Odegranie się na pracodawcy w naszych zinformatyzowanych czasach to zjawisko coraz powszechniejsze. Jak pokazują badania, 88% pracowników z branży IT zadeklarowało wykradzenie danych z systemów swojego pracodawcy w przypadku zwolnienia.

Przypomnijmy incydenty spowodowane przez wyrzuconych z firmy Gucci (kasowanie serwerów wirtualnych), z firmy farmaceutycznej (88 serwerów skasowanych), od dealera samochodów (100 samochodów zdalnie unieruchomionych) oraz zdarzenie z miasta San Francisco, którego sieć WAN została zablokowana po tym jak zwolniony administrator zmienił hasła i nie chciał ich podać.

Pamiętacie włamania do Sony PSN? Sporo osób zauważyło, że nastąpiły one krótko po zwolnieniu 200 pracowników z działu IT? (źr. Kradzież danych osobowych wszystkich mieszkańców Izraela — Niebezpiecznik.pl —).

To częste zjawisko: zemsta. Nie ma tu znaczenia czy “słuszna” czy nie bo nie ma słusznej zemsty, jest tylko łamanie prawa. Czy jest na to lekarstwo? Hm… nie ma na zemstę, czy jest lekarstwo na  kradzieże? Tak: nie mieć czego ukraść lub nie być od tego uzależnionym. Zapewne dla wielu z Państwa brzmi to kuriozalnie ale im bardziej jakiś biznes (model biznesowy) oparty jest na tajemnicy tym bardziej jest on ryzykowany zaś im więcej mamy tajemnic tym bardziej tracimy wolność.

Jaki z tego wniosek? Należy albo nie mieć tajemnic albo mieć świadomość konsekwencji ich posiadania i być przygotowanym. W przeciwnym wypadku ryzykujemy potencjalny upadek firmy z powodu jednego obrażonego pracownika…

Ale… projektując system można wielu rzeczom zapobiec systemowo i proceduralnie… np. kluczem ochrony przed takim ryzykiem jest coś, co pewnie wzbudzi u wielu nie małe emocje: żaden pracownik firmy nie powinien być twórcą oprogramowania w niej wykorzystywanego…

P.S.

Czy duzi o tym wiedzą? Ignorują? A proszę np. allegro może coś w tym jest:

Zemsta pracownika?

Tajemniczy pracownik przyznał, że został zwolniony ? ponoć jakiś czas temu. Być może wątek na Wykopie to zemsta? Miejmy nadzieję, że od zwolnienia autora wątku na Wykopie trochę w Allegro się zmieniło. W logach Niebezpiecznika widzimy dużo wejść z adresów IP należących do Allegro ? być może ktoś z Was chciałby napisać jakiś anonimowy komentarz w tej sprawie? 😉 (źr. http://niebezpiecznik.pl/post/byly-pracownik-allegro-nie-hashuje-hasel/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+niebezpiecznik+%28Niebezpiecznik.pl%29)

 

Jarosław Żeliński

Jarosław Żeliński: Od roku 1991 roku, nieprzerwanie, realizuje projekty z zakresu analiz i projektowania systemów, dla urzędów, firm i organizacji. Od 1998 roku prowadzi samodzielne studia i prace badawcze z obszaru analizy systemowej i modelowania (modele jako przedmiot badań: ORCID). Od 2005 roku, jako wykładowca akademicki wizytujący (nieetatowy), prowadzi wykłady i laboratoria (ontologie i modelowanie systemów informacyjnych, aktualnie w Wyższej Szkole Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk w Warszawie.) Oświadczenia: moje badania i publikacje nie mają finansowania z zewnątrz, jako ich autor deklaruję brak konfliktu interesów. Prawa autorskie: Zgodnie z art. 25 ust. 1 pkt. 1) lit. b) ustawy o prawie autorskim i prawach pokrewnych zastrzegam, że dalsze rozpowszechnianie artykułów publikowanych w niniejszym serwisie jest zabronione bez indywidualnej zgody autora (patrz Polityki Strony). Konsultacje: wszelka pomoc i wyjaśnienia dotyczące treści artykułów autora bloga udzielana jest wyłącznie w ramach płatnych konsultacji.

Ten post ma 4 komentarzy

  1. Łukasz Mozalewski

    “żaden pracownik firmy nie powinien być twórcą oprogramowania w niej wykorzystywanego” – to tak jakby założyć, że każdy twórca oprogramowania przygotowuje sobie furtkę w tworzonym kodzie, aby ją w nagłym wypadku wykorzystać. To, że tworzył oprogramowanie, nie znaczy, że musi mieć dostęp do poufnych danych.

    1. Jarek Żeliński

      zwracam uwagę, że chodzi o ryzyko, które każdy sam musi ocenić…

  2. p____h

    Dodałbym jeszcze uświadamianie/przypominanie pracownikom jakie konsekwencje czekają ich, gdy zdecydują się na kradzież firmowych danych. Warto również zastanowić się nad formą zwolnień/składania wypowiedzeń. Przykładowo, kluczowy pracownik (mam tu na myśli pracownika, który pracuje z wyjątkowo ważnymi danymi) zostaje zwolniony bez jakiegokolwiek okresu wypowiedzenia. Tj. w chwili usłyszenia “dziękujemy Panu” nie może pojawić się w firmie, a w zamian przez najbliższy miesiąc i tak otrzymuje wynagrodzenie. Zminimalizowałoby to ryzyko ewentualnego sabotażu (czy przypadkiem takiego działania nie stosują banki?).

    1. Jarek Żeliński

      to jest słuszne podejście, to się nazywa zwolnienie z obowiązku świadczenia pracy w okresie wypowiedzenia…

Możliwość dodawania komentarzy nie jest dostępna.