10:30
14/3/2013

Po naszym wczorajszym artykule dotyczącycm włamania do sieci KPRM, KPRP, MON i MSZ otrzymaliśmy ciekawy list od pewnego rządowego informatyka, który chciał pozostać anonimowy. Wyjaśnia on w nim dlaczego ataki Alladyna2 się udały i jak wygląda zarządzanie bezpieczeństwem w niektórych restortach. List w całości publikujemy poniżej (wytłuszczenia nasze).

Polska nie nadążą za zmianami w IT?

Polska nie nadążą za zmianami w IT?

“Dyrektor zajmuje się własnym PR, a nie bezpieczeństwem”

Witam
jestem adminem jednego z resortów. Nie dziwie się, że włamano się do siatki w tak łatwy sposób.
Problem leży nie w wiedzy administratorów – bo ta często jest, ale osób, które nimi kierują (naczelnicy, dyrektorzy).

Problem nr1.
Admin ma zwykłe stanowisko np. specjalista, główny specjalista – i tak zarabia, max 3500 zł na rękę (na prawdę w porywach). W warszawie za tą pracę to śmieszne pieniądze. Przeciętnie dwa razy w miesiącu mam propozycje pracy gdzie indziej. Dlaczego nie zmienie pracy? Bo ta praca jest gwarantem stabilności zatrudnienia, a mając kredyt na karku jest to argument wystarczający.

Problem nr2.
Przełożony to albo naczelnik lub dyrektor i torpeduje decyzje admina. Nie rozumie systemów bezpieczeństwa, nie wie co się do niego mówi. Każda prośba np. próba wdrożenia ISO kończy się odmową bo to “dużo pracy i w ogóle“.

Problem nr3.
Zwyczaje użytkowników – to straszny problem. Zapisywanie haseł pod klawiaturami, na karteczkach przy minitorze czy w końcu ustawianie hasłem wg zasady “miesiącROK” – są nie do przeskoczenia. Dyrektor na pomysł aby zwiększyć ilość znaków haśle z 8 do 12 z uwzględnieniem znaków specjalnych tylko się wzdrygnął i powiedział “NIe”.
Każde zwiększenie poziomu bezpieczeństwa odbywa się kosztem przyzwyczajeń pracownika. Bez zgody kogoś z kierownictwa – nie ma takiej szansy. A kierownictwo to nie interesuje.

Problem nr4.
Polecenie słóżbowe – odwieczny problem, czyli polecenie wyłączenia zmiany hasła co 30 dni u kierownictwa, ustawienie hasła na stałe w VPN-ie dyrektora generalnego w urządzeniu przenośnym. Wyłączenie,a w moim przypadku – brak zgody na wdrożenie dwustopniowego uwierzytelnienia. Bo to utrudnienie, a to w konsekwencji nadwyręży idealną opinię dyrektora w oczach kierownictwa.

W większości resortów, po każdych wyborach zmieniają się wszyscy dyrektorzy, zastępcy dyrektorów i do naczelnika włącznie – dlatego dyrektor zajmuje się własnym PR, a nie bezpieczeństwem.

Problem nr5.
Niechęć do zmian. Informatyka to rozwój, a 99% ludzi w budżetówce zatrzymała się w rozwoju.

Tym razem włamania omięły mój resort, ale nie zdziwie się jeśli taki się odbędzie. I wiecie co? Jest duża szansa, że go nie wykryję, bo będę pisał przetarg na sprzęt, albo przenosił dane pomiędzy telefonami ministra, bo nikt nie wie jak to zrobić.

Wiecie… nie brak mi wiedzy, ale pod tym względem jestem na tym polu sam, tak jak w większości ministerstw. Dlatego wdrażam gotowe rozwiązania, które mnie informują o wielu anomaliach. Tylko jak to zwykle bywa, nie mam czasu ich czytać.

List, być może w niektórych aspektach zbyt emocjonalny i przesadzony, pozostawiamy bez komentarza. Zachęcamy innych pracujących w “budżetówce” administratorów do wyrażenia własnego zdania na temat pracy “urzędowego” administratora (w kontekście bezpieczeństwa informacji)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

256 komentarzy

Dodaj komentarz
  1. „Zwyczaje użytkowników – to straszny problem.”
    Walka z przyzwyczajeniami i wygodą użytkowników to nie jest droga do bezpieczeństwa,często wręcz przeciwnie…
    Wymuszanie zmiany hasła co 30 dni i potem zdziwienie, że ludzie to na karteczkach zapisuję? Ciekawe jeszcze ile jest takich haseł do zapamiętania…
    Oczywiście, nie można iść na łatwiznę, ale trzeba znaleźć „złoty środek”, biorąc przyzwyczajenia i wygodę użytkowników pod uwagę tak jak kwestie „ściśle bezpieczeństwa”. Użytkownicy zawsze chętniej będą omijali niewygodne procedury.

    • Wymuszenie zmiany hasła co 30 dni to wymóg prawny – ochrona danych osobowych.

    • No to faktycznie jak w tym kraju ma być dobrze jak przy korycie siedzą idioci co nie potrafią hasła zapamiętać …

      tak ciężko jest posiadać kilka znanych sobie tylko haseł i na nich bazować ? (oczywiście nie imię psa)

      albo wymyślić sobie jakiś “własny system szyfrowania” i nawet jak ktoś znajdzie karteczkę przyklejona do monitora to nic mu to nie da bo nie będzie wiedział jak to odczytać ??

      na wszystko znajdzie się rada tylko trzeba chcieć …

    • Dokładnie tak. Hasło ma sens tylko jeżeli jego użytkownik jest w stanie je zapamiętać. Wymaganie zbyt dużego stopnia skomplikowania zmniejsza poziom bezpieczeństwa.

      @xxx: hasła bazujące na nazwie miesiąca są standardem w większości firm właśnie na skutek idiotycznego przepisu o zmianie co 30dni.
      Ten przepis stwarza ZAGROŻENIE bezpieczeństwa.

    • Yup. Mam system zgodny z normami GIODO, do którego wielu użytkowników loguje się rzadziej niż co miesiąc. Za każdym razem zmiana hasła. Najczęściej przeprowadzana na zasadzie “zapomniałem jakie było, możesz mi zmienić?”.

    • W mojej firmie hasło wymagało 12 znaków, litery małe i wielkie, cyfry, znaki specjalne. Hasło nie mogło zawierać loginu ani być podobne do 6 ostatnich. Zmieniane Raz na pół roku. Po wejściu tego idiotycznego przepisu zmiana co 30 dni, prawie każdy ma teraz wariacje na temat miesiąca i roku…

    • To jest RZĄD, nie konto na Allegro. Tam są nasze dane, więc nie zmieniają i codziennie.

    • Mógłby ktoś zarzucić źródełkiem gdzie jest taki kretyński wymóg? Ustawa? Rozporządzenie? Nie chce mi się szukać, a chciałbym zobaczyć na własne oczy, bo (mimo, że wiele głupot w naszym prawie funkcjonuje) to aż trudno uwierzyć…

      Co do wariacji na temat miesiąca i roku to nie widzę w tym nic złego. Gdyby ktoś mi taką głupotę narzucił jak comiesięczna zmiana to też bym ustawiał „hasło∥rok∥miesiąc” — dopóki nie ma jakiegoś ataku typu padding-oracle na to w czymkolwiek są tam hasła trzymane, to fakt że sufiks jest praktycznie jawny nie powinien nic zmieniać.

    • @k

      To jest tutaj:

      Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)

    • Dzięki. Smutne to.

    • To hasło musi wyglądać tak: -9j-24ny-2bt025 ?
      Nie wiem czy wiesz, ale hasła typu !Zjadłemdwakurczakijestemdumnytaki9 jest niesłownikowe i wystarczająco mocne żeby przeszło. Nie sądzę żeby ktokolwiek go nie zapamiętał.

    • Recepta na hasło jest prosta. Drukujesz kartki 5×5 z losowymi literami i znakami specjalnymi – potem przyklejasz je do monitora.
      Każdy zapamiętuje kształt (np. U – 13 znaków, E – 16 znaków, O – 16 znaków, itp) i raz na miesiąc zmieniamy mu kartkę.

      Gotowe.
      Masz poziom bezpieczeństwa jakiego nie jedna firma ci pozazdrości, a przy tym: hasła są BANALNIE proste do zapamiętania.

    • @Sky: że jak? =]

    • @sky: Teach me master, you’re genius! :D A tak serio, wcale nie jest ten pomysł taki głupi. Ewentualnie można co jakiś czas zmienić też każdemu literę i styka!

    • Potwierdzam. Administruję Szkołą jako firma zewnętrzna. Każda próba wymuszenia na użytkowniku by posiadał inne hasło niż przysłowiowe “1234” powoduję falę niechęci i skargi u dyrektora szkoły, który mnie zatrudnia, a ten wydaje polecenie służbowe by się nie rozpędzać i nie wpadać w paranoję.

      Na komputerach, które mają wrażliwe dane osobowe dzieci, ich rodziców, chorób dzieci, ocen nauczania, itp.. zrobiłem sprzętowe szyfrowanie danych, klucz trzeba włożyć w specjalne złącze. Oczywiście użytkownicy nie wyjmowali wogóle tego klucza ( bo po co )
      Zrobiłem więc modyfikację że trzeba klucz wyjąć i włożyć bo inaczej nie zadziała. Użytkownicy więc wyjmują i wkładają ale nadal klucz sterczy w komp. Każdy może sobie odczytać co chce…

      Moim zdaniem, takie zachowanie jest wynikiem skrajnie niskiego ilorazu inteligencji przy skrajnie wysokim poziomie samoceny. Na to się nakłada powszechny “tumiwisizm”

  2. NIebezpiecznik ma dość dużą siłę przebicia – może wystosujcie list otwarty czy do naszego Miłościwie Nam Panującego Ministra Od Cyfryzacji, żeby się określił, czy ma zamiar coś z tym robić, czy dalej się będzie po CeBITach rozpychał i chwalił wystawkami?

  3. A wiecie, że ten człowiek ma maturę z polskiego?

    • Też nie mogę się nadziwić… Przykre.
      Pozostaje mieć nadzieję, że lepiej niż pisanie w ojczystym języku idzie mu administrowanie systemem.

    • Ja naliczyłem 2 błędy ortograficzne i 2 literówki. Ale trzeba było się ponabijać, co? Faktycznie, bardzo merytoryczny komentarz… :(

    • Tak… to smutne. Tym bardziej, że nie pisał tego (jak sądzę) w notatniku.

    • Nawet gdyby połowę tej matury napisał z błędami ort. – i tak by ją zdał, – nie otrzyma kilku pkt za ortografię.

    • A mi się wydaje że właśnie napisał to w notatniku :D Gdzie nie miał spell chceka albo nawet napisał to vim’ie na konsoli :D Ja wiem że wy byście pisali w WORD’zie który za was analfabeci błędy poprawi a potem się szczycicie jak to znacie ortografie.

    • @ Kris

      Sam lepiej sięgnij do zasad interpunkcji.

    • @Aniol

      Po małpie nie robi się spacji. Ja nie mam czasu na zasady ortografii i interpunkcji bo czytam w tym czasie o nowych wyjątkach bezpieczeństwa oraz o zabezpieczaniu serwerów. Zam paru adminów co całe dnie szkolą się u Dr. Miodka a ich serwery są już jak ser szwajcarski. Ps. po pracy wolę z dzieciakiem się pobawić autkami niż męczyć pałę nad słownikiem języka polskiego.

      Pozdrawiam wszystkich śpiących ze słownikiem w łóżku. Jak wy to robicie że kartki się wam nie kleją ?

    • No to może lepiej zatrudnić kogoś po filologii?

    • Kolejny ignorant obnosi się ze swoją ignorancją. Tak, to o Tobie Kris.

    • To właśnie najczęściej ci przełożeni/kierownicy/dyrektorzy
      zamiast pochylić się nad tym co jest naprawdę ważne potrafią
      wielogodzinną/kilkudniową robotę podsumować wspaniałym “Tu jest
      błąd ortograficzny”, “Brakuje przecinka”. Wybaczcie, ale w tym
      wszystkim chyba nie o to chodzi!

    • Kris, przeglądarki też często mają sprawdzanie pisowni. A co do problemu, faktycznie też mnie to trochę razi, ale tak jak kolega wyżej powiedział, ważniejsze jest to, co robi na stanowisku. Być może ma dysortografię (chociaż jeśli tak to mało błędów zrobił).

    • “A wiecie, że ten człowiek ma maturę z polskiego?” – Zdania
      nie zaczyna się od a, jeśli już omnibusie. Poza tym pracuję w
      budżetówce i pokrywa się to z listem anonimowego
      informatyka.

  4. Pierwszy ;P

    Eeee, co to ja miałem… Ok. żartuję, wiem co chcę napisać.
    Znam to – nie pracuje w resortach, ale znam to z praktyki codziennej, generalnie jak porusy się temat bezpieczeństwa, od razu w głowach dycydentów rodzi się słowo ODPOWIEDZIALNOŚĆ. A tego nikt nie chce brać na siebie, i nie ma mowy, aby zrozumieli, że i tak ta odpwiedzialność na nich ciąży.

    Zresztą, skoro audyt za 30k PLN wykazuje się 6 stronicowym raportem w któym pisze że wszystko OK, jest uznawany za dupokrytkę, to o czym my rozmawiamy?

    Jak nie będzie wymagań (jak np obecnie wprowadzany wymóg interoprecyjności – któy i tak wdrażany jest po macoszemu – ty mi dasz papier, ja ci kasę i wszyscy będą happy!), oraz nie będzie sprawnej i z prawdziwego zdarzenia komórki jak NIST, NSA w US czy analogiczne komórki w UK, to będzie jak jest…

    (oczwyiście samo powołanie Centrum Cyberterroryzmu, nie rozwiązuje problemów – bo trzeba ruszyć beton, ale może od czegoś zacząć trzeba… tylko czy ta konkretna komórka ma takie cele?)

    Natomiast odnosząc się do listu – ok, jest przerysowany i raczej dotyczy podstaw, ale – zgadzam się, bez tych podstaw nic innego zrobić się nie da… a opór jest i to duży, raz koszty, dwa dużo pracy, trzy te trupy w szafach co zaraz wyjdą…

    :P

  5. Niestety często tak jest. Zamiast zadbać o porządne zabezpieczenia , to Dyrektor, Prezes etc. dba tylko o siebie i o to by “nie utrudnić” sobie pracy. W rezultacie dochodzi później do włamań i nagle wszyscy są zdziwieni jak mogło do tego dojść. No przecież żyjemy w latach 90tych i hasło “miesiącROK” jest oczywiście wystarczające i zapobiegawcze na 101%

  6. Biorąc pod uwagę poziom ortograficzny zacytowanego listu administratorzy to też głąby.

    • Kolejny humanista, poszedł byś chłopcze na studia techniczne a nie nikomu nie potrzebne i bezwartościowe studia śmieciowe. A potem narzekacie że pracy nie ma, bo dla darmozjadów nie ma takie czasy. Ten Admin pisze jak jest bo jacyś humaniści i debile siedzą na stołkach i niszczą nasz kraj. Blokują rozwój kosztem poprawnej ortografii, ja polskiego prawie nie używam bo praca w IT tego na szczęście nie wymagają.

    • Bez sensu. Równie dobrze mógłbyś stwierdzić, że jest kiepskim adminem, bo nosi brzydkie buty.

    • Piotrze, jedno z drugim nie ma nic wspólnego. Przedwojenni inżynierowie byli również humanistami, i ujmą była nieznajomość ojczystego języka (co szło w parze z umiejętnościami technicznymi).

    • No fakt, masz 100% racji, do administracji siecią perfekcyjna znajomość gramatyki i ortografi naszego języka jest konieczna, bo przecież każde dziecko wie że shell sprawdza składnie języka polskiego oraz ze sprzęt sieciowy nie działa w oparciu o model OSI ale o model JP ( język polski, rozwiniecie skrótu specjalnie dla autora).

      Jak czytam takie głupoty to ogarnia mnie pusty śmiech.

      Pisz co chcesz nie subskrybuje i nie będę sprawdzał coś mi odpowiedział.

    • czy ja wiem, ortografia przy adminowaniu też potrzebna, w końcu rm -rf /var/tmp/*log a rm -rf / var/tmp/*log to spora różnica

    • Sam ten list pokazuje najlepiej, że wiedza techniczna to nie wszystko. Jak taki człowiek nie potrafi nawet poprawnie posługiwać się polszczyzną, to w jaki sposób może w ogóle myśleć o efektywnej komunikacji z decydentami? Jednak umiejętności językowe i interpersonalne są do czegoś potrzebne…

    • Ja się zgodzę z tym, że każdy powinien potrafić poprawnie porozumiewać się w języku polskim. Moim zdaniem każdy powinien dążyć do tego, żeby nie popełniać błędów mówiąc lub pisząc po polsku. To, że ktoś w pracy porozumiewa się w języku angielskim nie zwalnia go z tego obowiązku.
      Ja zawsze ludzi poprawiam jak słyszę, że mówią albo piszą z błędami. Tak samo jak mój kolega poprawia mnie jak widzi, że mój kod jest zły. To jest całkowicie normalne.

      Ps. Nie uważam, żeby humaniści byli niepotrzebni, ani też nie uważam, że inżynierowie są tacy wspaniali, żeby mogli się wywyższać tylko z tego powodu, że są inżynierami.

    • Przed kilkoma laty realizowano baaardzo wartościowe hasło “humanizujmy inżynierów”, które wiązało się z wysypem humanistycznych przedmiotów na studiach technicznych. Cel na dzisiaj to “cywilizowanie humanistów”, dodajmy – w większości opornych na wartościową wiedzę.

    • z tą ortografia to jest zwyczajne hejtowanie …

    • Śmieszy mnie, że dla niektórych istnieje prawidłowość technik=indolent ortograficzny. Pewnie, można się tak usprawiedliwiać, ale ja nie widzę, jak jedno przeczy drugiemu. Wystarczy przeczytać książkę od czasu do czasu i już coś człowiekowi zostanie w głowie. Albo ZWRACAĆ na to uwagę. Nie widzę też powodu, aby zakładać, że każda osoba krytykująca poziom językowy tekstu to na pewno humanista. Osoba wykształcona to osoba wykształcona. Nie ma osoby wykształconej tylko w tym, czy w tamtym. Może być przeszkolona w tym, czy w tamtym, ale wykształcenie to ogólny poziom człowieka – nieistotne, czy studiuje przedmiot techniczny, czy humanistyczny. I jeszcze jedno – chociaż sam wykorzystałem i powtórzyłem uproszczenie na potrzeby tej odpowiedzi, to pamiętajcie, że jednym z najbardziej znanych humanistów był Leonardo da Vinci.

    • Większość moich kolegów-programistów z pracy albo nie bardzo orientuje się, jak ładnie pisać o technologicznych kwestiach, albo ma to całkiem gdzieś. Choć jak ich zajawić i pokazać kilka trików, to potrafi pójść ku lepszemu.

      Tak czy siak nie ma to przełożenia na umiejętności programistyczne. Tyle, że czasem zrobią wcięcia w kodzie nie tak, jak trzeba. Podważanie powyższego listu na tej podstawie jest wylewaniem dziecka z kąpielą – porusza on bowiem kilka ciekawych kwestii; zamiast jednak rozmawiać o nich, odpisuję jakiemuś puryście językowemu.

    • @Yaxe Zauważyłeś u współkomentujących ciekawe twierdzenie.
      Piszą, że nie mają na uczenie się poprawności językowej czasu, bo
      mają ważniejsze zadania. Podążając tą logiką można swoje wady (w
      tym przypadku nieudolność) wytłumaczyć wiedzą z innego. Nie
      potrafię dodawać liczb, nie umiem gotować, boję się kontaktów z
      ludźmi, podetrzeć się też nie umiem, bo czytam o bezpieczeństwie;
      dupę mam jak stodoła, bo mam tyle pracy, że się nie ruszam i jem
      tylko pizzę. Takie poświęcanie się jednej dziedzinie przy omijaniu
      innych, jest charakterystyczne przy niektórych odmianach autyzmu. U
      zdrowych ludzi nie stanowi to problemu, a jest to jedynie kiepskim
      tłumaczeniem. Co gorsza, tak się tłumaczy swoją nieudolność przed
      samym sobą. Informatycy mają do tego szczególne zdolności. Ileż to
      wypowiedzi jest o tym, że ktoś jest taki, a nie inny, bo ma zespół
      Aspergera, dysgrafię, dysleksję. A ilu to ma zdiagnozowane przez
      lekarza, nie przez Google? Kolejne tłumaczenie swoich negatywnych
      cech charakteru. Może dość z tym tłumaczeniem sobie czemu się jest
      głąbem? Można to wszystko wyprostować jak człowiek się przyzna, że
      po prostu zawalił sprawę. Możecie sobie wyszukać w Internecie co to
      racjonalizacja (Onet Wiem ma prostą definicję) oraz “kwaśne
      winogrona”. W części jesteście głąbami i możecie to zmienić, ale
      lenistwo Was podtrzymuje w tym przykrym stanie. I chociaż
      szkodzicie sobie, to racjonalizacja załatwia za Was ten problem
      moralny. PS: Mnie najbardziej denerwuje wytykanie błędów, bo komuś
      coś się wydaje czy po prostu chce komuś dowalić. W zdaniu “na
      tablicy pisze, że doktór powiedział, że tą chorobę ócz wyleczy ci
      po pierwszej wizycie” nie jest błędem “pisze”, “tą” (obie
      konstrukcje dopuszczalne w języku potocznym), “doktór”, “ócz”
      (archaizmy, które są poprawne, tylko nieużywane), “ci” (nie ma
      reguły nakazującej używać dużej litery na początku słowa). No i
      kalki też mnie drażnią – “w trzecim sezonie serialu właściciel
      floty transportowej robi seks”.

    • @HK, bo ty akurat umiesz pisać po polsku…

  7. Wzruszający list. Chwyta za serce ;)

  8. Co jak co, ale list przesadzony nie jest. :)

  9. Czyli mają tak samo jak jest w Tepsie/Orange. Klasyk.

    • Zostań zatem ABS-em, ja znam tylko jednego który wypełnia swoje obowiązki, cała reszta to lesery. Poza tym, już tak nie narzekaj, bo nie masz tak źle – czasem wpadnie CR, żeby dodać parę regułek do firewalla, a Wy zawsze robocie z tego taki wielki problem…. ;]

  10. Niestety muszę się zgodzić z powyższą opinią. Pracowałem przez 7 lat jako admin w jednej z Prokuratur Apelacyjnych i większość wymienionych tu rzeczy znam z autopsji, szczególnie problemy 1, 3 i 5. Z tym że jeśli chodzi o nr 1 to uważam że takie podejście to trochę przesada – odszedłem i w ciągu 2 lat zarabiałem dwa razy więcej, więc warto zaryzykować – aczkolwiek każdy sam ustawia sobie życie.

  11. Sprawę można by rozwiązać stosunkowo prosto – powołać stosunkowo tanią komórkę (dosłownie kilku, tyle że dobrze opłacanych, specjalistów), podlegającą bezpośrednio komuś spoza ministerstw – np. premierowi czy prezesowi NIK – której zadaniem byłoby włamywanie się do ministerstw i innych urzędów – z wyciąganiem konsekwencji po udanym ataku. Bo tak to wszyscy zainteresowani mają dupochrony. ;-P

    Ale oczywiście to nie w tym kraju, bo komu by się chciało…

    • Nie do końca. W naszej mentalności niestety, zaraz okaże się, że grupa mająca testować, będzie pod następnym naciskiem innej grupy… która ma za sobą poparcie jeszcze bardziej wypasionej grupy… w rezultacie grupa do udowadniania bylejakości szybko przerodzi się w grupę audytorów pt.: “macie ok, jest ok, dziękujemy”, problem zniknie, wszyscy będą happy. Grupę o której piszesz, musieliby stanowić ludzie desperaci – kamikadze… a takich nawet za sporą kasę ciężko znaleźć…

    • Alladyn zrobił to, o czym piszesz, za free ;-)

    • I chcą go za to wsadzić do więzienia.

  12. Wszystko ok, standard jak i w wielu innych instytucjach/firmach, bezpieczenstwo musi byc, ale bez kosztow (finansowych, czaswych, utrudnien). Przynajmniej do pierwszej wiekszej wpadki.

    Natomiast co do problemu nr 3. Wprowadzanie coraz to wiekszych obostrzen na hasla mija sie z celem i jest niczym innym jak pojsciem na latwizne po stronie administracji. Mozna dobrze wyglada to w papierach i na audycie, ale efekt jest zupelnie odwrotny. Malo kto potrafi takie hasla zapamietywac (bo powinny byc skomplikowane, nieszablonowe i jeszcze wszedzie inne), w zwiazku z tym i tak laduja ostatecznie na kartce pod klawiatura.

    Prostsze, dluzej wazne haslo zostanie predzej zapamietane, a dobre szyfrowania i systemy powinny zajac sie tym, aby nie dalo sie go latwo zlamac BF.

    Pamietajcie ze dla przecietnego uzytkownika polityka bezpieczenstwa to wrzod u dupy i paranoja, trzeba im o ulatwic ;-)

  13. Taa.. Tak zwani zwykli użytkownicy niestety są poważnym problemem. Na codzień przebywam głównie wśród ludzi niby wykształconych informatycznie (studenci polibudy lub absolwenci lub współpracownicy związani z webdeweloperką i zarządzaniem serwerami), a jednak 95% procent patrzy na mnie dziwnie, albo wręcz wyśmiewa gdy loguję się gdzieś dwuetapowo. Dokładnie 1 poprosił żeby mu pokazać gdzie to można w popularnych serwisach włączyć. Mało który widzi potrzebę zmiany haseł co jakiś czas.

  14. Zgodzę się z gościem w 100%, mam znajomego admina w urzędzie, który aktualnie zajmuje się inwentaryzacją środków trwałych i innymi pierdołami zleconymi przez przełożonego, które z informatyką nie mają nic wspólnego. Pieniądze zarabiają tam na prawdę śmieszne jak na swoje stanowisko i wiedzę, kombinują jak mogą, żeby wszystko trzymało się kupy. Niestety tak to wygląda we wszelakich urzędach. Pomijając fakt, że w niektórych mniejszych urzędach informatykiem jest syn pani Halinki, który umie przeinstalować Windowsa i skonfigurować Liveboksa więc na admina nadaje się w sam raz.

  15. Mysle tez, ze nie da sie daleko zajsc bedz uswiadamiania pracownikow/uzytkownikow nie tylko o tym jak istotne jest utrzymywanie pewnych standardow ale tez o tym jak z nimi zyc. Nie zdarzylo im sie jeszcze spotkac na szkoleniach informacij dot. sposobow tworzenia i zapamietywania bezpiecznych hasel. A mozliwosci jest mnostwo.
    Istnieje rowniez sporo softu i sprzetu ulatwiajacych proces szyfrowania czy przechowywania hasel, ale skad przecietna osoba ma wiedziec o ich istnieniu lub chociazby na co zwrocic uwage?

    • Czy możesz wskazać te konkretne, które polecasz?

  16. Często w trakcie wykonywania mojej pracy (wdrażanie systemów informatycznych w administracji publicznej) mam kontakt z administratorami mniejszych czy większych instytucji.

    Generalnie rzecz mogę powiedzieć że większość osób na tych stanowiskach, z którymi miałem kontakt faktycznie jest dobrymi specjalistami w tym, co robią włączając w to również naczelników i dyrektorów w komórkach odpowiedzialnych za kwestie IT. Moje doświadczenia są zbieżne z tymi pochodzącymi od autora listu – najwyższe kierownictwo to stanowiska polityczne, gdzie rzadko osoby zdają sobie sprawę z wagi bezpieczeństwa informatycznego i nie ma zrozumienia do procedur zwiększających to bezpieczeństwo. Ma być szybko i wygodnie – i koniec.

    • Autor listu napisał “jestem adminem jednego z resortów”, a autor noty podał w tytule “List rządowego administratora”. Może i jestem przewrażliwionym naukowcem, ale “resort” to nie koniecznie “rząd”. Z listu raczej wynika, że ten Pan jest pracownikiem pionu administracyjnego, a nie rządowego. Dyrektorzy, wicedyrektorzy, naczelnicy departamentów i innych biur obejmują stanowiska na podstawie konkursów i muszą odznaczać się odpowiednimi kompetencjami. Nie są to nadania polityczne – jak to niektórzy sugerują i nie jest to raczej źródło ich informatycznej niekompetencji.

      W teorii społecznej nt. burokracji, administracji i organizacji politycznej odróżnia się rząd od administracji. Pamiętajmy o tym proszę :)

    • @Paweł – teoria obsadzania stanowisk wg kompetencji nijak ma się do polskiej codzienności. Dyrektorzy przychodzą z nadania politycznego. Czasami są “mocni” merytorycznie, czasami nie. W dół leci już tylko kluczem “kolega kolegi”.

    • Znam takie konkursy. Znają je wszyscy, co choć dalszy mieli z nimi kontakt. Zwycięzca zazwyczaj jest znany dużo wcześniej, nim się konkurs organizuje – i wszyscy o tym doskonale wiedzą.

  17. Byłoby sporo lajków gdyby była opcja . Poproszę o taką opcję…

  18. Widzę, że niektórzy nie dostrzegają ironii, nawet jeśli przyjdzie i kopnie ich w rzyć.

  19. I ja pracowalem w pewnej budzetowce przez kilka lat i moge powiedziec, ze zjawiska ktore ujawnia cytowany przez Was adnlmin sa nagminne nie tylko w IT.

    Wiecie, gdzie marnowana jest lwia czesc kasy podatnikow? W trwajacych projektach, ktore po kazdych wyborach sa uwalane (calkowita zmiana na wszystkich stanowiskach dyrektorskich) jeszcze przed ich zakonczeniem. Chodzi o to, ze zaden nowy dyrektor nie chce podejmowac sie kontynuacji projektow zainicjowanych przez swojego poprzednika – nawet jesli byl on wazny i strategiczny. I nie wazne jest kompletnie, ze wydano na ten projekt juz kilka mln zl – on trafia prosto do kosza!

    Odrebna kwestia sa kwalifikacje zarzadzajacych, ktorzy trafiaja na swoje stanowiska z racji zznajomosci i silnych plecow. Pamietam ciekawy przypadek czlowieka, ktory z danym obszarem nigdy wczesniej nie mial do czynienia gdyz jest z wyksztalcenia – uwaga, padniecie – psychiatra!!! I jak jego podwladni maja sie z nim komunikowac? Taki ktos ma zerowy autorytet gdyz nawet najslabszy pracownik ma duzo.wieksza wiedze od niego. To dziala rowniez.demotywujaco, siadaja morale.

  20. słóżbowe – ortografia uwiarygadnia go jako informatyka.

  21. Sporo w tym prawdy. Lenistwo dotyczy nie tylko spraw informatycznych. Po co np. budowano w ministerstwie specjalne pomieszczenia zabezpieczone przed podsłucham oraz bezpieczną linię skoro minister i tak omawia tajne sprawy w swoim gabinecie z oknem wychodzącym na ulicę, ani nie chce mu się wyjmować z sejfu karty kodowej do telefonu.

  22. List bardzo szczery i prawdziwy. Z autopsji.
    Zarobki i tak ma niezłe w porównaniu z moimi kolegami adminami. Na pewno by zazdrościli.

    Wyłączanie zabezpieczeń wyznaczonym osobom “wyższego szczebla” to norma. Bo szef ma tyle na głowie, że zmienianie hasła co miesiąc to takie niewygodne.

    Blokowanie dostępu do niektórych witryn do fikcja bo wystarczy, że pracownik powie swojemu szefowi, że chce facebooka i youtube bo to “niezbędne do wykonywania obowiązków” i ciach – idą wyjątki do reguł.

    Zgrywanie danych z telefonów… gościu chyba jest ode mnie. Mimo tego iż mamy dedykowaną komórkę (niebędącą informatykami) do obsługi telefonii mobilnej to też nam się zleca takie rzeczy, bo w końcu informatyk na pewno to umie. A gościu, który bierze za to kasę się opierdala i nie chce mu się nauczyć. A my przecież nie jesteśmy źli. Jak trzeba to pokażemy i nauczymy.

    Wdrażanie jakichkolwiek zabezpieczeń to bicie głową w mur, bo szefostwo wyższego szczebla ma inne rzeczy na głowie, a poza tym to skomplikuje życie wszystkim pracownikom, więc niemal na wstępie odpada.

    A nawet jak są już procedury lub uda się coś wdrożyć to i tak można je o kant czterech liter, bo wystarczy że na wejściu tej procedury będzie “ważna osoba”. Wtedy w procedurze pojawia się awaryjny tor o nazwie “ale to jest XXX, więc zrób”.

    I dopiero gdy coś się stanie jest wielkie halo i pretensje do nas, że słabe zabezpieczenia, że nic nie działa, że za co w ogóle wam płacimy. Żal.

    pzdr
    Lokalny Informatyk

    • po takim odzewie Alladyn2 pewnie bedzie co tydzien wpadal do ministrow na maila.

    • Rafal – mam nadzieję, że będzie się włamywał do skutku.

      Ktoś chyba pisał, że wystarczy zrobić dobre procedury z jasno określonymi wyjątkami i zapoznać wszystkich. Procedury są, tylko sporej grupie nie chce się ich przestrzegać, albo zapomnieli o nich, albo to komplikuje życie, albo nie – dla zasady ;)

      Normalnie użytkownicy mają konta z ograniczeniami. Ale jest grupa osób, które mają lokalnego admina na kompach. Bo przecież nie może być tak, że Pan dyrektor nie może sobie w domu na służbowym kompie zainstalować Skype’a i ipli a jego dzieciak Diablo III. Wiesz co się będzie wtedy działo?
      Mamy nawet jednego klienta, któremu nie dało się naszego softu do zdalnej pomocy zainstalować, bo nie chce być monitorowany (poza tym ma tu też zastosowanie opisany wyżej “tor awaryjny” wszystkich procedur ;) Co z tego, że 500 osób ma konta z ograniczeniami? Wystarczy jeden wyjątek i wszystko leży…

      “Komputery pozwalają nam wykonywać szybciej pracę, której bez nich byśmy nie mieli”.

      Piszecie, że komputery są dla ludzi, nie odwrotnie. Zgadzam się i tak się staram w tych kwestiach podchodzić, wszędzie tam gdzie to możliwe. Ale są Polityki Bezpieczeństwa tudzież inne, wyższe rangą wytyczne, które trzeba wdrożyć i nie może być od nich wyjątków. A że komputer nie loguje cię automatycznie tylko musisz jakieś hasło wklepywać boli… Cóż… Ludzie nie rozumieją rangi zagrożenia i niestety czasami tłumaczenie nic nie daje.
      Pamiętam jak zdarzało mi się słyszeć żale od użytkowników przy okazji jednej migracji, że teraz to będą musieli oprócz hasła także nazwę użytkownika wklepywać (wcześniej login z ostatniego logowania był zapamiętywany)… :/ Bolało, choć się dostosowali…

      c.d.
      (zbyt konkretny przypadek – ten fragment sobie wyciąłem, bo może akurat szefostwo czyta, hehe ;)

      A skoro o budżecie mowa. Wiadomo, że kryzys i generalnie kiepsko z kasą. Naprawy urządzeń kosztują, tymczasem z roku na rok mamy coraz mniej kasy. Powoli wychodzi na to, że lepiej zrobić przetarg na nowy sprzęt niż kombinować z naprawą starego.

      Z zakupami też jest jednak problem. Sztywne reguły budżetowe sprawiają, że kasa się marnuje. Z tego ci wiem budżet jest rozpisany na różne dział i paragrafy, których nie zmienisz bez podpisu pierwszego po Bogu i szefa skarbca. Od czasu do czasu wkurzamy się, że nie ma już środków na naprawy lub zakup sprzętu, ale jest np. na oprogramowanie i telefonię. Potem pod koniec roku jest bezsensowne wydawanie kasy z paragrafów w których coś jeszcze zostało, bo przecież jak nie wykorzystamy to nam zabiorą w następnym budżecie. Zgodnie z logiką, że jak nie wydaliśmy poprzednio to w kolejnym roku na pewno też nie wydamy. I tak w całej budżetówce.

      W teorii bezpieczeństwo jako takie jest. W praktyce, ze względu na dziurawe przepisy, brak determinacji i wygodę jest jak jest. A jak ktoś się spróbuje porządnie postawić to może być uznany za “sabotażystę” i … no… w końcu nie ma ludzi nie zastąpionych ;)

  23. Jaka przesada? O czym Wy gadacie? Pracowałem w państwówce jako administrator i ten koleś opisał DOKŁADNIE, k…wa, DOKŁADNIE!!!!! to, co się tam dzieje. Tu nie ma ANI GRAMA przesady!

    Skąd wzięliście informację, że to przesada? We łbach Wam się nie mieści, to znaczy, że to nieprawda? Dzizas…

  24. Ta cała budżetówka to śmiech na sali a admin, który do Was napisał opisuje – choć nie chce się w to wierzyć – rzeczywistość. Przepracowałem w ten sposób w sumie 4 lata z idiotami. Historia analogiczna – po każdych wyborach czystki na stanowiskach dyrektorskich. Jeszcze gdyby nowi dyrektorzy mieli jakiekolwiek kompetencje do piastowanych stanowisk… W takich miejscach, niestety, 95% dyrektorów dba wyłącznie o dobry PR. Do pracy wpadają DOSŁOWNIE na 2-3 h, podczas gdy są jedynymi osobami uprawnionymi do podpisywania różnego rodzaju dokumentów (czyli uruchamiania jakiegoś procesu). Przez to nawet drobne sprawy ciągną się miesiącami lub latami (i to też jak dobrze pójdzie).

    Do tego, co napisał Wam Administrator dodałbym jeszcze jedną istotną cechę takich osób – totalny opór na usprawnienia spowodowany (w przeważającej mierze) brakiem wiedzy i zrozumienia. Im nawet nie chce się pomyśleć (!).

    Dla osób z zewnątrz wszystko to może wydawać się bajeczką ale zapewniam Was, że tak nie jest.

  25. Ten list wogóle nie jest przesadzony. Obstawiam, że 95% polskich urzędów, ministerstw, resortów wygląda to tak samo.
    Wszędzie jest totalna ignorancja tematu i lenistwo.

  26. Smutne w tym wszystkim jest to, że po ‘publikacji’ tego listu (jak sto się zwykło czynić w takich wypadkach), jego autor straci pracę. Nie piszę ‘NA PEWNO’, bo może jest nadzieja.
    Bo przecież KREDYT ma!
    Smutne. Niestety.
    Ale cóż Polska!

    • Marta: a jak poznałaś jego imię i nazwisko?

    • Marto, Przecież nie każdy ma na imię Jacek.

    • Zakładając, że ktoś z tak opisanego środowiska, w ogóle sięgnie do niebezpiecznika- co by świadczyło że opisany “resort” nie jest do końca pełny ignorantów i tak beznadziejny, jak został opisany.

  27. “Problem leży nie w wiedzy administratorów – bo ta często jest, ale osób, które nimi kierują (naczelnicy, dyrektorzy).”

    Moim zdaniem w rękach adminów leży większa wrażliwość – skoro nie tak to inaczej, zabezpieczyć maksymalnie jak się da… SORRY ale na korzystanie przez biurowego informatyka z kont z uprawnieniami admina domeny do codziennych zabaw – dyrektor ma nijaki wpływ… i te przykłady można by mnożyć…

    Idąc dalej:

    “Przeciętnie dwa razy w miesiącu mam propozycje pracy gdzie indziej. Dlaczego nie zmieni pracy? Bo ta praca jest gwarantem stabilności zatrudnienia, a mając kredyt na karku jest to argument wystarczający.”

    I to jest kolejny powód, dlaczego struktury zawsze będą betonem, ciepła posadka, może nie za duża ale punktualna i pewna gaża, do tego spokój … bo oprócz napisania (pobrania z sieci z innego przetargu – np. poszukajcie w sieci przetargu an serwery blade DELL – jeden wzór i wymagania w skali polski tak w rządówce, publicznych jak i szkołach… śmiech bierze) jakiegoś wniosku/przetargu – trzeba czasem skopiować dane między najnowszymi lapkami, iCośtami, itd.. wymienić pieluchę jakiemuś pracownikowi z “lewymi ręcami” do komputerów, odzyskać pani Krysi co skasowała lub umiejętnie “skopiowała” pani Basia robiąc miejsce na kolejne odcinki “Rancho” lub “Zdjęcia z wakacji część 258”.

    Kolejny krok:

    “Przełożony to albo naczelnik lub dyrektor i torpeduje decyzje admina. Nie rozumie systemów bezpieczeństwa, nie wie co się do niego mówi. Każda prośba np. próba wdrożenia ISO kończy się odmową bo to “dużo pracy i w ogóle”. ”

    Po 1 widzę tutaj niespełnione ambicje. Po 2 torpeduje bo nie rozumie.
    Po 3 – skoro nie rozumie systemów bezpieczeństwa trudno – a może i jeszcze lepiej (można z niego zrobić swojego niewolnika), ale można w nim zbudować świadomośc lub zasiać ziarno lęku – w tym celu warto mu podrzucić artykuł, książkę, ciekawostkę, linka do Niebezpiecznika :P
    Po 4 – skoro nie rozumie co się do niego mówi – o trzeba się do niego dostroić, mówić wielkimi literami, artykułować zgłoski, edukować siebie i jego przy okazji … polecam jakieś szkolenie z komunikacji – wielu informatyków ma problemy z komunikacją i precyzyjnym przekazywaniem informacji.
    Po 5 – każda prośba o wdrożenie ISO … uśmiałem się do łez, ludzie myślą, że jak wdrożą coś z ISO na początku to będzie już cudownie… raz to dużo pracy, dwa trzeba tego chcieć, trzy – trzeba potem to utrzymywać … a kto z betonu mimo nawet wdrożenia na siłę będzie się do tego stosował… spytajcie dobre (!!!) centra certyfikujące, ile jest utrzymanych certyfikatów 27001 vs liczba “wdrożeń”.
    W końcu ostatnie – jak to beton i powyższe nie pomoże… notatka o stanie zabezpieczeń, radach i propozycjach, do podpisania do przełożonego i … pozostaje poświęcać czas na zmianę pieluch i czytanie np. Niebezpiecznika.
    Dalej:
    “Zwyczaje użytkowników – to straszny problem”
    Edukacja, edukacja, edukacja, uświadamianie, szkolenia, i zobowiązania w postaci zaznajomienia się z dobrze i prosto przygotowanymi materiałami w postaci wyciągu z regulaminów. Krótko i treściwie. Plakaty w stylu hasła są jak majtki też działają! Ale trzeba chcieć, a to tyle pracy… (oczywiście to góra daje przykład a my równamy do góry czyli w dół … eee – no właśnie).
    Kolejny “standarcik”:
    “Polecenie służbowe – odwieczny problem, czyli polecenie wyłączenia zmiany hasła co 30 dni u kierownictwa, ustawienie hasła na stałe w VPN-ie dyrektora generalnego w urządzeniu przenośnym.”

    Tutaj nic poza dobrze skonstruowanym regulaminem użytkowania systemu/ów teleinformatycznego, + pisemnym wykazem odstępstw od zasady, ze zgodą przełożonego pionu informatyki… wystarczy chwila aby przekonać ze to jest ryzyko i że i tak i tak szef za to odpowiada – sprawdzone i działa – czyli nie tyle nie wyłącza się haseł, ale jest to zapisane, wiadomo kogo pociągnąć, na czyje życzenie i pokazuje to wtedy pewien obraz organizacji. Są jeszcze podpierdółki.. ale jak to – to takie niepoprawne, zgłaszać ze ktoś łamie przepisy/prawo…

    Ciekawostka:

    “Niechęć do zmian. Informatyka to rozwój, a 99% ludzi w budżetówce zatrzymała się w rozwoju.”

    To zdanie “tłumaczy” chyab wszystko … nawet nie będę komentował.

    i podsumowanie:

    “Wiecie… nie brak mi wiedzy, ale pod tym względem jestem na tym polu sam, tak jak w większości ministerstw. Dlatego wdrażam gotowe rozwiązania, które mnie informują o wielu anomaliach. Tylko jak to zwykle bywa, nie mam czasu ich czytać.”

    To po ch…usteczkę, takie systemy które nie potrafią same czegoś wykazać? I jak kiepska jest organizacja lub jak wadliwie zbudowane są te systemy informatyczne, skoro na nic nie ma czasu…?! Hę?

    • Proponuję 3 miesiące popracować w budżetówce… To co tu napisałeś to jest za piękne. Regulamin korzystania ze sprzętu? Pani Krysia z kadr pójdzie do szefa że informatyk utrudnia jej pracę i każe czytać coś na co ona nie ma czasu…

    • 2. Nikogo, niczego nie nauczysz jeśli sam się nauczyć tego nie będzie chciał.
      3. Kiedyś też tak myślałem, po paru latach mi przeszło.
      4. Pod warunkiem że w ogóle będą chcieli z tobą gadać.
      5. Ja też się uśmiałem jak przeczytałem o tej “notatce o zabezpieczeniach”, swoją drogą chciałbym zobaczyć jak ją podsuwasz do podpisania swojemu przełożonemu.
      “Ale trzeba chcieć, a to tyle pracy…” edukacja, uświadamianie….bla, bla, bla tak to mniej więcej brzmi w uszach użytkowników. Oni mają to w 4 literach, i twoi przełożeni też. Dlaczego mieliby się dziś przejmować jakimś włamaniem skoro wczoraj ani przedwczoraj żadnego nie było ? A nawet jak jakieś będzie to co z tego, decydenci pobiją trochę pianę i w końcu przyschnie.
      “Tutaj nic poza dobrze skonstruowanym regulaminem użytkowania systemu/ów teleinformatycznego…” Możesz mieć nawet najlepiej skonstruowany regulamin 99% procent użytkowników ma to w d…e.
      “…pisemnym wykazem odstępstw od zasady, ze zgodą przełożonego pionu informatyki…”
      Tłumacząc to zdanie na język polski “…szukaj innej pracy, bo tu długo miejsca nie zagrzejesz.”
      “…że i tak i tak szef za to odpowiada…” Ludzie z rozdania politycznego za nic nie odpowiadają, jak ci się nie podoba zawsze mogą znaleźć kogoś innego na twoje miejsce.
      “…pokazuje to wtedy pewien obraz organizacji” Czego ?
      “zgłaszać ze ktoś łamie przepisy/prawo…” Na przykład ty sam na polecenie przełożonego ?
      “To po ch…usteczkę, takie systemy które nie potrafią same czegoś wykazać? I jak kiepska jest organizacja lub jak wadliwie zbudowane są te systemy informatyczne, skoro na nic nie ma czasu…?! Hę?”
      Nie systemy ani organizacja, ale przełożeni którzy są informatycznymi analfabetami.
      Nie obraź się ale chyba nie miałeś do czynienia z silnie zbiurokratyzowaną instytucją, nie wiesz jakimi prawami się takie społeczności rządzą i twoje podejście jest delikatnie mówiąc naiwne. Nie oznacza to że nie można nawet w takich instytucjach zadbać o bezpieczeństwo, jednak stosowanie rozsądnego logicznego podejścia czy zasad takich jak choćby w firmach prywatnych jest biciem głową w mur. System cię połknie, przeżuje i albo cię wypluje albo wyjdziesz drugą stroną niczego nie zdziaławszy. Jak masz wątpliwości co do tego gdzie w biurokratycznym łańcuchu pokarmowym znajdują się administratorzy to zobacz sobie ile zarabiają. Tu trzeba najpierw sam system obalić i albo podnieść rangę specjalistów zarządzających IT do poziomu decydentów, albo decydentów wybierać inaczej niż z rozdania politycznego.

    • @ I
      Podpisuję się pod tym obiema rękami.
      Pracowałem parę lat w pewnej bardzo dużej firmie i jest dokładnie tak jak piszesz.
      ktosiowy.ktos albo jest bardzo młody stażem albo nie wie co pisze.

  28. Opisane sytuacje to dla mnie żadne zaskoczenie, mimo że pracuję w sektorze prywatnym. W ub. tygodniu mieliśmy w firmie włamanie na serwer poczty i serwer hostujący ERP. Największy problem kierownictwa? Że musimy odłączyć na godzinę-dwie serwery i zrobić kopię wszystkiego, żeby mieć dane do analizy.
    Problem leży nierozwiązany do dziś, bo nie mam czasu się tym zająć. Największym problemem jest, że trzeba kupić akumulator do starego telefonu szefa. I, najważniejsza rzecz dziś, że trzeba nagrać na płytę dokumenty, które komuśtam szef ma przekazać. Wczoraj z kolei najważniejszym, priorytetowym problemem było to, że pani w sekretariacie w Lotus Notes miała niebieski kolor gwiazdek dla wiadomości priorytetowych, a wydawało jej się, że zawsze był żółty.

    Dziś mój poziom frustracji sięgnął zenitu. To jest dosłowne ‘pier**** się’ z idiotycznymi błahostkami. Ale tak to funkcjonuje w wielu firmach. A w sektorze publicznym? Nie sądzę, żeby było dużo lepiej, jeśli w ogóle nie gorzej :)

    • Dokładnie tak jest!
      A jak coś zaczynasz tłumaczyć Pani z księgowości, że powinna robić to “tak a nie tak”, bo będzie szybciej, to się jeszcze obraża, że ona tak robi 5 lat i zawsze było dobrze! I żebym się “odpi######”. A jak powiedziałem, że chciałbym lepszy telefon, bym mógł sobie otworzyć plik autocadowski i określiłem typ to szef powiedział mi, że chyba zgłupiałem! A on TYLKO DZWONI i dostał w prezencie od T-Mobile iPhona5! Po co mu? Ech, już mi brakuje słów…

  29. Do “komentatorow” co szydza z poziomu wypowiedzi w tym liscie (o ile list jest prawdziwy). Informatyk to nie humanista. Skoro chcial byc z trocha anonimowy moze specjalnie taka forme wypowiediz przyjal.
    Co do samej tresci jako były pracownik pionu lacznosci i informatyki w komorce podleglej pewnemu resortowi z doswiadczenia wiem, ze to co napisal ten anonimowy informatyk jest oczywista prawda. Mogę potwierdzic podstawowe fatky, ktorymi sa:
    1. brak podstawowego czynnika jakim jest wysokosc wynagrodzenia, ktory znaczaco wplywa na wykonywana prace
    2. wszelkie decyzje i pomysly z dziedziny it sa z góry “skrzywione”, czesto nie sa racjonalne czy tez oplacalne
    3. czesto kasa na it jest ostro ograniczona co blokuje wprowadzanie wszelkiego typu nowych rozwiazan
    4 ….itd
    ogolnie zarabiajac niecale 2000 postanowilem zmienic firme. Bo w stolicy za wykonywanie tych samych obowiazkow zarabialbym 3 czy nawet wiecej razy tyle

    • Wysokiej klasy specjalista, a “czerwony wężyk” pod wyrazem słóżbowe jakoś nie zwrócił uwagi… Czym innym są braki w przecinkach, czy język na poziomie podstawówki, a czym innym pisanie “gura” (czy innych tego typu).
      Ignorantom językowym mówię nie – tak samo jak parówkowym skrytożercom.

    • no dobra sprawa bledow ort to taki OT.
      a co do samej podstawy działania systemow it w naszych resortach po przeczytaniu np tego info:
      http://finanse.wp.pl/kat,104132,title,Milionowe-lapowki-za-przetargi-dot-systemow-bezpieczenstwa-panstwa,wid,15406396,wiadomosc.html?ticaid=1103ae
      nasuwa sie pytanie jak to ma dobrze dzialac skoro na samej gorze robi sie tak by nie działały.

    • a co do meritum to jasne… o marnotrawieniu naszych pieniędzy przez wszelkiej maści urzędy oraz korupcji możnaby napisać książkę objętości encyklopedii britanica. widziałem na własne oczy jak to wygląda w jedym z resortów. raz na tzw. “ruski rok” ktoś kogoś złapie za rękę, ale jest to ułamek procenta. a w miejsce 100 idiotów, którzy nie tworzą żadnej wartości dodanej możnaby zatrudnić 20 osób, które w sposób odpowiedni pokierują daną dziedziną. ale który rząd wyrzuci z pracy 300-400 tysięcy osób? poza wszystkim, to przecież zwiększy to bezrobocie o kilka procent – to już lepiej wg rządzących im wypłacać te zasiłki za pierdzenie w stołek

  30. Otwórzmy sejfy w bankach, nie zamykajmy domów, samochodów.
    Po co wam zamki, kłódki, czy inne ustrojstwa.

    Przecież to tylko utrudnienia.

    Idźmy na łatwiznę.

  31. True True, jak bym czytał własny list dotyczący informatyki na kolei. Ten sam beton użytkowników końcowych.

  32. Droczy przyjaciele.

    Admin nie pracuje ze za 3500netto, znajomy pracuje w msz nic nie robi calymi dniami i ma 6netto.

    Jesli ktos mialby wiedze i przeszedl eliminacje do adminowanie rzadowego i tlumaczyl sie kredytem przy zarobkach 3500 to badzmy miedzy soba szczerzy w UK odstalby pomiedzy 3-6tys. funtow i splacil to samoje warszawskie mieszkanko szybciej niz swiatlo dociera ze slonca na ziemie.

    Imho list ten jest fakiem.

    • 3500zł ? Tyle dostaje ktoś zaraz po studiach na peryferiach a nie w Wawie, niech się admin nie ośmiesza, jeśli widzi luki w bezpieczeństwie za takie marne grosze lepiej niech zmieni prace zanim stanie się coś gorszego.

    • MSZ płaci najwięcej. Np MSW z tego co pamiętam znacznie mniej.

    • @Maciejo
      3500 czego? Bo na pewno nie złotych. (-:

    • Zwrot “rozmowa psów o kolorach” coś wam mówi? To jest doskonałe określenie na Wasze stwierdzenia koledzy.

  33. Dokładnie tak jest. Nie pracuję jako informatyk, ale gdy chciałem w mojej firmie (spółka budowlana) wprowadzić kilka innowacji w zakresie bezpieczeństwa to o mało się to nie skończyło… zwolnieniem mnie z pracy! Ciągle tylko słyszałem: “Co ty myślisz?! Że my jesteśmy głupi!?”. Bym dalej “nie mieszał” – zostałem przeniesiony z “dyrekcji” do kierowania budową (na niższe stanowisko, ale lepiej płatne). Jedyna korzyść to ta, że teraz mam więcej… kasy!

  34. Ja pracuję w sektorze prywatnym i często gęsto mamy podobne problemy, hasła na poziomie LutyXXX są na porządku dziennym.
    Pieniędzy na serwer który wiesza się co najmniej 2 razy dziennie również nie ale oczywiście dostaje się nam po głowie czemu to nie działa. W razie jego awarii nie mamy żadnego serwera zapasowego. Mimo iż wymagana jest praca ciągła.
    W UPS’ach ostanio wymieniane baterie były przy montażu ich przez producenta, przez co nie trzymają nawet 5-10 min aby bezpiecznie wyłączyć serwer nie wspominając że nawet byśmy nie wiedzieli że nie ma prądu w naszej “serwerowni”.
    2 Lata trwały negocjacje na klimatyzację za 4500 zł by temperatura na procesorze nie wynosiła stale 70*C … itp ….
    Teraz nosimy się z zakupem nowego serwera razem z zapleczem do backupu i porządnym upsem … Ale jak to zwykle bywa są ważniejsze wydatki …
    Nie tylko budżetówka jest w takim stanie ale większość małych/średnich firm.

  35. Oo, jak przeczytałem ten list (o ile jest prawdziwy) to jakbym słyszał mojego znajomego admina. Coś w tym jest. Moim zdaniem – kuleje świadomość informatyczna ludzi. Jeśli byliby świadomi zagrożeń i sposobów aby im zapobiec , wszystko wyglądałoby inaczej.

    A co błędów ortograficznych, no cóż, każdemu się zdarza. Sam jak nie piszę w wordzie to popełniam takie błędy.

  36. wystarczy ludziom dac do ręki yubico, albo token rsa, albo blizzardowy ;) tez rsa.
    i po kłopocie. z yubico bylo by o tyle dobrze, ze mozna tam ustawic stale haslo i zmieniac je np. programem. a drobne haslo dodac z glowy.

  37. Moi drodzy niestety list nie jest w żadnym fragmencie przesadzony. Przynajmniej jak czytam to i odnoszę treść do swojego, uniwersyteckiego podwórka… Chciałbym zarabiać 3500 ale mieszkając w Łodzi raczej mogę jedynie myśleć o zmianie pracodawcy.

    Ciekaw jestem jak wygląda w resortach kwestia rzeczywistych zastosowań przepisów dot. ochrony danych osobowych…

  38. Witam wszystkich, pracowałem jako admin i jako koordynator działów IT przeszło 8 lat w instytucjach państwowych. I muszę powiedzieć jedno, zmiany zachowań użytkowników i zmiany w działaniu tego typu organizacji trzeba przeprowadzać bardzo niskimi niestety kosztami, ale uważam że nie jest to niemożliwe. Kwestia chęci ludzi którzy się tym się zajmują i umotywowania potrzeb finansowych. Wiem że niektórym adminom się po prostu nie chce robić bo dostają marne pieniądze za wykonywanie swojej pracy. Ale jest coś za coś albo liczy się na stabilność, tak jak napisał to kolega w liście, albo bierze się duże pieniądze bez takiej pewności. Niedofinansowanie IT w instytucjach państwowych jest, było, będzie i to się nie zmieni. Cieszę się natomiast że ktoś pokazuje (Alladyn2) wysokiemu managementowi że bezpieczeństwo i nakłady na IT są kluczowe dla zachowania ciągłości pracy firmy. Brawo dla Alladyna2 za to co robi, dzięki temu jest szansa że coś się zmieni i w końcu ktoś na “górze” zrozumie że “bez kaski nie ma laski” ;-). Good work, lepiej że włamał się tam krajowy hacker a nie obcy wywiad. Pozostaje jeszcze pytanie co z systemem Arrakis który był budowany przez ABW dla bezpieczeństwa, czemu nie zapaliły im alerty że po lokalnej sieci szaleje jakieś tatałajstwo, czemu nie widzieli ataków słownikowych. Jeszcze jakiś czas temu ABW dzwoniło do lokalnych adminów informując o tym że coś jest nie tak …

    • Nie znam się ale się wypowiem – pewnie gdyby włamał się tam obcy wywiad to nikt by się nie zorientował :)

  39. Witam
    Ja także jestem adminem, może nie w ministerswie ale w Jednostce budżetowej która ma dość pokaźną baze danych mieszkańców.
    Wszystko o czym autor tego listu napisał jest szczerą prawdą. Osobą odpowiedzialną za zapobieganie włamaniom jest informatyk, wiadomo jak cos mu nie pasuje to sie znajdzie drugiego (wszyscy chca pracowac w budzetowce), a w przypadku włamania zrzuci odpowiedzialnosc ze nie dopilnował itp. Nie wspomne że brak jakichkolwiek szkoleń z zakresu ataków i obrony przed hakierami nikomu nie przszkadza.
    Audyty – ostatnio audyt chciał mi robić pan z pewnej firmy o ktorej w ogole nigdzie nie slyszalem, a gdy weszlem na ich strone okazalo sie ze ktos im deface zrobil… I w dodatku takie audyty to cios w nos dla admina, gdy sie okaze ze jednak cos jest nie tak. Leci taki audytor do dyra i skarży, po premi mozna oberwac, a spotkalem sie z przypadkiem wyrzucenia z pracy.
    Szefostwo – głownie mające pojęcie jak włączyć komputer, jak edytować dokumentu w pakiecie biurowym ( i to z żadka i ze spacjami w akapitach ), tudzież jak wykonać swoje obowiązki na obecnym oprogramowaniu. (Czyt. zmiana oprogramowania to jest problem nie do przeskoczenia)
    W ogole nie rozumie ze bezpieczenstwo jest procesem ciągłym i powinno być stale monitorowane przez admina, i nikt mu nie da ileś tam tysięcy na specjalistyczne oprogramowanie bo po co jak sie nic nie dzieje. Zostaje kombinowanie jak zrobić żeby było dobrze w open source. Nie przekłada sie to na wydajność pracy np. ważniejsze jest zrobienie komuś prezentacji czy tabelki w wordzie niż nadzorowanie sieci.
    Wynagrodzenie – jest, jest stałe jak mówił autor i pewne, w tym samym dniu i godzinie każdego miesiąca. Tylko jeśli haker atakuje to HAKER musi sie bronić. A jak ktoś ma tyle wiedzy żeby sie obronić to za 8 godzin pracy na zlecenie zarobi 10 razy tyle albo i więcej.

  40. A czy na prawdę jest taki problem z zakupem czytników biometrycznych do wszystkich komputerów państwowych? Bez przesady przy zakupie dużej ilości było by taniej, a hasła mogły by być bardzo skomplikowane i wszyscy byli by zadowoleni. A co do przenoszenia danych między telefonami…. no cóż, tak się dzieje jak rządzeniem państwem i resortami zajmują się staruchy. Wszyscy powyżej 40 roku wzwyż powinni być zwolnieni z pracy i dostać zakaz pracy w takich instytucjach.

  41. Potwierdzam w 1000000%. Pracuje w firmie państwowej i jest tak samo. A myślę, że będzie jeszcze gorzej

  42. Niestety sytuacja opisana w liście jak i w wielu komentarzach to zupełna normalka. Też pracuję w jednym z resortów i stykam się z tym codziennie. Kierownictwo każe się zajmować wszystkim, od pisania umów (zastanawiam się co robi nasz radca prawny) poprzez odzysk danych z telefonu dyrektora utopionego w kiblu, opracowywanie procesów i organizacji pracy wszystkich komórek (bo przecież wszystko jest w komputerach, to niech informatyk to zrobi) do wdrożeń wszelkich systemów, obojętne czego one dotyczą. Jak kadry nie wiedzą jak rozliczyć z czasu pracy, to też informatyk, bo przecież program do rozliczania jest w komputerze. Na chwilę obecną właśnie się ścieramy z kierownictwem na okoliczność wymiany setki stacji roboczych w 2 weekendy, żeby zdążyć do świąt. Oczywiście najlepiej za darmo, bo przecież bieda w budżecie. Do serwerów czy logów zagląda się zatem jak coś przestaje działać, bo poza tym nie ma czasu. Po kilku latach dochodzi się do takiego etapu, że nie ma już wyrzutów sumienia, żeby zamiast tych logów przy kanapce poczytać Niebezpiecznik i szukać innej pracy.

  43. Mówiłem, że nie informatycy są źli, ale użytkownik końcowy nie jest nie tyle leniwy, ile niedouczony, aby zachować politykę bezpieczeństwa jego inf*

  44. Ja mogę pod tym listem podpisać się obiema rękami. Niestety jestem w podobnej sytuacji jak autor tego listu. Ktoś napisał, że jak mają nie zapisywać haseł jak trzeba co 30 dni zmienić, najzwyczajniej w świecie zapamiętać ciąg 8 znaków. ktosiowy.ktos chyba w ogóle nie zna realiów…

  45. Nie rozumiem nad czym tu rozpaczać? Jakie bezpieczeństwo?! Komu w tym kraju zależy na jakimkolwiek bezpieczeństwie skoro polskie władze oddawały samoloty rządowe do remontu firmie Olega Deripaski, najbliższego współpracownika Prezydenta Rosji, tej samej Rosji która 20 miesięcy wcześniej straciła podczas napaści na Gruzję kilkanaście samolotów i śmigłowców bojowych strąconych za pomocą polskich wyrzutni PZR Grom…

    Polskojęzyczne władze jedyne czego się boją to utraty stanowisk. A bezpieczeństwo kraju (i swoje jak pokazuje powyższy przykład) to dla nich jakaś abstrakcja.

  46. A teraz wyobraźcie sobie Państwo że nie tylko świadomość informatyczna tych ludzi leży i kwiczy ale podstawowe zajęcia są robione ‘nogą’ w przerwie pomiędzy facebookiem a kawką. Jakby to była 17 wieczna Japonia to by musieli stępić milon mieczów żeby zrobić porządek z tym ja nie wiem jak to nazwać bo w przysłowiowym burdelu to jednak ktoś tego pilnuje a tutaj? Jak przedszkolaki bez pani przedszkolanki srają do doniczek i mówią że tak trzeba i tak jest fajnie. Straszny kraj ten meksyk.

  47. Witam
    Nie chce byc krytykiem ale narzekanie ze sie nie da u nas jest w firmach ktorych poziom bezpieczenstwa jest na dosc niskim poziomie. Ja swoja przygode rozpoczynalem rowniez w budzetowce byl wymiar sprawiedliwosci oraz jednoczesnie uczelnia bo trzeba bylo z czegos zyc. W pewnym momencie zycia stwierdzilem mam rodzine im tez chce poswiecic troche swojego zycia rodzinie zwlaszcza jak urodzilo drugie dziecko. Skladajac wypowiedzenie pol firmy zostalo postawione do pionu ze jak to ja rezyguje, przeciez to nie mozliwe. W ostatecznym rozrachunku wyladowalem w duzej korporacji. Od 8 lat pracuje w dziale IT i poznalem co to znaczy bezpieczenstwo. Chociaz ciagle sie ucze to wiem ze z kazdym rokiem jestem bardziej wartosciowym pracownikiem. Cos moge powiedziec wspolczuje tylko ludzia ktory ludzac sie w budzetowce jest stabilnie. G…. prawda przy pierwszej zmianie kierownictwa mozna zostac zwolnionym bo akurat ktos z rodziny skonczyl zaocznie wieczorowa szkolke rysowania w paincie i sie jak sie instaluje np Viste.
    Pozdrawiam

  48. Przeczytalem Panow komentarze i mam solenne pytanie prosilbym o powazne w miare mozliwosci odpowiedzi, dziekuje za czas.

    Dlaczego godzicie sie pracowac za psie pieniadze?
    Rozumiem ze skonczyliscie studia, macie certyfikaty holiwoodu, mozecie wyjechac, macie wspaniala techniczna wiedze, a juz kilka wypowiedzi widze z ktorych wynika ze zarabiacie gorzej niz przedszkolanka w Warszawie.

    Co sie dzieje? Brak odwagi w przeniesieciu do lepszego zycia?
    Brak wiedzy, brak poczucia ze wasza wiedza jest wartosciowa?
    Introwertyzm?

    Chcialbym to ogarnac rozumem bo szykuje chyba szkolenie dla informatykow z umiejetnosci miekkich, tak czesto spotykam sie z szanujacymi sie ludzmi ktorzy ponizej 10tys. nawet nie zaczynaja rozmowy a jednak jakze czesto mam doczynienia z jakimis nieporozumieniami na poziomie 2-3tys. za powazna gruba wiedze okupiona studiami, ksiazkami, samoksztalceniem, szkoleniami …. co sie dzieje, dlaczego pozwalacie soba pomiatac?

    • > Dlaczego godzicie sie pracowac za psie pieniadze?

      Nie zawsze chodzi o pieniądze. Budżetówki zapewniają nadzwyczajne poczucie stabilności oraz oferują bardzo dużo wszystkim tym, którzy chcą się skoncentrować na innej stronie życia. Kiedyś pracowałem w sektorze prywatnym i mam wielu znajomych, który wciąż tam pracują. Zarabiają więcej, ale pracują po 12 godzin dziennie, nie mają czasu dla siebie, nie mają jak i kiedy założyć rodziny, a jeżeli mają to nie mają kiedy znaleźć czas dla niej. Od kiedy ja założyłem własną rodzinę, znacznie bardziej cenię stabilność niż pieniądze. I to jest prawda, a nie jakieś wypieranie się własnej biedoty. Nie racjonalizuję nędzy.

      > Brak odwagi w przeniesieciu do lepszego zycia?

      Brak odwagi do ryzykowania cennym CZASEM jaki mam dla własnej rodziny. Moja żona nawet sobie nie wyobraża, że miałbym zmieniać pracę i nie zapewnić jej wszystkich emocjonalnych wygód. Ja też sobie tego nie wyobrażam, że z jakiś abstrakcyjnych powodów SPRZEDAM mój czas z rodziną za pieniądze. Bo chyba później go nie odkupię, co nie?

      > Brak wiedzy, brak poczucia ze wasza wiedza jest wartosciowa?

      Nieustannie koryguję pracę wszystkich naszych Wykonawców, bo ich wiedza teoretyczna i umiejętności praktyczne pozostawiają zazwyczaj wiele do życzenia. Nie mam żadnych wątpliwości, że mógłbym bez trudu znaleźć pracę w sektorze prywatnym.

      Inna sprawa: w mojej budżetówce wdrażamy bardzo nowoczesne technologie za ogromne kwoty. Prawdopodobnie pracując tutaj mam większy kontakt z nowinkami technologicznymi niż Ty w sektorze prywatnym.

  49. Drodzy administratorzy,
    dobrze rozumiem, że kwestia bezpieczeństwa jest rzeczą priorytetowa, ale z drugiej strony nie rozumiem jak ktoś każe zmieniać hasło co miesiąc na losowy ciąg znaków np.: “ZhEwm9dLFjpN” i później dziwi się że jest wywołuje to opór użytkowników.

    Znacznie lepszym wydaje mi się tutaj pomysł o którym usłyszałem kilka miesięcy temu, a mianowicie używanie losowych wyrazów (wiecej szczegółów http://www.stat.berkeley.edu/~aldous/FMIE/cornell_6.pdf na stronie 29). Autor nie tylko jest wybitnym naukowcem ale rownież pracowal w topowych firmach IT. Nawet jeżeli teraz zamiast losowych słów dopuścimy zdania niekoniecznie losowe ale za to znacznie dłuższe to w dalszym ciągu będą to mocne hasła. Przykładowe takie hasło “jezeli jutro bedzie ladna pogoda to kupie sobie piwo i pojde sie z nim delektowac na lawce w parku”. Teraz pytanie: które z tych haseł jest mocniejsze (osoba łamiąca nasze hasło wie że stosujemy całe zdania) a które łatwiej zapamiętać?

    Niestety w wielu przypadkach jest ograniczenie górne na długość haseł (do kilkunastu znakow) oraz metoda ta wymaga znacznie więcej klepania.

    • “znacznie więcej klepania” <- o właśnie. Biorąc pod
      uwagę, że wpisywane hasła wyświetlane są jako gwiazdki 90%
      użytkowników nie będzie w stanie zweryfikować na jakim etapie
      wpisywania hasła się znajduje. Do tego dochodzą jeszcze
      literówki.

  50. To ja mam prośbę do “Alladynów” nic się nie zmieni, jeżeli dane pozostaną niejawne…

    Głupota kosztuje, ale dane trzeba opublikować, tym bardziej że jest wiele wątpliwości co do intencji tego Rz., w wielu dziedzinach. Więc jeżeli coś tam jest, a pewnie jest – opublikować. Bez względu czy kogoś to zaboli czy nie.

    Proponuję, jeżeli A2 nie ma jaj – może jakiś Alladyn3 włamie się do Alladyna2 wraz z Alladynem1 i zrobić to co prawdziwy Haker powinien zrobić.

    Pozdrawiam!

    • i dać im twardy dowód na zrobienie im kocówy i posadzenie na jakieś najbliższe 20 lat, za ujawnienie tajemnic państwowych lub coś w ten deseń? Albo jeszcze paru innym pod pretekstem podejrzenia? Nie martwię się o samego A2 i bezpieczeństwo zebranych przez niego danych, tylko że proponowane rozwiązanie to bardzo dobra prowokacja, by wprowadzono coś na kształt ACTA (na pewno jest już nazwa na taki projekt, konsekwentnie kontynuujący przepisy o zgromadzeniach wprowadzone po zadymie w Dzień Niepodległości).

    • Nowe ACTA pewnie i tak będzie – nazywa się TTIP. Ale po co jakikolwiek hacker ma im dawać argument do ręki ? Pewnie mogłoby dojść do małego “trzęsienia ziemi”,ale bardziej prawdopodobne jest złapanie i duża kara dla osoby która by coś takiego zrobiła oraz solidne restrykcje dla Polskich internautów przepchnięte przy okazji – ale bez żadnych zmian w funkcjonowaniu “systemu” “zabezpieczeń” rządowych…

  51. Co do haseł prosta i sprawdzona metoda nie wymagająca wysiłku użytkownika kluczyk z listą haseł jedno-razowych oraz weryfikacja np sms. lub hasło usera + weryfikacja certyfikatem i problem mamy z głowy

  52. Malkontent.
    Niech idzie do Citibanku/Wipro pracować dostanie 3 razy więcej a praca też stabilna.
    A, sorry. Tam trzeba pracować. W budżetówce wszyscy wiemy jak jest…

    • “Malkontent. Niech idzie do Citibanku/Wipro pracować
      dostanie 3 razy więcej a praca też stabilna. A, sorry. Tam trzeba
      pracować. W budżetówce wszyscy wiemy jak jest…” W Citi – zwalniają
      oszczędności a zarabiają ….. lepiej nie mówić :). Nie pracowałeś
      w budżetówce – to niestety jesteś jak większość pracowników
      budżetówki – bezmózgowiec, który pozjadał wszystkie rozumy i nie ma
      pojęcia ile pracujemy w budżetówce. Niestety nie wiesz, czym ma
      obowiązek zajmować się informatyk w budżetówce. Parę przykładów: 1.
      wydzielanie papieru toaletowego (bo pokój obok toalety), 2.
      wnoszenie sztandaru na posiedzenia rady (bo młody i nic nie robi
      tylko przed ekranem siedzi), 3. latanie po imprezach za szefem z
      aparatem i fotografowanie go – bo aparat cyfrowy i podłącza się do
      komputera. Nie zgodzisz się wylatujesz. Pracy nie dostaniesz, a jak
      będziesz miał wąty to cię nawet pośredniak nie zarejestruje bo
      gówniany przełożony wcześniej tam był szefem i już opinię na twój
      temat sprzedał.

    • @Rademenes Bullshit. W Citi zwalniają tylko sprzedawców i
      telemarketerów. IT ma się bardzo dobrze bo pracuje dla
      zagranicznych oddziałów Citigroup.

    • @Rademenes – czy Ty (i inni narzekający na pracę w AP informatycy) czytacie czasami co piszecie? Opisujesz najbardziej gównianą pracę pod słońcem, w dodatku bardzo nisko płatną. Po co się tak męczyć? Pomijam fakt, że ośmieszasz ludzi pracujących na merytorycznych stanowiskach w ministerstwach. Ktoś, kto nie widział tego od wewnątrz będzie myślał, że zadaniem super specjalisty admina jest zarządzanie papierem toaletowym i noszenie sztandardów. Może w jakimś jednym, konkretnym (niereprezentatywnym) przypadku.
      Podsumowując – praca w normalnej firmie daje 2 razy tyle pieniędzy (lub więcej), nie robi się rzeczy beznadziejnie głupich i nie związanych z zawodem (papier toaletowy, itd.), nie trzeba walczyć na codzień z ignorancją, itd.

  53. Zarówno autor jak i większoś komentujących nie dostrzegają potstawowej prawdy o swoich użytkownikach, że są oni zwykłymi ludźmi z minimalną wiedzą informatyczną, którzy próbują wykonywać swoje obowiązki na komputerach (co za pech!). Znają co najwyżej kilka potrzebnych im aplikacji, a dodatkową trudnością jest wymóg stosowania tych koszmarnych, nieludzkich technik zabezpieczania dostępu do systemu. Rozwiązanie, w którym co 30 dni trzeba wymyślać nowe, trudne do odgadnięcia hasło, nie zapisując go gdzieś na karteczce, mógł wymyślić tylko kompletnie odhumanizowany kretyn, autystyczny sawant informatyczny!
    Przecież ci ludzie nie są maszynami szyfrującymi, by zmuszać ich do takich procedur. Kochani admini! Czytając Was widzę, że żyjecie w adminowym Matrixie. Może jeszcze każecie ludziom uruchamiać aplikacje z poziomu terminalu, pisząc w bashu…? Uprawiacie współczesny szamanizm: Wy macie tajemną wiedzę a kto jej nie ma ten kiep!
    To Wam brak wyobraźni, by wymyślić sensowny sposób weryfikacji użytkownika logującego się do systemu! Pomagajcie użytkownikom, a nie utrudniajcię! Prostym rozwiązaniem, nie wiem czy wystarczająco Was satysfakcjonującym, byłoby logowanie z komunikacją zwrotną przez SMS, jak robią to operatorzy GSM. Logujący się pisze kim jest, a system wysyła na jego telefon komorkowy kod jednorazowy dla tej jednej sesji. Za każdym razem wprowadzany kod będzie spełniał te wasze numeryczne wymagania! Można wymyślić kilka innych, podobnych sposobów logowania, lecz Wam łatwiej narzekać na tych głupków urzytkowników :-) Oj leniuszki z Was śmierdzące!

    • Powiem Ci tylko jedno, bo zapewne jeszcze prócz tego że uważasz że to że ktoś musi zmienić hasło co 30 dni to przesada, to jeszcze za chwilę powiesz że używanie jednego hasła do wszystkiego to nic złego. I co potem jest tak że na ludzi a IT się zwala przyczyny ataków, zwykły użytkownik umywa od wszystkiego ręce. Nie ma tak ! W każdym regulaminie bezpieczeństwa jest napisane że to użytkownik jest odpowiedzialny za bezpieczeństwo i swoje dane na komputerze. Tak samo jak jesteś odpowiedzialny za swój PIN do karty kredytowej itp… Nie dział IT odpowiada tak naprawdę za bezpieczeństwo tylko użytkownicy. Dział IT odpowiada za przeprowadzenie szkoleń, tylko właśnie z takim podejściem jak przedstawiasz tutaj żadnemu użytkownikowi nie chce się nawet przeczytać raz regulaminu i szkolenia z bezpieczeństwa IT. I kogo nazywasz leniem ?

    • Każdy kto ma jakiekolwiek pojęcie o bezpieczeństwie wie o tym, że zbyt częsta zmiana hasła jest złym pomysłem i że są inne, nieraz lepsze, metody uwierzytelniania. Podpowiem Ci w czym rzecz: to nie admini wymyślają te reguły, oni tylko je wdrażają klnąc przy tym na czym świat stoi.
      My mamy wiedzę niezbyt dziś tajemną, a kto nie ma niech do cholery przestaje zachowywać się jakby się lepiej na tym znał.

    • Trafione w punkt. Jako osoba zajmująca się nieco UXem, podzielam spostrzeżenie o totalnym oderwaniu wszelkiej maści adminów i inszych speców ds. bezpieczeństwa od rzeczywistości zwykłych ludzi. To nie ludzie są dla systemów informatycznych, tylko na odwrót. Wymaganie od ZU przestrzegania skomplikowanych procedur bezpieczeństwa kończy się albo wyraźnym spadkiem wydajności tegoż ZU (za co on zbierze opr) lub zlewaniem tychże procedur. Już byli tacy, którzy próbowali na siłę walczyć z niedoskonałościami ludzkiej natury, nazywali się komuniści. Jak to się skończyło, większość chyba wie.

    • To nie lenistwo, jest wiele metod lepszych od haseł czy też dwu-kilku składnikowe uwierzytelnienie. Tylko że wymagaja one wdrożenia czyli – czasu, dobrze zaplanowanego srodowiska, fachowców, pieniędzy.
      To nie administratorzy sa winni braku tego – oni realizuja to co mają zlecone z góry. Często niestety “góra” całkowicie nie bierze sugestii i rad pochodzacych od pracowników.

    • Mylisz użytkownika usługi komercyjnej, który musi mieć łatwo, bo się na nim zarabia z pracownikiem, który musi mieć umiejętności potrzebne do wykonania swojej pracy. Jeśli praca obejmuje przetwarzanie poufnych danych to do wymaganych umiejętności należy obsługa komputera na poziomie pozwalającym zapewnić bezpieczeństwo danych.

  54. Przeczytałem wszystkie komentarze i zastanawiam się po co wy tam jeszcze pracujecie? Dlaczego pracujecie dla okupantów Polski i innych tłustych buców którzy by wam po głowach weszli w swym szczurzym wyścigu “po drabinie kariery”? Druga strona barykady czeka, wcale nie taka gorsza od strony po której stoicie.

    • a co niby jest po tamtej stronie?

    • we need go deeper :) pieniądze i sława. I satysfakcja z dojenia idiotów

  55. a co z czytnikami linii papilarnych ?

  56. jednym slowem, czuje sie bardzo zachecony do wlaman do rzadowych sieci.
    dzieki!

  57. Pracowałem jako admin w budżetówce 5 lat sytuacja opisana w liście jest niestety obecna również poza ministerstwami w instytutach z dopiskiem PIB. Zbieg okoliczności i brak kredytu na karku, uchronił mnie przed pozostaniem w tym toksycznym środowisku. Mam szacunek do adminów w tego typu placówkach, gdyż poza robotą admina służą jako osoby od wszystkiego, panu dyrektorowi nie działa ipad bo na nim usiadł, pani dyrektor trzeba wyspecfikować telefon w różowej obudowie i inne gówna za pieniądze podatników.

  58. Ktoś, kto pisze taką polszczyzną, pełną błędow gramatycznych i ortograficznych, pomijając nawet styl, powinien zarabiać 1200 zł brutto sprzątając ulice. Nie wierzę, żeby bez dobrego podstawowego wykształcenia mógł być choćby miernym serwisantem, cóż dopiero administratorem.

  59. Niebezpieczniku szanowny, proszę, bardzo proszę!

    Ustawcie filtr antyspamowy na wywalanie wypowiedzi pełnych literówek, błędów ortograficznych i stylistycznych, z kaleką interpunkcją i myleniem pojęć słów.

    Bardzo przykro się robi czytając wypociny ludzi, którzy często mają wykształcenie średnie, w tym maturę z polskiego.

    • Zdecydowanie lepiej czytałoby się wypociny wyłącznie ludzi którzy nie mają matury z polskiego.

  60. Jeśli dla kogoś wielkim problemem jest raz na miesiąc zapamiętać 8 (słownie: osiem) liter/cyfr to dla mnie jest imbecylem i nigdy nie powinien opuścić szkoły podstawowej….

    • Oczywiście, że potrafię zapamiętać 8 całkowicie przypadkowych znaków, jeśli poświęcę na to trochę czasu. Ale… niekoniecznie muszę mieć ochotę zaśmiecać sobie głowę kompletnie niepotrzebnymi informacjami.

  61. A ja z drugiej strony. Po prostu odmawiam dostosowywania sie do komputera. To komputer ma ułatwiać moje życie a nie odwrotnie. To on istnieje dla mnie! to jakaś paranoja, żebym musiał zmieniać swoje przyzwyczajenia, żeby komuterowi “żyło” się lepiej !!

  62. Szanowni Państwo Informatycy.
    Jak Głąb zajęty tylko własnym piarem, jak zostałem tu pośrednio przez niektórych z was określony, chciałbym tylko przypomnieć, że komputer jest do pracy, a nie praca do komputera.
    Tak drogi “jurny” ludzie sa imbecylami wg twoich standardów, co zrozumiesz przekraczając czterdziestkę.
    Bezpieczeństwo nie jest bożkiem.
    Nie pracuję wprawdzie w budżetówce, ani tym bardziej w rządzie, ale wiem, że durny przepis rozporządzenia o zmianie hasła co 30 dni wymyśliły fanatyki bezpieczeństwa (forma gramatyczna zamierzona, mająca wyrazić moją dezaprobatę – to dla słabszych), nie znające się na ludziach.
    Raz nadane dobre hasło i 500 zł kary za świadome ujawnienie go komuś innemu (Pani Zosiu, Pani mnie zaloguje, hasło jest: “kRySia62==+”) jest lepsze niż te 30-dniówki.
    Wbrew temu co pisze Pan Piotr K. Hasło to nie majtki, i nie trzeba go często zmieniać, tylko skutecznie chronić przed poznaniem przez inną osobę.
    Trzeba uważac na keylogery typu “OkoSzefa”, które kit wie komu moga wysłać informację.
    Nie wolno karać, gdy pracownik obowia się, że ktoś przypadkiem poznał jego hasło, tylko mu go zmienić. Każdy jest zadowolony.
    Pomyślcie o pracy do zrobienia, a nie o fanatyzmie komputerowym.
    (NB, @ nie pmiętam kto: mój główny program roboczy pracuje na DOSie od lat 90 i działa super – obecnie go wirtualizuję. I jest to lepsze niż inne zabezpieczenia, bo dzisiejsze głaby jak widza coś a la konsola, to miękną)

    Powyższe to nie prawda objawiona i jedyna prawdziwa, ale moje subiektywne zdanie potwierdzone pewnym doświadczeniem. Mozna dyskutować, krytykować i się nie zgadzać.
    (Inna sprawa, że i tak bedę miał to w głębokim poważaniu, bo jestem impregnowany)

  63. Szanowni Państwo!

    Dla paru “frajerów”(mistrzów ortografii) należałoby przeznaczyć parę “batów” słownych ale po co…
    Wszak wielce zadufany w sobie “humanista” literki bardziej ceni niźli rozumu posiadanie..
    Wszak to temat na język polski, więc o co Wam chodzi mili “frajerowie”?

    Tutaj rzecz o informatyce i bezpieczeństwie.

    Nasilenie postów i komentarzy, których analiza wskazuje na rozpaczliwe wołanie o przysłowiową pomstę do nieba, skłania do konkluzji.

    Dokąd pojedzie ta karawana szefów, prezesów, dyrektorów, naczelników, kierowników, którzy odpowiadają za bezpieczeństwo teleinformatyczne a są…?

    Owszem, prawda jakiś znikomy procent decydentów to ludzie inteligentni, posiadający wiedzę techniczną lub gdy jej brak to rozsądek i adminów, którzy wiedzę tą posiadają.

    Może dyrektorem być plastyk, może malarz ale jeśli jest to konkretna decyzyjna i rozumna jednostka to pyta:
    Panie Panowie admini jaka sytuacja?
    Co trzeba zrobić? Co trzeba kupić? Ile zajmie to czasu? Jak to zrobić?
    Dacie sobie radę? Jak mogę Wam w tym pomóc? Możliwe warianty kosztowe?

    Ile zarabiacie?

    Po wysłuchaniu prosi o wystawienie na piśmie potrzeb.
    Bierze kalkulacje techniczne i wzywa “finansowych” i nadaje tryb do realizacji.

    Pytanie o zarobki jest istotne, ponieważ dzisiaj informację się kupuje.

    Więc komu zależy aby admini, informatycy marnie zarabiali?

    Naturalnie styl tej wypowiedzi może być nie w smak.

    Obserwując dzisiejsze zachowania zauważyć można, iż dopiero szum w mediach, gdy taki “genialny dyrektor, naczelnik, kierownik” zostanie wyprowadzony w kajdankach
    na oczach kamer za przestępstwo niedopełnienia obowiązków to może coś drgnie..

    Tak, Ci dbający o PR jak tu ktoś napisał boją się tylko medialnej kompromitacji.

    Smutne ale na kluczowych stanowiskach brakuje ludzi konkretnych, decyzyjnych, odpowiedzialnych, konsekwentnych i rozumnych niezależnie kim są z wykształcenia(wykształcenie o niczem nie świadczy).

    Należy przyznać, iż na kierowniczym stanowisku wartościowsza jest Kobieta z “jajem” aniżeli facet “kastrowany” na wielu poziomach egzystencji..

    Naturalnie mając świadomość, iż czytają tę stronkę Panie i Panowie z ABW, NIKu, CBA, SKW pozostaje wyrazić życzenie, że podjęte zostaną działania praktyczne aby pozbyć(przenieść) się z kluczowych kierowniczych stanowisk d/s informatyzacji w instytucjach rządowych i centralnych abnegatów.

    Kolejną kwestią, którą być może zaleci DBTI ABW jest odpowiedni wysoki poziom płac na stanowiskach informatyków, administratorów.

    Ale to chyba marzenia… choć warto nadzieję mieć, na poprawę sytuacji…

    Przede wszystkiem życzę Wam zdrowia i zadowolenia z życia i pracy! :)

    • Sporo prawdy – jak już podniosą pensje i wyrzucą beton – czekam na ogłoszenia z ofertami pracy ;P Nawet pójdę do spowiedzi!

      W sumie dobra posadka w rządowym „zaciszu” – nawet (wręcz lepiej) jak będzie wymagająca pod kątem wiedzy i szerokiego spojrzenia, wytrzymałości i pomysłowości, otwartości i elastyczności – to chętnie dołożę swoje 3 kamyki z mojego ogródka w poprawę fundamentów obecnego stanu rzeczy. Korzyści dla obydwu stron! Czyż nie? 

  64. Ja w swojej jednostce powiatowej mam w “standardzie” hasła w postaci IMIE + Cyferki dopełniające do 8 znaków. Od 4 lat mówię, że tak być nie może a one i tak dalej swoje…

    • Kiedyś, w jednej z firm pani księgowa miała hasło typu “alaMAkota” jak zmieniałem środowisko, wprowadziłem pewne wymogi wobec haseł, w tym obowiązek regularnej zmiany, zastosowania złożonych haseł. Wybuchł niemal pożar, bo jaj hasło “Ala” (tak dokłądnie je wymówiła) jest skuteczne od wielu lat, i ona nie zamierza go zmieniać… przed dopuszczeniem do użytkowania nowego srodowiska było szkolenie – 2h dla każdego działu, w tym było krókie szkolenie z tworzenia złożonych a prostych do zapamiętanai haseł. Możesz nie wierzyć, ale pani ksiegowa sama pilnowała regularnych zmian hasła w całym swoim zespole i tego by nie były nigdzie zapisywane.

      Niemożliwe prawda? Kwestia chęci i sposobu… wymuszanie nie działa na ludzi, zachęty i ciekawostki działają już zgoła inaczej.

  65. “List, być może w niektórych aspektach zbyt emocjonalny i przesadzony, pozostawiamy bez komentarza”?
    Ja bym raczej powiedział, że strasznie eufemistyczny. Niebezpiecznik może tego nie wie, bo ogląda od środka na szkoleniach firmy, które coś tam chcą robić (skoro już kupiły szkolenie), ale to, co pisze Admin Anonim to “samo życie”…

    Współczesne IT osiągnęło dość znaczny, wysoce specjalistyczny poziom komplikacji. Poziom nieosiągalny dla szarego pracownika, szczególnie w tak skostniałych strukturach, jak administracja państwowa. A najwyższa kadra kierownicza w tejże jest z nadań politycznych, bez żadnego związku z kompetencjami czy efektami…

  66. Za odpowiedź nr 5 stawiam mu piwo!

  67. Nie mam jak skomentować kolegi, ale piję do komentarza do mojej wypowiedzi, Cytuję:

    “Nie systemy ani organizacja, ale przełożeni którzy są informatycznymi analfabetami. Nie obraź się ale chyba nie miałeś do czynienia z silnie zbiurokratyzowaną instytucją, nie wiesz jakimi prawami się takie społeczności rządzą i twoje podejście jest delikatnie mówiąc naiwne. Nie oznacza to że nie można nawet w takich instytucjach zadbać o bezpieczeństwo, jednak stosowanie rozsądnego logicznego podejścia czy zasad takich jak choćby w firmach prywatnych jest biciem głową w mur. System cię połknie, przeżuje i albo cię wypluje albo wyjdziesz drugą stroną niczego nie zdziaławszy. Jak masz wątpliwości co do tego gdzie w biurokratycznym łańcuchu pokarmowym znajdują się administratorzy to zobacz sobie ile zarabiają. Tu trzeba najpierw sam system obalić i albo podnieść rangę specjalistów zarządzających IT do poziomu decydentów, albo decydentów wybierać inaczej niż z rozdania politycznego.”

    Szanowny kolego, wielce doświadczony jak widzę zapewne w jakiejś budżetówce od wielu lat – a raczej właśnie przerzuty i zrezygnowany … jakbym słyszał gderliwego 70-latka, pesymistycznie od początku do życia nastawionego, bo mu wszystko się w życiu nie udawało… jakie to polskie…

    Powiem tylko tyle – obecnie pracuję dla mocno skostniałej firmy, ściśle związanej z rządówką – firmy będącą własnością skarbu państwa, wcześniej pracowałem w mocno skostniałych i opornych bankach i dla banków zagranicznych i polskich, pracowałem u prywaciarzy i w dużych prywatnych firmach …, a to co tutaj piszę wynika z praktyki, doświadczeń ale i umiejętności komunikacji czy negocjacji… i może faktycznie w swojej wypowiedzi tego nie określiłem, może to nie wynika z tamtej wypowiedzi – ale istotne jest to jak rozmawiasz, jakich argumentów używasz, jaką treść zawrzesz w regulacjach i wyciągach czy skrótach, jak podchodzisz do pracowników, czego od nich wymagasz, jak ciekawie prowadzisz szkolenia, i w czym realnie im pomagasz – użytkownicy prócz obostrzeń chcą widzieć plusy – i musisz to potrafić przedstawić… a najlepiej jak potrafisz to połączyć z innymi działaniami ułatwiającymi im pracę… a jak traktujesz ich tylko i wyłącznie asertywnie, jak debili, to nie spodziewaj się że będą dla Ciebie otwarci i uśmiechnięci… tylko jak zawsze, trzeba chcieć…

    Uwierz mi, że się da. Owszem, to jest upierdliwe, nie robi się tego w tydzień czy w miesiąc, ale jest to realne i możliwe. Nigdy nie miałem problemu z wyegzekwowaniem podpisu przełożonego lub decydenta pod odpowiednio przygotowanym dokumentem (po prostu czasami wymaga to negocjacji i elastyczności), nie miałem też problemu z wyjaśnieniem i prezentowaniem zagrożeń, czy z odpowiednim podejściem tak pouczającym, jak i edukacyjnym wobec pracowników. Prawdą jest, że czasami coś się odwleka w czasie, coś się nie uda, czasami ktoś nie chce podejmować decyzji bo nie czuje tematu lub nie orientuje się we własnej odpowiedzialności czy zakresie obowiązków… ale to trzeba mu umieć wytłumaczyć / przekazać, kwestia relacji i komunikacji. Kropla drąży skałę.

    I mam wrażenie – że dużej części właśnie tak lamentujących, brakuje szerszej perspektywy i doświadczeń… stąd zrezygnowane podejście – i w sumie się z wami zgadzam – skoro od studiów, x lat siedzicie w tym samym złym miejscu i nic nie jesteście w stanie wskórać …a jest tylko coraz gorzej, to jakiego podejścia się spodziewać i co lepszego jesteście w stanie wnieść do firmy?

    Bez obrazy – ot takie moje osobiste spostrzeżenia … i obrona przed zarzutami.

    • “obecnie pracuję dla mocno skostniałej firmy, ściśle związanej z rządówką – firmy będącą własnością skarbu państwa, wcześniej pracowałem w mocno skostniałych i opornych bankach i dla banków zagranicznych i polskich, pracowałem u prywaciarzy i w dużych prywatnych firmach …, ”

      To ile Ty masz lat, z 70?
      Chyba, że pracowałeś wszędzie po 3 miesiące? (-:

    • @Radek – ile mam tyle mam, czy wiek jest dla Ciebie wykładnią w zakresie tego kto z nas jest bardziej biegły w tematyce IT/ITC czy SEC?

      Też mogę zapytać ale w drugą stronę – w jakim wieku napisałeś swój pierwszy program i ile miałeś lat jak dostałeś swój pierwszy sprowadzony ze stanów komputer Sinclair ZX80+ hmm?
      Uchylając rąbka tajemnicy, moja kariera zaczęła się od szeregowego helpdeska ślizgającego się po zakamarkach jaskiń pod biurkowych, przez administratorskie, kierownicze, w końcu doradcze stanowiska. Pytanie brzmi, po ilu miesiącach od rozpoczęcia pracy jako helpdesk dostałeś swój pierwszy awans, po ilu kwartałach dostałeś awans na stanowisko kierownicze? w końcu po ilu latach mogłeś być doradcą zarządu sporej firmy?

      I nie uważam się za kogoś wyjątkowego, tylko osobę która lubi czytać, sprawdzać, szukać, dociekać i zadawać niewygodne pytania, oraz szukać nietypowych rozwiązań… sam mam kompleksy przed innymi, załóżmy że pracuję zawodowo od 18 roku życia cały czas w branży, a wcale taki stary jak napisałeś nie jestem – czy to coś zmienia? spotykałem ludzi w wieku 17 lat, a wiedzę w zakresie np. programowania i pentestingu mają na takim poziomie że mogłem się tylko od nich uczyć…

      Swoją drogą czy są ustalone minimalne okresy pracy w firmach – po których zakończeniu, wolno mi twierdzić że gdzieś pracowałem i znam firmę? Mi wystarczy kwartał aby poznać firmę ze wszystkimi jej typowymi wadami, a że napisałem – “pracowałem w” oraz “pracowałem dla” – jedno drugiego (o ile nie ma ograniczeń o konkurencji) nie wyklucza … więc można się wiele nauczyć i dowiedzieć – zwłaszcza poruszając się pomiędzy firmami.

    • @Radek – bo zapomniałem dopisać – to chętnie się dowiem, jaki staż pracy ty masz Radku, skoro tak twardo oceniasz moje niedoświadczenie i krótki staż pracy… jak taki beton reprezentujecie, że nie wierzycie że ktoś coś potrafi i próbuje zmienić, ba ma jeszcze w tym zakresie efekty, to czego się czepiacie tego betonu nad wami?
      Już dziś pisałem – równanie do góry czyli w tym przypadku w dół …
      innymi słowy bije z was bierność, pesymizm i ostracyzm … a tymi wypowiedziami tylko to potwierdzacie…
      I nigdzie nie napisałem, że wszystko jest różowe, nie wszystko idzie i działa jakbym chciał lub jak powinno…, ale wolę pisać o efektach i o propozycjach rozwiązań istniejących problemów, niż żalić się jeden przez drugiego jakie to złe i jak to się nie da…
      Chyba tyle w tym temacie, znudziło już mi się pisanie i tłumaczenie, że nie jestem wielbłądem i ze można osiągnąć pozytywne wyniki przy odpowiednim nastawieniu i podejściu.
      Życzę wam poprawy warunków pracy i płacy i samych górnolotnych sukcesów z waszymi nazwiskami na stronach tytułowych – bo z tych narzekań często takie potrzeby wychodzą i chcę aby się wam spełniły – może zobaczycie też pozytywne aspekty życia i pracy.

    • @ktosiowy.ktos
      Nie oceniam Cię, luz, po prostu robi wrażenie ilość Twoich miejsc pracy.
      A co do betonu jaki rzekomo reprezentuję to nie trafiłeś.
      Tak jak pisałem, pracowałem przez parę lat w jednej bardzo wielkiej (i bogatej) firmie.
      Uwierz, próbowałem robić to co piszesz – ciągłe wychodzenie z inicjatywami, rozmowy, pomysły, ludzkie podejście do pracowników (naprawdę – do dzisiaj jak kogoś spotkam to zawsze jest bardzo sympatycznie), rzetelna i kompletnie niedoceniana, za gówniane pieniądze robota.
      Zapału starczyło mi na 6 lat, a potem się zwolniłem i poszedłem na swoje. Fakt – poskładało się tak, że roboty miałem sporo jeszcze pracując na etacie i ten etat zaczął mi w końcu przeszkadzać. Wylądowałem więc dość miękko, dużo pomogły korzystne okoliczności ale nie o to chodzi.

      Może Ty jEsteś twardszy, masz więcej samozaparcia, lepszą motywację – nie wiem.
      Ja nie dałem rady ciągle stać przed tą ścianą. Dziadowanie i oszczędzanie na wszystkim, a z drugiej strony centralnie sterowane drogie zakupy (np. niezbyt potrzebne serwery rackowe tak długie, że nie wchodzą do szaf). Cholernie odpowiedzialna robota za gówniane pieniądze, często do później nocy, bez żadnych pytań o nadgodziny – po prostu ekipa była solidna i praca musiała być zrobiona.
      Ile tak można?

    • “Szanowny kolego, wielce doświadczony jak widzę zapewne w jakiejś budżetówce od wielu lat – a raczej właśnie przerzuty i zrezygnowany … jakbym słyszał gderliwego 70-latka, pesymistycznie od początku do życia nastawionego, bo mu wszystko się w życiu nie udawało… jakie to polskie…”
      Wbrew temu co piszesz wiele rzeczy mi się udało(w tym kilka fajnych), i owszem pracowałem w budżetówce(choć z różnych powodów nie zdradzę gdzie). Większość pomysłów jednak zostało utrąconych. Piszesz że jestem pesymistycznie do życia nastawiony tyle że to nie jest pesymizm tylko gorzka rzeczywistość. Piszesz że banki są skostniałe, owszem to prawda ale gdybyś popracował kwartał w miejscu w którym ja pracowałem kilka lat to nawet byś o nich nie wspomniał, bo to nie ta “liga”. Odszedłem i pracuje w prywatnej firmie w której też bywa różnie, ale jednak robię fajne i pożyteczne rzeczy dostając za to godziwą zapłatę. Do poprzedniej pracy walczyć z wIatrakami nie wrócę, tym bardziej że wiem że z tych kilku fajnych rzeczy nic już nie zostało. Nie wiem jak @ Radek ale moim problem nie był brak chęci tylko opór materii i nie pisz że jestem gderliwym 70-latkiem któremu się nic w życiu nie udało bo nie ja jestem problemem tylko mechanizmy którymi rządzą się instytucje państwowe. Twierdzisz że zmieniasz świat, to fantastycznie, powodzenia(poważnie), tylko miej świadomość że “są na świecie rzeczy które się filozofom nie śniły” i pewnego dnia na którąś się możesz natknąć, oraz nie ty pierwszy ani jedyny go zmieniasz.

  68. Tak sobie myślę… Wszyscy chyba zdajecie sobie sprawę z tego, że pensje nie zmienią nic tak długo, jak decyzyjnymi będą osoby z układów itp. prawda? Kolejny raz doczepię się: zróbmy sobie jeszcze więcej przepisów, aby zatrudnić kolejnych urzędników, którzy wyprodukują kolejne przepisy, aby zatrudnić kolejnych…

    Jak dla mnie, to trzeba to wszystko zaorać i postawić od nowa.

    • To oranie nie jest głupie, ale koszty zaorania, świadczeń, rekrutacji liderów, zatrudnienia, porządkowania, kolejnego zatrudnienia – będą 3 razy większe … lepiej podmieniać …
      Powoli i systematycznie, od najważniejszych i najbardziej skostniałych, przez szczebel średni – który okaże się niereformowalny… reszta się dostosuje, a odpowiedni proces doskonalenia wykaże resztę wad.

      Ale jak już kolega mi wyżej powiedział – jestem naiwny… może tak, może nie… nie ma jednego dobrego sposobu.

    • Ludzie, czy jest jakiś sposób posortowania tych wszystkich komentarzy po datach żeby nie musieć za każdym razem przewijać całej strony sprawdzając czy jest coś nowego?!

    • Jest RSS dla komentarzy

  69. Dwa pytania do obruszonych adminów.

    1. Co to za systemy macie zaimplementowane że znacie hasła swoich użytkowników (w kontekscie miesiąc+rok)?
    2. Ile z was, przy wymogu zmiany hasła co 30 dni ma hasło NIE bazujące w żaden sposób z tym z poprzedniego miesiąca/okresu?
    3. Czy hasło mAr@:2013 bazujące na miesiącu i roku nie jest wystarczająco mocne?

    • Z własnego doświadczenia: czasami jest jeszcze gorzej… administrator cywilny w pewnej mundurowej serwerowni z centralnymi systemami 2000 netto, a szef z nadania politycznego (działu IT, żeby nie było) promuje swoich przydupasów.

      @Malkovich
      Przecież podawał, karteczki na monitorze.

  70. Zanim admin zacznie wymagać stosowania coraz bardziej wymyślnych reguł bezpieczeństwa to niech wpierw nauczy się pisać po polsku, a nie po polskawemu. Pewien poziom obowiązuje wszystkich.

    A poza tym jak się komuś wydaje, że zmiana długości hasła z 8 na 12 znaków cokolwiek daje to niech zmieni pracę.

    • Czysto akademicko teoretyzując przyprzyjmy że przeciętny Dual Core Pc może sprawdzić 10000000 haseł na sekundę. Przy bruteforce 8 znakówka litery małe + cyfry 4 w cztery dni będzie złamane. 12 znaków 15234 lat :)

      Zabezpieczenia dobiera się do potrzeb. Wystarczy zblokować konto po 5 niepoprawnych wpisaniach klucza. A tu taka mała zabawka.

      http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

    • Jezu jak ja kocham niebezpiecznikowych humanistów <3 Chociażby tam był sekretny sposób na najgorsze zarazy na świecie to i tak jeden z drugim doczepi się orta.

  71. Witam, uważam opinie przedstawione w liście za raczej pozbawione emocji. Swoją opinię wnoszę z własnych doświadczeń. W okresie schyłku rządów SLD poprzez PiS i później PO pracowałem w jednej z rządowych agend. Nie pracowałem w dziale IT, ale jako niezależny specjalista w innym zespole tworzyłem “ułatwienia” przy przenoszeniu danych z jednej aplikacji na drugą bo jak to zwykle bywa raz wygrał przetarg ktoś a raz ktoś zupełnie inny, a każdy z nich zrobił zwój wycinek z całości w zamkniętym programie bez lub z znikomą możliwością eksportu danych, więc to nie trzymało się później kupy i to już inna sprawa. “Pacyfikowałem” “ekspertów z NIK” ci ludzie przekazywali sobie namiary do mnie jako do osoby która dostarcza im dane potrzebne do kontroli i przez parę lat nie wpadli na to że zupełnie obcej osobie dawali pendrive ze swoimi wew dokumentami związanymi z konkretną kontrolą – Żenada. Ci ludzie zamiast tyle palić i śmierdzieć petami na km powinni poczytać parę mądrych książek.
    Jeden z dyrektorów na wniosek pewnego oszołoma z PiS polecił wszystkim bez wyjątku przychodzić do pracy w garniakach w tym działowi IT, wyobraźcie sobie chłopaków nurkujących pod biurkami w garniakach lub zasuwających ze skrzynkami pod pachą – paranoja. Tak jak napisano w liście, świecznik po każdej zawierusze wypada, zostają tylko pracownicy merytoryczni od roboty. Świecznik mógłby być pusty a robota dalej by się kręciła, a nawet i sprawniej niż w tych wiecznych politycznych podgryzankach. Kiedyś wierzyłem że taki “audyt show off” dał by obraz i może coś zmienił, ale teraz po latach wiem już że to do niczego nie prowadzi, tak długo jak długo polityka i wizja od wyborów do wyborów (a czasami kręcenie przetargowych lodów na boku) jest ważniejsza od optymalizacji zatrudnienia, wydatków i kompetencji administracji publicznej. Administracja publiczna koncentruje jak w soczewce problemy współczesnej informatyki – ten problem jest w zasadzie jeden, znajduje się między fotelem a klawiaturą. Pozdrawiam

  72. Nie do końca prawa w tym co pisze admin. Pracowałem w jednej z najważniejszych instytucji rządąwych i tam sa hasła o długości 12 znakow z maksymalną złożonością, dodatkowo każdy uwierzytelnia się karą, hasłem oraz przy odpalaniu kompa odciskiem palca. Czego chcieć więcej?

  73. Pracuje jako informatyk co prawda nie w budżetowce ale podejście do tematów IT jest podobne.. prawda jest taka, że jak przełożony każe “coś” zrobić co w sumie z twoim zakresem obowiązków ma mało wspólnego to później rzeczywiście nie ma czasu na wykonywanie obowiązków, rozwiązanie? zmienić prace i to chyba tyle ;)

  74. @Krzysiek:
    Nie rozumiesz – tu chodzi o to, że pracownicy w jakiejkolwiek instytucji [nie tylko budżetówce] będą tworzyć hasła w stylu imię-rok-miesiąc; dlatego zmiana z 8 na 12 nic nie daje.
    Przykładowo w sztandarowym tworze polskiej myśli programistycznej [obrazującym gdzie ona się znajduje] czyli programie Płatnik zmian hasła jest wymagana co 30 dni, a w małych instytucjach pracuje się na nim rzadko – zapomnieć hasło używane raz czy dwa na miesiąc nie jest trudno, więc się nie dziwcie, że ludzie chcą sobie ułatwić życie.

    Tu jedynym rozwiązaniem jest biometria, tokeny, itp.

    • E tam, biometrai i tokeny – smart card z certyfikatem + pin (4-6 cyferek), najtańsze, najszybsze i najprostsze w implementacji. Prawie każdy biznesowy lapik jest wyposażony w czytnik, a do kupowanych komputerów stacjonarnych można za 10% wiekszy koszt samej klawiatury, kupić klawkę z czytnikiem. A to jest już two factor authentication.

      :)

    • Wymuszona zmiana hasła co 30 dni dla programu używanego raz w miesiącu? No to całkiem przypadkiem masz bardzo bezpieczny system haseł JEDNORAZOWYCH :-)))

  75. Szczera prawda, zarobki marne ale praca stabilna.
    Co bardziej zaradny admin ma po kilka umów + firmę…

    Pracuję w budżetówce od 10 lat, płaca marna (aż wstyd pisać).
    Według kierownictwa admin nic nie robi, więc ma się zająć duperelami (instalacje windowsa, obsługa rzutnika, pilota od klimatyzacji, telefonu…) i jak tu kur.. dbać o bezpieczeństwo jak to rzecz wirtualna i nie widać czy wszystko jest ok do momentu wjazdu?

    Przetargi to jedynie strata kasy, kupiony sprzęt często powyżej ceny sklepowej, albo dostarczony po roku (bo tyle trwał przetarg) i tak otrzymujemy stare rozwiązania/sprzęty.

    Nie ważne jak by się starać i chcieć prowadzić systemy jak trzeba.

    Dyrektor mówi:
    – ma być wygodnie, ładnie
    – chcę mieć z domu/konferencji/lotniska/etc dostęp do danych z sieci które nie powinny być separowane fizycznie od internetu

    Po latach każdy admin oleje sprawę i zrobi jak chcą…

    Ot kilka luźnych przemyśleń…

    • Zgadzam się z Twoimi spostrzeżeniami, że nikt nie wie co robi admin, że w zasadzie to nic nie robi bo wszystko działa, że wykonuje polecenia, w których widać ryzyka dla tak wyświechtanego słowa jakim jest “bezpieczeństwo”.

      I zgadzam się nader wszystko, ze stwierdzeniem i praktyką, że “Po latach każdy admin oleje sprawę i zrobi jak chcą…” …

      Równamy do góry do naszych przełożonych, czyli w tym wypadku w dół… I rozumiem, że przez to każdy admin powinien się czuć usprawiedliwiony… bo to nie jego wina…

      Powiem tylko jedno – jak się nie ma co się lubi, to się lubi co się ma – czyli żebyście chociaż dbali o to na co macie wpływ i co nie wymaga jawnych zgód waszych przełożonych… było by już naprawdę lepiej… wystarczy jeszcze raz przeczytać zalecenia Alladyna, aby stwierdzić, że siły hasła były tutaj tylko jednym ze słabych punktów, a bardziej to sposób korzystania z uprawnień, brak mechanizmów zabezpieczających przed bruteforcem, brak szkoleń pracowników (nawet w formie maila przypominającego o jednej sprawie w kwestiach bezpieczeństwa raz na tydzień – tzw. komunikat)… ale co ja się będę produkował, jak to nie jest podatny grunt…

      Miłej pracy i wieczoru życzę.

    • To dlaczego tam pracujesz ?

    • Dlaczego tu pracuję?

      Powodów jest pewnie wiele. Bardzo stabilna praca, dobre warunki pracy (wychodzę o 15, nie mam problemów z urlopami, wolnym), nie jest to korporacja, przyzwyczajenie…

      Pieniądze nie są najważniejsze – choć ze względu na marną płacę mam firmę i kilka dodatkowych umów, tak więc nie jest źle. Choć wolał bym aby płacili więcej i abym mógł się skupić jedynie na pracowaniu w jednym miejscu.

      Co do szkoleń – nie ma żadnych, trzeba sobie samemu opłacić, lub uczyć się na własną rękę.
      Przecież po co informatykowi szkolenia? windowsa chce lepiej instalować?
      Pojęcie bezpieczeństwa nie istnieje, zostało zastąpione bardziej prostym „działa” / „nie działa”.

  76. Też pracuję jako admin od kilkunastu lat w przeróżnych firmach (zawsze prywatnych), nawet zdarzyło mi się pracować w działach ‘sekjurity’ różnych ‘liderów branży’, gdzie nikt nie miał bladego nawet pojęcia o socjotechnice (nie chodzi o technikę pisania na portalach społecznościowych – info dla ‘specjalistów’), więc czego wymagać od budżetowych dyrektorów? BTW, ja też pisałem maturę z polskiego (starą, ale na 6), znam polską ortografię (raz nawet jej znajomość uratowała dość poważny projekt – Exchange odróżniał Bielsko Biała od Bielsko-Biała – poprawnie bo to dwa miasta, ale pierdyliard razy znajomość ortografii była raczej przeszkodą w tym zawodzie. Btw, piszę ten komentarz na telefonie z Windows 8 i dotykową klawiaturą – zachowanie zasad ortografii i zimnej krwi w takim gównie jest ekstremalnie trudne. Na koniec nasuwa mi się myśl, że przecież komputery są dla ludzi, a jeśli chcemy bezpieczeństwa, musimy edukować, edukować, edukować. W końcu główna księgowa pamięta dokładnie kto z kim w jej ulubionym serialu co tydzień, może też bez problemu zapamiętać 8-znakowe hasło co miesiąc…

    • Nie jestes taki fajny, bo nie zamknales nawiasu po stwierdzeniu o znajomosci polskiej ortografii.

  77. i pewnie admini sami się włamali do swojej sieci po to by w końcu móc zająć się porządnie zabezpieczeniami sieci , bez szumu pewnie tam się nic nie da zrobić

  78. Trudne hasła? czasem się udaje.
    (anegdota firmowa)
    Pewna pani nie mogła się przystosować do okresowej zmiany haseł i ciągle onego zapominała. Bo trudne, bo słabo słownikowe i historia zbyt długa.
    Cierpliwość admina systemu (wtedy jakiś netware) się skończyła. Uruchomił moduł obsługi długich haseł i po raz chyba ostatni zmienił jej hasełko na:
    “juznigdyniebedewkur#I@1akochanego$(ImieAdmina)”

  79. Rozwiązanie tych problemów jest banalne:
    * Wprowadzić centralizację obsługi IT dla wszystkich resortów, z minimalną obsługą lokalną, szefowie poszczególnych resortów nie mieli by wpływu na politykę bezpieczeństwa.
    * Wywalić połowę osób a drugiej połowie zwiększyć pensje o 100% (to tyle odnośnie stabilności)

    Na początek duża inwestycja, a ostatecznie wielomilionowe oszczędności liczone wymiernie, i kolejne niewymierne w instytucjach rządowych ;-) (np. bezpieczeństwo, prestiż, service level…)

    • Pani/Panu też własny lokalny mózg jest chyba niepotrzebny…

      Pewnie ten zlokowany w chmurze firmy Micro.. byłby lepiej nadzorowany i sprawniejszy…

      Sorki ale “centralizacja” rodem z MAC-ków to chichot orwellowskiej paranoi..

      Technicznie czas reakcji, bezpośredni nadzór systemu, awaryjność sieci, urządzeń, brak zasilania..
      I gdzie tu bezpieczeństwo danych? A urząd, instytucja stoi i kwiczy…

      A czas klęski żywiołowej, akt terroru, stan wojny?

      Częściowa, rozsądna centralizacja – zgoda ale nie paranoja jakiegoś ekono-PR bo się koszty zetnie..

      Pada centralna sieć, jednostka, urządzenie i cały kraj leży..
      No chyba, że pracuje Pani/Pan dla tych z zewnątrz albo wyobraźni brak..

      Redundancja danych, zasobów, sprzętu ludzi w instytucjach rządowych to norma i normalność(IT). Z uwagi na fakt, iż obecnie dane funkcjonują praktycznie tylko w cyberprzestrzeni.

      To zdanie powyżej powinno być pręgierzem wszystkich genialnych racjonalizatorów.

      Idąc tym torem to należałoby zupełnie zlikwidować Wojsko bo jesteśmy w NATO.

      Miast dać informatykom, adminom zarobić godziwie, zweryfikować wymienić zarządzających IT to geniusz centralizacji się odezwał… hehe

      Tak śmieszne, że aż straszne…

      Wzburzenie jest tu na miejscu drogi przedmówco bo tzw. rezerwy strategiczne Państwa i kwestie bezpieczeństwa są Ci daleko obce… a “śmierdzisz” geniuszem centralizacji.

      Wonieje zapachem “macek” …

      Tacy pseudopiarowcy są kamieniem u nogi Państwa Polskiego.

      Jak taki geniusz prezentujesz to odkręć jedno koło od samochodu zapewne daleko zajedziesz…

      Wiem, wiem Ty szanowany przedmówco dasz radę nawet na dwóch… :)

      Zdrowia Ci życzę! :)

  80. Do adminów pracujących za grosze. Do końca życia chcecie mieć 3600 ze strachu? Ruszcie się moi drodzy, tani administratorzy bo jak Franek podskoczy to nic wam nie da stabilność pracy jak 100% pensji będziecie płacić na ratę. Podejmijcie wyzwania, jest dużo lepszej, lepiej płatnej pracy. DO BOJU PANOWIE I PANIE :D

  81. A co do budzetowki to przypomialo mi sie kilka smiesznych sytuacji
    1. Pani przez 2 tygodnie mnie zwodzila z wymiana monitora z banki na LCD. Gdy wkoncu ja zlapalem i chcialem podmienic monitor poprosila mnie abym jej wydrukowal to co jest na ekranie. Pozniej okazalo sie ze myslala ze jak zmienie jej monitor to zniknie jej wszystko z pulpitu.
    2. Po wymianie na nowy sprzet troche doszlifowalismy obrazy OS instalowane na PC. Jedna z Pan stwierdzila ze jej komputer jest nie sprawny i ona chce swoj stary. Gdy pojawilem sie u niej poprosilem grzecznie aby pokazala mi co nie dziala. Okazalo sie ze nie ma pasjansa ktory faktycznie wywalilismy z OS ;-)
    3. Z uwagi ze jedynym slusznym noskiem byly dysietki ( wtedy jak pracowalem ) to wszystkie dane pomimo serwera pocztowego byly tak przenoszone. Akurat dosc wysluzony sprzet nalezal do jednego z pracownikow gdzie byla uszkodzona stacja dyskietek. Kumpel jajcarz wiedzial co jest nie tak za kazdym razem gdy zjawial sie u goscia najpierw poglaskal komputer, pogadal do niego w wkladajac dyskietke troche poruszal nia gora dol i stacja zaskawiwala. Ktoregos razu dzwoni ten gosc do kumpla a kumpel pierwsze pytanie a komputer zostal poglaskany ;-) Poplakalem sie wtedy ze smiechu.
    4. Obsluga myszki sprawa trywialna – zostalem zawolany ze myszka nie dziala. Jakie bylo moje zdziwienie gdy zobaczylem szefa prawie lezacego na biurku z myszka obrocona o prawie 120 st. Malo sie nie polozylem ze smiechu. Ale ze akurat robil przelewy to zachowalem powage

    Cos duzo mowic budzetowka to taki twor ktory utrzymujemy z wlasnych podatkow
    Czy nam sie to podoba czy nie. Nistety poziom wiedzy to wczesne lata 80 i co najwyzej maszyny do pisania z pamiecia – chociaz zastanawiam sie czy to czasem nie za duzo ;-)

  82. Tym wszystkim dumnym półanalfabetom polecam pod rozwagę taką małą akcję społeczną: http://takbardzozle.blogspot.com/2013/01/72-pisownia.html

  83. W pełni potwierdzam, że w wielu organach administracji jest tak jak admin w swym liście napisał. Poza kwestiami zarządzania hasłami i tego co czego „służą” informatycy w administracji państwowej można poruszyć kwestie sprzętowe.
    Jeszcze kilka lat temu jak pracowałem w innej instytucji wśród pracowników królował Windows 98SE i Explorer 6. Zakup nowszego oprogramowania możliwy był jedynie przy okazji przetargu na zakup nowych komputerów. Jak stare działały to nic nie można była tam zmieniać. Teraz wszyscy pracownicy pracują na Windows XP.
    Nie rozumiem powszechnej ignorancji działów IT w administracji państwowej na oprogramowanie Open Source. Wiele z tych starszych maszyn mogło by funkcjonować na o wiele bezpieczniejszym oprogramowaniu Open Source np lekkiej dystrybucji Linuksa. Pewnie 95% oprogramowania wykorzystywanego w administracji ma zamienniki open source, a pozostałe 5% jest kupowana w przetargach na specjalistyczne oprogramowanie i jakby warunek był, że ma być napisane na Linuksa, a nie Windows to by tak było napisane. W skali roku wydawane są pewnie dziesiątki lub setki milionów na oprogramowanie które jest absolutnie niepotrzebne. W większości stanowisk w administracji potrzebny jest tylko system operacyjne, edytor tekstu, arkusz kalkulacyjny, czytnik poczty i czytnik pdf. Po co do tego przetarg na komputery z i3, nowym Windowsem i Officem ?
    Byłem u dyrektora działu IT i przekonuję, że lepiej zmienić ludziom Explorer 6 na Firefoxa lub coś na Chromium, bo na bieżąco update, bo bezpieczniejszy. Na to słyszę, że nie możemy bo nie mamy licencji. Mówię, że darmowy, bez licencji. Na to słyszę „Nic nie jest za darmo dla firm. Nie będziemy kupować nowej przeglądarki, bo pracownicy nie są tu po to by przeglądać internet.” Więc surfują na Explorerze 6 i 7.

    • Chrome… eh, widzę, że o administracji nie masz pojęcia.
      Gdyby nie gówniane wtyczki to paradoksalnie najbezpieczniejszy je
      IE8, tylko trzeba go aktualizować, zresztą u mnie w firmie nie
      wolno używać innych przeglądarek – zakaz o tyle nie do złamania, że
      zwykły użytkowniki nie-admin nic sobie nie zainstaluje na
      kompie

  84. Oczywiście że błędy rzucają się w oczy….ale nie o tym tutaj mowa. I ta Polska zawiść, zamiast tylko zwrócić uwagę to nie do gleby i gnoić…wstyd.
    Potwierdzam słowa zawarte w liście. Też robię w takim miejscu gdzie jak chcesz dostać premie lepiej się nie wychylać z pokoju. Wdrożenie? Opór materii jest za duży. Zabezpieczenia? A czy można wyłączyć hasło? Szkolenia? ……Cóż, pensja marna bo marna ale pewna. I w sumie prywatne pieniądze się przeznacza się by się czegoś dodatkowo nauczyć lub zdobyć jakieś umiejętności. Ale najsmutniejsze jest tylko fakt, że wiemy co warto było by zmienić by poprawić bezpieczeństwo jak i sama wydajność całego ledwo w kupie trzymającego się systemu. Ale dopóki kierownik ma hasło do serwera “password” więcej pytań nie mam.

  85. Nie traktujmy listu tego administratora jako “…być może w niektórych aspektach zbyt emocjonalny i przesadzony, pozostawiamy bez komentarza”. Fatalnie to wygląda niestety taka jest rzeczywistość i takie pensje. Współczuję administratorom wiem z czym mają do czynienia i jaka jest presja. Bardzo często do wyboru jest: uparcie się przy swoim i kara lub spełnienie oczekiwań przełożonego (które są jego widzi-misiem i nie mają nic wspólnego z bezpieczeństwem). Są przypadki gdzie rozwiązano komórki bezpieczeństwa i pozostawiono administratorów samych sobie lub też nigdy komórki bezpieczeństwa nie zostały stworzone ponieważ uznano je za zbędne lub stwarzające zbyt duże problemy.

  86. Naturalny proces ewolicj az cos sie rypnie i pojda po rozum do glowy :) Ciekawi mnie tylko jak dlugo jeszcze my Polacy bedziemy na to sobie pozwalac ? Bierzmy przyklad z Islandii ;) to takie proste …

  87. .. i ja sie podpisuje pod trescia listu .. czterema rekoma
    i wszystkimi nogami. 7 lat w budzetowce. Pozdrowienia, m.

  88. Jeśli ktoś, kto pisał ten list naprawdę jest
    administratorem czegokolwiek to naprawdę mamy duży
    problem…

  89. Tuż przedtem, zanim zmuszono mnie do odejścia z zakładu (bo
    byłem dla kierownictwa jak wrzód na d…), serwerownię przeniesiono
    z zacienionego pokoju na I piętrze do klitki pod dachem, gdzie
    temperatura nie spadała poniżej 25 stopni. Dotychczasową
    serwerownię dostał Pan Audytor. Było to w środku roku, więc
    oczywiście nie znalazły się żadne środki na zakup klimatyzacji.
    Moje protesty i raporty o postępującej degradacji dysków lądowały
    “ad acta”…

  90. ZUSU nikt nie shakuje bo wszystko przenoszą na
    dyskietkach

  91. Kumpel ma podobne podejscie przełożonych w banku.

  92. Jestem amatorem, ale nie zarabiam 3,5k. Nie widzę powodu dla którego administrator miałby wymyślać systemy uwierzytelniające użytkowników końcowych “lepsze i bardziej przyjazne” – takie istnieją, wystarczy je wdrożyć. Co szyfrowaniem niesymetrycznym, biometryką? Po co 12 znakowe hasło, skoro wystarczy czytnik linii papilarnych? W obecnych czasach to tanie i proste w użyciu rozwiązanie, przecież istnieje RFID (technologia z lat 70), karty zbliżeniowe… Czy to nie jest proste i przyjazne rozwiązanie dla użytkownika? W ostateczności taka identyfikacje przeprowadzić z wykorzystaniem przenośnej pamięci flash za grosze. A prosta dla użytkownika zmiana hasła co miesiąc – dokonuję takiej doładowując kartę miejską. I nie wiem jakie mam hasło, nie dbam o to, tym bardziej nie muszę zapisywać go na kartce. To moim zdaniem zadowoli wszystkich w kwestii identyfikacji i autoryzacji użytkowników, takich jak “pani Krysia”. Inne kwestie bezpieczeństwa pozostawiam specjalistom ;)

  93. Niestety takie są realia budżetówki, mogę tylko potwierdzić, Inwestycje w sprzęt oraz infrastrukturę ? nie są potrzebne… zmiana haseł co 30 dni -tragedia i problem dla użytkownika, co chwila odblokowywanie zablokowanych kont “bo zapomniałem hasła”, a Admin tylko sobie siedzi przy komputerze i coś tam sobie klika i nic nie robi, wiec dajmy mu coś innego do roboty bo się nudzi.

  94. To jest projekt Państwo Optimum 2.0 ;)

  95. informatycy od siedmiu boleści… zmiana hasła co 30 dni
    jest wymagana, bo nie ma hasła nie do złamania, to jest tylko
    kwestia czasu i o czas właśnie chodzi, błędne hasło x 3 = karne
    czekanie na ponowną próbę, w efekcie znalezienie odpowiedniej
    kombinacji przy odpowiedniej złożoności hasła trwa dłużej niż
    miesiąc, takie są założenia. po miesiącu cały proceder trzeba
    zacząć od nowa. ale nie, ale po co mieć bezpieczny system, po co
    dwustopniowa wersyfikacja, po co RSA? przecież to za drogie i za
    trudne… powinno być jak w większości sensownych firm, menager
    określa jaki stopień bezpieczeństwa jest potrzebny, administrator
    wybiera jakie technologie trzeba wdrożyć, kosztorys, menager
    akceptuje bądź nie, ale… jak już dojdzie do porozumienia i system
    zostaje wdrożony to WSZYSCY podporządkowują się do panujących
    zasad, a jak nie to ban od administratora i bez gadania

  96. co za problem, niech pracownicy zainstaluja sobie LASTPASS,
    gdzie zmiana hasla sie wdrozy automatycznie do programu LASTPASS.
    LOGOWANIE AUTOMATYCZNE bezproblemowe. Jest pelno tego typu
    programow. Ministerstwo tez moze sobie taki program stworzyc, dane
    zszyfrowane na 256 AES bitow i po sprawie

    • Zwłaszcza w trakcie logowanie do AD…

  97. List wcale nie jest przesadzony, gość ma absolutną rację. W
    każdej dziedzinie siedzi na krzesłach kupa betonów. Ja mam 60 lat i
    nie jestem informatykiem , jednak tak proste sprawy jak niechęć i
    przywiązanie do jednego (jak krowa do miejsca w oborze) niszczy
    kraj, gospodarkę ,ludzi i relacje miedzy nimi. Fachowcy,,kolesie”
    od krów niech wracają skąd przyszli, bo to właśnie robili dobrze.
    Dajcie pracować normalnie fachowcom z innych dziedzin, którzy mają
    wysokie poczucie własnej wartości i nie dadzą się poklepać
    protekcjonalnie po ramieniu,tym samym nie stana się ,,kolesiami”.
    Czytajcie !!!,,Islandia – media o tym milczą.pl”

  98. Chłopie – szukaj roboty. Ci fachowcy nie odpuszczą Ci , bo
    trafiłeś w czuły punkt naszych ,,wybranych”

  99. Witajcie,

    jestem zaskoczony, że tyle z Was przerabia ten sam problem. List pisałem szybko z konsoli (vim) i przepraszam wszystkich za błędy ortograficzne.

    Zastanawiam się czy “Niebezpiecznik” spodziewał się takiej powszechności problemu. Wszyscy doradzają co zrobić, niektórzy piszą abym zmienił pracę. Prawda jest taka, że zrezygnowanie z pracy jest najprostszym wyjściem z sytuacji, ale to nie znaczy, że problem zniknie. Poza tym… z Waszych opisów widać, że wybór firmy wcale nie jest taki prosty bo u prywaciarza ludzie przerabiają podobne problemy.

    Chciałbym, żeby to wszystko wyglądało inaczej. Po ostatnich akcjach alladin-a2 widać pewne poruszenie w administracji. Pomijając fakt, że czyn karalny, to zrobił dobrą robotę (pod warunkiem ,że nie sprzedał nigdzie uzyskanych danych).

    W radach pamiętajcie o jednym, że w dużych organizacjach, wszelkie pomysły trzeba zrealizować razy kilkaset. Na przykład czytnik linii papilarnych po 50 zł przy 500 osobach będzie kosztował 25000 zł +- pula zapasowa +_ fluktuacja kadry. Taką sumę trzeba zaplanować z odpowiednim wyprzedzeniem w budżecie. W budżetówce to rok wcześniej. No i oczywiście trzeba to kupić, bo pomimo planów, po drodze decyduje o tym duża liczba osób i każda z nich widzi to inaczej.
    Wierzcie mi, łatwiej kupić gadżet dla kogoś z kierownictwa niż inwestować w bezpieczeństwo.

    Jak wyobrażacie sobie zabezpieczenia organizacji przy 750 pracownikach w 2 lokalizacjach ?
    Będę wdzięczny za Wasz punkt widzenia.

    Pozdrawiam
    @dmin

    • Tu trzeba wszystko wyburzyć i stawiać od nowa bo ta ryba nie zaczyna się od głowy psuć tylko jest już całkiem przegniła.
      “750 pracownikach w 2 lokalizacjach ?” W takiej wielkiej instytucji najprościej zwiększyć bezpieczeństwo przez ograniczenie biurokracji i zwiększenie wydajności. Trzeba by pewnie z 700 osób zwolnić ale za to pozostała 50 i tak by była w stanie więcej zrobić. :D

  100. Panie Adminie z listu: a po co roobic cokolwiek w tych 2 lokalizacjach, skoro ‘nikt by sie tam nie wlamywal’? to taki stereotyp, az ktos przyjdzie i sie wlamie, bo wczesniejszego nie slyszal.

    dwa? chodz bedziesz sprzedawal moje projekty i zarabial 10k miesiecznie. ale orka jest nieziemska wiec pastuj buty i do roboty, a bedzie profit :*

  101. ehhh… to jest bardzo proste do zrealizowania:
    1. masz Politykę bezpieczeństwa i politykę zarządzania systemami- realizujesz i na piśmie prosisz ze potrzebujesz to i to (niech bedzie za 2 lata)
    (czemu na piśmie? tylko to działa… prawda?)

    2. z pracownikami dajesz sobie radę – u mnie jest babka która zmienia kod w płatniku pamiętając wsyzstko (zmienia jedną cyferkę i jest OK – zawsze to lepsze niż zapisywanie na karteczkach)

    3. Dlaczego możesz tylko pomarzyć o 1 i 2? Bo nikt tego nie kontroluje – u mnie wszyscy boją się RIO… gdyby np: jakaś instytucja mogła jeszcze kontrolować informatykę i egzekwować politykę bezpieczeństwa to… byłaby rewelacja! ale po co – lepiej wydać na malowanie remizy :)))

    jak zrealizować punkty 1 i 2? Pan Boni musi się wsiąść do pracy ;)
    a) niezapowiedziane kontrole… tylko to zadziała
    b) prokurator w warszawie… bez możliwości odliczenia dojazdu jako służbowego ;)

    3. włamania nie działają – przynamniej na wsi – chyba ze prokurator się nimi zainteresuje.

    Generalnie mogłoby GIODO wziąść się do pracy…. ale… po co?

    4. najważniejsze – certyfikowani przez rząd audytorzy… bo to tak wygląda że jak przyjdzie firma to wykaże… minimum… ( które i tak nie spełni minimum )

    5. zabezpieczenia administracji przy 750 osobach?
    ja przy 30 mam przewalone – 3 razy dziennie 7 letnie kompy się resetują, ludzie nie wiedzą co widza na ekranie – a każdy ich problem z napisaniem dokumentu i sformatowaniem… to mój problem ;)

    6. ale mam 6 minut na nogach do pracy ;)

  102. Kurwa, źle mi się już robi od czytania tych spedalonych grammar nazis. Chciałem dobrnąć do końca komentarzy, ale drugi flamewar spod znaku kropki i przecinka naruszył mój ocean spokoju. Modełę- śpisz? Ew proponuję swoją skromną kandydaturę na modełę :D Gwarantuję że komentarze pod artami będą article-related ;).

  103. Witajcie….
    Pracuję w Resorcie sprawiedliwości….
    Niestety muszę potwierdzić to co inf. pisze…
    U mnie jest tak samo. Komisje przetargowe, papierki, zapotrzebowania, rozeznania cenowe, faktury do opisu i podpisu to najczęstsza robota. Na sprawdzanie logów, wdrażanie zabezpieczeń, aktualizacje nie ma czasu.
    Nie jest w “interesie” kierownictwa wdrażanie systemów opartych na opensource. Lepiej zakupić system MS, zapłacić za szkolenia i wdrożenie a później za administracje.

  104. Dyskusja rozrosła się do monstrualnych rozmiarów, ale niech tam, dołożę swoje trzy grosze.

    1. Uważanie, że “ężynier” ma prawo do ignorancji czy też niedbalstwa językowego, to gruby błąd. To jezyk porządkuje nasze myślenie. Precyzyjne wypowiadanie się w dziedzinach takich, jak matematyka, fizyka, inżynieria jest niezbędne. Jeśli ktoś nie ogarnia tak banalnej, w sumie, sprawy, jak gramatyka własnego, ojczystego języka, styl dostosowany do kontekstu wypowiedzi, czy po prostu ogólny porządek i logika tekstu – to nie wyobrażam sobie, jak obejmuje umysłem złożone systemy. Dotyczy to także makaronizmów! Niedbalstwo świadczy również o kulturze człowieka – bo być może potrafi napisać coś ze składem i sensem, ale mu się nie chce. Spójrzcie chociażby na artykuły i notatki naszego Gospodarza i – na pewno to potraficie, jeśli zechcecie – spróbujcie Go naśladować nie tylko w wiedzy i umiejętnościach stricte technicznych.

    2. W budżetówce obowiązuje selekcja negatywna – na wszystkich szczeblach – dodatkowo przyprawiona nepotyzmem i politykierstwem. Nie dziwi mnie więc słabość techniczna zabezpieczeń oraz brak środków finansowych i kadrowych na wdrożenie lepszych. To po prostu efekt chorej struktury.

    3. Pozwalam sobie nie zgodzić się z Piotrem Koniecznym w kwestii “majtek”, a dokładniej, w części dotyczącej częstych zmian. Pozostałe tezy – odnośnie ukrywania “bielizny” i nie udostępniania jej – są jak najbardziej na miejscu. Najsłabszym elementem w systemie zabezpieczeń jest najczęściej człowiek – i trzeba wziąć to pod uwagę. Młodzi, nie śmiejcie się, że “pani Halinka” nie jest w stanie spamiętać nowych fafnastu znaków co miesiąc, bo naprawdę sprawia jej to kłopot – sami się o tym przekonacie za lat kilkadziesiąt.

    Wracając do tematu – teza o częstym zmienianiu “majtek” sugeruje, że im częściej, tym lepiej – a to, moim zdaniem, błąd. Częsta zmiana haseł to relikt przeszłości i znaczków trzymanych w drugim polu w /etc/passwd. Wówczas chodziło o to, żeby czas pomiędzy zmianami hasła był dużo krótszy niż wyczerpujący atak na jego skrót. Dzisiaj dostanie się atakującego do bazy skrótów haseł to już praktycznie sprawa przegrana. Jak często trzeba by zmieniać hasło, żeby udaremnić wyczerpujące (lub słownikowe z wieloma wariacjami) przeszukanie? Codziennie? To jest niewykonalne dla normalnego człowieka, więc nic dziwnego, że zmuszony do tego, zapisze sobie hasło na karteczce – co jest dużo bardziej niebezpieczne.

    Innym często stawianym argumentem za częstą zmianą jest fakt ograniczenia czasu nieupoważnionego dostępu na uzyskane w jakiś sposób hasło. Prawda jednak jest jednak taka, że atakującemu najczęściej nie jest potrzebny dostęp do danego konta dla samego dostępu, ale dla dalszej penetracji i “zdobycia przyczółka” w systemie. Czy hasło jest zmienianie co pół roku, czy co tydzień, nie ma wtedy znaczenia – zazwyczaj wystarczą godziny czy dni, żeby atakujący “zainstalował się” w systemie i hasła już nie potrzebował.

    Lepiej więc mieć, na przykład, długie, dużo łatwiejsze do zapamiętania, a dużo trudniejsze do wyczerpującego przeszukania, hasło-zdanie, które zmieniane będzie dość rzadko, najczęściej wtedy, gdy wystąpi podejrzenie jego ujawnienia. Wadą takiego rozwiązania są sytuacje i systemy, w których hasło wprowadzać trzeba często. Ale od czego są komputery? One potrafią robić rzeczy szybko oraz zapamiętywać dokładnie i długo. Jeśli hasło będzie “pamiętał” komputer, to może ono zmieniać się na przykład co minutę! Komputer by dał radę nawet częściej, ale to człowiek jest znów za wolny… Urządzonka do tego można kupić za grosze i wcale ich używanie nie jest mniej wygodne do hasła typu LKAS@d76c_4%L8#c43. Co więcej, ich utrata jest dużo bardziej zauważalna niż utrata hasła…

    • Podpisuje się pod tym komentarzem obiema rękami.

  105. Eee tu same BOFH-y siedzą … Ludzie dajcie spokój, Niebezpiecznik to nie forum językowo-ortograficzne. Jak wolicie lekcje polskiego to pogadajcie z Miodkiem.

  106. Pracowalem w budzetowce 8 lat prawie. Udalo mi sie wyrwac i nie zaluje. Potwierdzam to, co napisal autor. Moj szef potrafil sie skompromitowac brakiem wiedzy o podstawowych zaganieniach IT. Kiedy przygladalem sie kwestii bezpieczenstwa systemow to zostalem nazwany “gowniarzem”, ktory przeglada “hakerskie strony”. Szkolenia traktowane byly jako “nagroda” a nie jako wklad w rozwoj departamentu. Priorytetem byly “telefoniki” Pana Dyrektora – btw. szwagra wspomnianego indywiduum – ktore musialy byc wypasione. Haslo Pana Dyrektora? Ano zapisane na post-it pod klawiatura. Glowny Ksiegowy – tak samo plus jeszcze wieksza ignorancja zasad bezpieczenstwa. Za to wprowadzano wspaniale zasady dotytczace uzywania spinaczy do papieru i inne takie. No i banda “informatykow” uwazajaca sie za “guru” a tak na prawde osiadla ekipa z brzuszkami, bez perspektyw ale wymadrzajaca sie na tablicy wzorkami z fizyki.

  107. Wypowiedzi niektórych są strasznie olewcze. Macie problemy z zapamiętaniem haseł? Macie problem z silniejszymi hasłami? Ciekawi mnie czy zamki w waszych drzwiach też macie najtańsze, z bazaru. Pewnie każdy z tych użalających się nad “panią Krysią” użyje co najmniej 3 kluczy żeby dostać się do domu/mieszkania i pewnie co najmniej jeden będzie pasował do zamka “antywłamaniowego”. Pozakładajcie sobie najtańsze zamki, a klucz trzymajcie pod wycieraczką, tak, żeby nie było obawy, że ktoś z rodziny może zgubić, w końcu po cholerę się przejmować bezpieczeństwem?

    • Wybacz, ale to porównanie wydaje się co najmniej nie na miejscu. Czy z punktu widzenia użytkownika zamka w drzwiach ma znaczenie, czy klucz, którego używa otwiera zamek przeciwłamaniowy, czy zwykły? Tak samo trzeba przekręcić klucz. Czy trzymanie klucza pod wycieraczką ułatwia życie? Większości ludzi raczej nie. A zatem, w przykładzie, który podałeś, obniżenie poziomu bezpiezeństwa nie niesie ze sobą żadnego zysku (w sensie wygody użytkownika). Podczas, gdy konieczność zapamiętywania co 30 dni skomplikowanego hasła (a w praktyce powiedzmy 5 różnych skomplikowanych haseł) jest uperdliwa, rodzi problemy bezpieczeństwa (zapisywanie na karteczkach, itd.) oraz rodzi koszty (koszty obsługi “zapomniałem hasła” przez helpdesk).

    • Czy wymieniesz wkładki w zamkach co miesiąc? Nie? Coż za olewczy stosunek do bezpieczeństwa!

  108. Posiadam Ciekawą prezentację ukazującą problem w komunikacji między działem IT i userami. Pokazuję ją, z małymi modyfikacjami, co jakiś czas, naszym użytkownikom i na trochę pomaga. Prezentacja pokazuje stereotypy w komunikacji, ukazuje różne priorytety z obu stron, punktuje najbardziej denerwujące zachowania itd.
    Jeżeli ktoś potrzebuje takiej prezentacji to proszę pisać na maila – podeślę.

    • Michał jest szansa na prezentacje na maila ?

    • Michał ja poproszę

    • A gdzie ten email?

  109. Ja z kolei chcialbym dodac cos od siebie, pokazujac problem z perspektywy “szefa ingnoranta”. No… moze nie do konca ignoranta-komputerami interesuje sie od dziecka, skonczylem wydzial informatyki na polibudzie, zagadnienia programowania, podstawy konfiguracji serwerow i abecadlo bezpieczenstwa sieciowego nie sa mi bynajmniej obce. A pracuje w malej, rodzinnej firmie (zatrudniamy z ojcem ~9 osob) i przez pierwsze kilka lat zajmowalem sie wlasnie sprawami IT, czyli przyslowiowym “mydlem i powidlem” (wspomniane kopiowanie danych z telefonow, instalowanie Windowsow i, ogolnie, rozwiazywaniem wszystkich kwestii w jakikolwiek sposob zwiazanych z komputerami). Po paru latach obowiazki te zrzucilem na osobe trzecia, bo teraz nie mam juz zwyczajnie na to czasu.

    Chcialbym stanac tutaj w obronie wszystkich dyrektorow i menedzierow, na ktorych tak ochoczo wieszacie tu psy (poza tymi pracujacymi w administracji publicznej-tam faktycznie niekompetencja rosnie wraz z wysokoscia zajmowanego stanowiska, a najwyzsi dyrektorzy to czestokroc ludzie, ktorym nie dalbym do zarzadzania nawet budzetu domowego).
    Bardzo duzo jest jednak takich ludzi jak ja-czyli gosci wzglednie ogarnietych informatycznie, ale po prostu majacych na glowie inne rzeczy niz (i teraz wymienie wam kilka elementow z listy rzeczy, jakie sa do zrobienia przy kompach w 9-osobowej, prywatnej firmie, zajmujacej sie serwisem urzadzen automatyki przemyslowej):

    -Trzeba kupic przejsciowke DVI-DP, zeby podlaczyc 2 monitory do laptopa, na ktorym gosc rysuje schematy CAD. Niestety-kupiona przejsciowka nie dziala. Trzeba teraz “zdebuggowac” problem i ogarnac czy wina lezy w kablu/przejsciowce/zlaczu/sofcie…
    -1 z mobilnych modemow iPlus nie chce laczyc sie na 1 z kompow. Trzeba “zdebuggowac”… j/w
    -Telefon (ktory trzeba regularnie synchronizowac z kontaktami, ktore mamy w bazie danych, wspoldzielonej po sieci) nie chce wspolpracowac z jednym z kompow. I znowu-trzeba siasc i rozkminic, ktory z elementow dziala nie tak jak powinien
    -Jeden z kompow lapie losowe zwiechy, ktorych nie mozna do niczego “przykleic”. Znowu: wirus? Problem z dyskiem? RAM? Ktos musi przesiedziec x godzin czasu, zeby ogarnac problem.

    Na liscie mam aktualnie ok. 10 pozycji-wszystkie to de facto “pierdoly” w tym stylu. Ze banalne? Ze obrazaja inteligencje admina z ambicjami? Ja sie w zupelnosci zgadzam. Ale KTOS to musi zrobic. A czlowiek, ktory ma zajmowac sie zarzadzaniem firma, negocjacjami cen z kontrahentami, itp., itd. naprawde chce, zeby komputery byly po prostu narzedzami do pracy a nie gadzetami, przy ktorych co chwila trzeba cos zrobic bo np. telefon przestal “gadac” z komputerem po ostatnim update Nokia PC Suite.

    Problem chyba w tym, ze decydenci w firmach/instytucjach powinni wyraznie oddzielic role admina (speca od IT-sowicie oplacanego i docenianego) i-powiedzmy “konserwatora”, wzglednie “informatyka”, ktorego role moze pelnic (nie oszukujmy sie) nawet oblatany z kompami licealista.
    Mnie (jako malej firmy) na takie perwersje nie stac, ale przy wiekszych podmiotach (a juz W SZCZEGOLNOSCI w administracji, gdzie liczbe pracujacych liczy sie w dziesiatkach) takich “informatykow” powinno byc przynajmniej kilku, po to zeby admin mial spokojna glowe.
    Ale jak zwykle wszystko rozbija sie o hajs… Ktos madrze napisal: z 750 osob zwolnic 700, a pozostale 50 wykona ta sama prace lepiej i sprawniej, a i na bezpieczenstwo IT znajdzie sie wtedy forsa ;)

    Pozdro dla wszystkich (mam nadzieje ze nie obrazilem zadnych purystow brakiem polskich znakow-z ortografia i interpunkcja problemow raczej nie mam, za to cenie sobie wygode i szybkosc pisania bez uzywania klawisza ALT).

    • Tyle że tu nie o to chodzi że admini się oburzają że muszą wykonywać pracę zwykłego informatyka(bo moim zdaniem nawet powinni ją w części swojego czasu wykonywać by mieć lepszy kontakt z użytkownikami) tylko o powszechne olewanie podstawowych zasad bezpieczeństwa, czy wręcz wymuszanie na adminach poluzowania polityki bezpieczeństwa i to ze strony ludzi którym powinno na tym zależeć. Kierujesz własną firmą i masz dość wiedzy by ocenić ryzyko i możliwe potencjalne straty w stosunku do zasad bezpieczeństwa np. człowiekowi który projektuje dla ciebie rzeczy w cadzie nie pozwolisz ściągać lewizny na stacji przy której pracuje(tak wiem że nie powinno się w ogóle pozwalać ale czasem lepiej żeby zrobili to pod kontrolą niż po kryjomu), ale już na komputerze pani Halinki z sekretariatu który nie jest nawet wpięty do sieci nie będziesz wymuszał mocnego hasła.
      Podejście takie jak twoje jest w mniejszym lub większym stopniu w firmach prywatnych ale w administracji publicznej to jakaś zupełna fanatasmagoria jest. wystarczy spojrzeć na post WOG(powyżej) 1600 zł w jednostce wojskowej ? Śmiem twierdzić że sprzątaczka w twojej firmie zarabia więcej a obok tajemnicy państwowej nawet nie przechodziła.

    • Ciekawe. Dopiero jak wspomniałeś o braku ogonków to zauważyłem że faktycznie ich nie ma. Pewnie dlatego, że (chyba) nie ma błędów ortograficznych a styl wypowiedzi jest jasny (nie trzeba dedukować “co autor miał na myśli”, wystarczy czytać). Można? Można!

    • Ale masz nadmuchane EGO :-)

  110. Administrator 200 pc plus 200 pc 16000 zł na reke

    Wojskowe oddziały gopsodarcze ??????

    • oczywiscie 1600 zł moja pomyłka.

  111. owszem ‘admin’ moze zarabiac 16k – w nato ;D

    • Kontrakty tna, sie juz nie da tak latwo te 16 k zarobic. Chyba, ze masz na mysli PLN :) W ISAFie tez juz nie placa kolorowo :)

  112. True Story :)

  113. |Witam ja również pracuję w budrzecie za marne pieniądzę już od 5 lat. Chcę powiedzieć że nie zgadzam się z autorem tego listu.

    1 Jeśli przychodzisz pracować za tyle kasy to rób i staraj się jak najlepiej a jak ci się nie podoba to zmień swoją pracę i nienarzekaj

    2 Podziwiam takich ludzi jak alladyn2 co prawda zrobił pentest nielegalnie ale mimo wszystko powinni podziekować gościowi za wskazanie im błędów i napisanie rekomendacji której ja np użyję

    Dzięki wielkie kolego

    3. Ludzie dla chcącego nie ma nic trudnego trzeba się sprzeciwiać nawet najwiekszym rangą jeśli uważacie że nie mają racji a jeśli siedzisz cicho bo kredyt rodzina itp to potem rosną patologie w naszym kraju

    Pozdrawiam

  114. bones zatrudnij mnie, chetnie popracuje.
    chyba ze poradzisz mi zrobienie alternatywy jaka zrobil alladyn2.
    ale z rbnu propozycje juz mialem.

  115. a my nie mamy ani na to ani na tamto. przerzucajcie sie do sektora oil & gas. ci maja fure kasy i pensja 5-15k usd/mc jest standardem. ale niestety wiaze sie z dosc czestym podrozowaniem po calym swiecie.

  116. Ten list to święta prawda. Pracuję w budżetówce 5 lat. Nie chciałem się zgodzić na różne “udogodnienia” dla użytkowników. Zostałem wezwany na dywanik i usłyszałem, że moje stanowisko jest “usługowe” wobec innych pracowników. Jeśli nie spełniam ich próśb znaczy, że nie wykonuję mojej pracy należycie i powinienem zostać zwolniony. Od tej rozmowy spełniam WSZYSTKIE żądania użytkowników. Chcesz mieć konto admina, chcesz nie musieć zmieniać hasła? Voila. Mam do wyboru, albo się dopasować i wylecieć w razie wpadki, albo wylecieć natychmiast.

    Niestety IT jest komórką usługową i jeśli szef weźmie to dosłownie, a przy okazji będzie debilem (co w budżetówce jest powszechne) to będą zawsze poważne luki w zabezpieczeniach.

    Nie ma co bić piany. Przestałem się tym przejmować. To jest podobny problem jak brak backupu. Zrozumie tylko ten, kto stracił dane. Będzie poważne włamanie z wyczyszczeniem paru dużych serwerów to się może władza ocknie. Co będzie, jak nie będzie spektakularnego włamania, a jedynie ciche, niezauważone skopiowanie danych? NIC nie będzie, bo każdy kto się przyzna, że do niego się włamano poleci.

    Co robimy jako admini z resortu? “Wdrażamy polityki bezpieczeństwa” i tego się będę trzymał wysoki sądzie. :-)

  117. Smart-card’y (PKI), czytniki usb + jakiś system zarządzający. Na rynku jest tego trochę. Osobiście polecam ActivID.

  118. Tak jest od przynajmniej 12 lat.

  119. Problem też jest taki, że technologia bezpieczeństwa (obecnie stosowana przynajmniej w opisanym przypadku) koncentruje się sama na sobie. W małym stopniu bierze pod uwagę tych, którzy jej używają. No i to jest racja…jako user mam gdzieś 12 stopniowe hasło. Ja mam korzystać z komputera i pracować, a nie martwić się o bezpieczeństwo sieci. Informatycy mogą godzinami opowiadać jacy to userzy są głupi i jakie to oni admini muszą durne zadania wykonywać itd itd… Wszystko co utrudnia nam życie jest omijane, taka jest nasza natura. Dlaczego nie idziemy w bardziej skomplikowane systemy bezpieczeństwa ale prawie niewidoczne dla usera… ???? Bo nie ma na to kasy. I głupkiem jest ten, kto tak mówi.

    • Zagdza sie – problem zostal fajnie opisany np. w podrecznikach do CEH’a czy CISSP – m. in. jako trojkat “bezpieczenstwa, funkcjonalnosci i latwosci uzycia”.

  120. Heh.
    Pracuję na jednej z większych państwowych uczelni wyższych w Polsce. Pewnego razu hasło administratora znali wszyscy studenci na wydziale. Kierownik po prostu im podał, aby coś tam testowali.

  121. kolega informatyk resortowych podaje te same powody, dla których lądowanie w Smoleńsku było jakie było…

    • To żeś teraz zabłysnął specjalistyczną wiedzą…

  122. i dlatego nie właśnie zwolniłem się z Poczty Polskiej. Co wybory to inne rządy a kierownictwo zamiast się skupić na rozwoju własnego działu trzepie siano w dodatkowych projektach nie związanych z działem.

  123. Informatyka to rozwój, a 99% ludzi w budżetówce zatrzymała się w rozwoju.

    Mistrzostwo.

  124. Przeczytałem całość i artykułu i komentarzy. Pracuje również w budżetówce jako pan informatyk i część opisanych akcji znam z autopsji. To co mnie jednak denerwuje a w zasadzie wqrwia to fakt że jest jeszcze administrator, który jest je….ym leniem o co go nie poprosić to nie zrobi a jak musi to z wielkimi wyrzutami. A wystarczyłoby trochę dobrej woli. Jak zaczynałem to nie było zrobione prawie nic (sam wielki administrator był tylko). Ludzie puszczeni sami sobie w myśl zasady róbta co chceta bo mnie to wali. Powoli jednak zaczęło to nabierać jakiś ram i nauczyli się takich podstaw jak blokada stacji, że nie wolno udostępniać konta czy inne “pierdoły” związane z pracą na danym oprogramowaniu. Jeszcze jest sporo do zrobienia ale jak się chce to można. Jedyne co mnie boli to fakt że tutaj liczą się plecy a to czy jesteś dobry i kiepsko opłacany i chce ci się pracować jest nie istotne. Dlatego zastanawiam się nad zostawieniem tego grajdoła i przejścia do wmiare normalnej firmy coraz poważniej bo tu człowiek się nie rozwija tylko zaczyna cofać.

  125. Buahaha, to również problem wielu firm z sektora innego niż IT.

  126. Mam ten sam problem w swojej budżetówce co większość ludzi…. ale jak widzę, iż ktoś z firmy wali do sieci informacje o firmie na faceZbÓka (bo nie pozwolili zablokować) to mnie krew zalewa. Sami sobie wprowadzili hasła 8-12 znaków duże małe litery podchodzę i wpisuje ich hasło czytając pierdoły z face… i im szybko perswaduję ich głupotę…. TO DZIAŁA !!! na ludzi zaczęli wprowadzać hasła i zmieniać je co jakiś czas. Na tyle ich potrafię uświadomić ale co z pozostałymi (szef, ijp. niereformowalna zbita masa)….

  127. @dziubas:

    “albo wymyślić sobie jakiś “własny system szyfrowania” i nawet jak ktoś znajdzie karteczkę przyklejona do monitora to nic mu to nie da bo nie będzie wiedział jak to odczytać ”

    Na jakim świecie Ty żyjesz? Uwierz, że dla wielu ludzi po prostu tego nie zrobi, bo to wymaga jakiegoś wysiłku, a im nie zależy.

    Identycznie jest z wymuszaniem zmiany hasła, które kończy się walającymi się karteczkami z dokładnymi danymi logowania. Zmiana hasła, powiedzmy co 90 dni byłaby chyba bardziej racjonalna

  128. Przeczytałem ten list uważnie ! i w pełni rozumiem problem tego Admina. Pracowałem w administracji i agencji rządowej po parę lat, w prawdzie nie jako informatyk, ale z racji, że informatyka to moja pasja dobrze żyłem z “moimi” adminami. Znam problemy od kuchni. To, że się ludziom “nie chce” to standard, kadra od kierownika w górę , dokładnie tylko i wyłącznie dba o PR i zamiast mądrze kierować ludźmi bądź interesem “firmy” , martwi się czy jutro będą na obecnych stanowiskach (trochę ich rozumiem, gdyż fucha dobrze płatna, a to czy będą na stołku, zależy tylko i wyłącznie od ekipy trzymającej władze, znaczy się dziś ci jutro tamci), Odnośnie problemu kwestii bezpieczeństwa, trochę się dziwię, gdyż tam gdzie byłem, rygor był ostry, każdy miał dostęp tylko do tego co mu było potrzebne na danym stanowisku, loginy były indywidualne dla każdego pracownika zarówno do odpalenia kompa jaki i osobne do każdej aplikacji (a było ich z 8..), hasła generowane co 30 dni i to nie wymyślane przez pracownika lub admina tylko generowane przez specjalny program, hasła na 12 znaków to standard i to mega trudne , wręcz nie realne do zapamiętania nawet w dłuższym okresie czasu!! ( typ 12!abs**.-.cz^79821 – napisane na poczekaniu ale mnw. oddają ich charakter) wiec dziwie się, że w tak ważnych kwestiach w resortach rządowych jest taki problem… nie mowie, że tak nie może być, bo sami widzimy kto nami rządzi :( niestety …!! ale to inna kwestia, której komentarz pominę … (nie chce mieć nalotu czarnych z ABW na chatę o 1:00 hehe ;) i nocnych przesłuchań bo lubię się wyspać hehe ) Jeśli jest tak, jak pisze owy admin to współczuje mu z całego serca a jego szefom … no comment’s ;)

    Pozdrawiam wszystkich :)

  129. Pracowałem, jako admin w jednej z jednostek organizacyjnych jednej z większych uczelni w kraju (co ciekawe – uczelnia jest techniczna, a moja jednostka miała informatykę nawet w nazwie).
    Co tam się działo………
    Faktycznie wdrożenie czegokolwiek graniczyło z cudem. Co prawda nie pytaliśmy nikogo o zgodę, ale jak tylko pojawiło się jakieś utrudnienie (zabezpieczenie), to zaraz ktoś się zgłaszał do naszego kierownika z informacją, że jesteśmy źli i niedobrzy.
    W 100% zgadzam się z dwoma rzeczami:
    – budżetówka zatrzymała się w rozwoju mniej więcej na 1989 roku i ni cholery nie chce ruszyć
    – czas informatyków wykorzystywany jest do pisania przetargów na kolejny (siódmy na przykład) laptop dla któregoś profesora

    Warto jeszcze dodać, że mieliśmy “na pokładzie” naszej jednostki (choć nie w moim dziale) świetnych specjalistów od zabezpieczeń. Kiedy jednak chcieli pobawić się naszym sprzętem, np. wdrażając jakąś ekstra nowość lub choćby pasywny system wykrywania anomalii – trafiali na opór. Opór kierownictwa jednostki, kierownika naszego zespołu, profesorów i ludzi odpowiedzialnych za kasę. Nie muszę chyba wspominać, że nikt im za takie działania nie zaoferował nawet złotówki?

  130. […] 12% już te dane i tak ma skopiowane…). To daje do myślenia — czy aby na pewno wystarczająco dużo płacicie swoim administratorom? […]

  131. […] albo przez ograniczone środki. Zanim ktoś zacznie krytykę, chyba warto przypomnieć zacytować list informatyka urzędowego napisany parę miesięcy temu do naszego serwisu i opisujący realia pracy w […]

  132. nihil novi, pracuję w prywatniej firmie i mam tak samo

  133. Miałem okazję popracować ok 3 lat w budżetówce – sąd rejonowy.
    Potwierdzam że większość adminów ma chęci do poszerzania wiedzy i zapał.
    Niestety barierą zazwyczaj jest kierownictwo.

    1. Zarobki się nie zmieniają – tłumaczenie bo w innych sądach mają podobne.
    2. Chciałbym odbyć szkolenie z bezpieczeństwa sieci – dostałem odpowiedź “Mi się to nie kalkuluje” :) – bo może po szkoleniu zmieni Pan pracę i co ..? ^^
    3. Zgłoszenia do informatyków typu: Nie działa mi drukarka (po odwiedzeniu zgłaszającego Power ON i działa), toner się skończył – nie potrafię wymienić.
    4. Czasami nie można samemu robić priorytetów zadań bo sędzia jest ważniejszy od całego wydziału i w pierwszej kolejności naciska że to on ‘wybrany’ jest ważniejszy.
    5. Hasła na monitorach ;)

    dużo by wymieniać ….

    Podsumowując:
    *Przyjmując się do pracy:
    – przekazanie od poprzedniego informatyka wiadomości dla mnie – “Nie mam nic do przekazania” – rozwaliło mnie :) po wielu prośbach dostałem hasło do 2 serwerów :) resztę haseł łamałem (od strony kierownictwa nie było nacisku na poprzednika)
    – login:hasło do każdego komputera(konto z uprawnieniami admina) w stylu
    ADO:ado (i tu nie przesadzam z ilością liter)
    – urządzenie do filtrowania/zabezpieczania sieci za 3500 EUR nie skonfigurowane wcale i wpięte do sieci jak drukarka – tylko prąd zużywało
    – po pewnym czasie jak ogarnąłem trochę bajzel to prawie dostałem zawału i zbladłem na takie info które wyczaiłem sam: Wszystkie programy pewnej firmy do obsługi wydziałów łączyły się na tym samym koncie do bazy SQL’a:
    – login: sa, passwd: empty – dosłownie puste
    każdy tutaj chyba wie co może user sa domyślnie ;)

    Odchodząc:
    – pozostawiona domena + zapasowa (każdy user własny login po AD, także do SQL)
    – hasła 10 znaków zmiana co 30 dni
    – automatyczny backup danych na NAS (raid5 + hotswap)
    – serwer Samba na Linuxie
    – względny porządek

    Hinty dla adminów:
    – załatwiać wszystko zawsze oficjalną drogą -> pismo 2 kopie (dupochron)
    np. że hasła takie a takie to obecnie wymagania/dobre praktyki
    np. że potrzeba jest odbycie szkolenia doszkalającego -> przy odmowie opis jakie skutki może pociągnąć za sobą brak specjalistycznej wiedzy

    – przekonałem tak userów do nie zapisywania haseł:
    Jeśli zobaczę zapisane hasło zwiększam wymaganą ilość i skracam czas pomiędzy zmianą haseł. Na informację o długości 30 znaków i zmiany co 2-3 dni każdy wymięka ;)

    Poznałem wielu ciekawych i wspaniałych ludzi także w śród sędziów.
    W pewnym okresie miałem genialnego Prezesa, oto jego słowa:
    “Ja się na tym nie znam. Pokładam w Panu pełne zaufanie i proszę go nie nadwyrężyć”.

  134. Witam! Ja również mogę się pod tym podpisać a i chętnie bym coś dopisał, ale ogólnie jestem tak sfrustrowany pracą w jednej z podstawowych jednostek organizacyjnych budżetu Państwa, że ręce opadają. Mimo to postaram się coś dopisać.

    1. Zgłoszenie do informatyka że nie działa drukarka (zgłasza to osoba która po studiach śmieciowych zarabia 180% pensji informatyka). Biuro należy tylko do tej osoby pytam co robiłeś? – nic nie działa. Patrzę brak komunikacji z drukarką więc sprawdzam kabel , patrzę luźny z tyłu coś w tej drukarce. Odwracam drukarkę a tam drukarkowe USB włożone w gniazdo sieciowe…. (jakby się przyznał, że grzebał to by poszło w krótszym czasie a może przez tel. ale oczywiście drukarka nie działa to dalej informatyka wołać.

    2. Komputer sie nie włącza. Powód kabel zasilający tak napięty że jeden bolec już nie sięgał gniazdka bo Pan sobie powędrował z biurkiem.

    3. Rekordzista starszy co prawda Pan od BHP chwilowo na zastępstwie kazał wołać informatyka bo musi coś napisać na komputerze…

    Ilosci problemów typu Power On to nie zliczę.

  135. Pracuje w budżetówce od 7 miesięcy i powiem szczerze, to co napisał ten Pan jest prawdą, tylko że w moim przypadku osoby na stanowiskach nie mają (w mojej ocenie) potrzebnej wiedzy co nie zmienia faktu, że nikt z góry na większość ważnych zmian nie wyrazi zgody. Szczególnie Pani prezes robi wszystko aby Sędziom było super wygodnie.

    Już nie mówiąc o programowaniu pilotów od garażu, pisaniu przetargów na płyty dvd do nagrywania rozpraw, w oddziale w którym pracuje jest 3 osoby ze mną. Mają one otrzymać ponad 600 komputerów w dwóch różnych budynkach.

    Może patrzę na to wszystko z perspektywy młodego człowieka który wciąż wierzy, że naprawi świat – ale w tej instytucji napotykam taki opór, że zaczynam powoli rezygnować. Mnie na szczęście nie trzyma żaden kredyt – ale chłopaki faktycznie patrzą na tą pracę na zasadzie – jest stabilna bo to budżetówka.

  136. Zapomniałbym. Stawiasz sobie serwer gdy przychodzi Pani dyrektor z kierownikiem gospodarczego i stwierdza iż mimo, że za 30 minut kończysz pracę to masz teraz pomóc oddziałowi gospodarczemu wybrać faksy bo oni się na tym nie znają a trzeba wpisać modele i ilość sztuk do centralnych zakupów.

    Już pomijając fakt, że nie ważne jest co robię i że będę z tym siedział po godzinach za darmo to co ja mam do faksów – kur** studiowałem 5 lat nie po to, żeby faksy wybierać – no i dlatego współczuje ludziom którzy siedzą w tej robocie. Ja dotrzymam, do roku, może półtora i spadam (musze trochę posiedzieć – żeby nie było, że za często zmieniam prace)

  137. to co pisali poprzednicy:

    “2. Chciałbym odbyć szkolenie z bezpieczeństwa sieci – dostałem odpowiedź “Mi się to nie kalkuluje” :) – bo może po szkoleniu zmieni Pan pracę i co ..? ^^”

    Widać dyrektorzy przechodzą jakiś wspólny kurs.

    • Istnieje coś takiego jak “regulaminy podnoszenia kwalifikacji”, w których przewiduje się lojalki za szkolenia (zwalniasz się przed upływem terminu, zwracasz część kasy — im później, tym mniejszą). Istnieje, ale jak widać, nie wszędzie.

  138. Fiu, fiu a gdzie ABI i stosowanie ustawy o dost. do dan. osobowych? Jak wół stoi jakich długości mają być hasła a nawet, czy userzy blokują dostęp do kompów idąc do toalety. Wystarczyłby audyt, p. szef lub inny minister dostanie po premii to się nauczy stosowania haseł. Działy IT powinny być niezależne od jakiegokolwiek podrzędnego urzędasa mającego więcej niż 40 lat i podlegać jedynie szefowi służb w danej jednostce.

  139. Z listem można zgodzić się w 100%.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: