszą zarabiać a materiały i tak idą do kosza wcześniej czy później. Pendrive’y to dobry pomysł.

    A tak w ogóle – wzmiankowana firma ma pełno szkoleń z różnych zakresów, pewnie zatrudniają też fachowców z innych resortów, sprawdzicie?
    Szkolenia dla barmanów, logistyków, urzędników i pośredników nieruchomości – mydło i powidło. Dajcie spokój ci to się dzieje…

  27. Trochę mi to przypomina sytuację z pewnej firmy “obrabiającej” dane z ewidencji gruntów i budynków – zapis w umowie: “Po wykorzystaniu płyty z danymi należy zwrócić” :)

    Tak sobie myślę, ile by kosztowało dorobienie funkcjonalności w postaci wydawania “poszatkowanych” danych na cele szkoleń? Poniżej 1k?

  28. Wyobraźmy sobie sytuację ,że takie dane z US trafiają do
    wywiadu obcego Państwa. Np. żona, córka, syn osoby ze świecznika
    np. członka ważnej komisji sejmowej, albo urzędnika państwowego
    mającego dostęp do danych ważniejszych. Najgorsze jest to ,że nie
    ma kar dla bezmyślnych polityków, urzędników, sędziów, lekarzy. A
    nawet jeśli ktoś pójdzie ze skargą do Strasburga itd. to koniec
    końców płacimy za błędy 1 z 2 my wszyscy bo odszkodowanie wypłaca
    państwowa instytucja. To jest chore.

  29. moim skromnym zdaniem, to nie jest właściwe forum aby zajmować się doniesieniami pana Wiplera. Być może jakieś lekarskie, freudowskie. Ale to? Absolutnie nie.

  30. Obcy wywiad jak będzie chciał to i tak będzie miał takie dane :)
    Tutaj chodzi o sam fakt nieodpowiedniego zarządzania danymi które powinne być odpowiednio chronione… oczywiście jeżeli to jest prawda a nie wyssana z palca sensacja :)

    • Co znaczy “jak będzie chciał to i tak będzie miał takie dane” masz chyba wyobrażenie z filmów z Bondem…
      Odpowiednie procedury są jak porządny zamek w drzwiach. Natomiast opisana sytuacja, jeśli jest prawdziwa to otwieranie drzwi na oścież.

      Nie ma kar dla urzędników i polityków. Brak doktryny w tym Państwie.

      PS dużo mówi się ostatnio o agencie Stasi o pseudonimie Oskar. Podobno Niemcy mają listy współpracowników i kapusiów w Polsce jeszcze z czasów Powstania Wielkopolskiego.

    • Z tego co wiem, nie trzeba być ‘obcym wywiadem’, wystarczy być kolegą kogoś z US

  31. Link:
    http://www.wipler.pl/2013/05/czy-dane-wszystkich-podatnikow-wyciekly/
    nie działa. Komunikat:
    Not Found
    The requested URL /2013/05/czy-dane-wszystkich-podatnikow-wyciekly/ was not found on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
    Hostowana w Key-Systems GmbH. Stan na: 3-06-2013, godz. 19.42.

    W ogóle cała strona Pana Wiplera pokazuje błąd 404 – czyli nie istnieje. Czyżby ktoś zhakował Wiplera? Czy sam skasował swoje dane? A może politycy zaczynają korzystać z usług hackerów prowadząc swoje gry polityczne? To by była nowa jakość w życiu publicznym:-)

  32. Pan Wipler to chyba zamożny człowiek. Domena wipler.pl została utworzona 2003.04.16 w NASK. Pan Wipler ciągle ją utrzymuje w NASK płacąc 200zł + VAT rocznie (http://dns.pl/oplaty.html).

    Od 2003 roku wiele się zmieniło, można znaleźć rejestratorów którzy wyceniają utrzymanie domeny .PL za 3-4-krotnie mniejszą kwotę.

    Wiele firm nadal szasta pieniędzmi i płaci za utrzymanie swoich domen znacznie więcej niż średnia cena rynkowa. Opowieści o oszczdnęściach w firmach nie mają pokrycia w rzeczywistości. Oszczędza się na szkoleniach z zakresu SEO i oszczędza się na szkoleniach z zakresu bezpieczeństwa informatycznego a z drugiej strony w wielu firmach wydaje się lekką ręką setki złotych na utrzymanie domen.

    Podejrzewam, że w większości firm w Polsce nikt sobie nie zaprząta głowy kosztami utrzymania domen i firmy wydają w skali roku miliony złotych nautrzymanie domen. Ciekawe jak wygląda sprawa rejestracji i utrzymania domen internetowych w resortach?

    Czy instytucje publiczne przepłacają kilkaset procent za domeny?
    Czy mają opracowany wewnęrzne procedury jasno wskazujące stanowiska (osoby) odpowiedzialne za opłacanie przedłużania ważności domen?

    Wydaje się, że nie, ponieważ w ostatnich latach było wiele przypadków nieopłacenia domen internetowych. Instytucje chyba nadal żyją w XX wieku, zapominając, że czas biegnie do przodu (niższe ceny domen) a pieniądze ciurkim wypływają z budżetu w postaci wysokich opłat za utrzymanie domen internetowych.

    • Moze nie wie, ze mozna taniej? :)

      Niedramatyzowałbym z tymi milionami, ile domen przypada średnio na firmę? 1,1?
      Juz pierwszy rok oszczednosci by poszedl na koszt pracownika, ktory by sie zajal delegacja domeny (zakladam, ze niefachowiec, wiec zajelo by mu chwile to ogarnac i wybrac dobra oferte). Firma to nie osoba prywatna, tu placi sie za wszystko, takze za czas poswiecony na wybor najlepszej oferty.
      Firmy czesto topia 1000 razy wieksze sumy przez zwyczajna glupote i swiat sie jakos od tego nie zawalil.

      BTW, bywam pod budynkiem NASK na Wawozowej, palacu nie maja :)

      Co do budzetowek, to pytanie czy to sie odbywa przetargami czy wewnetrznie?
      Strona ministerstwa jest pewnie na przetargu, a gminy robiona po kosztach samemu, przy marnym budzecie, wiec pewnie szukaja oszczednosci gdzie sie da.

    • A rozumiesz, że Wipler jest urzędnikiem, więc może chce w ten sposób wesprzeć jednostkę badawczo-rozwojową? Może w ten sposób okazuje patriotyzm? Może chciał zarejesterować domenę w instytucji, która jest “oficjalnym przedstawicielem Polski w FIRST, CENTR i TERENA”, co daje jej “m.in. prawo pośredniego ingerowania w działania systemu DNS”? Może czas przestać myśleć jak leming? Normalnie onet się robi.

  33. @michal

    Tu nawet nie chodzi o NASK – od czasu jak przekazuje rejesrację domen do partnerów dużo się zmieniło. Ale wystarczy porównać:
    OVH – 40,64PLN netto (utzymanie domeny przez 1 rok)
    http://www.ovh.pl/domeny/cennik_domen.xml
    z
    nazwa.pl – 100PLN netto (utzymanie domeny przez 1 rok) – udział 17,43%
    home.pl – 99PLN netto (utzymanie domeny przez 1 rok) -udział: 20,84%
    az.pl – 99PLN netto (utzymanie domeny przez 1 rok) – udział 10,23%
    W sumie: 48,5% udziału w rynku

    Różnica ponad 100%. A teraz wystarczy prównać z raportem NASK, który pokazuje udziałą rejestratorów domen w rynku:
    http://www.dns.pl/NASK_Q1_2013_RAPORT.pdf

    Przy liczbie zarejestrowanych domen .PL = 2 407 387
    i udziale wielkiej trójcy 48,5% udziału w rynku daje liczbę domen:
    1 167 582
    przmnożone przez 50zł netto (przepłacane w porównaniu do cen przedłużenia domen u innych rejestratorów na poziomie do 50PLN/1rok) = 58 379 134,75PLN.
    Czyli wychodzą miliony złotych rocznie. Rodzi się pytanie ile wśród tych domen należy do firm a ile do osób prywatnych?
    Kolejne pytanie – ilu dużych rejestratorów domen prowadzących duże hostingi inwestuje w szkolenia z IT Security dla pracowników technicznych (sysadminów)?
    Ilu CISSPów pracuje w poszczególnych firmach hostingowych?
    Bo patrząc po ogłoszeniach o poszukiwanych pracownikach – szukają głównie marketingowców i studentów za niskie stawki.

    PS.A NASK to bardzo szacowna instytucja i z pewnością sporo inwestuje nie w budynki lecz w development:-)

  34. Obawiam się, że korzystanie z realnych zbiorów danych w szerokopojętych “warunkach testowo-szkoleniowych” zapewne jest na porządku dziennym – po prostu nikomu nie chce się specjalnie tworzyć testowych baz danych z fikcyjnymi, ale “sensownymi” zestawami danych, nieporównywalnie prościej po prostu wykorzystywać fragmenty jakichś istniejących, realnych baz.

Odpowiadasz na komentarz Maciejo

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: