Jak jsme dokázali ztratit hotový byznys

Nějakou dobu jsem přemýšlel, o čem napsat další článek. Nechce se mi začínat s novými technickými tématy, když stále ladíme honeypot, o kterém jsem psal minule (Honeypot: efektivní a levný způsob detekce útoků v LAN).

Vsuvka: O víkendu jsem byl „sjíždět“ Sázavu s ESETem. Uvozovky jsou zde proto, že bych těch pár kilometrů, co jsme ujeli, sjížděním nenazval. A navíc za mě celou cestu odpádloval společník 😊. Byla to bezva akce komorní velikosti, kde jsme poznali další šikovné lidi, co se pohybují v IT. Z našich debat jsme zjistili, že co se týče výkonového měření/diagnostikování serverů (CPU, RAM, sběrnice, disky, síť), tak máme u nás poměrně dost zkušeností. Rád bych se o ně v dalších článcích podělil (pokud by vás to zajímalo, nechte mi na sebe dole ve formuláři e-mail – jak článek vyjde, dostanete echo [již začaly vycházet Proč je server pomalý: přechodné problémy]).

Nicméně dnes bych se s vámi pro odlehčení rád podělil o jeden náš fail. Věřím, že jsme se z něj poučili a už se nám znovu nestane 😊.

Příběh ze života

Před roky si jeden pán koupil novou firmu. Jelikož nás znal a důvěřoval nám, chtěl, abychom ji po IT stránce prověřili. My měli radost, protože to byla poměrně velká firma a ještě domluvený byznys. Stačilo to jenom nepo**at…

Do firmy jsme vtrhli jak banda kovbojů a jali se auditovat tehdejší stav IT. Stav (z našeho pohledu) nebyl dobrý. Vše se jen lepilo nebo šilo horkou jehlou. Úspěch byl, že fungovaly alespoň základní systémy (informační systém, sdílená data a internet).

Vsuvka: Vždy když vidím firmu v takovém stavu, tak nechápu, že ještě nedošlo k žádné větší havárii (ztrátě dat, úniku dat nebo několikadennímu výpadku). Nevím, jak jim argumentovat, že je s tím potřeba něco udělat. Na vše vždy reagují, že takto už to mají X let a žádný problém ještě neměli.

Vypracovali jsme report a konfrontovali jsme interního IT administrátora. Tím jsme v něm však jen spustili obranou reakci a postavili jsme si jej proti sobě. Před vedením to pak bylo slovo proti slovu. My říkali, „vše je špatně“. On zase, že žádný problém není.

Stav IT dále konzultovali s novým generálním ředitelem. Jeho hlavním úkolem však bylo zlepšit stav firmy (hlavně po ekonomické stránce). No a my po něm tvrdohlavě chtěli poměrně velké investice hned ze začátku. Říkali jsme: „Buď všechno nebo nic.“ Nechtěli jsme dělat věci jen napůl.

Vsuvka: Chceme svou práci dělat buď pořádně, nebo vůbec. Ceníme si našeho dobrého jména. Nechceme, aby se někde něco pokazilo, protože je to jen napůl, poškodilo by nám to jméno (chceme naši firmu budovat dlouhodobě).

Nakonec jsme tu zakázku nedostali a získala ji jiná firma. Osobně to beru jako neúspěch, protože na začátku jsme měli doporučení od majitele a takové zakázky se neprohrávají.

Určitě někdo může namítnout, že majitel má větší slovo než vedení. On však do řízení firmy nezasahuje. Prosazuje totiž, aby vedení mělo jak kompetence, tak i zodpovědnost. Těžko by je mohl za něco kárat, když by jim do vedení zasahoval.

Kde se stala chyba

Myslím, že jsme tehdy podcenili politický přístup a neměli jsme dostatek empatie. Dostali jsme zadání vypracovat audit IT. A ve snaze udělat audit pořádně jsme byli příliš tvrdí a ultimátní.

Myslím, že tenhle přístup v nás byl z minulosti. S Martinem (společníkem) jsme oba začínali podnikat, protože nás IT bavilo. Chtěli jsme dělat věci pořádně. Oba jsme byli hlavně technici, ne obchodníci. A tak jsme i k věcem přistupovali. Buď byly udělány dobře, nebo špatně.

Nyní už chápu, že ne každý věnuje veškerý svůj čas rozvíjení se v IT. Někteří správci se k tomu dostanou ani neví jak (firmě chybí IT, tak tím pověří kolegu, který tomu rozumí nejvíce), jiní mají rodiny a nemají čas po práci studovat, co je v IT nového (já v tom sedím od rána do večera a stejně mám pocit, že toho víc neumím, než umím), nebo mají od vedení příliš omezené investice (naštěstí se dá dost věcí udělat i bez investic, když někdo poradí jak).

Management má zase na starost veškerou agendu firmy a ta se neskládá jenom z IT oddělení. Problémů je často víc a každý o tom svém tvrdí, že právě ten je nejdůležitější 😊.

Jak jsme se z toho poučili

Do budoucna chceme častěji spolupracovat s firmami, které mají své interní IT (viz „opora pro interní IT“ na našich firemních stránkách). Myslíme si, že dohromady totiž dokážeme IT dělat lépe než každý zvlášť.

  • Interní IT zná skvěle potřeby firmy, informační systémy a je uživatelům nejblíže.
  • My zase dobře ovládáme serverové věci, pokročile věci na sítích, bezpečnost a monitoring infrastruktury. Řešíme to totiž každý den pro desítky firem, tak máme přehled: co s čím a jak nejlépe funguje.

Uvědomili jsme si, že jestli to má fungovat, musíme se vůči internímu IT více otevřít. Musíme jim dokázat, že tu nejsme od toho, abychom je nahradili. To vůbec není naším cílem. Naopak. Bez nich by správa IT tak dobře nefungovala, nemáme na to dostatek pracovní kapacity, ale hlavně to ani nechceme udělat. Proto jsme u nás začali dělat změny:

  • V dubnu jsme na naše interní školení/přednášku pozvali i naše partnery od zákazníků (obsah jsem sepsal zde „Jak za pár sekund hacknout počítač aneb útok s Bash Bunny a Packet Squirrel“).
  • Všem jsme nasdíleli naše systémy (monitorovací systém, ESET Remote Administrator, Unifi Controller).
  • Nyní pracujeme na přístupu do našeho informačního systému, kde je další funkcionalita (síťové skeny, autoruns skeny, reporty o souladu zařízení s očekáváním a přístup k veškeré vykázané práci).
  • Všechny partnery k nám zveme na návštěvu, aby měli možnost se vzájemně poznat s kolegy, kteří jim pomáhají. U nás je také zaškolíme do výše uvedených systémů (vysvětlíme, co se kde dá vidět, k čemu co slouží a jak se s tím dá ušetřit práce).
  • Do budoucna bychom chtěli dělat 1x až 2x ročně společnou přednášku. Kde bychom:
    • Předali další část našeho know-how (nebo jiné téma, o které budou mít zájem).
    • Probrali nějaké aktuální téma a novinky za uplynulý půlrok (profiltrujeme za ně informace a předáme jim to důležité, aby byli v obraze a ušetřili čas).
    • Společně prodiskutovali, co a jak se daří, vyměnili si zkušenosti, partneři by se poznali mezi sebou a poradili bychom se, jakým směrem rozvíjet naše systémy.

Závěr

Nikdy to asi nebude tak, že by každá zakázka vyšla. Avšak určitě je škoda (z lidského i obchodního hlediska), když by na konci zůstaly negativní emoce. Budu moc rád, když mi napíšete, jak se na věc koukáte vy, co si o naší příhodě myslíte a zda se vám stalo něco podobného.

Přeji vám, ať máte klidný pracovní týden.

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Diskuze k článku

David Křeska

23. 07. 2018 v 12:19

Zdravím, díky za článek. Občas to není jednoduché, ale (bohužel) většinou platí, že o bezpečnost se firma začne zajímat až po prvním prů*eru. 🙂 Na druhou stranu vidíme stoupající trend IT administrátorů, kteří si bezpečnost začínají uvědomovat a potřebují někoho, kdo jim s tím poradí.

Odpovědět

Odpovědět

Martin Haller

23. 07. 2018 v 15:32

Jj, souhlasím s Vámi. Taky pozorujeme zlepšení. IT správci se více zajímají o zabezpečení a jak dělat věci správně.

Zákazníci, co už za sebou nějaký ten bezpečnostní incident mají, nám však budou chybět. Nebylo jim už potřeba vysvětlovat co se může stát, když se budou věci zanedbávat. (myšleno s nadsázkou, nikomu nic zlého nepřejeme)

Odpovědět

Odpovědět

Petr Tichý

25. 07. 2018 v 08:27

Zdravím,
troufám si říct, že vody rozhýbali údálosti posledního roku s ransomwarem a příchod GDPR. Některé firmy jsou pak překvapený, jaké vlastně měli doteď štěstí.

Odpovědět

Odpovědět

Martin Haller

25. 07. 2018 v 14:37

Ten ransomware u nás taky zafungoval, zákazníci tomu teď více věří. GDPR bych nám zase tolik změn neudělalo.

Odpovědět

Odpovědět

Adam Balko

29. 08. 2018 v 12:25

Většinou to funguje opravdu až po prvním průseru. Každopádně znám i, dnes už bývalého, zákazníka, kde i průser nic nezměnil a prostě se ty koruny šetřily 😉

Odpovědět

Odpovědět

Martin Haller

29. 08. 2018 v 13:48

Adame, díky za komentář. Zrovna včera jsem četl super příběh o NotPetya a jak to postihla Maersk. Ty se z toho zrovna poučili :).

Odpovědět

Odpovědět

Pavel Havránek

14. 05. 2019 v 10:59

Příběh jako je tento jsem zažil mnohokrát! 😀 Sice nedovedu posoudit jak moc návrh řešení byl ultimátní, nenasadil do lokálního ITýka zbytečně velkou psí hlavu, zda nešel třeba rozfázovat, zajistit externí financování investice či pronájem (aby se GŘ tak nevyděsil investiční šlupky a nabourání CF). Nicméně – pokud zákazník není ochoten akceptovat alespoň základní kvalitativní standardy a méně schopný ITýk má důvěru vedení, je nejlepší se na to vykašlat s odkazem na profesionální pověst … A počkat si, průběžně se připomínat že žiju … a on časem uzraje. Jeden z mých podobných případů uzrál sice až za 8 let marného boje s interním ITýkem, nicméně nic netrvá věčně, žába na IT prameni byla vynesena z rybníka … a zákazník od té doby otočil desítky M.

Odpovědět

Odpovědět

Martin Haller

14. 05. 2019 v 13:05

Návrh byl až ultimátně ultimátní :D. Přistoupili jsme k tomu tehdy vážně špatně. Na konci zůstaly negativní emoce. V podstatě jsme si zničili i možnost budoucí spolupráce. Věřím, že teď bychom to uchopili lépe, s větším odstupem a kooperativně, než direktivně.

Na druhou stranu, právě tohle zkušenost nám pomohla ke změně :).

Co se týče postupné realizace, tak mívám strach, že se na začátku něco domluví. S první fází se začne, ale další fáze už se nezrealizují. Nám pak zůstane v rukou nestandardizované prostředí, které se špatně spravuje – vzniká více konfiguračních chyb a stojí to více peněz na správu :-/.

Odpovědět

Odpovědět

Matesovic

12. 12. 2019 v 14:08

Dobré odpoledne,

mám taky různé příběhy a když se nad tím zamyslím, tak to je vždy o taktice. Já až takovou zkušenost nemám, že bych si někde zabouchl dveře, ale z předešlého zaměstnání jsem byl svědkem, kde si vedení představovalo, že upgrade Oracle ERP systému (DB, App vrstva) je o vložení instalačního CD do serveru a spuštění instalačního procesu a dopadlo to s dodavatelem IT služby hodně podobně. Mám asi tu výhodu, že ve svém profesním životě jsem stál jak na straně interního IT, tak na straně externího IT dodavatele služeb. To mi asi dalo hodně co do taktiky, způsobu vyjednávání, atp….anebo mám hold jen štěstí 🙂
Nicméně je pravda, že získat si důvěru je těžké, ale ztratit ji to může být i o jednom nepovedeném businessu. Ale zase, co vás nezabije, to vás posílí…a jak vnímám vaší filozofii firmy, tak jste se z toho patřičně ponaučili a teď už jste chytřejší.

Tak přeji jen ty úspěšné businessy.

Martin.

Odpovědět

Odpovědět

Martin Haller

13. 12. 2019 v 16:05

Jj, také doufám že nás to posunulo vpřed a poučili jsme se :).

Úspěšný byznys i Vám,
Martin

Odpovědět

Odpovědět

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Hack The Box OSCP MCSE CHFI ECSA CCNP CCNA