Wpadki działów HR, czyli jak w korporacjach wyciekają dane o pensjach

dodał 22 lutego 2015 o 20:35 w kategorii Wpadki  z tagami:
Wpadki działów HR, czyli jak w korporacjach wyciekają dane o pensjach

W polskiej tradycji i kulturze korporacyjnej zarobki poszczególnych pracowników są najczęściej wielką tajemnicą. Mimo tego co jakiś czas każda firma przeżywa na mniejszą lub większą skalę wyciek tych informacji. Jak do nich dochodzi?

W branży znanych jest wiele anegdot o różnych wpadkach, ale te o wyciekach informacji płacowych budzą najczęściej najwięcej emocji. Większość pracowników korporacji jest żywo zainteresowana wysokością pensji swoich kolegów i koleżanek oraz przełożonych. Informacje te, choć oficjalnie mocno chronione, czasem znajdują drogę ujścia w najmniej spodziewany sposób. Wszystkie opisane poniżej przykłady miały miejsce w ostatnich latach w polskich firmach. Niektóre szczegóły mogły zostać zmodyfikowane by ukryć tożsamość naszych informatorów oraz poszkodowanych firm.

Losowy Excel z Google bo ze zrozumiałych względów nie możemy pokazać Wam danych o których piszemy

Losowy Excel z Google bo ze zrozumiałych względów nie możemy pokazać Wam danych o których piszemy

Ukryta zakładka nie do końca ukryta

Duża korporacja lat temu kilka. Zbliża się czas naliczenia corocznej symbolicznej podwyżki. Zwyczajowo przełożeni otrzymują od działu HR plik XLS z danymi swoich pracowników oraz pulą środków do rozdysponowania. Wszyscy czekają na wiadomość, bo wysokość podwyżki stanowi ważny temat rozmów już od tygodni. Dział HR ciężko pracuje po godzinach. Około 20 w końcu nadchodzą wiadomości. Każdy przełożony otrzymuje w załączniku plik, w którym powinny być tylko dane o wynagrodzeniu jego podwładnych.

Następnego dnia o 8:30 do działu IT dzwoni spanikowany dział HR. Okazuje się, że jeden z kierowników właśnie poinformował, że w wysłanym pliku znajduje się pełna lista płac całej firmy. Jest co prawda w ukrytej zakładce, ale… Są to czasy, kiedy wszyscy ważniejsi pracownicy zostali już wyposażeni w cudowne BlackBerry, które potrafi otwierać pliki XLS. Kawał polega na tym, że BlackBerry ignoruje atrybut „ukryty” dla zakładek w Excelu i po otwarciu dokumentu wyświetla domyślnie pierwszą zakładkę bez względu na to, czy jest ukryta, czy nie.

Dane zindywidualizowane były w drugiej zakładce, w pierwszej, ukrytej, była lista płac. Po godzinach pracy większość pracowników otwierała wiadomość na BlackBerry. Dopiero rano pierwszy życzliwy doniósł o wpadce. Dział IT przez następne kilka godzin pieczołowicie kasował plik z każdego komputera i urządzenia przenośnego. Działu HR nigdy nie zainteresowało, czemu plik Excela z 4 wierszami ma ponad 200 KB.

Osadzony wykres, a w zasadzie cały XLS

Rzecz dzieje się w średniej firmie w zeszłym roku. Na spotkaniu dla wszystkich pracowników prezentowane są wyniki firmy. Swój kawałek prezentacji ma także dział HR. Na ładnym slajdzie widać słupki zatrudnienia, budżetów itp. Po niezwykle ciekawej prezentacji jakiś nad wyraz wnikliwy pracownik zagląda do pliku, który został rozesłany do wszystkich uczestników. Klika na slajd z wykresami HR i oczom jego ukazuje się pełny plik XLS.

Dział HR osadzając w prezentacji wykresy, zamiast je skopiować i wkleić do slajdu, osadził w dokumencie PPT cały plik XLS. Na pierwszej zakładce widocznej w trakcie prezentacji były ładnie rozłożone wykresy, a na kolejnych zakładkach wszystkie dane źródłowe, w tym szczegółowa lista płac całej firmy wraz z premiami zarządu, który w trakcie prezentacji opowiadał, jak to firma przynosi straty i ledwo wiąże koniec z końcem.

Inne przypadki

Na zakończenie jeszcze garść krótszych historyjek:

  • folder sieciowy z danymi Płatnika i pełnymi uprawnieniami dla każdego – po zaimportowaniu do programu można było ze składek ekstrapolować wynagrodzenia całej korporacji
  • kopia pełnego folderu działu HR w dostępnym publicznie folderze sieciowym tmp (pracownice działu „tylko przerzucały sobie z jednego komputera na drugi i zapomniały skasować”)
  • kopia przyszłorocznego budżetu HR uwzględniająca planowane zwolnienia wysłana pocztą elektroniczną na nie ten adres co trzeba
  • i oczywiście niezliczone listy płac znalezione na drukarkach, kserach, kuchennych stołach i nieposprzątanych biurkach…

Czy da się temu zjawisku zapobiec? Nie, ten artykuł nie jest reklamą szkolenia ani produktów z półki DLP. Prawda jest taka, że żadne rozwiązanie nie wyeliminuje do końca ryzyka zlokalizowanego między krzesłem a klawiaturą. Z kolei szkolenia mogą jedynie zmniejszyć skalę problemu, ale na pewno go nie wyeliminują. Rozwiązaniem może być ujawnienie płac – ale na to nasza kultura korporacyjna jest chyba jeszcze za mało dojrzała.

Znacie podobne historie jak te opisane powyżej? Czekamy na nie, kolejny odcinek anegdot z życia bezpiecznika sam się nie napisze.