Drtivá většina dnešní společnosti chodí do práce. Ráno tam, odpoledne zpět. Kolem poledne na oběd, pohádat se se šéfem, naštvat toho pitomce ve třetím patře a pokecat s blondýnou z účetního. Takhle sice nevypadá sen žádného naivního studenta, ale nakonec to známe všichni.
Existují ale výjimky. Lidé, kteří byli chytřejší nebo šikovnější než okolí. Díky tomu jim odpadá většina pracovních povinností a navíc si vydělají ještě víc, než kdyby opravdu pracovali. Morální otázku necháme na posouzení laskavému čtenáři, který si z obou příběhů udělá názor sám.
Příběh první: Najal jsem na práci lidi z Číny.
Psal se rok 2010, malá americká firma se rozhodla modernizovat a dovolila svým zaměstnancům, aby část pracovní doby trávili v pohodlí domova. Pro ty účely firma nechala zřídit VPN server, aby měli uživatelé pohodlný přístup ke všem službám ve firmě. Kvůli lepší bezpečnosti pořídila také RSA tokeny, které generují jednorázová přístupová hesla. Kdo nemá token, do sítě se nepřihlásí. Dva roky tenhle systém fungoval.
RSA token
Poté si lidé z bezpečnostního oddělení přečetli bezpečnostní analýzu DBIR (PDF), která pojednává o zneužití firemních dat a začali se zajímat o to, jak je to s jejich daty. Došlo jim, že jako většina provozovatelů služeb vůbec nečtou záznamy (logy) o dění ve své síti a začali je analyzovat.
Co zjistili, je polekalo a překvapilo zároveň. Objevili totiž aktivní spojení z čínského města Shenyang. Ze zjištěných údajů vyplynuly tři věci:
- Firma provozuje kritickou síťovou infrastrukturu a někdo jim do sítě leze z Číny. To je vážné bezpečnostní riziko.
- VPN používá dvoufaktorovou autorizaci se zmíněným RSA klíčem. Pokud byl tento mechanismus úspěšně napaden, má to dalekosáhlé následky.
- Použitý uživatelský účet patří firemnímu vývojáři, který v tuhle chvíli sedí u svého stolu.
Jediným představitelným vysvětlením v tu chvíli byl zákeřný malware, který by seděl uvnitř firmy a dokázal by přenášet bezpečně data dovnitř a ven. Jinak si to v tu chvíli ještě vylekaní správci neuměli vysvětlit.
Začalo poměrně rozsáhlé vyšetřování, ke kterému byli přizváni i lidé od velké telekomunikační společnosti Verizon. Byly zkoumány záznamy, topologie sítě, segmentace, proces autorizace, korelace mezi jednotlivými přístupy a podobně. Ukázalo se, že spojení ze Shenyangu vůbec není žádnou novinkou, ale v záznamech se objevuje už půl roku prakticky každý den. Navíc někdy trvalo celou pracovní dobu, takže šlo o skutečně velmi rozsáhlý incident.
Součástí vyšetřování byl samozřejmě i uživatel, kterému patřil zneužitý uživatelský účet. Říkejme mu třeba Bob. Šlo o programátora po čtyřicítce, který měl poměrně velké zkušenosti s mnoha programovacími jazyky, pro firmu pracoval dlouho, měl rodinu a byl celkem nekonfliktní a klidný.
Členové vyšetřovacího týmu si nechali pořídit kopii Bobova disku, aby na něm našli případný malware a objasnili, jak přesně se do počítače dostal. Chtěli prozkoumat Bobovy pracovní návyky a zjistit, kde přesně udělal chybu. Na disku ovšem našli něco úplně nečekaného: stovky faktur od čínské společnosti sídlící v Shenyangu.
Ukázalo se, že Bob na svou vlastní práci najal čínskou firmu a za to jí předával asi pětinu svého vysokého platu. Autentizace nebyla překážkou, protože čínské firmě poslal svůj RSA token po přepravní společnosti FedEx. Vývojář z druhého konce světa se pak mohl připojovat a pohodlně pracovat.
Šipka v logu asi říká: „Čína je tímhle směrem.“
Vyšetřovatelé také podle záznamů z počítače sestavili běžný Bobův den:
- 9:00 – přišel a čte si Reddit, kouká na videa koček
- 11:30 – jde na oběd
- 13:00 – čas navštívit eBay
- 14:00 – píše na Facebook a LinkedIn
- 16:30 – posílá zprávu s výkazem činnosti za tento den
- 17:00 – jde domů
Příběh popsaný na blogu firmy Verizon, která byla přizvána k vyšetřování, má ještě dodatek a dvě zajímavé pikantní tečky: Ukázalo se, že takto Bob „pracoval“ pro několik dalších amerických společností a vydělával dohromady stovky tisíc dolarů ročně.
Spánek na klávesnici je tvrdá řehole
Nejvtipnější na tom celém ale je, že byl několik let pravidelně vyhlašován nejlepším programátorem ve firmě. Odevzdával kód vždy včas a jeho práce byla čistá a dobře napsaná. Záznamy z logů se uchovávaly jen půl roku, ale pravděpodobně to tak provozoval léta. Kdyby čínská firma použila proxy někde v USA, pravděpodobně by se na to nepřišlo nikdy.
Příběh druhý: Jsem šmejd, protože za mě práci dělá počítač?
Druhý příběh pochází ze serveru Reddit, který mimochodem často navštěvoval v „pracovní“ době náš milý programátor z prvního příběhu. Napsal ho tam uživatel CS-NL někdy v květnu loňského roku. Autor je sice anonymní, ale víme, že je z Nizozemí a mluví holandsky. Říkejme mu proto třeba Aaron, což je oblíbené holandské jméno. Nejlepší bude, když si celý text přeložíme tak, jak ho Aaron poslal.
Jsem zaměstnancem na plný úvazek a žiju si dobře. Součástí mojí práce je hodně „zadávání dat“, ověřování, bla bla bla. Srdcem jsem ale programátor, a tak jsem vymyslel skript, který všechnu práci udělá za mě. Mí kolegové dosahují zhruba 90% přesnosti a zadají 60 až 100 transakcí denně. Já mám úspěšnost 99,6 % a zvládnu přes 1000 záznamů denně.
Nikdo to neví, protože počty transakcí i jejich úspěšnost je evidována až na konci každého měsíce. Tímto způsobem se nám také počítají bonusy. Potíž je, že já dostávám 85 až 95 % celé částky, která je na bonusy vyhrazena. To je HODNĚ velká suma.
Většina kolegů je se svými bonusy spokojená, protože vůbec netuší, jak moc by jinak mohli dostávat. Hádám, že teď dostávají bonus asi 100 až 200 eur měsíčně. Kdybych to nedělal, dostávali by mnohem víc.
Takže co myslíte? Jsem podle vás šmejd? Doopravdy pracuji asi osm hodin týdně, zbytek času hraju hry na mobilu a čtu si Reddit.
Co si myslíte vy? Je takový člověk zmetek jen proto, že přišel na nejefektivnější způsob, jak dělat svou práci? Nebo porušuje pravidla, protože byl najat na ruční zadávání transakcí a dělá je za něj automat? Liší se vlastně oba příběhy něčím podstatným?
Pokračování po dvou měsících
Druhý příběh má ale ještě pokračování. Aaron jej na Reddit poslal po dvou měsících od prvního příspěvku.
Aaron se bál, že kdyby byl odhalen, byli by všichni jeho kolegové vyhozeni a jeho software by je mohl nahradit. Proto aplikaci zajistil tak, aby byla spustitelná jen na jeho pracovním počítači a ještě vyžadovala heslo. Pak šel za svým šéfem a všechno mu řekl.
Ten se ho zeptal: Je ten program ještě na tvém počítači a dělal jsi ho v pracovní době?
Odpovědi zněly: ano a ano. Poté dostal Aaron okamžitě padáka a byl vykázán z budovy.
„Mám pauzu, pracuje počítač.“
Jakmile odešel, zavolal nadřízenému svého šéfa a nechal mu na záznamníku vzkaz, ve kterém vysvětlil, co přesně se stalo a jak ho za to jeho šéf vyhodil. Ozval se mu ale jeho bývalý šéf s tím, že mu musí říct heslo ke svému programu. Na to Aaron odpověděl, že už ve firmě nepracuje a nemusí tedy nic.
Pak zavolal šéfův šéf a poprosil Aarona o schůzku, na které by společně celou situaci probrali. Jestli je prý pravda, že může firmě ušetřit peníze, bude Aarona poslouchat. Ten byl ale naprosto odhodlaný neprozradit heslo ke svému programu. Ne snad proto, že by byl tvrdohlavý a zlý, ale program nebyl určen pro běžného uživatele a vyžadoval jisté znalosti při svém ovládání a konfiguraci. Aaron nechtěl být zodpovědný za jeho špatné použití.
Asi za týden se tedy se šéfovým šéfem setkal a nad čajem si o programu popovídali. Aaron se zeptal, jestli udělal něco špatného nebo nemorálního. Vrchní šéf odpověděl, že jediným prohřeškem bylo, že aplikaci programoval v pracovním čase, když o to nebyl firmou požádán. Aplikace samotná je nejen v pořádku, ale také ušetřila spoustu peněz, i když to firma nevěděla. Pokud by aplikace neexistovala, musela by firma najmout další lidi, protože současný tým by to nezvládl.
Šéf Aarona pochválil a zeptal se ho, proč vlastně nepracuje ve vývojovém oddělení. Aaron odpověděl, že své staré místo získal dřív a že na něm vydělává hodně peněz. Když prozradil, o jakou částku i s bonusy jde, jeho hostitel se nahlas rozesmál. Aaron prý vydělával víc peněz než jeho šéf (ten, který ho vyhodil).
Pak Aaron dostal nabídku pracovat ve firmě jako vývojář. Souhlasil, ale jen za podmínky, že jeho bývalí kolegové nebudou vyhozeni a dostanou ve firmě jinou práci. Nakonec se dohodli tak, že kromě několika neuvěřitelných pitomců nebude nikdo vyhozen. Ti nejšikovnější zůstali na původních pozicích, jen teď nezadávají údaje ručně, ale obsluhují Aaronův software. Bonusový program byl hodně seškrtán, ale i tak ti lidé vydělávají víc než předtím.
Aaron tedy teď dělá vedoucího vývojáře na svém vlastním oddělení a jeho základní plat je stejně vysoký jako jeho předchozí příjem v součtu s bonusy. Většina kolegů se přesunula také na lépe placená místa, takže se mají dobře.
Jedinou výjimkou je Aaronův šéf. Už předtím s ním byla firma nespokojená a celá událost byla poslední kapkou. Proto dostal padáka. Jeho práci teď dělá bývalý kolega ze starého Aaronova týmu.
Příběh s dobrým koncem má tak jedinou drobnou vadu. Moje nová židle je na houby,
dodává Aaron.
