Menu

Polski e-commerce i zarządzanie e-firmą

Nazywam się Paweł Fornalski. Jestem założycielem i prezesem IAI S.A., dostawcy rozwiązań e-commerce dla sklepów internetowych i rezerwacji noclegów dla właścicieli apartamentów i hoteli. Na tym blogu piszę, w oderwaniu od oficjalnych poglądów innych właścicieli i pracowników IAI o tym co mnie prywatnie porusza. Gdybyś chciał się skontaktować pisz na pawel(a)fornalski.pl

Wpisy otagowane : zarzadzanie

Bezpieczne biuro to podstawa

pfornalski

Mało kto, nawet pracownicy IAI nie wiedzą, że jednym z ważnych powodów przeprowadzki we wrześniu 2013 całej firmy do nowego biurowca klasy A+ było makabryczne zdarzenie jednego z moich znajomych, również prezesa firmy IT. Jego firma mieściła się w typowym, tanim biurowcu, takim jak wcześniejsza siedziba IAI. Pewnego sobotniego wieczora, jego firmę okradziono, a będąc bardziej dosadnym wyczyszczono mu ją z całego sprzętu. Nie było to włamanie w stylu akcji filmu „Mission Impossible”. Po prostu złodzieje podstawili drabinę pod okno, wyważyli je i weszli. Słysząc to dotarło do mnie, że w sumie podobny poziom bezpieczeństwa mamy w biurze jakie wtedy okupowaliśmy. Odwlekana decyzja o zmianie biura, stała się w tym momencie nieodwołalna i parę miesięcy później całe IAI było w nowej, znacznie bezpieczniejszej lokalizacji.

Biuro (sam czynsz i opłaty) jest jednym z ważnych składników kosztowych. W IAI to około 10% kosztów. Tańsze biuro pozwoliło by tę liczbę obniżyć o 30%, ale czy warto? Moim zdaniem nie i chciałbym wszystkich przed taką oszczędnością przestrzec. Biuro do którego w sobotnie popołudnie może wejść złodziej i wynieść wszystko oferuje podobny poziom bezpieczeństwa jak laptop zostawiony na tylnim siedzeniu samochodu. Podczas takiego włamania:

  1. Tracisz wszystkie komputery – a więc zdolność produkcyjną odzyskasz najwcześniej za parę tygodni.
  2. Narażasz się na utratę płynności finansowej
  3. Tracisz wszystkie dane przechowywane w biurze (np. repozytoria kodu źródłowego)
  4. Włamywacz ma dostęp do Twojej infrastruktury.

W przypadku firm dostarczających usługi IT lub sklepów internetowych, punkt 4 jest najgorszy. Mając dane w bezpiecznej, publicznej chmurze, zaszyfrowane dyski komputerów i bardzo dobre ubezpieczenie lub oszczędności możesz w miarę szybko odkupić komputery i wrócić do gry. Nie bierzesz jednak pod uwagę tego, co może zrobić włamywacz mając dostęp do Twojej infrastruktury.

Typowy sklep internetowy np. na Magento lub Presta jest zabezpieczony w ten sposób, że panel administracyjny dostępny jest tylko z jednego IP, biura. Hasła są zapisane przynajmniej w jednej przeglądarce komputera znajdującego się w tym biurze.

Podam więc prosty przepis na włam znacznie bardziej opłacalny niż obrabowanie wszystkich kiosków z gazetami w mieście. Stąd jest to dosyć kuszący scenariusz dla potencjalnego złodzieja aby po prostu go zrealizować. A że to się dzieje, polecam historię jednego ze sklepów opisaną w „O czym należy wiedzieć wdrażając do swojego sklepu internetowego Magento? [Część 3/4]”, przy czym w przypadku tego rodzaju ataku rodzaj oprogramowania nie ma żadnego znaczenia:

  1. Wyszukujesz dobrze prosperujący sklep internetowy – powiedzmy taki z obrotami 2-3mln zł miesięcznie.
  2. Przychodzisz do biura podając się jako przedstawiciel handlowy nowej firmy kurierskiej. Czasami nawet nie musisz kłamać, bo w takich biurowcach często pokoje są zostawione bez nadzoru, brak jest recepcji. Więc bez żadnego problemu do jednego z komputerów w port USB wpinasz tzw. Keylogger, czyli urządzenie, które zapisuje wszystko co wpisujesz, alternatywnie instalujesz to jako przejściówkę klawiatury. Możesz też podpiąć się do portu LAN ze swoim urządzeniem (również małym komputerem-serwerem) lub instalujesz swoją przejściówkę pomiędzy kablem jednego z komputerów a gniazdem sieciowym. Okazji aby to zrobić jest wiele. Przecież w sali konferencyjnej zostajesz na dobrych 5 minut, zanim przyniosą zamówioną kawę, albo idąc do toalety, musisz przejść przez całe biuro, przemykając pomiędzy biurkami pracowników.
  3. Jeżeli nie udało Ci się podpiąć niczego co wysyła dane przez sieć, to pojawiasz się w biurze ponownie, zabierasz Keyloger i analizujesz to co dla Ciebie zapisało.
  4. Mając hasło dostępowe, potrzebujesz tylko ponownie podpiąć się do sieci firmy (o ile nie podpiąłeś jakiegoś serwera na który nikt w tym bałaganie nie zwróci uwagi przez rok). Jeżeli nie udało Ci się podłożyć jakiegoś access pointa, możesz po prostu się włamać np. w piątek wieczorem i podmienić przez panel admina numer konta do wpłat. W sklepie tego rozmiaru, zanim ktoś się zorientuje co się stało, uda Ci się ukraść około 400 tys. zł.

Scenariusz 2 to powiedzmy dostawca systemu dla sklepów internetowych w SaaS. Wszystkie repozytoria kodu źródłowego znajdują się na serwerze jaki zlokalizowany jest w biurze tej firmy, powiedzmy tanim biurowcu klasy C/D. Załóżmy, że chcesz zniszczyć firmę a przy okazji jej wszystkich klientów zostawić bez opieki. Więc robisz klasyczne włamanie podczas którego kradniesz wszystkie komputery. Aha i dodajesz coś jeszcze: kasujesz wszystko z jej serwerów. Najczęściej tego typu firmy znajdują się w tanich biurowcach, o wspólnym korytarzu i mało bezpiecznych drzwiach. Ich dane na serwerach dedykowanych np. OVH lub innej podobnej firmy. Z oszczędności nie ma w nich ochrony, czasami jest stróż który w nocy kimie. Podstawiasz więc drabinę i wyłamujesz okno. Wchodzisz do środka zaczynając od pokoju programistów. Z oszczędności firma nie założyła w nim alarmu, montując go tylko w pokoju prezesa, u którego w szafie telekomunikacyjnej ulokowany jest serwer backupu i repozytoria kodu źródłowego. Kradniesz więc wszystkie komputery programistów (wszystkich 4), następnie bez problemu solidnym kopem wchodzisz do pokoju prezesa który nawet jeżeli włączył alarm wychodząc z biura, to albo będzie wył bez cel, albo ściągnie firmę ochroniarską za 5-10 minut. To wystarczy aby stłuc szklaną szybę szafy serwerowej (zanim to zrobisz upewnij się, czy kluczyk od niej nie został w zamku lub nie leży na szafie; przegrzewający się sprzęt potrzebuje przecież częstych restartów). Następnie wyciągasz serwer i oddalasz się z miejsca włamania. W poniedziałek tej firmy nie będzie już na rynku.

To co opisałem, to są scenariusze na poziomie 2 nastolatków, którzy za kilkaset złotych mogą zakupić cały potrzebny do włamania sprzęt. Pomijam takie oczywiste kwestie jak możliwość ustawienia kamery video w pobliskim budynku i filmowanie tego co wpisują pracownicy na klawiaturach. Służą one jedynie ilustracji tego, że brak bezpieczeństwa w biurze, przekreśla większość zabezpieczeń jakie mała i średnia firma jest w stanie uruchomić. Zazwyczaj dostęp do biura, i możliwość robienia w nim przez więcej niż godzinę co się chce, sprawia że stosunkowo łatwe staje się skompromitowanie praktycznie wszystkich zabezpieczeń. Scenariusze tego rodzaju służyły nam do analizy ryzyka kilka lat temu, i były realnymi słabymi punktami IAI jeszcze kilka lat temu.

 

Krótka checklista o czym m.in. warto pamiętać i co od tej pory poprawiliśmy:

  1. Solidne drzwi i okna, oraz budynek który łatwo sforsować to podstawa. Np. Jedna z większych firm hostingowych w Polsce ma swoje biura na parterze kamienicy, w lokalu typu handlowego więc wielkie szklane witryny bardzo łatwo sforsować np. wjeżdżając do środka samochodem.
  2. Ochrona nie może być świadczona przez tylko 1 firmę. Jedna powinna ochraniać stale budynek biura. Druga, niezależna (od firmy która ochrania budynek) powinna przyjeżdżać w nie dłużej niż 10 minut od powiadomienia przez alarm.
  3. Wszystkie komputery w firmie powinny mieć zaszyfrowane dyski twarde. W trakcie weekendu nie tylko ktoś może chcieć coś ukraść. Może też włamać się aby tylko skopiować wszystko co jest na dysku twardym komputera, by następnie spokojnie to sobie przeanalizować.
  4. Sale konferencyjne muszą być podłączone niezależnie od reszty firmy lub osobnym VLANem. A gniazda sieciowe i komputery pracowników muszą być zabezpieczone, najlepiej w osobnej części firmy lub drzwiami do których goście nie mają dostępu.
  5. Wejście do biura musi mieć co najmniej 2 niezależne zabezpieczenia. Nie chodzi tu np. o karty i klucze. Można bowiem założyć, że jeżeli ktoś jest w stanie ukraść kartę pracownikowi (np. w autobusie), to i klucze. Dlatego otwarcie biura może być zabezpieczone np. kartą lub kluczem i biometrycznie.
  6. Wszyscy pracownicy Twojej firmy i ochrona budynku musi być przeszkolona i zwracać uwagę na np. długie ogony w drzwiach, czy poruszające się po korytarzach nieznane im osoby. W tym muszą być wyczuleni na tych, których zazwyczaj ignorujemy (np. w kurtkach kuriera).
  7. Nie pozwól aby fotografowano Twoje zabezpieczenia. Czasami pracownicy wrzucają na portale społecznościowe zdjęcia z firmy, które przedstawiają np. lokalizację kamer, czujek itp. Zadbaj też o to, aby goście nie mogli sfotografować niczego, co może Ci zaszkodzić. Czasami na tablicach korkowych nad biurkami pracownikow wiszą naprawdę ciekawe informacje ;).
  8. Wymuszaj regularne zmiany haseł. Nie wierz, że ktoś kogo nie zmusisz do zmiany hasła uzna, że warto to robić częściej niż raz na kilka lat. Nie pozwól też aby więcej niż jedna osoba posługiwała się danym kontem lub hasłem (np. do alarmu).
  9. Pamiętaj, że prostsze od kradzieży jest podpalenie. Twoje biuro musi być bezwzględnie zabezpieczone przed pożarem, w tym mieć profesjonalny system gaśniczy. W tym nie może polać wszystkich komputerów wodą, w przypadku gdy np. ktoś podpali tylko wejście do którego ma dostęp. To częsty słaby punkt biur – podpalasz jego kawałek (np. dostępną przestrzeń) a zamknięta za stalowymi drzwiami serwerownia również będzie zlana wodą.

To tylko kilka wybranych rad. Nie warto na bezpieczeństwie oszczędzać. Jeżeli myślisz o nim poważnie, niestety przeprowadzka do biurowca klasy A lub A+ może być nieodzowna, a też nie każdy biurowiec klasy A+ jest równie bezpieczny. Zwracaj np. uwagę na to, czy pod drzwi Twojej firmy można dostać się bez żadnej kontroli lub czy z parkingu podziemnego można się dostać do windy z pominięciem recepcji. W biurowcach typu klasa C lub „substandard” zapewnienie tego wszystkiego nie jest po prostu możliwe. Odwiedzając jakąś firmę w celach handlowych, warto przyglądać się nie tylko kolorowym meblom i designerskim stołom, ale też zwracaj uwagę na to, czy można do tej firmy wtargnąć i zrobić coś złego. Jeżeli ta firma ma być strategicznym partnerem, odpowiedzialnym za krytyczną część biznesu, warto to przemyśleć ponownie. Jeżeli nie, warto zastanowić się, czy jest coś co od tej firmy możesz zgapić i podnieść poziom bezpieczeństwa swojej firmy. Warto być paranoicznym i warto zawsze myśleć, że coś jeszcze się przegapiło. Jest bowiem na świecie grupa ludzi, która żyje z okradania lub szkodzenia innym. A im więcej błędów popełnisz, tym tańsze i prostsze będzie to zadanie. Bo historie takie jak mojego znajomego się wydarzają. To, że nikt ich nie nagłaśnia, wynika z tego, że nie są one powodem do dumy, a poszkodowani ze wstydu wolą milczeć. Warto też pomyśleć, czy niewielka oszczędność na bezpieczeństwie nie zemści się w myśl zasady, że „chytry 2 razy traci”.

iaioffice

Jeżeli jesteś ciekawy jak to wygląda w IAI w praktyce, możesz chcieć zerknąć na http://www.idosell.com/pl/corp/aboutus/gallery/

Długo pracujący szefowie - Za ciężką pracę nie należy ci się medal – cz. 2

pfornalski

Kontynuując przedwczorajszy temat pracy po kilkanaście godzin dziennie, chciałem zająć się tymi, którzy kierują firmami, czyli ludźmi takimi jak ja. O ile syndrom pracy reaktywnej łatwo mi było zauważyć u pracowników, to ciężko było mi go zauważyć wśród osób kierownictwa.

U mnie ciężka praca była czymś, co uważałem że mnie uszlachetnia. Na pewno pomogło IAI w zostaniu potęgą w sprzedaży systemów dla sklepów internetowych. Natomiast u mnie oznaczało to pracę po 60-80 godzin tygodniowo i 7 dni urlopu raz na 2 lata. Jednym słowem masakra, a nie sukces.

Osoby z kierownictwa podzielmy na 3 grupy:

  1. Menedżerów od 9:00 do 17:00, skupiających się na skrupulatnym wypełnianiu „papierków”

  2. Menedżerowie, którzy pracują tyle ile trzeba w danym momencie, skupiając się pracy proaktywnej

  3. Menedżerowie, którzy siedzą całymi dniami w swoim biurze

Nie chcę się zajmować grupą pierwszą menedżerów, z uwagi na to, że lenie i figuranci, nie mieszczą się w ogóle w strefie mojego zainteresowania. Ja jestem typem menedżera rodzaju 3.

Na początek pytanie. Czy masz tak, że sprawy, które czekały po 2 lub 3 miesiące na załatwienie, nagle były załatwione w ostatnim tygodniu przed urlopem, bez żadnego trudu ku wielkiej radości. Zaryzykuję stwierdzenie, że w ostatnim tygodniu przed urlopem wykonujesz efektywnej pracy więcej niż w 3 tygodniach normalnej pracy. To spostrzeżenie sprawiło, że zacząłem problem dokładniej analizować.

Udało mi się wyczytać, że praca po kilkanaście godzin dziennie, zabija całą chęć do przeprowadzania zmian. To fakt, przynajmniej u mnie. Skupiam się wtedy na reagowaniu tylko na bieżące wydarzenia. Nawet mając dzień lub dwa wolnego, miałem wrażenie, że za chwilę znowu coś na mnie wyskoczy, więc lepiej posiedzieć i na to poczekać. Fakt jest jednak taki, że jeżeli jestem menedżerem typu 3 i nie wezmę się za zmiany, to problemy będą wyskakiwały na mnie stale. Jeżeli jeszcze firma rozwija się równie dynamicznie jak moja, wtedy problemy będą pojawiały się coraz częściej. Wtedy też odpowiedź może być tylko jedna, zostanę godzinę dłużej i to zrobię. A po miesiącu zostawania dłużej, znowu będziesz musiał zostać jeszcze godzinę dłużej. W ten sposób w ciągu paru lat, tak jak ja, zaczniesz pracować po 60-80 godzin tygodniowo, cały rok, bez urlopu.

Jednak nie po to jestem w firmie szefem. Jestem szefem po to, aby kierować czyli dokonywać zmian. Nie liczę na to, że bez Twojego przywództwa i dobrego prowadzenia firmy, pracownicy poprowadzą moją firmę ku lepszej przyszłości. Jeżeli tak by miało być, to ja pracowałbym w ich firmie. Dlatego jako szef, muszę mieć zawsze czas i energię do podjęcia nowego wyzwania. Tylko tak firma będzie stale liderem.

© Polski e-commerce i zarządzanie e-firmą
Blox.pl najciekawsze blogi w sieci