Do byłego pracownika SOC - nie traktuj poniższej wypowiedzi jako atak. Raczej punkt widzenia szarego obywatela i inżyniera bezpieczeństwa w równie szarej korporacji :)
Zatrudniłeś się w instytucji zaufania społecznego.Cyber to nie tylko wyrafinowane ataki na duże firmy, ale właśnie przede wszystkim "maluczcy" którym dostaje się za wycieki i słabe/wadliwe zabeczpienia różnych usługodawców, z których nie zdają sobie sprawy.
Nie aplikowałem do Was, bo nie mieszkam w Warszawie. Nie posiadałem mocnych kwalifikacji, i wątpiłem czy stawka wyrównałaby koszty przeprowadzki i życia w stolicy. Niemniej wydawało mi się fascynujące, że można zanurkować w morzu wszelkich incydentów jakie zdarzają się w Polsce.
Z doświadczenia przed laty w infolinii w pewnej ...ważnej i stresującej branży (i nie był to telekom czy bankowość :p) zbyt dobrze wiem, jak banalne zgłoszenie po bliższym przyjrzeniu mogą się okazać wcale nie banalne :P A życiowe dramaty zwykłą próbą wymigania się od własnej odpowiedzialności czy naciągactwem. Wiem też zbyt dobrze, jak psychicznie odbija się bycie na pierwszej uderzenia... i jak bardzo to nie obchodzi nikogo już pół drabiny wyżej (aczkolwiek nie spodziewałbym się tego po CERT- wprost na odwrót...) .
Z tamtą pracą nie wiązałem żadnej przyszłości, czego nie mogę powiedzieć o cyber. W tej pracy chętnie pisałbym się na to wszystko, właśnie po to żeby poznać jak najwięcej wektorów ataku i obserwacji zachowań użytkowników polskiego Internetu.
W mojej pracy nikt mi nie wydziela i nie wylicza godzin "na rozwój".
Poświęcam na to cały swój wolny czas, bo chcę i lubię.
Praca zawsze będzie tylko i aż pracą. Firma to nie uczelnia, która odpowiada przede wszystkim za to żeby spełnić wszystkie ramy kształcenia i wypuścić absolwenta prezentującego kompletną wiedzę. Firma chce pracowników którzy będą wykonywali zadania dla których ich zatrudniono, i niekoniecznie zatrudnia się ich z zamysłem przesuwania wyżej - bo po co, skoro karuzela się kręci? Jeżeli ktoś świetnie odwala brudną robotę za kilka osób, tak jak Twoi koledzy, tym bardziej ma w interesie trzymać ich tam jak najdłużej. To okrutne, ale tak jest w wielu miejscach, łącznie z moim obecnym.
Też utknąłem jako "dobry samarytanin". Trzymam się w pionie tylko dzięki własnej samodyscyplinie, żeby na własną rękę coś tam sobie działać i nie zapominać, po co w ogóle dołączyłem do imprezy :) Wierzę, że kiedyś w końcu to zapunktuje, ale też wypracowałem sobie dzięki temu cierpliwość i pokorę - co uważam za podarunek, obserwując ludzi pierwszych do przypisywania sobie zasług, a ostatnich do działania.
Wracając do meritum.
Kiedyś ktoś przejął dostęp do mojego konta w pewnej usłudze, o którym dawno zapomniałem (w czasach w którym jeszcze było cicho o MFA). Zaczął dokonywać w moim imieniu transakcji w egzotycznych walutach. Zorientowałem się o tym, z opóźnieniem czytając powiadomienia na poczcie. Zalogować się oczywiście nie dało, atakujący zdążył też przejąć inną usługę.
Wpadłem w panikę, i gwarantuję Ci - wszystko wydaje się proste i banalne, dopóki nie pada na Ciebie samego. Napisałem szczegółowy raport ze screenami.
Duży i znany usługodawca postanowił ukryć prawidłowy adres do kontaktu najlepiej jak to możliwe.
Pierwsze dni straciłem na byciu zlewanym. Dla infolinii właściciel do konta to tylko osoba która w danej chwili ma do niego dostęp :) Natomiast na swój raport pisemny dostałem standardową zwrotkę o nie klikaniu w linki w podejrzanych wiadomościach.
Wysłałem więc raport do CERT z prośbą o wskazówkę, co zrobić, jeżeli sam usługodawca nie jest zainteresowany lewymi transakcjami.
Po minucie odesłaliście ... zwrotkę o nie klikaniu w linki.
Ok, jak ochłonąłem to zrozumiałem że i tak wiele byście nie zdziałali.
Niemniemniej, po opisie CERT spodziewałem się CZEGOKOLWIEK.
Na podstawie jednego słowa kluczowego "powiadomienie" wrzucono zgłoszenie o przejęciu konta do próby phishingu (usługodawca nawet poszedł dalej - własne powiadomienia o aktywności na koncie z nowego egzotycznego adresu zaklasyfikował na początku jako spam reklamowy :) ).
W tym "spamie od obywateli" na którym nie mogłeś rozwijać swoich technicznych umiejętności, jestem pewny - jest mnóstwo prawdziwych problemów.
Dzięki waszym zwrotkom jest dużo ludzi, którzy zdali sobie sprawę, że pomimo wielkiego szumu wokół cyber i dumnych rządowych projektów, w czarnej godzinie system nie działa.
Zakładam, że to kwestia braku zasobów, i jednak przeważająca liczba wiadomości to fałszywe pozytywne. Co przy ograniczonej wielkości zespołu szybko prowadzi do wypalenia i zmniejszenia czujności.
Czy państwówka, czy globalne korpo... Ostatnie w co chce się pakować fundusze i siły to zawsze ta (kluczowa) pierwsza linia.
Życzę powodzenia w nowym miejscu. Zarazem też dziękuję za odwagę i opublikowanie szczegółowej opinii. Miałem ewidentnie zbyt idealistyczne wyobrażenie.