és ha arról a rendszerről tovább lehetett lépni a telekom teljes belső hálózatába, akkor az már minősíti az esetet, tehát minimum két év sitt. nem értem, ezt miért nem vette a bíró figyelembe.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

" Amit mondasz mind megtehették volna. Amiért nem jártak el körültekintőbben felelősségre vonhatók? Hát nem hiszem."

gdpr 25. cikk. 1. bek: "Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az
adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja
egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt
követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés
folyamatába."

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Úgy értettem, hogy a mezei munkavállaló. Ha betartotta a hatályos vállalati utasításokat, akkor ő helyesen járt el. Amit írsz, az szerintem a vezérigazgatóra vonatkozik. Mármint ő a felelős azért, hogy a hatályos vállalati utasítás nem felel meg a GDPR-nak.
Az már messze vezető kérdés, hogy mi van akkor, ha alkalmazottként azt veszed észre, hogy a vállalati utasítás, és a törvényi szabályozás ellentétes, vagy nem is tudsz az ellentétről. Tudom, a törvény nem ismerete nem ment fel. Viszont itt ki a törvény alanya? Az alkalmazott, vagy a vállalat? Lehet-e azt mondani, hogy az alkalmazott bűnsegéd volt? Hanyag? Azért ez nem olyan egyértelmű, mint amikor tudod, hogy mérgező hulladékot (alkalmazottként) elásni törvénytelen. Nem feltétlenül biztos, hogy egy törvény joggal várja el minden informatikustól, akik közül párnak mondjuk a ping vagy a parancssor is gondot jelent, hogy értse a GDPR rá vonatkozó részét. Szerintem jogos elvárás a felettes felé, hogy olyan szabályozással lássák el az IT alkalamzottat, ami megfelel a törvénynek.
Ezek a részemről kérdések, feltevések, nem vagyok jogász, hogy nyilatkozzam, azért is említettem az alkalmazott környezetszennyezés vs GDPR-t.

S ez egyben kérdés is arra, hogy miért nem vette figyelembe a bíró, hogy ez már minősített eset. Feltehető, hogy a T vezetése is átlátta, hogyha ez komoly eset, akkor ez rájuk nézve is komoly gond lehet, a vállalatnak pedig bünti, ezért olcsóbb a bírót, vagy kapcsolatot megkérni, hogy ez ne legyen figyelembe véve.

[ Szerkesztve ]

Kérdésed elgondolkodtatott, hogy mennyire nem vagyok biztos, a szakmám szabályozásában. IT esetén mikor vonható felelősségre az egyén és mikor a vállalat:

Mi van ebben az esetben, azaz feltörték a szervert és személyes adatokhoz jutottak?
Ha a cég "kisebb" szervezet bűncselekményeket követ el ÁFA csalás és hasonlók
Ha fedő cégnél dolgozol, ami a szervezett bűnözés számára végez pénzmosást, stb
A cégnek darkweben van egy kereskedéssel foglalkozó honlapja, amit te tartasz karban.
Facebooknak, Googlenak stb dolgozol, akik ugye a személyes adatokból élnek, s időnként elmeszelik őket a GDPR vagy más dolog megsértéséért. (S mondjuk a te munkád gyümölcse az adatszerzés, ami a Cambridge Analytica botrányhoz vezetett.)
NSA alkalmazott vagy

S hogy még komplexebb legyen a helyzet, mi van ha a cégen belül te vagy a
vezérigazgató
IT vezető
Alkalmazás üzemeltető
HW üzemeltető
Help Deskes
Programozó
Ötletgazda*
Könyvelő

Ez a mátrix már olyan szép kérdéseket dob ki, mint
Ha az NSA bűnös, akkor Snowden is az-e? Vagy a volt kollégái?
Mi van, ha te csak a vasat üzemelteted, s nem férsz hozzá a VM-ek belsejéhez, azt se tudod, hogy mi fut rajtuk, de a te érdemed, hogy a bussiness a darkweben 99,5% rendelkezésre állással megy?
Segítettél a maffia könyvelőjének, mert nem boldogult az Excellel, vagy a te feladatod, hogy a család minden számítógépe Tor-on keresztül internetezzen, s semmilyen nyomkövető, lehallgató alkalamazás ne működjön ezeken a gépeken?
Független etikus hackerként kaptál egy visszautasíthatatlan ajánlatot, hogy meg kéne vizsgálni a cég IT struktúráját, hogy elég biztonságos-e?

Tudom abszurd kérdések, de azt próbálom feszegetni, hogy hol húzódik a határ aminél már az alkalmazott is büntetőjogilag felelősségre vonható.

a tré azért ahhoz eléggé jól van összerakva, hogyha valamiért felelős a vezérigazgató, akkor ott meg legyen oldva a mezei melós felelőssége is. ez úgy néz ki a gyakorlatban, hogy más a felelősségük: a vezérnek az a felelőssége, hogy legyen pénz meg támogatás (itt nem külsős cégre gondolok, hanem a vállalati támogatás azt is jelenti, hogyha az it kigondol valamit, egy eljárást, egy szabályzatot, akkor azt a vezér kiadja utasításba), a középvezetőnek az, hogy legyen szabályozás, a beosztottnak meg az, hogy végrehajtsa. a dokumentumok rendszere zárt rendszert kell alkosson, erre megvannak a különböző szabványok és kváziszabványok. hogy a cég helyesen járt-e el adatvédelem terén, azt nem túl bonyolultan auditálni lehet. ilyenkor végignézik az adatvédelemmel kapcsolatos papírokat és meg lehet állapítani, hogy ki/kik hibázott/hibáztak. aki hibázott, azon leverik.

a vállalati utasítás meg a törvényi szabályozás szinte biztosan nem ellentétes, mert a törvény nem olyan mélységben és nem azokról a témákról szól, amiről a vállalati utasítás. a törvény nem mond olyat, amit egy melós meg tud szegni úgy, hogy a vállalati utasításnak közben megfelel. A gdpr például azt mondja, hogy a tudomány aktuális állása szerinti dolgokat meg kell tenned, ha a cégre azok alkalmazhatóak és költségarányosak. De hogy ez konkrétan adott cégre vonatkoztatva mit jelent, az nincs benne a gdpr-ban, nem is lehet, mert európa összes mikro-közép-nagy vállalatát nem lehet egy rendeletben lefedni.

A törvény olyan, hogy előírja, hogy messziről nézve mit kell csinálni. a különböző szintű vezetők meg előírják, hogy azt az elvi célt adott részlegen konkrétan hogyan kell megvalósítani és elérni. Például a törvény előírja, hogy védeni kell a cuccot. A vezérigazgatóra ebből az vonatkozik, hogy legyen ember, aki foglalkozik a kérdéssel, és adjon neki pénzt meg hatáskört. Az ember kitalálja, hogy akkor élőerős vagyonvédelem lesz, magyarul biztonsági őrség, x.y paraméterekkel. A biztonsági őrséget kezelő részleg vezetője pedig meghatározza a bejárási útvonalakat, az ellenőrzési pontokat, a váltásokat, stb. stb. tehát mindenkinek megvan a feladata a saját szintjén.

Azt tudod ellenőrizni, hogy mindenki megtett-e mindent a saját szintjén, a rá vonatkozó előírásoknak. a gdpr-ban nincs benne, hogy az őrségnek a ház északkeleti sarkáig el kell menni gyalog, az a legalsó szintű dokumentumban van benne. tehát nem lehet ütközés, mert nem ugyanaz a téma, így megsérteni sem lehet az egyiket úgy, hogy a másikat betartod.

Az informatikusnak (fenti példában az őrnek) nem kell feltétlenül ismernie az egész gdpr-t. kellenek szakemberek, akik a gdpr elvárásait összevetve a konkrét céggel, levezetik, hogy mit kell tudnia az informatikusnak. ez egy tré méretű cégnél úgy néz ki, hogy minden rendszer rendszergazdája kap egy könyv méretű dokumentumot (tehát nem 2-3 oldalt, hanem százasával), amiben minél több helyzetre le van írva a megoldás. és a megoldás sem olyan, hogy ha ezt a feliratot látod, elszállt a szerver, oldd meg, hogy a szerver működjön, hanem pontosan le van írva, hogy karakterhűen mit kell begépelni a konzolon és milyen választ kaphatsz, nagyjából egy okosabb majom szintjén. Semmilyen találgatásra vagy egyéni kreativitásra sem szükség nincs, sem lehetőség. Azt beírod, amit a kézikönyv mond. pont. ha pont azt beírtad, nincs tovább felelősséged.

Nyilván minél kisebb a cég (vagyis inkább minél kisebb kárt okoz egy információbiztonsági incidens), annál rövidebbek ezek a dokumentumok. de az eszme mögöttük ugyanaz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

szerintem az, hogy miért nem vette figyelembe a bíró, hogy minősített eset, egyszerűbb probléma.
ez a történet már mindenkinek a körmére égett, szabadulna tőle mindenki. a trének egyébként se túl jó a pr-ja, most bekaptak egy nagy pr problémát, a legutolsó, amit szeretnének, hogy ezt felfújják pr katasztrófának. a bili már kiborult, a tré az adott konkrét esethez további előnyt már nem szerezhetett azzal, ha bekasztlizzák a csávót, mindenki húzna el a fenébe, és annak örülne legjobban, ha a téma lekerülne a napirendről.

hát kiegyeztek a színfalak mögött. a csávó várhatóan nem fog fellebbezni súlyosbításért, nem történik erkölcstelenség. A helytelen ítéletnél más a megítélése, ha a bűnös enyhébbet kap, mint ha súlyosabbat. főleg, hogy a köznép szerint nem bűnös.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az, hogy Snowden bűnös-e, nem kérdés: egyértelműen az.
A kérdés az, hogy a tettéhez tartozott-e olyan körülmény, aminek van társadalmi haszna is. Ha tartozott, akkor ezeket magasabb cél érdekében hogyan lehet értékelni a bűnhöz képest. Szerintem ki kell szabni a rendes, törvény szerinti büntetést, majd számba kell venni a társadalmi érdekeket és azokkal csökkenteni azt. Konkrétan a Snowden ügyben lehetne felfüggesztett börtönt adni informatikai rendszerektől való eltiltással, mert annak kiborítása, hogy mekkora mocsok az nsa, nagyon fontos össztársadalmi érdek.

az pedig, hogy tud-e bűncselekményt elkövetni a beosztott, sok mindentől függ. leginkább a belső szabályzatoktól és az azoknak való megfeleléstől. illetve attól, hogy tudatosan csinált-e gikszert. de erről általában nyilatkozni nemigen lehet.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Tegyünk fel egy abszolút lehetetlen helyzetet, hátha segít megérteni mi történt:

- átnézték az anyagot, meghallgattak mindenkit, és a meglévő tények alapján meghozták a döntést -> fizess 600 eFt-t.

Ua. a kérdésem, mint volt: miért gondoljuk, hogy itt a fórumon jobban tudjuk mi történt valójában, mint az illetékesek? Lehetetlen hinni abban, hogy ezért a cselekedetért ennyi büntetés jár? Pl. simán lehet, hogy az esetben ennyi volt, ezért ennyi büntetés jár. Az is lehet, hogy károkozási célzattal ment oda a srác, de ezt illene bizonyítani is. A "mi lett volna ha" jellegű feltevésekkel, pedig nem igazán lehet mit kezdeni egy adatokra épülő eljárásban.

Egyébként nem vágom a közüzemi kategória fogalmát, de a net mióta közszolgáltatás? (Hozzáteszem a részemről lenne igény beemelni, de ez az igény láthatóan nem találkozik a központi hatalom akaratával ). Nyilván a hiánya érinthet közüzemeket, de csak akkor érezném jogosnak az erre irányuló többlet büntetést, ha bizonyítva lenne, hogy az elkövető tudatosan készült ezek blokkolására.

kösz, segítség nélkül is elvagyok.

1. ha minden tök frankón ment volna, akkor is lehetne az a véleményem, hogy helytelen az ítélet.
2. ha más esetekben konkrétabb bizonyítékok alapján szereztem tapasztalatot a trével, és az tré volt, akkor azt fogom extrapolálni.
3. lehet, hogy nem tudjuk meg, hogy mi hangzott el a tárgyalóteremben, mi a híradásokban elhangzottak alapján ítélkezünk. Ami pedig itt megjelent az esettel kapcsolatban, az 2-8 év, és nem is biztos, hogy az eleje.
4. az is egy kérdés, hogy ez az ítélet tartalmaz-e elegendő elrettentést a későbbi hasonló esetek leendő elkövetői felé. szerintem nem.

ha nem haragszol, most nem fogom kikeresni, hogy mitől közüzem a közüzem. helyette itt van a legutolsó, a témába vágó törvény:
"2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről"

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

1. Nyilván lehet, a kérdés, hogy helyes-e? Egyébként mi nem ment frankón?
2. Valahogy jobbnak érzem azt az ítélkezési gyakorlatot, ami a konkrét esetből von le tanulságot, és nem általánosításokon alapul.
3. Itt is vagyunk. Az alapján ami itt hangzott el, igazat kell hogy adjak Neked. A kérdés miért döntöttek másként. Én szeretnék hinni abban, hogy nem egy ország "krémje" tévedett/vették meg kilóra/alkalmatlan a feladatára.
4. Mi lenne az elrettentő?

Nyilván ezek alapján döntöttek úgy, hogy nem közüzem - csak volt valakinek jogi végzettsége.

"3."
Nem csak itt hangzottak el dolgok, volt hivatalos bírósági közlemény, videó részletek a tárgyalásról, az mind hivatalos infónak tekinthető.
Végig a levegőben lógott a 2-8 év (az ügyésztől is elhangzott a közüzem), de józanul végiggondolva a sértett félnek is érdeke kellett legyen, hogy az a vádpont ne jöjjön össze, mert az jó alap lenne egy ellenük is elinduló nyomozáshoz (hivatalból...).
(nem a sértett vádol, csak feljelent, a cselekmények besorolását nyomozati szakaszban végzik el, ott merülhetett fel a közüzem, de nem állt meg a bíró előtt)

"Egyébként mi nem ment frankón?": láthatod, olyan ítélet született, ami nem tetszik most vagy megalapozott ítélet született és hiányos tájékoztatás jött le a sajtóban, vagy megalapozatlan ítéletről korrekten tájékoztattak. mindkettő előfordulhat.

"Valahogy jobbnak érzem azt az ítélkezési gyakorlatot, ami a konkrét esetből von le tanulságot, és nem általánosításokon alapul.": nem ítélheted el az ítélkezési gyakorlatomat, mert olyanom nincs. véleményalkotási gyakorlatom van. ha fellengzősen akarnék fogalmazni: ez a civil kontroll a bíróságok fölött, hogy elmondhatod az ellenkező véleményed is, és szerencsés esetben, ha igazad van, a következő ítélet más lesz.

"Én szeretnék hinni abban, hogy nem egy ország "krémje" tévedett/vették meg kilóra/alkalmatlan a feladatára.": én már régen nem hiszek benne, hogy amikor jogászok informatikáról döntenek (mindegy, hogy bíró, hatósági jogász, jogszabály alkotó), akkor értik is, hogy miről döntenek. a gdpr-on is látszik, hogy lobbiérdekek is vannak benne.

"Mi lenne az elrettentő?": jó kérdés. az, hogy a büntetése kevesebb, mint az a pénz, amit havi bérnek kért, szerintem nem elrettentő. az, hogy a büntetése alig üti meg egy középszintű biztonsági tanácsadó egyheti költségét, az nem elrettentő. kellett volna közüzem elleni, és a bíró döntse el, hogy két év, nyolc év, vagy a kettő között arányosan valami.

persze hozzátehetjük (akik ismernek, tudják), hogy én nagyon nem az átlagember szemszögéből néztem ezt a történetet. én szolgáltatói szemszögből nézem, én lehetek a következő sértett alapon.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

ezen lehetne hosszasabban filozofálni...
ha a tré kijárja, hogy ne legyen közüzem és csak egészen enyhe büntetést kapjon, azt pr szempontból teljesen megértem. viszont abból a szempontból, hogy a tré ne noszogassa a hatóságokat az ellenük történő vizsgálatra, szerintem nem sok értelme van.

a GDPR 3.5 éve hatályos, amikor ez az eset történt, már bőven hatályos volt. tehát nekik kötelességük bejelenteni, hogy informatikai incidens történt náluk a hatóság felé. a hatóság egyébként nem hülye, azt leszámítva, hogy parkolni nem tudnak, vagy a kötelező bejelentésből, vagy a nagy médiahype-ból értesülni fog arról, hogy incidens történt. tehát a célkereszt akkor is rákerül a trére, ha ezerrel kapálóznak ellene.

azt nem tudom elképzelni, hogy ne csináljanak legalább egy alapszintű vizsgálatot ennek során, mivel a tré, mint inkumbens, gyakorlatilag az egész ország távközléséért felel, ők nem jóskapista zugbt csajágaröcsögéről.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"ha a tré kijárja"

Nem feltétlenül kijárni kell azt, csak egyszerűen nem szolgáltat be (a hatóságok látókörébe nem kerülő) azt bizonyító anyagot. Ha valahol, akkor itt komoly szerepük lehetett a jogászaiknak, meddig érdemes elmenni (tanúskodással, bűnjelek beszolgáltatásával), hogy közben magukat ne égessék meg.

Ügyféladatokat és szolgáltatásaikat elvileg nem érintett vagy veszélyeztetett az incidens, ha egy bü. eljárásban az NNI eddig jutott, a NAIH sem menne sokkal többre... (a kötelező önkéntes bejelentés csak a természetes személyek jogait és/vagy szabadságát veszélyeztető incidensekre vonatkozik)

Egy ideális világban igazad lenne, s így kellene csinálni. Ezzel szemben amit én tapasztalok, hogy oldjuk meg minél kevesebből és nincs rá erőforrás/motiváltság.
A száz oldalas dokumentációk az L2/L3 személynek, rendszergazdáknak hiányoznak. Az elv, hogy elég okos oldja meg.A másik ilyen elvárás tud lenni, hogy majd a fejlesztő írja meg a dokumentációt és tartsa karban. Ez a felhasználói-, admin kézikönyvig, üzemeltetői leírásig ok, hogyha gond van hol kell belerúgni, telepítés stb. Eleve ott kezdődik, hogy a megrendelői mentalitás az, hogy az ár feléből mennyit tudsz engedni, ez csak pár sor program, azt fél nap alatt meg tudod írni, jah, hogy kellene 4-5 doksit karbantartani, az nulla idő és semmiség, de legyen meg, csak fizetni ne kelljen, mert mondtam neked 0 idő. A hozzá szükséges információgyűjtést a vállalatról old meg magadnak, mi adunk lehetőséget, hogy pár munkavállalóval el tudj beszéllgetni, de azt garantáljuk, hogy ők nem lesznek illetékesek, s majd a teszteléskor újra specifikálunk, s egy új arc elmondja, hogy miért nem jó az a folyamat, amivel megismertettünk.
Aztán ott vannak a munkautasítások, amihez a fejlesztőnek már tényleg mi köze, a szerződésnek nem részei, jobb esetben a megrendelő elkészíti magának, rosszabb esetben a munkavállaló vezeti egy füzetben, hogy aktuálisan, most mi az ügymenet.
Az ellentétet a törvény, és a belső szabályozás közt úgy értettem, hogy a belső szabályozás nem követi le elég gyorsan a környezet (törvényi, megrendelői, technikai) változását. Esetleg fel nem tárt ellentétek vannak benne. Elméletileg ilyennek nem szabadna lennie, de mint tudjuk elméletileg az elmélet és a gyakorlat azonos.
Ezért feltételeztem, hogyha nagyon megkaparnák ezt az ügyet, akkor nagy valószínűséggel az jönne ki, hogy az utasítás nem volt naprakész, amit a munkavállaló vagy betartott és ezzel mossa kezeit, vagy nem, mert megpróbált improvizálni, hogy a munkáját el tudja végezni.
Az ilyen nagy vállalatok egyik sajátossága, hogy évente a HR gondol egyet, s átszervezi/átnevezi a szervezeti egységeket, hátha attól hatékonyabb lesz a munka (Nem, sőt az első időben káoszt hoz) Mindenesetre az ilyen alkalmak remek lehetőségek rá, hogy az utasítások már elavuljanak, s olyan szervezeteket s hierarchiaszinteket írjanak elő, amik már nem is léteznek.

A többiben egyet értünk.
Snowdennél nem a hazaárulásra gondoltam, hanem hogy munkáltatói utasításra az Amerikai állampolgárok után kémkedetett. Ha a NSA ebben bűnös, akkor ezt hogy lehet levetíteni a munkavállalókra?

Én nem a levegőbe beszéltem, meg nem a saját álmaimat írtam le, hanem zanzásítottam az iso 27001-es szabvány eszmerendszerét.
tehát nem egy ideális világban kellene így csinálni, hanem itt is.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Pedig de, a levegőbe beszélsz, s ez szörnyű. Azért mert neked van igazad, s így kellene csinálni, de a tapasztalataim mások. Az is igaz, hogy a tapasztaltaim nem reprezentatívak. De ahogy Depression is megjegyezte ideális esetben nem kellene felkészülni az auditra.
Vagy a minőségbiztosításban az lenne leírva ami a tényleges szabvány folyamat a vállalaton belül, s olyan dokumentumminták lennének benne, amit nap mint nap használnak. Azért, mert ha eltérés van, akkor az alkalmazottak ismerik a folyamatot, hogyan lehet aktualizálni a benne leírtakat.
Ideális világban egy rendszer, nyilvántartás megépítésének első lépése az lenne, hogy kialakítják és megtanítják a folyamatot, hogy lehet az üres adatbázist frissíteni. Helyette mindig azt tudják, hogy mi volt a múltban/leltárban, a jelen bizonytalan. Egy nagy nyilvántartás lenne, aminél nem gond a fejlesztés, s nem kell össze-vissza interfészelni az egyes adatbázisok közt, megfeleltetni azt, amit nem is lehet egyértelműen. Az alkalmazottakat rákényszeríteni, hogy Excelt vagy saját DB-t s programot használjanak, ha a munkájukhoz szükséges adatot nyilván akarják tartani, mert a munkájukhoz szükséges fejlesztés hát soha napján fog megrendelődni, szóval kerülő utat kell alkalmaznijuk.
Hogy a cég egyik szervezete azt mondja, hogy túl drága a cégen belüli másik szervezet által számlázott IT szolgáltatás, ezért vagy saját bujtatott IT szolgáltatást hoz létre, vagy egyszerűen nem rendeli meg azt ami kellene. S itt csak olyan apróságokra gondolok mint email, tárhely. De ide lehet sorolni azt az igényt, hogy a szervezetnek kellene a csapatmunkához egy program, amit aztán egyik lelkes kolléga fog lefejleszteni munkaidőben, mert az "olcsó", de inkább, hogy mert így el fog készülni. Hogy ez a szoftver mennyire fog megfelelni biztonsági szempontból, nem nagy titok.
Hogy mondjuk egy termelésirányítási rendszernél azért van valamilyen teszt környezet, s nem ebéd időben kell összekalapálnod, hogy az új verzióval is működjön a gyártás.
Hogy a cégen belüli erőforrások elosztása elsősorban kapcsolati/polititikai döntés, és nem racionális. Hogy egy projekt életben maradásának elsődleges oka lehet az is, hogy már túl sok lett rá költve, s nem lehet beismerni, hogy rossz irány, vagy a szervezet nem érett meg rá.
Hogy a felhasználói élmény, használhatóság az ami meghatározza, hogy egy alkalmazást mennyire fognak szeretni és használni. S mivel ez kerül a legtöbbe, ezt igyekeznek elsőként nem megfizetni és lefejlesztetni.
Ilyen környezetben ha nem vagy nagyon hülye, akkor nagyon sokáig alkalmazásban maradsz, úgy hogy semmit nem csinálsz, s semmiért nem tudnak felelősségre vonni, mert mindig meg fogod tudni indokolni, hogy miért nem dolgozol.
Régen megfogalmaztam magamban, hogy egy nagy (állami) vállalatnál a középvezetői/szakértői réteg maradhat ott a legtovább. A felső vezetést a politikai szelek gyorsan mozgatják, ők hozzák a bizalmasukat. Az alsó szinten dolgozok is sűrűn váltják egymást, mert kevés a fizetésük, s elmennek más helyre több pénzért. A középen lévők pedig, nos ők is szeretnének több pénzt, de máshová nem tudnak elmenni, ezért hajlandók ezért a pénzért semmit tenni, közben azért időnként sírnak, hogy ők nagyon nincsenek megfizetve.

Más:
Azt mondják, hogy mindenki addig kúszik a ranglétrán, ameddig alkalmatlan nem lesz a pozícióra. Az ok pedig, hogy mert ha a pozíciójában alkalmas, akkor előléptetik, egész addig míg, már nincsenek érdemei, amire tekintettel előléptessék.

S így üzemeltetünk vállalatokat.