Je portie dagelijkse ergernissen op het werk

[Exorikos]

IT: "Jullie zitten met een zero-day vulnerability of één van jullie systemen."

Hoe kom je erbij om zo'n mail te durven sturen? Hoge prioriteit e-mail, maar dan geen enkele informatie geven over de aard van de kwetsbaarheid of de versie van het systeem dat kwetsbaar is. Dit is dus wat je krijgt als je niet-IT'ers "analisten" maakt omdat je echte IT'ers niet kan of wilt betalen. De zorgsector loopt er vol van.

 

[Mountain-Djinn]

IT: "Jullie zitten met een zero-day vulnerability of één van jullie systemen."

Hoe kom je erbij om zo'n mail te durven sturen? Hoge prioriteit e-mail, maar dan geen enkele informatie geven over de aard van de kwetsbaarheid of de versie van het systeem dat kwetsbaar is. Dit is dus wat je krijgt als je niet-IT'ers "analisten" maakt omdat je echte IT'ers niet kan of wilt betalen. De zorgsector loopt er vol van.

Die zin is de email?

 

[Exorikos]

Dag Exorikos,

Ik heb daarnet vernomen van ons DPO dat X een zero-day vulnerabilty heeft. Ik weet niet welke versie of hoe de software is geïntegreerd in jullie omgeving.

Alvast bedankt.

Dit is hoe je een potentieel majeur issue aangeeft? "Er is iets, maar ik weet het niet"?

 

[aXl_]

Dit is hoe je een potentieel majeur issue aangeeft? "Er is iets, maar ik weet het niet"?

Das wel een goeike :').
Even terug informeren naar hun plan van aanpak om dat asap op te lossen zou ik zeggen.

 

[cege]

Dit is hoe je een potentieel majeur issue aangeeft? "Er is iets, maar ik weet het niet"?

Weer een dweep die iets horen waaien heeft en zich interessant wil maken.

Hadden wij vroeger met ons mickey mouse mgmt ook.

1) Over weekend wordt er ergens een major 0-day ding gevonden in een gebruikt package.
2) Dat triggert onze interne automatische notifications naar lokaal dev team en corporate QA (per "zinvol" proces want dat veroorzaak enkel meerwaarde - zie infra)
3) Op de wekelijkse bespreking maandag ochtend wordt het issue besproken (samen met 10 andere minder kritische vulnerabilities, klachten, whatever). Tegen maandag middag is de major vulnerability hot fix klaar. Testen en deploy in productie op dinsdag ochtend. Alle papierwinkel afgetekend door relevante stakeholders, case closed.
4) Er gebeurt vanalles in 17 parallele trajecten vanuit die corporate QA trigger (lees: die contacteren divisie mgmt, lokaal IT, lokaal management die allemaal van niks weten)
5) US mgmt leest de emails pas op dinsdag/woensdag en iedereen schiet in een kramp
6) We worden overspoeld met 'WE MOETEN DRINGEND SPREKEN OVER HACKING POGINGEN' of 'IT HEEFT KLACHTEN' of 'ER IS EEN MAJOR SECURITY ISSUE' of whatever. Zonder details of zo te vermelden. Liefst nog in elke andere meeting met die gasten die over iets anders gaat toch nog even opmerken DAT ER EEN SECURITY ISSUE IS EN IS DAT AL BESPROKEN.
7) Een week noise die niks opbrengt met de uiteindelijke mededeling "zoals de vorige 10 gevallen was ook deze al opgelost voor jullie het wisten. LAAT ONS MET RUST".
8) De zoveelste 'post-mortem' met volgende amusante discussies - rinse and repeat deze discussie elke paar weken
- "Hoe komt het dat er security issues in de software zitten".
"Vulnerability was niet gekend"
- "Hoe komt het dat hij niet gekend was"
"We kunnen enkel vertrouwen op vulnerability databases. We herscannen elke dag."
- "Hoe komt het dat vulnerabilities later ontdekt worden nadat packages gereleased worden. Gebruiken we laag kwalitatieve packages?"
"That's how software works"
- "We moeten dit process duidelijk herwerken, dit kan niet" <nothing really happens op dit punt want ja, wat kun je doen...>


Natuurlijk interessant als ze een software/solution product integreren in een labo divisie met een management waar niemand bij wijze van spreken zelf zijn computer kan herstarten...

 

[DogFacedGod]

IT: "Jullie zitten met een zero-day vulnerability of één van jullie systemen."

Hoe kom je erbij om zo'n mail te durven sturen? Hoge prioriteit e-mail, maar dan geen enkele informatie geven over de aard van de kwetsbaarheid of de versie van het systeem dat kwetsbaar is. Dit is dus wat je krijgt als je niet-IT'ers "analisten" maakt omdat je echte IT'ers niet kan of wilt betalen. De zorgsector loopt er vol van.

Dat is meer dat gevolg van die half verzonnen functies.


Data protection officer: 'Ja mannen, we hebben een DPO nodig. Gij daar, gij ziijt nu DPO".
Data steward: "Ja mannen, we hebben een data steward nodig." Nog altijd geen fuck idee wat die doet.

 

[Exorikos]

Ik heb het gegoogled en vermoed dat het iets is van enkele weken geleden in een versie die wij niet meer gebruiken. Ik heb de bal teruggekaatst en geëist dat ze het uitzoeken.

Afgelopen week nog zo'n leuke IT issue gehad. Een leverancier is de remote toegang tot een van onze systemen aan het proberen oplossen. Ze laten daarbij een toestel crashen. Ik vraag hen wie wat aan het doen was op het systeem en zeg dat het onaanvaardbaar is dat ze zo'n operaties doen tijdens de klinische uren. Iedereen zegt dat zij het niet waren. Ik heb hen gevraagd om dat allemaal te bevestigen, want dat ik zo'n issues moet flaggen als potentiële data breach van medische gegevens en het hele systeem offline ga laten halen. Er heeft er eentje dan met kak in de broek zijn versie dat hij het niet was ingetrokken. Own your shit.

 

[cege]

Ik heb het gegoogled en vermoed dat het iets is van enkele weken geleden in een versie die wij niet meer gebruiken. Ik heb de bal teruggekaatst en geëist dat ze het uitzoeken.

Afgelopen week nog zo'n leuke IT issue gehad. Een leverancier is de remote toegang tot een van onze systemen aan het proberen oplossen. Ze laten daarbij een toestel crashen. Ik vraag hen wie wat aan het doen was op het systeem en zeg dat het onaanvaardbaar is dat ze zo'n operaties doen tijdens de klinische uren. Iedereen zegt dat zij het niet waren. Ik heb hen gevraagd om dat allemaal te bevestigen, want dat ik zo'n issues moet flaggen als potentiële data breach van medische gegevens en het hele systeem offline ga laten halen. Er heeft er eentje dan met kak in de broek zijn versie dat hij het niet was ingetrokken. Own your shit.

Raar dat mijn 4 jarige nukkigaard bij jullie rondloopt

 

[ThekillingGoku]

8) De zoveelste 'post-mortem' met volgende amusante discussies - rinse and repeat deze discussie elke paar weken
- "Hoe komt het dat er security issues in de software zitten".
"Vulnerability was niet gekend"
- "Hoe komt het dat hij niet gekend was"
"We kunnen enkel vertrouwen op vulnerability databases. We herscannen elke dag."
- "Hoe komt het dat vulnerabilities later ontdekt worden nadat packages gereleased worden. Gebruiken we laag kwalitatieve packages?"
"That's how software works"
- "We moeten dit process duidelijk herwerken, dit kan niet" <nothing really happens op dit punt want ja, wat kun je doen...>


Natuurlijk interessant als ze een software/solution product integreren in een labo divisie met een management waar niemand bij wijze van spreken zelf zijn computer kan herstarten...

Ge moet ze dan wijs maken dat ge dan gewoon alles vollédig zelf maar moet maken. WHO NEEDS PACKAGES right?!?

Gelieve nu mijn IT budget te vermenigvuldigen met 5 miljard & mijn deadlines met een paar 100 jaar.

 

[cege]

Ge moet ze dan wijs maken dat ge dan gewoon alles vollédig zelf maar moet maken. WHO NEEDS PACKAGES right?!?

Gelieve nu mijn IT budget te vermenigvuldigen met 5 miljard & mijn deadlines met een paar 100 jaar.

Dat waren echt uber idioten. Precies een comedy show. Zo 10 van die non-IT mgmt figuren met 0,0 IT kennis die samen 'discussieren' over IT stuff. Echt kleren van de keizer. Ipv gewoon toe te geven dat ze er niks van kennen en ofwel ons met rust te laten of daar iemand met IT kennis dat te laten managen.

"HOE KUN JE RELEASEN MET KNOWN BUGS"
"HOE KUN JE EEN BUG AL 3Y NIET FIXEN"
"SERVICES VERKOPEN IS WEL LASTIG, DAT MOET JE CONTINU OPVOLGEN" (errrr - heel de wereld bevuilt zich om services met recurring revenue te kunnen produceren...)
blablaba

Goed ja, we all know how that turned out. Software divisie is vorig jaar volledig afgestoten wegens evidente redenen - zo'n management kan dat niet leiden in een deftige richting. En het pipo management is collectief op straat gezet.

Nu zit ik in een andere divisie waar ze wel deftig management hebben die weet wat software is - zijn toch andere soort discussies...

 

[Mosh]

IT: "Jullie zitten met een zero-day vulnerability of één van jullie systemen."

Hoe kom je erbij om zo'n mail te durven sturen? Hoge prioriteit e-mail, maar dan geen enkele informatie geven over de aard van de kwetsbaarheid of de versie van het systeem dat kwetsbaar is. Dit is dus wat je krijgt als je niet-IT'ers "analisten" maakt omdat je echte IT'ers niet kan of wilt betalen. De zorgsector loopt er vol van.

Zo eens een mailtje gehad "Jullie hebben een grote issue die zeer amateuristisch is en jullie developer zou ontslagen moeten worden".
De issue: Onze .git/info was publiekelijk zichtbaar nadat we onze structuur hadden aangepast en waardoor je dus de link naar de repo kon zien, de repo zelf kon je niet eens bekijken.

 

[Oldskooler]

Mai, vulnerabilities opvolgen in externe componenten, dan mag je werkelijk elke week zitten upgraden.

Dit is hoe je een potentieel majeur issue aangeeft? "Er is iets, maar ik weet het niet"?

Verwachten dat jij dat uitzoekt, netjes op mail zet.

Anderen gaan verder met die info, en gaan lucht spuwen alsof ze het al die tijd diepgaand kenden.

---
Stuur ze dit:

GHSA-v435-xc8x-wvr9 5.9 Bouncy Castle affected by timing side-channel for RSA key exchange

En die mannen: "aaah ja he, de Bouncy Castle, dat wist toch iedereen! Hoe komt dat dat nog niet is opgelost?
10 jaar geleden ook al gezien, toen had ik dat direct aangepakt, ik kon dat."

 

[Mojo]

Ik heb het gegoogled en vermoed dat het iets is van enkele weken geleden in een versie die wij niet meer gebruiken. Ik heb de bal teruggekaatst en geëist dat ze het uitzoeken.

Afgelopen week nog zo'n leuke IT issue gehad. Een leverancier is de remote toegang tot een van onze systemen aan het proberen oplossen. Ze laten daarbij een toestel crashen. Ik vraag hen wie wat aan het doen was op het systeem en zeg dat het onaanvaardbaar is dat ze zo'n operaties doen tijdens de klinische uren. Iedereen zegt dat zij het niet waren. Ik heb hen gevraagd om dat allemaal te bevestigen, want dat ik zo'n issues moet flaggen als potentiële data breach van medische gegevens en het hele systeem offline ga laten halen. Er heeft er eentje dan met kak in de broek zijn versie dat hij het niet was ingetrokken. Own your shit.

Hebben jullie geen PAM-oplossing die dergelijke zaken tot in detail logt?

 

[Biljart]

Ik ben trouwens zeker dat Mac ook niet met een degout zijn werk doet, want dan was ie al lang gestopt. Hij wordt gewoon simpel van het management die beter betaald worden als hem en eigenlijk een stelletje prutsers zijn die niets toevoegen.

Wie zegt er dat macb zo een topper is? Uit ervaring weet ik dat de medewerkers die heel veel kritiek hebben op management niet de beste medewerkers zijn.
Eerder jaloers omdat ze zelf ter plaatste blijven trappelen.

 

[Eland]

Hier in het huishouden ook een puntje. Ik plooi handdoeken blijkbaar 'fout' op en vul de vaatwas 'fout'. Goed ja, madam kan het ook zelf doen. Of, random idea, ik kan ook zeggen dat zij het fout doet. Dat is blijkbaar geen optie...

Eentje ga ik altijd onthouden. Plots werd tijdens het stofzuigen de stekker uit het stopcontact getrokken door m'n vriendin. Reden: ik gebruikte het verkeerde stopcontact. Het stopcontact was niet kapot, de stofzuiger was niet kapot, het was gewoon een stopcontact dat volgens haar niet gebruikt mocht worden tijdens het stofzuigen.

(We hadden beneden 1 stopcontact van waaruit je met onze toenmalige stofzuiger juist heel de woonkamer kon doen. Dat gebruikte ik, maar dat mocht blijkbaar niet. De kabels en stangen van de stofzuiger daarvoor waren net wat korter en daarmee kon je niet heel de woonkamer in 1 trek doen omdat je niet overaal geraakte en moest je dus wel 2 verschillende stopcontacten gebruiken, en blijkbaar mocht ik het mezelf niet gemakkelijker maken toen we een nieuwe stofzuiger hadden.)

 

[Avi]

Oh vertel en leg mij uit waarom het een slecht idee is.

( geen sarcasme btw, wat zijn uw redenen voor de opmerking)

Zoals ik het begrijp is HW Raid een zwarte doos. Proprietary hacks in die chipsets om edgecases op te vangen etc. Ik zet veel liever in op software raid zoals een ZFS systeem. Alles above board en geen nare verrassingen omdat ergens op een kaart een condensator of spoel het begeeft. Maar ik zit dan ook niet in een groot bedrijf waar misschien andere overwegingen spelen.

 

[Vega]

Wie zegt er dat macb zo een topper is? Uit ervaring weet ik dat de medewerkers die heel veel kritiek hebben op management niet de beste medewerkers zijn.
Eerder jaloers omdat ze zelf ter plaatste blijven trappelen.

Dit.... Iemand die zoveel op de kap van anderen zit en 0,0 zelfkritiek heeft alsook alle mogelijke vormen van advies in de wind slaat kán gewoon geen topper zijn.

Lijkt me gewoon een perfecte cocktail te zijn voor de constant misnoegde werknemer die alleen maar mekkert, waar je geen enkele feedback aan mag geven en vastroest in de eigen werking/gewoontes met ferme oogkleppen op. Dus neen, moest ik gokken, dan zou ik niet bepaald zeggen dat hij een topper is.

 

[mac-bc]

Wie zegt er dat macb zo een topper is? Uit ervaring weet ik dat de medewerkers die heel veel kritiek hebben op management niet de beste medewerkers zijn.
Eerder jaloers omdat ze zelf ter plaatste blijven trappelen.

Ik heb niet echt het gevoel dat het management mij het meeste stoort, eerder het corporate leventje in het algemeen en alle bullshit wat erbij komt kijken. Soms is het management wel onderdeel van mijn ergernissen, maar het springt er niet boven uit naar mijn gevoel.
En al zeker niet omdat ik jaloers zou zijn. Hell, ik zou voor geen geld ter wereld nog dieper in het corporate wereldje willen vastzitten door hoger op de ladder te staan. Zelfs "gewoon" teamlead zijn van ons team? Hell no. Ik heb dat ook al vaak letterlijk gezegd tegen mijn baas.

 

[iamhollywood]

Ik heb niet echt het gevoel dat het management mij het meeste stoort, eerder het corporate leventje in het algemeen en alle bullshit wat erbij komt kijken. Soms is het management wel onderdeel van mijn ergernissen, maar het springt er niet boven uit naar mijn gevoel.
En al zeker niet omdat ik jaloers zou zijn. Hell, ik zou voor geen geld ter wereld nog dieper in het corporate wereldje willen vastzitten door hoger op de ladder te staan. Zelfs "gewoon" teamlead zijn van ons team? Hell no. Ik heb dat ook al vaak letterlijk gezegd tegen mijn baas.

Als het corporate wereldje u stoort, waarom ga je dan niet freelancen? Je hangt aan geen enkele corporate meer vast, geen valse wortel die voor uw neus wordt gehouden en draait den boel vierkant is het uw zorg niet. Je vraagt gewoon uw prijs voor uw hulp. Alles is steeds maar tijdelijk. Je kiest volledig zelf hoe je voor uzelf alles organiseert (wagen, opleidingen, hoe ver je voor een klant wil rijden, wanneer je een snipperdag neemt etc).
Ik merk dat dat persoonlijk enorm veel rust gebracht heeft. Ik kan meer afstand nemen van alle corporate shit. Doe jullie maar, zolang ik mijn fee krijg lig ik van jullie gesukkel niet wakker .

 

[Biljart]

Hell, ik zou voor geen geld ter wereld nog dieper in het corporate wereldje willen vastzitten door hoger op de ladder te staan. Zelfs "gewoon" teamlead zijn van ons team? Hell no. Ik heb dat ook al vaak letterlijk gezegd tegen mijn baas.

Maar waarom heb je dan bv opmerkingen in genre van: “ik moet hier op een overleg de flow uit de doeken doen, terwijl mijn teamlead dat moet doen”.

Dat komt zo over (en ik heb er ook zo lopen in mijn team) dat je verwacht dat de leidinggevenden steeds ook van alles in detail op de hoogte moeten zijn. Dat is gewoon onhaalbaar. 30j geleden kon dit, maar nu is alles zo specifiek dat dit niet meer haalbaar is.
Want dan zou de CEO geen mens meer zijn, maar een AI-bot, want die moet immers alles weten van de taken van iedereen en het ook zelf kennen en kunnen.

Waarom dan die kritiek als je zelf aangeeft dat je niet wil doorgroeien? Dan moet je ook wel ergens uw plaats kennen.
En ja, er zal steeds iets verkeerd lopen hogerop, dat is in elk bedrijf zo. Dat is gewoon normaal.