Przyjazny kodeks karny ;) - podpora ABIego

Na GL w jednej z dyskusji na temat tajności zarobków przytoczony został bardzo ciekawy artykuł z Kodeksu Karnego.

Zerknąłem do źródła: link

Prócz przejrzenia art. 266, zainteresowałem się całym rozdziałem XXXIII

Przestępstwa przeciwko ochronie informacji

Art. 265.
§ 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 266.
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes,
podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.

Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.

§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Art. 268.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Art. 268a.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.

Art. 269.
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej
albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.

Art. 269a.
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 269b.
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.

Miłych wniosków. Miłych... dość dziwne określenie w tym kontekście :)

Dawno nie było ciekawych stron. Dzisiaj są za to dwie:

http://www.gregoriann.eu/

http://blog.gregoriann.eu/

Proponuje zajrzeć - jest co poczytać :)

Zaproszenia na badania cytologiczne w Wiśle

Jakj podał przed chwilą 1 program radiowy, w parku przy brzegu Wisły znaleziono ok. 30 zaproszeń na badania cytologiczne wystosowane przez Warszawski Instytut Onkologiczny. Zaproszenia wystawały sobie z wody i można było wyczytać z nich imię, nazwisko i adres.
Według informacji od przedstawiciela firmy ForPrint (??Four Print??)), która wygrała przetarg na wydrukowanie i dostarczenie tych zaproszeń, nieznany sprawca ukradł kurierowi paczkę z 50 zaproszeniami. Było to na początku lipca.
Kurierowi nie chciało się pracować?
Pomijajać fakt zwykłego świństwa, doszło do naruszenia UODO. Kurier jest przesłuchiwany przez policję.

Zastanawia mnie liczba niedostarczonych przesyłek w kontekście artykułu, jaki opublikowało Życie Warszawy: link
Chyba jednak "złodziej" ukradł większą paczkę.

Listonosz nie jest Bogiem

Szanowni listonosze nauczyli sie, że można bardzo dobrze żyć z dostarczania przesyłek. I to nie chodzi o pensję, jaką otrzymują, ale o możliwości dorobienia. Znane są końcówki od dostarczonych emerytur, które to (te końcówki) sięgają nawet kiluset złotych za rejon dostarczania emertytur (bo przecież taki listonosz biedny i tyle musi się nachodzić). A ponieważ coraz więcej emerytów otrzymuje swoje wypłaty na konta, to trzeba było znaleźć nowy sposób dorabiania do pensji.
Listonosze posiadająbardzo dobry i drogi towar, jakim jest informacja.
Informacja o tym, kto ma rodzine za granicą (listy z zagranicy), kto ma kłopoty finansowe (listy z ponagleniami), kto ma kłopoty z prawem (wezwania do sądu).
Listonosze wiedzą takaże, kto podpadnie pod losowanie funduszu emerytalnego. Ponieważ dzisiaj Poczta Polska, to także OFE Pocztylion, a często wśród przedstawicieli Pocztyliona są znajomi listonoszy (lub dobrzy płatnicy), to czemu nie zarobić?
Okazało się, że listonosze przekazywali dane osób, do których ZUS wystosował listy z przypomnieniem o OFE dla znajomych przedstawicieli OFE Pocztylion, dzięki temu ci wiedzieli gdzie "uderzyć" :)
Jest to jawne złamanie ustawy o ochronie danych osobowych, ponieważ mamy tu doczynienia z danymi (imię, nazwisko, adres) a także powiązanie z marketingiem.
Oficjalnie, jak podaje rp.pl w artykule Listonosze nie mogą werbować do funduszu listonosze nie mogą już tego robić. Oficjalnie nie mogą... ale nieoficjalnie?

Szkolenie...

Znalazłem kolejne szkolenie z UODO z cyklu niskobudzetowego (co jest ważne w momencie kiedy płacimy z własnej kieszeni).
Szkolenie organizuje EagleAuditors w dniach 8-9 września 2008. Koszt to tylko 1200PLN (max - możliwe są zniżki) za 2 dni z zakwaterowaniem i wyżywieniem.
Wiecej informacji na stronie: link
Na pierwszy rzut oka warto.

Adkontekst

Na blogu pojawił sie blok reklamowy adkontekstu. Nie znaczy to, że zaczynam zarabiać kasę na blogu - całość tematu traktuję niekomercyjnie. Blok ten pojawił się dlatego, że jedyną wyszukiwarką z której trafiaja tu czytelnicy jest google. Trzeba sie więc jakoś pokazać w wyszukiwarce Wirtualnej Polski (netsprint) - więc środki uzyskane z adkontekstu będą przeznaczane na reklamę w wyszukiwarce wp.
To tak gwoli wyjaśnienia.

Wyższe kary, wyższa skuteczność?

W dniu dzisiejszym GazetaPrawna.pl opublikowała wywiad z GIODO p. Michałem Serzyckim. Link

Tematem była nowelizacja UODO, która ma zaostrzyć kary za nieprzestrzeganie ustawy, głównie w zakresie kontroli.

Jak to jest z tym egzekwowaniem UODO? Niby jest rodział 8 z przepisami karnymi, ale ustawa nie przewiduje kar za nieudostępnienie kontrolerom zbiorów danych do kontroli. Więc jak tu karać za niedotrzymaniu ustawy, jeżeli nie ma możliwości sprawdzenia?

Stan prawny można zobaczyć tu: link w pozycji 144 (nie wiem czy cały czas będzie w tej pozycji - ale wystarczy wyszukać na stronie).

Co przewiduje omawiana nowelizacja?

Ano zaostrzenie kar:

- kara od 1000 do 100000 eura za niewykonanie decyzji GIODO

- kara do 300% miesięcznego wynagrodzenia dla przedstawiciela firmy za uniemożliwienie lub utrudnianie kontroli, lub w przpadku niedostarczenia w terminie 14 dni informajcji pozwalających na ustalenie wymiaru kary, ryczałtowej kary w wysokości nie mniej niż 10000 euro

Dodatkowo z nowelizacja usuwa jeszcze jeden problem, a mianowicie cofnięcie zgody na przetwarzanie danych osobowych. W obecnym brzmieniu, nie ma ani słowa na ten temat, więc cofnięcie wydanej zgody jest problematyczne.

Najciekawsza wydaje się reakcja firm przetwarzających dane osobowe. Oczywiście podniosła się wrzawa. Protestował Związek Banków Polskich, co wydaję się dość komiczne w odniesieniu do ostatnich wydarzeń z PEKAO S.A. Argumentacja, że banki nie będą w stanie ponieść kosztów na zabezpieczenie danych osobowych... jest śmieszna.

Nieudolność pracowników iPKO :)

No i mamy dzień bankowy (tak się nudzę na urlopie :)).
No i znalazłem dość ciekawą informację na portalu tvn24.pl. Link

W skrócie:
W sieci pojawiła się strona informacyjna z ustawieniami serwera php, na którym działa system bankowości elektronicznej PKO BP S.A.

Na stronie tej pokazane są wszystkie informacje dotyczące konfiguracji php.

No i co? Według rzecznika banku, który o informacje poprosił speców od bezpieczeństwa w swojej instytucji, to nie są żadne niebezpieczne dla banku informacje. Sorki, ale następny rzecznik prasowy banku chyba nie wie o czym mówi. Przecież tak często przytaczany przez odpowiednika z PEKAO S.A. "haker" dokonuje najpierw rozpoznania i zbiera informacje na temat zabezpieczeń stosowanych w systemie. Szuka słabych punktów systemu.
Strona ta, to nic więcej jak naklejka na szybie samochodu w stylu używam zabezpieczeń firmy XXX. A co się dziwić fachowcom banku, że powiedzieli że nie jest to groźna informacja? Przecież za takie coś powinno się polecieć z pracy.

Zgryźliwie zapytam: a może należałoby zapytać zewnętrznego audytora? ;)

Gwoli przypomnienia:
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Druga wpadka Visy

Znowu niepokojące informacje na temat elektronicznego pieniądza pojawiły się w sieci. I znowu w powiązaniu ze znanymi kartami kredytowymi VISA.
Na stronach www.rp.pl (link)znalazłem artykuł o wielokrotnym księgowaniu wyplat z kart Visy. Tak jak w styczniu, środki z konta użytkowników ściągane są kilkakrotnie podczas jednej transakcji.
Zaczynam się bać elektronicznego pieniądza. Czas wrócić do czasów skarpety?

Komentarza PEKAO S.A. odnośnie wycieku informacji

Serwis proto.pl opublikował rozmowę z Magdaleną Załubską-Król, zastępcą rzecznika prasowego ds. produktów bankowych. Link

Nie wytrzymałem i skomentowałem. Ma nadzieję, że komentarz pokaże się na stronie, po akceptacji moderatora serwisu.

Moje odczucia

Mimo zmiany osoby wypowiadającej się i zmiany formy wypowiedzi (brak oskarżeń), ton jest ten sam: to nie my, to wina hakera, ktory włamał się na serwer firmy zewnętrznej. Myśmy zrobili audyt i jesteśmy czyści.

Nie jest to tak fajnie. Mimo, że bank zlecił komuś coś, to w dalszym ciągu jest ADO i odpowiada za bezpieczeństwo danych.

Pani rzecznik powołuje się na opinię zewnętrznego audytora i jego opinię, że aplikacja miała niezbędne zabezpieczenia i że gdyby brak było zabezpieczeń, to dane wyciekłby już 8 kwietnia, kiedy rozpoczął on swoja działalność (serwis), a nie w połowie lipca. Oj, szczerze mówiąc bałbym się takiego audytora i jego opinii. Oczywiście dane te mogły być zabezpieczone dostatecznie w kontekście zabezpieczeń dla małej firmy, której serwer nie jest tak łakomym kąskiem dla włamywaczy, a nie największego w regionie banku. Szanowna Pani: zabezpieczenie to ciągły proces, a jego złożoność zależy od kontekstu (od firmy i serwera). Nie wystarczy stwierdzić, że audytor pozwolił i koniec. A gdzie nadzór, kontrola nad działającym już systemem?

No dobra - wystarczy ględzenia o systemach, serwerach i zabezpieczeniach.

A co mógł zrobić PIAR bankowy? Zamiast trzymać się wersji "to nie my", wystarczyło przeprosić, walnąć się w piersi, zadość uczynik poszkodowanym (jakis bonusik odszkodowanie) i transparentnie (fajne slowo) poddać się kontroli. Wyglądałoby to lepiej, niż zamiatanie pod dywan.

Poczekamy, co na to GIODO.

A jednak mój sen się spełnia...

... ale tylko w Niemczech.
Jak podaje money.pl (link) w Niemczech prowadzone sa prace nad nowymi, biometrycznymi dowodami osobistymi. Na życzenie dowód ten może zostać wyposażony w podpis elektroniczny. Oczywiście za dodatkową opłatą.
A jednak można wykonać dystrybucję kwalifikowanego podpisu za pomocą MSWiA, a nie zatrudniać do tego komercyjne firmy.

Bohater największy

Jak podaje gazeta.pl w artykule Pekao SA pokonał PKO BP i jest największym bankiem w regionie bohater ostatniej afery z wypływem danych został największym bankiem w regionie.
Czy to dobrze? Myślę, że troche strasznie. ;)
Bo jak wyglądają zabezpieczenia danych w instytucji, która obraca aktywami w wysokości prawie 33mld euro? :)
Super.

Jak otrzymać certyfikat Prince2 Foundation?

Brak papierka=brak lepszej pracy=brak większej kasy=brak papierka ;)
Tak skrótowo wygląda dzisiejsze życie pracownika. Nic w tym dziwnego - wiedza kosztuje (i to dużo). Pół biedy, gdy szkolenia i kolejne papierki finansuje sponsor w postaci bogatej cioci lub firmy, gorzej gdy trzeba wyskoczyć w własnej kasy.
Ponieważ papierki decyduja o bycie, trzeba wspinać się i zdobywać kolejne, żeby udowododnić... A ponieważ trzeba cały czas udowadniać, padło teraz na P2F :).

Najprościej Prince2 Foundation uzyskać po autoryzowanym szkoleniu w jednej z dwóch autoryzowanych firm:
- CRM S.A. - www.crm.com.pl
- Infovide-Matrix S.A. - www.infovidematrix.pl
Tia... najprościej, ale nie najtaniej.
Szkolenie w CRM kosztuje 4500PLN brutto (w cenie podręcznik Skuteczne Zarzadzanie Projektami PRINCE2 (normalnie 290PLN brutto). Do tego egzamin za 900PLN brutto.
Jeżeli wybierzemy Infovide, to wyniesie nas to 3500PLN brutto za szkolenie i 900PLN brutto za egzamin.
Jedynie te 2 firmy mają status ATO (autoryzowanych ośrodków treningowych).
Inną drogą jest uczestnictwo w nieautoryzowanym kursie, książki, wyszukiwanie wiedzy w necie i zdanie egzaminu w British Council (polski lub angielski).

Nieautoryzowane kursy (kursy autorskie):
- Project Manager Consulting - www.pmc.edu.pl
- ...

Książki (potrzebne do zdania egzaminu):
- Podstawy Metodyki PRINCE2, Ken Bradley
- Skuteczne zarządzanie projektami PRINCE2 - oficjalny podręcznik - 290PLN brutto
Z tego co się orientuje z opinii w necie, o obie książki należy pytać w CRM S.A. i Skuteczne... jest lepsze.

Wiedza w necie:
- cykl ciekawych artykułów na www.pmanager.pl
- ...

Egzamin w BC:
Jak zwykle w niestandardowej (nieoficjalnej) ścieżce trzeba trochę się namęczyć :).
A ponieważ właśnie pies domaga się spaceru, to odsyłam na stronę pmanagera.

Jestem na etapie przygotowań do P2F, więc jeżeli czytelniku znasz jakieś źródła do nauki - daj znać :)

Czy ABI musi być pracownikiem firmy?

Swego czasu wspomniałem, że w przypadku mniejszych firm, można zatrudnić ABIego na podstawie umowy zlecenia lub na podstawie umowy pomiędzy dwoma firmami (ABI prowadzi działalność gospodarczą i wystawia ADO fakturę za swoje usługi). Czasem nawet lepiej (dla tzw. zdrowego współżycia międzyludzkiego) powołać ABIego z zewnątrz.
Nie wszyscy się ze mną zgadzali w tym zakresie. Jednak podczas dzisiejszego bezmyślnego przeglądu on-linowych wersji dzienników natknąłem się w rp.pl na artykuł: link.
Jest to analiza odpowiedzi GIODO na problem, kim może być ABI.
Konkluzja: ABI musi być osobą fizyczną lecz niekoniecznie pracownikiem (etatowym) firmy, w której pełni obowiązki.
Cieszę się z takiego wyjaśnienia, ponieważ otwiera ono szerokie możliwości pracy dla wielu ABI :). Mam nadzieję, że w niedługim czasie stanowisko ABI, będzie tak popularne jak inspektor BHP. :)

Trochę reklamy

Ponieważ marketing szeptany (buzz marketing) jest podobno najbardziej skuteczny, to czemu nie mówić o rzeczach ciekawych i fajnych. A że pogoda nie pozwala na myślenie...
Rzecz numero uno: znalazłem księgarnię internetową, w której książki kosztują średnio 10% mniej, niż w księgarniach standardowych (sugerowana cena z okładki). Przy zamówieniu ponad 190PLN wysyłka jest gratis. A na dodatek ksiegarnia jest w Białymstoku ;) http://www.taniaksiazka.pl/
Rzecz numero duo: rozmawiałem wczoraj z człowiekiem z Omni Modo. Od września/października mają wzbogacić swoją ofertę o kurs dot. zabezpieczeń stricte informatycznych i o kurs dot. pisania dokumentacji i procedur związanych z UODO. http://www.omnimodo.com.pl/. Ponieważ kursy w Omni Modo wspominam miło, to najprawdopodobniej wyląduję na pierwszej edycji.
Rzecz numer trzy (bo po włosku już nie znam ;)): pojawiły się nowe terminy szkoleń on-line: PRICE2 - wprowadzenie (21.08.2008) i Podstawy Zarządzania Projektami (2.08.2008). Mam nadzieję, że w końcu znajdę czas i zabezpieczę logistycznie odizolowane pomieszczenie (żeby nikt nie przeszkadzał). http://www.pmc.edu.pl/, a dokładniej link. Trzeba się śpieszyć, ponieważ są to początki kursów on-line w PMC - jest zniżka (128PLN z kurs).
Z żadnej z powyższych firm, nie uzyskałem żadnej kasy ani zniżki, za wzmianki powyżej.

9th SysAdminDay

Czy to przypadek, że po chłodnych i deszczowych dniach, dzisiaj raptem zaświeciło słonko i temeratura obija się w okolicach 30 Celcjuszy?
Wcale nie, bo jak co roku na 1 maja jest ciepło, tak samo zawsze w ostatni piątek lipca musi być ciepło. Dlaczego?
Bo dzisiaj przypada 9th Annual System Administrator Appreciation Day, czyli DziewiątyDorocznyDzieńUznaniaAdministratorówSystemowych. Wow - tłumaczenie dość karkołomne, ale to znaczy, że dzisiaj administrator systemów informatycznych ma prawo do świętego spokoju. ;)
A jaki prezent zrobiłeś dzisiaj ty - użytkowniku - swojemu adminowi?
Wszystkim kolegom po fachu - wszystkiego spokojnego.

A kto chce poczytać więcej: link

Gdzie krzyczeć o nieuczciwej firmie

Nie opadł jeszcze kurz po wycieku danych z PEKAO S.A., a pojawia się coraz więcej informacji o dostepie do danych osobowych przechowywanych na serwerach. Wystarczy wrzucić do googla odpowiednią frazę, a potem sprawdzić wyniki.
Co w takim wypadku robić?
Po pierwsze: zawiadomić GIODO w naruszeniu ustawy (brak zabezpieczenia), podając sposób znalezienia danych, adres internetowy danych, ew. zrzut ekranu. Zawiadomienia można zrobić to listownie (poczta analogowa!) na adres:
Biuro Generalnego Inspektora Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
lub mailowo:
kancelaria@giodo.gov.pl Uwaga: Należy podać swoje pełne dane (imię, nazwisko, adres analogowy).
Po drugie: czekać na rozpoczęcie awantury.
Po trzecie: jak już będzie po wszystkim, opublikować informacje na blogu :)

I jak to w końcu z tymi niekwalifikowanymi podpisami

No jak to prawie wszyscy wiedzą, prezydent zdążył i podpisał. :)
No i jest dobrze...
... podpisy zachowują ważność do swego końca, a dopiero nowy podpis musi być kwalifikowany.
A co z certyfikatami, które są ważne, ale uległy zniszczeniu, kompromitacji?
http://nomadowyblog.blogspot.com/2008/06/certyfikat-z-zus-na-jak-dugo.html
Więc jeszcze 30 czerwca, rzecznik ZUS twierdził, że w takim wypadku wystawiony zostanie nowy, o okresie ważności starego certyfikatu. Natomiast pracownik infolinii twierdził, że będzie wystawiony nowy klucz o rocznym okresie ważności.
No innego widnieje jednak na stronach ZUS. Link
Po 20 lipca 2008 r. w dedykowanym centrum certyfikacji zostaną wyłączone usługi wystawiania nowych i odnawiania unieważnionych lub uszkodzonych certyfikatów. Po tym terminie Zakład Ubezpieczeń Społecznych nie będzie prowadził dystrybucji bezpłatnych certyfikatów niekwalifikowanych.
Kto powie na 100%, jak jest?

Jak wytłumaczyć, po co są procedury :)

Dość często spotykam sięz pytaniami o zasadność procedur. U większości pracowników słowo procedra wywołuje odruch wymiotny lub gęsią skórkę. Przecież procedury ograniczają kreatywność pracowników i sprowadzają do roli maszynek.
A gdzie jest napisane, że każdy pracownik ma być kreatywny?
Czytałem ostatnio rozpiskę obowiązków pracowników.
W przypadku referenta, ma on obowiązek wykonywania poleceń przełożonych i wykonywać obowiązki według ustalonych zasad. Dopiero pracownik na stanowisku specjalisty ma obowiązek działać w sytuacjach niestandardowych - dlatego zarabia więcej :). To takie informacje z pamięci.
Co ciekawsze, te opisy wzięte są z firmy, w której prawie nie istnieją procedury, a informacje o sposobie pracy przekazywane są dla nowych pracowników, jak u Indian - z ust do ust :), jako przekazy pokoleniowe. Powoduje to, że czasem ktoś o czymś zapomni, coś źle przekaże, a czasem coś od siebie doda. :) Suma sumarum, każdy pracuje jak chce, a te same czynność w różnych oddziałach wykonywane są na różne sposoby. :)
Ha... więc jak przekonać kadrę pracującą do konieczności procedur. Po głowie kołacze mi się jeden bardzo dobry przykład i nie pamiętam skąd go znam (przecież sam nie wymyśliłem). :)
No dobra, przykład:
Wyobraź sobie, że jesteś szefem serwisu sprzątającego w eleganckim hotelu. Zarządzasz podległym personelem sprzątającym i właśnie zatrudniłeś dwie nowe pracownice.
Wiec, co? Wydajesz im polecenie: prosze posprzątać pokoje 201 i 502.
Wynik: otrzymujesz 2 posprzątane pokoje. Tylko, że każdy posprzątany jest w inny sposób. Jeden ma umyte okna i wymienioną pościel, a drugi pokój ma napełniony barek i umytą podłogę. I o co chodzi? Przecież oba pokoje są posprzątane, ale stali goście nie są zadowoleni, bo pokoje wyglądają zupełnie inaczej niż zawsze. Trzeba poprawić, przeprosić klienta... wzrastają koszty obsługi...
No właśnie - brak jest procedury.
A gdybyś każdej z nowozatrudnionej pracownicy wręczył na kartce dokładne wytyczne, w jaki sposób ma posprzątać pokój?
Łatwiej dla pracownicy, taniej dla pracodawcy, lepiej dla klienta. :)

----
Maluję własnie sypialnię... i troche się przeraziłem. Do malowania podszedłem jak do realizacji projektu. :)
Czy to normalne?

Dane pracowników

Padło pytanie od znajomego: czy szef firmy ma prawo podać na stronie internetowej jest imię, nazwisko, służbowy adres mailowy, służbowy telefon i zdjęcie? Ostatnio firma, w której pracuje mój znajomy zmieniała swoja witrynę i fotograf porobił wszystkim portretówki :)
No i niestety, szef może.

Zgodnie z informacjami zawartymi w sprawozdaniu GIODO za rok 2003:
Znaczną grupę spraw stanowiły pytania o konieczność rejestracji zbiorów danych przetwarzanych w związku z zatrudnieniem, w tym m.in. zbiorów danych „ osób kontaktowych”. Zbiory dotyczące tzw. „osób kontaktowych” podlegają zwolnieniu z obowiązku rejestracji na postawie art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych. Przesłanka ta ma zastosowanie wobec zbiorów danych „przetwarzanych w zakresie drobnych bieżących spraw życia codziennego”. Przetwarzanie danych w celu utrzymywania kontaktów z kontrahentami, partnerami przedsiębiorcy przez wyznaczonych do tego pracowników oraz w zakresie niezbędnym do realizacji tego celu służy usprawnieniu działalności administratora. Zbiór tego rodzaju danych ma charakter pomocniczy, a co za tym idzie dane w nim zawarte traktować należy jako przetwarzane w zakresie drobnych, bieżących spraw życia codziennego. Rozważać można również zwolnienie administratora z obowiązku zgłoszenia przedmiotowego zbioru do rejestracji na podstawie przesłanki wskazanej w art. 43 ust. 1 pkt 9, albowiem informacje o pracowniku reprezentującym pracodawcę (takie, jak: imię, nazwisko, służbowy numer telefonu, czy adres poczty elektronicznej) mogą być bez zgody pracownika ujawnione w publikacjach w internecie lub w ogłoszeniu prasowym i łatwość ich uzyskania z takich źródeł powoduje, iż mają charakter danych powszechnie dostępnych.

Jest to odpowiedź na pytanie z drugiej strony (kontekst zbierania a nie ujawniania danych), ale widać tu, że pracodawca m prawo na ujawniania takich danych.

Znalazłem też orzeczenie Sądu Najwyższego z dnia 19 listopada 2003 r. o sygn. I PK 590/02. W orzeczeniu tym sąd stwierdza, że pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika.

Tak więc bezspornie widać, że pracodawca może. :)

Rzecznik Praw Obywatelskich a PEKAO S.A.

Sprawa wycieku danych zatacza coraz szersze kręgi. Problemem zainteresował się Rzecznik Praw Obywatelskich, p. Janusz Kochanowski.
Treść listu do GIODO została opublikowana na stronach http://www.giodo.pl/. Link
W dniu dzisiejszym p. Michał Serzycki odpisał. Link
Mam nadzieję, że to spowoduje większe zainteresownaie tematem.

HotSpot a sprawa danych osobowych

Przykład tego, jak młodzi dziennkarze podchodzą do tematu:

http://miasta.gazeta.pl/bialystok/1,35235,5471476,GIODO_zapyta__po_co_urzednikom_dane_osobowe_.html

http://miasta.gazeta.pl/bialystok/1,35235,5459786,Miasto_funduje_internet__ale_za_informacje.html

W sumie p. Dzienis dłuższy czas pracuje w białostockej Wyborczej, ale chyba nie nauczyła się, że temat nie zawsze wygląda, tak jak wygląda (czyli prosto) :)

W skrócie:

Urząd Miasta zafundował darmowe hotspoty (czy hotspoty moga być płatne?). Jednak, żeby skorzystać z internetu, należy się zalogować, podając imię, nazwisko, adres mailowy i numer telefonu. Dane te nie są sprawdzane.

Oczywiście biedni internauci, którzy chcą za darmo skorzystać z internetu podnieśli larum i w ich obronie stanęłą dzielna p. Aneta Dzienis. :) Żeby dowieść o bezprawności pobierania danych przez UM, skontaktowała się z szefem informatyków w krakowskim Urzędzie Miejskim, który nie widzi potrzeby zbierania danych. Przecież w innych miastach podobne praktyki są niespotykane. Pytanie: czy p. Piotr Malcharek (dyrektor informatyki w UM w Krakowie) ma obowiązek znać ustawę o świadczeniu usług drogą elektroniczną i UODO? Może lepiej byłoby zapytać prawnika, który zajmuje się bezpieczeństwem danych osobowych?

No tak, ale czy takie praktyki są zabronione. Poczekamy na opinię GIODO, ale czy w tym wypadku nie należy powołać się na ustawę o świadczeniu usług drogą elektroniczną, a dokładniej art. 18?

Art. 18.
1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne
do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
1) nazwisko i imiona usługobiorcy,
2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer
paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
3) adres zameldowania na pobyt stały,
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3,
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
6) adresy elektroniczne usługobiorcy.
2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania
przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):
1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w ust. 1,
2) oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca,
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną,
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.
6. Usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom państwa na potrzeby prowadzonych przez nie postępowań.

A co to jest ten stosunek prawny?

Dzieki Ani i jej odpowiedzi na GoldenLine i skierowaniu do źródła możemy dowiedzieć się, że stosunek prawny (link)to więź społeczna jaka powstaje między dwiemalub więcej osobami w następstwie stworzonej przez nie - lub innezdarzenia- sytuacji określonej w obowiązującej normie prawnej. Jestto stosunek powstający między podmiotami prawa gdy zaistnieje fakt zktórym norma prawna wiąże dla tych podmiotów określone konsekwencje.W każdym stosunku prawnym wyróżnić można cztery następujące elementy:- podmioty między którymi stosunek prawny zachodzi ( mogą być-nimi ludzie, pewne organy, instytucje lub osoby prawne)- przedmiot stosunku prawnego którym jest określone zachowanieuczestników tego stosunku- prawo (uprawnienie)- polegające na możliwości domagania sięprzez podmiot uprawniony określonego zachowania się do drugiej stronystosunku prawnego- obowiązek, będący odpowiednikiem (korelatem) tego prawa.Nie są stosunkami prawnymi takie stosunki społeczne, z którychistnieniem i ustaniem prawo nie łączy żadnych skutków prawnych (stosunki przygodnej znajomości, koleżeństwa itp.)Można rozróżnić; stosunek typu zobowiązaniowego (zachodzirównorzędność praw i racji obydwu podmiotów) oraz stosunekpodległości kompetencji ( podległość racji jednego z podmiotówdrugiemu).

Ciekawą definicję wypluwa też onet.pl. Link

Stosunek prawny, każdy stosunek społeczny, który podlega regulacji za pomocą norm prawnych, inaczej - stosunek społeczny, z którym hipotezy norm prawnych wiążą określone skutki prawne. Wyróżnia się następujące elementy stosunku prawnego: podmioty stosunku prawnego (co najmniej dwa), treść stosunku prawnego (uprawnienia i odpowiadające im obowiązki) oraz przedmiot stosunku prawnego (cel, dla którego podmioty stosunku prawnego wchodzą w stosunek prawny).

To przytoczę jeszcze źródło do wikipedia.pl. Link

Więc wobec podanych definicji, akceptacja regulaminu jest podstawą do zbierania danych osobowych. Co więcej, ustawa ta nakłada obowiązek współpracy z organami ścigania.

No dobrze, ale w wypowiedzi p. rzecznik GIODO Małgorzaty Kałużyńskiej-Jasak, pada stwierdzenie, że stosunek prawny można nawiązać w ramach umowy, a nie akceptacji regulaminu. Niestety (a może stety) - nigdzie nie znalazłem zapisu, że konieczne jest podpisanie umowy. Jak to często bywa, rzecznicy prasowi mówią dużo i nie zawsze z sensem (p. rzecznik PEKAO S.A.).

Pewną wątpliwość może budzić zapis z art. 22 ust. 1

Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych, o których mowa w art. 18 ust. 1 i 2, jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw.

Dane z art. 18 ust. 1 i 2 to imię, nazwisko i PESEL. Można oczywiście dyskutować, czy imię i nazwisko są niezbędne, ale przyjmując zasadę zachowania bezpieczeństwa myślę, że tak. Podanie danych troche pionizuje zachowanie się użytkownika, a podając fałszywe dane, należy liczyć się z kosekwencjami (blokada konta).

W tym wpadku bardzo mądrze zachował się rzecznik UM p. Tomasz Ćwikowski, podając przesłanki do logowania danych. No ale oczywiście jak zawsze trafi sie "cwany gościu", niejaki p. Wojtek, który szczyci się, że leci na lewych danych już od kilku miesięcy :)

No dobrze, czas na niedizelne sprawunki :)

Mam nadzieję, że UM nie zniechęci się i nie zaniecha projektu hotspotow w centrum.

Ustawa o ochronie baz danych

Z cyklu kolejny akt prawny, do zapoznania się przez ABIego:
ustawa o ochronie baz danych z dnia 27 lipca 2001r. (Dz. U. 2001 nr 128 poz. 1402). Link
Tekst jednolity: link

Swoja drogą bardzo się zadziwłem, że jest taka ustawa :)
Ustawa nie jest długa - jedynie 17 artykułów.
O co chodzi?
Otóż art. 2 ust. 1 definiuje nam bazę danych jako taką, czyli że jest to zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości.
Jednocześnie art. 4 mówi, że ochrona przyznana bazom danych nie obejmuje programów komputerowych użytych do sporządzenia baz danych lub korzystania z nich.
Więc co tak na prawdę chroni ustawa?
Ustawa wzięła pod ochronę osoby, które zajmują się zbieraniem i przetwarzaniem danych, głównie pod postacią spisów, wykazów, analiz.
Artykuły z którymi (według mnie) dobrze jest się zapoznać:
http://www.serwisprawniczy.pl/index.php?option=com_content&task=view&id=461
http://www.uwm.edu.pl/unesco/ELEARNING/MATERIALY/fordonski/ochrona_bazdanych.doc
http://archiwum.gazeta-it.pl/2,10,706,index.html

Życzę miłego czytania :)

Serwer GIODO nie odpowiada :)

No to mamy kolejny temat do pospekulowania.

Godzina 11.35 - serwer http://www.giodo.gov.pl/ nie odpowiada.

Czyżby jakiś hakier włamał się w odwecie za PEKAO S.A.? :)

Prób połączeń dokonywałem z łącza DSL (TP S.A.) i Orange.

Kot, który mieszkał w karmniku

A to jest kolega psa Joszka.

Kot mieszka sobie w bloku, przy skwerku, na który to Joszko wychodzi na...

Jak widać kot lubi sobie pomieszkać w karmniku :)

Zabierzcie temu panu mikrofon

Powiedziałem sobie, że do czasu ogłoszenia przez GIODO oficjalnego komunikatu dotyczącego kontroli w PEKAO S.A. i PC nie będę już zabierał głosu w tej sprawie, bo przypomina to już serial brazylijski. Ale nie wytrzymałem :)
Podczas porannego przegladania internetu przy kawie natrafiłem na artykuł, w którym zacytowane są wypowiedzi p. rzecznika Arkadiusza Mierzwy. Link
"Po ataku hakerskim okazało się, że zabezpieczenia nie były wystarczające. W tym przypadku błąd nie leżał po stronie człowieka" - powiedział we wtorek PAP rzecznik prasowy Pekao Arkadiusz Mierzwa. Zaznaczył, że nie może kontrolować systemów bezpieczeństwa zewnętrznej firmy, z którą współpracuje.
Panie kochany, pieprzysz Pan jak potłuczony (bo inaczej nie można nazwać takich wypowiedzi). Jest to błąd tylko i wyłącznie ludzki. Dlaczego?
1. Człowiek popełnik błąd podczas projektowania systemu stronki i zabezpieczenia. Na tym samym serwerze, dokumenty i samą stronkę, mogę umieścić ja lub ludzie robiący strony dla małych firm. W przypadku największego banku w Polsce, gdzie liczy się autorytet należy dmuchać na zimne. Serwer powinien stać na jednej maszynie, a wpływające dokumenty powinny lądować na innej - ruch tylko w jedna stronę - pracownik PC
2. Człowiek popełnił błąd i nie skontrolował założeń przed postawieniem strony - pracownik banku
3. Człowiek popełnił błąd niedokładnie zabezpieczając serwer - haker mógł się włamać. Nie można zabezpieczyć serwera przed każdym włamaniem, ale umówmy się, tego włamania nie dokonał czołowy hacker - pracownik PC
4. Człowiek popełnił błąd i nie mointorował serwera. Po włamaniu hacker pozostawił widoczny ślad. Było dużo czasu na reakcję. - pracownik banku i pracownik PC





5. Człowiek zawiódł podczas reakcji powłamaniowej. Przecież to człowiek powinien przewidzieć sytuację kryzysową i opracować procedury według których powinny przebiegać zdarzenia. Włamanie na serwer, jest podstawową sytuacją kryzysową w internecie. A jeżeli te procedury były, to człowiek ich nie wykonał. A przecież należało powiadomić GIODO o włamaniu i możliwości wycieku danych, należało zaczać wykonywać podstawowe czynnośc w celu usunięcia danych a googli (roboty), należało zabezpieczyć serwer do analiz, należało skonfigurować nowy (lub odtworzyć z kopii lub z virtualnego serwera - technik do wykonania przez człowieka była całą masa), należało powiadomić opinię publiczna i zachować sie jak poważny i wykształcony człowiek (tak panie rzeczniku - to do Pana). - pracownik banku.
6. Człowiek zawiódł, podejmując próbę zamiecenia wszystkiego pod dywan - pracownik banku.
7. Człowiek zawiódł...


Szanowny panie rzeczniku. UODO pozwala Panu lub pracownikom banku na kontrolę zabezpieczeń firmy zewnętrznej, której powierza Pan przetwarzanie danych. Jeżeli firma zewnętrzna nie zgadza się na taki audyt, to nie należy powierzać im tych danych. Nie musi Pan kontrolować wszystkich zabezpieczeń w tej firmie - wystarczyło tylko te, które związane są z konkretnym projektem.

Decydenci z PEKAO S.A. zabierzcie panu Mierzwie mikrofon.
Błaźni się i jednocześnie kompromituje Wasz bank.

P.S. - zdjęcia ukradłem z VaGla.pl. Mam nadzieję, że się nie obrazi.

Show time

Główny Inspektor Ochrony Danych Osobowych zwrócił się z prośbą o do internautów.

A P E L
Generalnego Inspektora Ochrony Danych Osobowych
W związku z upublicznieniem, w sposób naruszający chronione przez Konstytucję RP jak i obowiązujące standardy prawa w zakresie ochrony danych osobowych, dane osób które złożyły do Banku Pekao S.A. dokumenty związane z ubieganiem się o pracę w tym Banku, zwracam się z apelem do wszystkich, którzy weszli w posiadanie danych o respektowanie praw tych osób.
Apeluję o niewykorzystywanie ich danych, o ich nie rozpowszechnianie, a także o ich usuwanie. Generalny Inspektor Ochrony Danych Osobowych podjął czynności prawne w celu zgodnego z prawem przetwarzania danych przez Pekao S.A. ale jednocześnie będąc rzecznikiem obywateli w zakresie ochrony ich danych osobowych zwraca się o poszanowanie godności ludzi jako naczelnej wartości państwa prawa, która jest podstawą ochrony danych osobowych.

Jeżeli jesteśw posiadaniu danych - usuń je.
Na pewno nie są Ci do niczego potrzebne.

Apel nie jest pozbawiony sensu, w momencie, kiedy wp.pl opisuje, że życie osób, którchy dane zostały ujawnione zamieniło sięw koszmar. Link


Jak informuje GIODO na swojej stronie, w dniu 14 lipca w banku PEKAO S.A. i w firmie Possum Communication.
Jak głosi informacja na stronie GIODO, kontrola odbędzie się zarówno pod kątem odpowiedniego zabezpieczenia danych osobowych, jak również prawidłowości umowy powierzenia przetwarzania danych.


Bardzo dziwna, ale też konsekwentna wydaje się polityka banku, który ani słowem nie zająknął się na swoje stronie o tym wydażeniu.

Duża szkoda i w połączeniu z wypowiedziami p. rzecznika bardzo źle świadczy o postawie banku. Niestety, prócz ochrony danych osobowych, w banku PEKAO S.A. "leży" też zarządzanie kryzysowe.
Dobrze by było, żeby p. rzecznik poczytał o odpowiedzialności karnej, jaka grozi szefostwu banku, czyli według ustawy, Administratorowi Danych Osobowych:
Art. 51.
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Dopisek.

Według informacji przekazanych przez PAP (źródło webhosting.pl). LINK

Rzeczniczka GIODO powiedziała, że kontrola zostanie przeprowadzona „zarówno pod kątem zabezpieczenia danych, jak i prawidłowości umowy powierzenia przetwarzania danych osobowych”. Według GIODO umowa powinna być zawarta na piśmie i zawierać dokładne warunki powierzenia przetwarzania danych.
Kałużyńska-Jasak ostrzegła też bankierów, że jeśli kontrola wykaże nieodpowiednie zabezpieczenie bazy danych osobowych, a tym samym złamanie przepisów, GIODO może skorzystać z przysługującego prawa do zawiadomienia prokuratury o podejrzeniu popełnienia przestępstwa. Podkreśliła, że odpowiedzialność karna za nieodpowiednie zabaezpieczenie danych to kara grzywny, ograniczenia lub pozbawienia wolności do 2 lat.
O losach sprawy będziemy dalej informowali Czytelników. Kontrola potrwa na pewno kilka dni, zatem jej wyniki poznamy najwcześniej w przyszłym tygodniu.

Analfabeci

Jakis czas temu zostały założone nam tzw. "euroskrzynki", czy jak je tam zwał.
Wszystko po to, żeby firmy inne niż Poczta Polska mogły dostarczać przesyłki. Ponieważ mam alergię na reklamy w skrzynce, nakleiłem nalepkę, która była na wyposażeniu skrzynki pocztowej: "zakaz wrzucania reklam".
Niestety, nie wszystkie firmy się do tego stosują. Po tym, jak znalazłem 2 reklamę, to postanowiłem, że będę tu sobie umieszczał nazwy firm, których przedstawiciele są analfabetami.

Na początek
Arkamed Spółka z ograniczoną odpowiedzialnością spółka komandytowa
Biuro obłsugi klienta: 43-190 Mikołów
ul. Rynek 7/5
tel. 0-32 738-02-60
sprzedają jakieś badziewie (wyroby zdrowotne) podczas spotkań, na któe zapraszają debilnymi ulotkami.

GE Money Bank
punkt sprzedaży
ul. św. Rocha 14 a lok 11
Białystok
tel./fax: 0-85 744-55-92
kom. 693 895 858
Reklama pożyczki

Czemu należy analizować logi?

No właśnie, czemu?

A temu, że można dowiedzieć się wielu ciekawych rzeczy. :)

Dziś np. zobaczyłem, że jeden z gości próbował znaleźć następujący ciąg znaków na mojej stronie: eve online.

Ponieważ żona ma, ma na imię Ewa, poczułem się zagrożony :) i rozpocząłem poszukiwania. Dzięki google dowiedziałem się, że Eve Online jest grą typu MMOG wyprodukowaną przez firmę CCP. Link

Coż... Człowiek uczy się przez całe życie :)

A na poważnie. Żeby administratorzy serwerów zaglądali w logi, ich życie byłoby łatwiejsze. :)

Bo najsłabszy w systemie jest zawsze człowiek...

Znalazłem na securitystandard.pl bardzo fajny wywiad z Kevinem Mitnickiem - facetem, który włamywał się do systemów komputerowych, najczęściej wykorzystując najsłabsze ogniwo, jakim jest człowiek. Link

Ponieważ system informatyczny to według UODO zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, a wszędzie swoje "łapy" wkłada czlowiek, to myślę, że zapoznanie się z zakresem działań p. Mitnicka powinno być obowiązkowa dla każdego ABI.

Czym zajmował się Mitnick? Swego czasu był najbardziej poszukiwanym w USA hackerem. A takiego statusu nie uzyskuje się w tak dużym kraju za robienie na drutach :)

Polecam wywiad i wszelkie pozycje związane z socjotechniką. :)

Czemu należy rejestrować ruch do sieci...

Na portalu rynekzdrowia.pl w dniu 6 czerwca pojawiła się informacja o wycieku danych osobowych i danych dot. zarobków prcowników. Link

Nastepnie w dniu 2 lipca pojawiła się kolejna informacja na ten temat - prokuratura umorzyła śledztwo. Link

Czyli cicho sza. Ktoś cos wypuścił, ale z braku laku, sprawa została umorzona. Co ciekawsze powszechne oburzenie wywołały zarobki niektórych osób, a nie fakt, że wyciekły dane.

W skrócie: ktoś wypuścił dane do internetu przy pomocy darmowego konta pocztowego, założonego na fałszywe dane. Prokuratura szczyciła się, że od właściciela serwera otrzymała dane, na jakie zostało założone konto ;)

Hmm... wynik? Prokuratura znalazła osobę, która kolportowała listę płac pracowników, ale nie robiła tego przy użyciu internetu, więc nie postawiono jej zarzutów. :)

Właściwego poszukiwanego nie znaleziono.

Cudownie.

A jak to wyglda od strony prawa?

Ustawa o ochronie danych osobowych:

Art. 1 ust. 1 mówi, że każdy ma prawo do ochrony dotyczących go danych.

Art. 36 ust. 1 mówi, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Art. 38 mówi, że administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art. 49 mówi, że kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Art. 51 ust. 1 mówi, że kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Art. 51 ust. 2 mówi, że jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52 mówi, że kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Więc, jak widać z powyższych i podstawowych przepisów, szef jednostki powinien być w pierwszym rzędzie pociągnięty do odpowiedzialności karnej. Zgodnie z ustawą, to on jako ADO odpowiada za bezpieczeństwo przetwarzania danych i to on doprowadził do udostępnienia danych. Poza tym, nie wydaje mi się, że w przypadku, gdyby wdrożona była polityka bezpieczeństwa, a także logowane były ruchy pracowników w systemie informatycznym, to w przypadku wystąpienia incydentu ujawnienia danych, nie byłoby większego problemu z ustaleniem winnnego (art. 36 i 38).

Nastepnie przyłapany pracownik, który udostępniał dane innym (ale nie wypuścił do internetu) powinien odpowiadać za udostepnienie danych osobowych i jeżeli nie był upoważniony do ich przetwarzania, za nieuprawnione przetwaranie danych osobowych.

A teraz rozporządzenie ministra spraw wewnętrznych i administracji, załącznik.

Ponieważ system przetwarzający dane osobowe był/jest połączony z siecią publiczną winny być zastosowane środki zabezpieczające na poziomie wysokim, a wiec, zgodnie z załącznikiem do rozporządzenia (rodział C):

XII

1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych
a siecia publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

XIII

Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Więc, czyżby ktoś niedopełnił obowiązku nałożonego przez akty wykonawczy do ustawy? Jeżeli włączone zostałoby logowanie ruch na zewnątrz, myślę, że nie byłoby większego problemu z ustaleniem z jakiego komputera i o której godzinie wyszły te dane. A to chyba pomogłoby w ustaleniu konkretnej osoby.

W tym momencie śledztwo powinno przenieść się w obszar komunikacji w firmie i wypełniania obowiązków nałożonych przez ustawę: czy w firmie był ABI, czy ABI zgłaszał problemy i zapotrzebowanie na zmianę sprzętu/oprogramowania/procedur, czy administrator systemów informatycznych borze wykonywał swoje obowiązki, czy pracownicy zostali przeszkoleni/poinformowani w zakresie obowiązków ochrony danych... Pytań jest całą masa i tym powinna zająć się prokuratura i GIODO.

A tak? A tak to mamy bardzo ciekawe zjawisko - brak winnych, śledztwo umorzone... czyżby podobnie będzie z wyciekiem danych z PEKAO S.A? oj przepraszam, przecież dane nie wyciekły z banku, tylko z jakies obcej firmy... A umowa na powierzenie przetwarzania danych i audyt były? ;)

Kiedy dane zniknął z sieci...?

Tak na koniec gorących wydażeń związanych z bankiem PEKAO S.A.

Na FKN.PL pojawił się wpis traktujący o danych poddanych cachowaniu przez roboty Google. Link

Okazało się, że mimo zapewnien przedstawicieli banku (rzecznik prasowy, który groził internautom, że będzie ich ścigał), ani bank, ani przedstawiciele firmy Possum Communication nie wykonali PODSTAWOWYCH działań, żeby usunąć dane z cache googli.

Tak trzymać chłopaki.

A to sprawka GOOGLE ;)

Jak podaje gazeta.pl dane kandydatów do pracy z banku PEKAO S.A. dalej funkcjonują w sieci. Link
Jest to chyba bardzo dobre ostrzeżenie dla "speców" od bezpieczeństwa i managerów zapewniających kasę na zabezpieczenia. ;)
No i oczywiście Possum Communication dwa razy pomyślą, zanim cokolwiek zrobią. :)

A tak przy okazji: PEKAO S.A. było bardzo zadowolone ze współpracy z Possum Communication. Link

Pies, który łapie wiatr

Ponieważ w poprzednim poście wspomniałem o swoim psie, który łapie wiatr, to wypadałoby zamieścić jego zdjęcie ;)

Tak wygląda szczęśliwy pies podczas niedzielnego spaceru po lesie. ;)

Ponieważ pies o imieniu Joszko ma ok. 7 lat, to z litości nie pokażę, jak doszedł do takiego stanu ubrudzenia. Ale możemy zwalić winę na właścicielkę tego jasnego ucha w prawym dolnym rogu zdjęcia.

Kodeks blogerów

Dzisiaj na górze strony pojawił się zielony banner z napisem Popieram kodeks współpracy z blogerami.
Co on oznacza?
Ni mniej, ni więcej, że popieram czystość informacji zamieszczonych na blogach i sam stosuję się do zasad zawartych w tym kodeksie.
Dlaczego?
Otóż czytelników moich wypocin przybywa (i to bardzo dobrze ;)). Przybywa też informacji o różnych firmach. Pojawiła się wzmianka o moim szkoleniu w Omni Modo, pojawił się banner informujący, że będę uczestnikiem organizowanego przez Microsoft, MTS2008, pojawił się wpis o wpadce banku PEKAO S.A..
Zdaję sobie sprawę, że podczas pisania tekstów czasem będą pojawiały się nazwy róznych firm i informacje o nich. W różnym swietle. Będą pojawiały się, ale tylko w związku z moimi subiektywnymi ocenami lub zaistniałymi sytuacjami. W żadnym wypadku, żadna informacja nie ukaże się w związku z jakimikolwiek naciskami lub sugestiami.
Wow... powiało górnymi wiatrami (mój pies czasem podnosi nos do góry i wyłapuje to, co przyniesie mu wiatr). ;)
Czym jest kodeks? Link
Kodeks jest zbiorem podstawowych praw, jakimi powinni kierować się blogerzy, a także firmy promujące się w internecie. Bardzo dobrze zasady wyjaśniła Irena Magierska podczas spotkania na Auli nr 24. Link

PEKAO S.A. ubolewa...

PEKAO S.A. przeprasza, że pozwoliło na wyciek danych osobowych (CV i LM) 1400 osób.
http://www.tvn24.pl/-1,1557058,0,1,pekao-sa-setki-cv-w-sieci-to-atak-hakerow,wiadomosc.html
http://webfan.pl/zainwestuj-w-przyszlosc-pekao-sa.html
http://netto.blox.pl/2008/07/jeszcze-jedno-cv.html
http://www.polityka.pl/pekao-sa-wpadka-roku/Lead121,1569,261522,18/
http://www.wykop.pl/ramka/76834/wtopa-banku-pekao-s-a
http://technologie.gazeta.pl/technologie/1,81010,5450210,Pekao_S_A___wyciekly_dane_z_ponad_tysiaca_CV_.html

Gratulacje.
A skoro ktoś inny wskazał na tą możliwość, to czemu nie pokazać ;)


Tego nie da się zamieść pod dywan.
Google zapamięta wszystko :)

Prezydent podpisał...

Dzisiaj na stronie prezedenta znalazłem informację o podpisaniu ustawy z dnia 13 czerwca 2008 r. o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Link

I życie stało się prostrze :)

Rzecznik ZUS bloggggguje ;)

Zdębiałem, jak zobaczyłem :) Link
Ale to prawda - rzecznik ZUSu p. Mikołaj Skorupski dołączył do grona blogerów.
Ludzka twarz instytucji? :)
Zapowiada się dość ciekawie, w szczególnie interesujący jest drugi art. Jak podwyższyć emeryturę cz. I - zaczynam sie bać o moje życie po pracy :) Bo ile trzeba zarabiać, żeby normalnie żyć i odłożyć na emeryturę? ;)

Ustawa o świadczeniu usług drogą elektroniczną

Z cyklu "ustawy, które musi znać ABI", trafiłem na ustawę o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002r. Link
Ustawa nie jest długa :)
Ochronie danych osobowych poświęcony jest rodział 4.
Co znajdziemy tam ciekawego i przydatnego?
Art. 18 określa zakres danych, które moga być zbierane do świadczenia usług elektronicznych i to niezależnie od ustawy o ochronie danych osobowych:
1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne
do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku
prawnego między nimi:
1) nazwisko i imiona usługobiorcy,
2) numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer
paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
3) adres zameldowania na pobyt stały,
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3,
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
6) adresy elektroniczne usługobiorcy.
2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą,
usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość
świadczonej usługi lub sposób jej rozliczenia.
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2,
jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną
zgodnie z art. 22 ust. 1.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych
w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne
do świadczenia usługi drogą elektroniczną.
5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania
przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane
eksploatacyjne):
1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o
których mowa w ust. 1,
2) oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system
teleinformatyczny, z którego korzystał usługobiorca,
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania
z usługi świadczonej drogą elektroniczną,
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą
elektroniczną.
6. Usługodawca udziela informacji o danych, o których mowa w ust. 1-5, organom
państwa na potrzeby prowadzonych przez nie postępowań.
Ciekawy jest też ust. 5 pozwalający na logowanie danych związanych z połączeniem, a więc IP, czas nawiązania połączenia...

Ustawa nakłada także obowiązek informacyjny. Art. 20 mowi:
1. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany
zapewnić usługobiorcy dostęp do aktualnej informacji o:
1) możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo
lub z wykorzystaniem pseudonimu, o ile są spełnione warunki określone
w art. 22 ust. 2,
2) udostępnianych przez usługodawcę środkach technicznych zapobiegających
pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych
przesyłanych drogą elektroniczną,
3) podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym
terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem
umowę o powierzenie do przetwarzania danych, o których mowa w art. 18
ust. 1, 2, 4 i 5.
2. Informacje, o których mowa w ust. 1, powinny być dla usługobiorcy stale i łatwo
dostępne za pomocą systemu teleinformatycznego, którym się posługuje.
Czyli na stronie winien być umieszczony regulamin, oraz informacje oz zasstosowanych zbezpieczeniach... ale czy jest to do końca bezpieczne? I w jakim stopniu należy te dane podać? :)

Dość ciekawy jest zapis z art. 19 ust. 3
3. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy
nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów
technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że
zażądał on szczegółowych informacji w tym zakresie.
Czy to znaczy, że firmy telefonicznie podają bilingi do rachunków bezprawnie? ;)

Polecam do poduszki. :)

11 dni do...

... do wielkiego dnia, a na stronach p. prezydenta żadnej informacji o podpisaniu nowelizacji ustawy. Czyżby zaomniał?
A tym czasem od 4 lipca na strona ZUSu pojawiła się nowa wersja Płatnika. Link

Information Security Officer :)

Szukałem angielskiego odpowiednika dla naszego ABI i google wypluło mi taka stronkę:
http://www.kbw.com.pl/download/Nr19_2007.pdf

Ciekawy artykuł o powierzeniu przetważania danych i w dodatku z angielskim tłumaczeniem. Szkoda, że kancelaria już nie wydaje biuletynu.

BMW są testowane w policji :)

Wszyscy narzekają na kryzys i na problemy. Jakoś nikt nie porównuje do tego, jak wyglądaliśmy na tle krajów zachodnich kilka lat temu. Kidyś pralkę kupowało się na całe życie i kosztowała kolosalne pieniądze - dziś nie było chętnych na nasza 6 letnia pralkę (chciałem oddać za darmo).

Jest coraz lepiej:
http://moto.money.pl/go/41__Polska_policja_testuje_BMW__275167450.html
Polska policja testuje BMW - piraci miejcie się na baczności. :)

Klauzula w rekrutacji cz.2 - dane osobowe w kodeksie pracy

http://nomadowyblog.blogspot.com/2008/06/klauzula-w-rekrutacji.html - wpis podstawowy.

Będąc młodą lekarką/dziennikarką :) nie dogrzebałem się jeszcze do kodeksu pracy. Dzięki komentarzowi Jarka,okazało się, że muszę.
Jak wygląda przetwarzania danych osobowych z punktu widzenia kodeksu pracy?
Zakres danych reguluje art. 22.1 w brzmieniu:
§ 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania
danych osobowych obejmujących:
1) imię (imiona) i nazwisko,
2) imiona rodziców,
3) datę urodzenia,
4) miejsce zamieszkania (adres do korespondencji),
5) wykształcenie,
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:
1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy,
2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
§ 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 2.
§ 4. Pracodawca może żądać podania innych danych osobowych niż określone w § 1 i 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
§ 5. W zakresie nie uregulowanym w § 1-4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.

Czyli temat przetwarzania danych kandydata przez frmę zatrudniającą mamy z głowy. :)

Odcisk palca w kontroli dostępu

Jako dziecię rocznika '75 dorastałem na hamerykańskich filmach :) W czasach kiedy Polsce było dość szaro i atechnicznie, na filmach było kolorowo i bardzo technicznie. Pracownicy wchodzili do biur po otwarciu drzwi specjalna kartą i wpisaniu kodu, a do miejsc szczególnie ważnych można był się dostać dopiero po odciśnięciu palca na specjalnym czytniku. Pamiętam, że piornujące wrażenie zrobiła na mnie scena, kiedy do pomieszczenia z superkomputerem można było wejść dopiero, kiedy dwóch superadministratorów odcisnęło swoje kciuki jednocześnie. W dodatku przeskanowana została tęczówka/siatkówka obu panów. W tym momencie podjąłem decyzję, że zostanę informatykiem:) Fantastyka i czad :)
W roku 2008 nie jest to już czad :), ale fantastyka jak najbardziej. Mimo, że mamy już urządzenia, które pozwalają to, w polskich firmach nie powinniście zobaczyć momentu, kiedy to pracownik bedzie uwierzytelniał się na podstawie odcisku palca.
Dlaczego? Odpowiedź jest tu: link. Tak szczerze mówiąc nie mogłem w internecie (i na stronach GIODO) znaleźć oryginału tego orzeczenia. Natomiast znazłem wypowiedź na ten temat: link
Jak działa system?
Żeby stwierdzić, że odcisk jest odciskiem, który upoważnia nas do wstępu do pomieszczenia, należy najpierw zostawić swój wzorzec, to znaczy odcisnąć swój paluch w obecności strażnika. No i tym momencie rozpoczyna się przetwarzanie danych osobowych. Dalej, wzorzec ten (w zależności od wybranego modelu, skan linii papilarnych, lub opis charakterystycznych punktów) ląduje w miejscu składownia (serwer, dedykowane urządzenie sieciowe). W momencie odciśnięcia palca - linie papilarne porównywane są ze wzorcem i na podstawie tego "podejmowana" jest decyzja o otwarciu drzwi i rejestracja czasu.
Nie będę opisywał samego artykułu, ale opinia GIODO powoduje, że wiele firm może mieć kłopoty.
Konkretny wypadek odnosi się do rejestracji czasu pracy, ale skoro zakazane jest zbieranie danyh, to co z laptopami identyfikującymi użytkownika na podstawie odcisku palca?

W BOŚu podpis za darmo

Informacja trochę spóźniona, ale jeszcze aktualna.
Zgodnie z informacjami na stronie Banku Ochrony Środowiska, klienci korporacyjni i z sektora finansów publicznych mogą otrzymać podpis kwalifikowany na rok za 0PLN - promocja do końca lipca. Link
BOŚ jest przedstawicielem KIR w zakresie dystrybucji pakietów do podpisu elektronicznego. Link

Czyżby nasi sprzedawcy podpisu kwalifikowanego zorientowali się, że nie będzie kasy tak od razu i zaczęli wyłapywanie duszyczek?

Przewaga systemów centralnych nad wyspowymi

Dość często, podczas wprowadzania rozwiązań w środowskach które są dość rozproszone geograficznie, pada pytanie - czy lepiej inwestować w WAN (nawet na VPNach) i stawiac systemy zarządzane centralnie, czy lepiej wdrożyć mniejszym kosztem systemy lokalne i zrzucić zarządzania nimi na lokalnych informatyków.
Odpowiedź jest tylko jedna - systemy centralnie zarządzane. Mimo kosztów związanych z utrzymaniem łącz i możliwością przerw w pracy z powodu awarii lub zmniejszenia komfortu pracy.
Dlaczego?
Prosty przykład: potrzeba dokonania zmian w ustawieniach programu przez informatyków lokalnych, a potem podesłanie wyników na odpowiedni adres. Czas na wykonanie ponad 2 tygodnie.
Skutek?
3 dni po terminie ponad 40% danych nie przyszło. :) Ludzie zapomnieli, poszli na urlop, zmienili w międzyczasie stanowiska i funkcje, nie scedowali zadania.
Koszmar.

ABI w jednostce muzealnej

Od dzisiaj zacząłem pracę jako ABI w muzeum.
Wcześniej walczyłem tam na polu administracji sieci LAN i tworzenia WANu. Dało mi to możliwość poznania dość dobrze specyfiki muzeum.
No to zaczynamy. :)
Mam nadzieję, że na podstawie doświadczeń powstanie dobre case study.