22.02.2015 | 20:35

Adam Haertle

Wpadki działów HR, czyli jak w korporacjach wyciekają dane o pensjach

W polskiej tradycji i kulturze korporacyjnej zarobki poszczególnych pracowników są najczęściej wielką tajemnicą. Mimo tego co jakiś czas każda firma przeżywa na mniejszą lub większą skalę wyciek tych informacji. Jak do nich dochodzi?

W branży znanych jest wiele anegdot o różnych wpadkach, ale te o wyciekach informacji płacowych budzą najczęściej najwięcej emocji. Większość pracowników korporacji jest żywo zainteresowana wysokością pensji swoich kolegów i koleżanek oraz przełożonych. Informacje te, choć oficjalnie mocno chronione, czasem znajdują drogę ujścia w najmniej spodziewany sposób. Wszystkie opisane poniżej przykłady miały miejsce w ostatnich latach w polskich firmach. Niektóre szczegóły mogły zostać zmodyfikowane by ukryć tożsamość naszych informatorów oraz poszkodowanych firm.

Losowy Excel z Google bo ze zrozumiałych względów nie możemy pokazać Wam danych o których piszemy

Losowy Excel z Google bo ze zrozumiałych względów nie możemy pokazać Wam danych o których piszemy

Ukryta zakładka nie do końca ukryta

Duża korporacja lat temu kilka. Zbliża się czas naliczenia corocznej symbolicznej podwyżki. Zwyczajowo przełożeni otrzymują od działu HR plik XLS z danymi swoich pracowników oraz pulą środków do rozdysponowania. Wszyscy czekają na wiadomość, bo wysokość podwyżki stanowi ważny temat rozmów już od tygodni. Dział HR ciężko pracuje po godzinach. Około 20 w końcu nadchodzą wiadomości. Każdy przełożony otrzymuje w załączniku plik, w którym powinny być tylko dane o wynagrodzeniu jego podwładnych.

Następnego dnia o 8:30 do działu IT dzwoni spanikowany dział HR. Okazuje się, że jeden z kierowników właśnie poinformował, że w wysłanym pliku znajduje się pełna lista płac całej firmy. Jest co prawda w ukrytej zakładce, ale… Są to czasy, kiedy wszyscy ważniejsi pracownicy zostali już wyposażeni w cudowne BlackBerry, które potrafi otwierać pliki XLS. Kawał polega na tym, że BlackBerry ignoruje atrybut „ukryty” dla zakładek w Excelu i po otwarciu dokumentu wyświetla domyślnie pierwszą zakładkę bez względu na to, czy jest ukryta, czy nie.

Dane zindywidualizowane były w drugiej zakładce, w pierwszej, ukrytej, była lista płac. Po godzinach pracy większość pracowników otwierała wiadomość na BlackBerry. Dopiero rano pierwszy życzliwy doniósł o wpadce. Dział IT przez następne kilka godzin pieczołowicie kasował plik z każdego komputera i urządzenia przenośnego. Działu HR nigdy nie zainteresowało, czemu plik Excela z 4 wierszami ma ponad 200 KB.

Osadzony wykres, a w zasadzie cały XLS

Rzecz dzieje się w średniej firmie w zeszłym roku. Na spotkaniu dla wszystkich pracowników prezentowane są wyniki firmy. Swój kawałek prezentacji ma także dział HR. Na ładnym slajdzie widać słupki zatrudnienia, budżetów itp. Po niezwykle ciekawej prezentacji jakiś nad wyraz wnikliwy pracownik zagląda do pliku, który został rozesłany do wszystkich uczestników. Klika na slajd z wykresami HR i oczom jego ukazuje się pełny plik XLS.

Dział HR osadzając w prezentacji wykresy, zamiast je skopiować i wkleić do slajdu, osadził w dokumencie PPT cały plik XLS. Na pierwszej zakładce widocznej w trakcie prezentacji były ładnie rozłożone wykresy, a na kolejnych zakładkach wszystkie dane źródłowe, w tym szczegółowa lista płac całej firmy wraz z premiami zarządu, który w trakcie prezentacji opowiadał, jak to firma przynosi straty i ledwo wiąże koniec z końcem.

Inne przypadki

Na zakończenie jeszcze garść krótszych historyjek:

  • folder sieciowy z danymi Płatnika i pełnymi uprawnieniami dla każdego – po zaimportowaniu do programu można było ze składek ekstrapolować wynagrodzenia całej korporacji
  • kopia pełnego folderu działu HR w dostępnym publicznie folderze sieciowym tmp (pracownice działu „tylko przerzucały sobie z jednego komputera na drugi i zapomniały skasować”)
  • kopia przyszłorocznego budżetu HR uwzględniająca planowane zwolnienia wysłana pocztą elektroniczną na nie ten adres co trzeba
  • i oczywiście niezliczone listy płac znalezione na drukarkach, kserach, kuchennych stołach i nieposprzątanych biurkach…

Czy da się temu zjawisku zapobiec? Nie, ten artykuł nie jest reklamą szkolenia ani produktów z półki DLP. Prawda jest taka, że żadne rozwiązanie nie wyeliminuje do końca ryzyka zlokalizowanego między krzesłem a klawiaturą. Z kolei szkolenia mogą jedynie zmniejszyć skalę problemu, ale na pewno go nie wyeliminują. Rozwiązaniem może być ujawnienie płac – ale na to nasza kultura korporacyjna jest chyba jeszcze za mało dojrzała.

Znacie podobne historie jak te opisane powyżej? Czekamy na nie, kolejny odcinek anegdot z życia bezpiecznika sam się nie napisze.

Powrót

Komentarze

  • 2015.02.22 20:51 Anonim :)

    Przysłany mail na helpdesk od pani z kadr – „Bo nie mogę wysłać PITu, bo błąd”.
    Załączony screen, oczywiście z błędem… I gotowym do wysyłki PITem członka zarządu – oczywiście wszystkie pola z dochodami były odkryte…

    Odpowiedz
  • 2015.02.22 20:58 InfoSecOne

    Vobis, 2002 – do kierownika salonu przychodzi mailem plik xls. Kierownik sprawdza wyplate 'na salon’ kalkuluje darowizne dla pieciu pracownikow i dla siebie oraz posyła nowy plik xls do pracownikow salonu. Plik (z maila wraz z xls) kasuje i czysci kosz.

    Nastepnego dnia przegladajac ten sam komputer natknelismy sie na ciekawy plik xls w folderze c:\…\AppData\Local\Microsoft\Windows\Temporary Internet Files

    Wyglada na to ze kierownik salonu dzieli wyplate wedlug schmatu: Calosc/2.
    Poł dla mnie, poł dla 'nich’… czyli drugie 50% dzielimy na piec.

    Od tego czasu bardziej interesuje sie Security i Forensics… ;) W Polsce tez juz nie mieszkam :D

    Odpowiedz
  • 2015.02.22 21:11 obserwator

    Duża korporacja (nomen omen zajmująca się IT). Wdrożony został nowy system, HRowy, w którym można sprawdzić praktycznie wszytkie informacje swoje i swoich podwładnych (o ile się owych ma). Każdy pracownik dostał indywidualne konto z loginem w foramcie pierwsza litera imienia i cale nazwisko. Hasło było takie samo jak nazwa użytkownika. Po pół godziny w kuchniach walały się wydrukowane payslip-y prezesa firmy :) Firma spora, pracowników kilka tysięcy. Spore zamieszanie i dużo awantur :)

    Odpowiedz
  • 2015.02.22 22:45 kez87

    „by ukryć tożsamość naszych informatorów oraz poszkodowanych firm.”
    Jak znowu „poszkodowanych” ? Niejawne pensje w Polsce istnieją w jednym celu.
    Żeby pracownik czasem się nie zorientował:
    1.Ile zarabiają jego koledzy / koleżanki wykonujący mniej pracy – albo tyle samo
    2.Ile mógłby zarabiać.
    Ja tam od komuchów z dala od dłuższego czasu,ale aż się chce zacytować słowa wiecznie żywego jak Elvis Włodzimierza Iljicza brzmiące „Kto kogo”.
    „a na kolejnych zakładkach wszystkie dane źródłowe, w tym szczegółowa lista płac całej firmy wraz z premiami zarządu, który w trakcie prezentacji opowiadał, jak to firma przynosi straty i ledwo wiąże koniec z końcem.” – w tym kontekście chyba nie może być najmniejszych wątpliwości „kto kogo” i kto tu jest „poszkodowany” :D

    Ja tam akurat od razu może nie przejąłbym się takim czymś specjalnie, gdybym był zatrudniony w takiej firmie mimo wszystko (zbyt długo bez pracy i zbyt małe doświadczenie,do tego zbyt ugodowy jestem i zbyt „introwertyczny”), ale wolałbym wiedzieć, na ile wyceniać swoją pracę np. przy jej zmianie,żeby nie dać sie wy…
    No i wiedza,że np. zarabia się najmniej w firmie,a robi sie najwięcej,więc całkiem sensowne jest domagać się podwyżki też jest CENNA.I nie ma w tym żadnej nieuczciwości.

    Odpowiedz
    • 2015.02.22 23:07 kez87

      Żeby nie było wątpliwości – cel jest jeden a aspekty są dwa,umiem liczyć ;)

      Odpowiedz
  • 2015.02.22 22:52 spuki

    2006 rok. Duża silnie międzynarodowa korporacja.
    Szkolenie z zakresu finansów. Pani z HR miała przygotować przykładowy plik jak rozliczać pracowników. Zamiast skroić przykładowego xls’a na szkolenie poszedł prawdziwy z poprzedniego roku.
    Oczywiście po wszystkim sprawa szybko „zamieciona pod dywan” – Lista, jaka lista, nie było żadnej listy a ziemia jest płaska i koniec.

    Przynajmniej dowiedziałem się o jakie widełki są na górze – niemałe ;)

    Odpowiedz
  • 2015.02.22 22:55 narm

    Pracuję w dużej korporacji korzystającej z firmowej książki adresowej do której jest wpisany każdy pracownik (z tej placówki, wszystkich w Polsce i na Świecie). Wystarczy więc wpisać imię lub nazwisko i przy odpowiednio małej ilości wyników program pocztowy sam podpowiada adres. Mam nazwisko identyczne jak pewna pani z działu finansowego, oraz imię zaczynające się na taką samą literę.
    Dostawałem już wielokrotnie Excelle z różnego rodzaju wycenami, listami kar itp.

    Odpowiedz
  • 2015.02.23 06:26 tomipnh

    W mojej firmie zajmującej się outsourcingiem it której dużo brakuje do bycia korporacją wszyscy korzystają z Optimy Comarchu. I wszyscy znają hasło do serwera SQL.

    Poszczególni ludzie mają poblokowane pewne rzeczy w koncie optimowym, ale jak ktoś potrafi z grubsza relacje porobić może dostać historie zarobków od 2003 roku :)

    Odpowiedz
  • 2015.02.23 07:45 maslan

    A w cywilizowanych krajach już w ogłoszeniu o pracę podają widełki, aby nie okazało się, że chodzę na interview a potem podają mi jakiś żenujący poziom wynagrodzenia. A po drugie po to, aby kolega o takim samym poziomie nie czuł się wyzyskiwany bo wynegocjował mniej.

    Ale u nas właśnie pensje są tajemnicą po to aby zyskiwać na frajerach, a co do interview – niektórzy mało asertywni się łapią na to że „no skoro już przeszedłem cały proces to się zgodzę”.

    Polecam się komunikować ze znajomymi o podobnych stanowiskach i wymieniać poziomem zarobków, to nie jest nic wstydliwego, potem wiadomo ile można oczekiwać od pracodawcy…

    Odpowiedz
  • 2015.02.23 09:16 Maciej

    Pozdro dla tomipnh:) Chyba obydwaj wiemy o ktora firme chodzi:) BRONTOK:D

    Odpowiedz
  • 2015.02.23 11:55 Stefan

    1. Przeczytaj artykuł
    2. Przejrzyj wszystkie lokalne NAS’y
    3. Poszukaj plików *wynag*
    4. Zobacz że twój kolega zarabia 1000 zł więcej
    5. Zorientuj się że dokument jest z 2009 roku
    6. …. Dziękuję Ci Zaufana Trzecia Strono !

    Odpowiedz
  • 2015.02.23 14:50 steppe

    Do listy typowych miejsc można jeszcze dodać kosze na śmieci ;) „Bo niszczarka już była zapchana.”

    Odpowiedz
  • 2015.02.23 16:12 Duży Pies

    Nie zapominajcie o HDD w (dużych) kserokopiarkach. Można tam znaleźć to i owo;)

    Odpowiedz
    • 2015.02.24 07:22 steppe

      Interesowałem się tym :) dawniej nie dość, że nie były szyfrowane, to jeszcze ciężko było je wymontować nawet gdy przyjechał serwisant zabrać sprzęt. Teraz częściej już można spotkać szyfrowane. Mówię o modelach, z którymi się stykałem, więc trudno mi ocenić jak to ogólnie wygląda. Pozostaje tylko pytanie, kto ma klucze używane do szyfrowania…

      Odpowiedz
      • 2015.02.24 21:54 Duży Pies

        Jak są szyfrowane? HDD mają wbudowane szyfrowanie (mam takiego SSD) czy robi to jakiś dodatkowy kontroler? Masz pomysł jak się dobrać do takiego dysku?

        Odpowiedz
        • 2015.02.25 07:10 steppe

          Nie jest łatwo się dowiedzieć :) Chyba nie sprzętowo. Nie próbowałem się dobierać, bo wszystkie są w użyciu :)

          Odpowiedz
          • 2015.02.25 13:26 Duży Pies

            A szukałeś na forach?
            Możesz podać tutaj model drukarki oraz moduł karty sieciowej (model) odpowiedzialny za komunikację? Mam znajomego co sprzedaje drukarki i kopiarki, mogę spróbować go podpytać, jeśli coś się dowiem, to Ci odpiszę (nie wiem czy będzie chciał gadać). Samego mnie korci żeby się dobrać do takiego dysku. Sprawę i tak trzeba rozgryźć, prędzej czy później.

  • 2015.02.23 20:05 KKK

    „Rozwiązaniem może być ujawnienie płac” ależ one są jawne. Każdy pracownik ma prawo iść do HR i zażądać okazania listy płac a HR musi mu pokazać. I ma to ustawowo zagwarantowane a prawo do tego potwierdził wyrok NSA. Odmowa okazania listy płac może skutkować skierowaniem sprawy do sądu o stosowanie praktyk dyskryminujących.

    Odpowiedz
    • 2015.02.24 00:33 Przemysław

      Mógłbyś podać paragrafy? Bardzo mnie to interesuje i chętnie bym to wykorzystał, bo niedługo kończy mi się umowa :D

      Odpowiedz
  • 2015.02.23 20:55 Z

    A ja chciałbym by było jak w niektórych krajach zachodu… Oficjalna lista, kto i ile albo zawieszony na necie PIT… Widziałbym, jak robi się w konia pracujących, a jak nieroby płyną, wszyscy widzieli by Prezesa, który samej premii trzepie 8 tysi euro, ale od ponad 5 lat ludziom premie zabrał, powołując się na ciężki rynek i inne zdarzenia niezależne od niego… Widać by było, kto ma układ, kogo się szanuje a kogo nie…

    Odpowiedz
  • 2015.02.23 21:53 Piotr

    Znaleziony na drukarce sieciowej formularz pit szefa firmy. W rubrykach kwoty siedmiocyfrowe. Wydrukował i zapomniał zabrać, bo spieszył się do urzędu skarbowego.

    Odpowiedz

Zostaw odpowiedź do steppe

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wpadki działów HR, czyli jak w korporacjach wyciekają dane o pensjach

Komentarze