Contritionem praecedit superbia, et ante ruinam exaltatur spiritus – co oznacza: Pycha poprzedza zagładę, a wyniosłość ducha – upadek.
Ta oferta 30-dniowego wyzwania security od firmy Security Bez Tabu Wojciech Ciemski ma tyle czerwonych flag, że spokojnie może posłużyć do analizy na szkoleniach o socjotechnice i phishingu.
Mimo, iż w styczniu 2025 roku wyleciałam z kolejnej edycj wyzwania po 5 dniach, za złamanie tajemniczego punktu 9 regulaminu (opis do znalezienia na blogu), to jednak zdążyłam się sporo nauczyć;)
Oto, na co od tamtego czasu zwracam uwagę i czego uczę na szkoleniach z security awareness:
1. Sprawdzania cen. Jak przejdziecie na stronę wyzwania to zobaczycie, że możecie dołączyć do szkolenia za jedyne 89 PLN, zamiast 497 PLN. Najniższa cena z 30 dni: 89 zł. Pytanie, czy ktokolwiek zapłacił te prawie 500 zł za wyzwanie, czy to tylko zwykła, nieczysta zagrywka marketingowa i wyzwanie zawsze kosztowało poniżej 100 zł?
2. Sprawdzania faktów, czyli fact checking. Na stronie widzimy napis: Dołącz do grona ponad 2689 kursantów! – czy do tego grona wliczają się także ci, co wylecieli z kursu, albo ci, dla których wyzwanie skończyło się po 6 dniach z przyczyn leżących po stronie prowadzącego? W której to edycji było tylu kursantów? Gdzie można znaleźć tą społeczność? Prawie 2700 kursantów i tylko 19 komentarzy. Dlaczego tak mało? A może dlatego, że autor sam decyduje, który komentarz opublikuje, a który nie, tak jak to było w przypadku mojego komentarza. Jak to mówią: prove or it didn’t happen.
3. Czytania regulaminów. Jak już wejdziecie na stronę, gdzie możecie zakupić wyzwanie, to zanim zaakceptujecie z automatu regulaminy i przekażecie swoje dane, najpierw kliknijcie przycisk Rozwiń.
Następnie kliknij link regulamin dostawcy.
I pojawia się czerwona flaga: koniec internetu, nie ma regulaminu dostawcy.
4. Nie ma regulaminu dostawcy? Nie szkodzi. Bo oto punkt czwarty. Podśpiewując sobie piosenkę Ricka Astleya:
Never gonna give you up
Never gonna let you down
Never gonna run around and desert you
Never gonna make you cry
Never gonna say goodbye
Never gonna tell a lie and hurt you
należy zrobić przeszukanie czeluście internetu w poszukiwaniu regulaminu.
5. Zrobienie dobrego rekonesansu. I tutaj się okazuje, że na stronie sklepu Akademia Security Bez Tabu jest to samo wyzwanie w ofercie, ale za 87 zł. Czyli 2 zł taniej. Niby to tylko 2 złote, ale jakbyście te 2 złocisze dali szemranemu towarzystwi spod monopolowego, od razu zostalibyście kierownikiem. Te 2 złote ma prawdziwą moc.
I tu możemy zobaczyć, jaka jest wartość rynkowa tego wyzwania: 20-25 tys. zł.
Skąd taka cena? Wszystko zostało wyjaśnione w opisie:
6. Sprawdzanie stopek strony. W stopkach można znaleźć ciekawe linki. I tutaj znajduje się link do regulaminu sklepu.
7. Czytanie regulaminu słowo po słowie i sprawdzanie wszystkiego w innych źródłach. Regulamin w tym wydaniu to wielka czerwona flaga. Dlaczego? W regulaminie sklepu online Akademii Security Bez Tabu na dzień 27.05.2026 roku, godzina 20:25 wciąż tylko 3 razy pojawia się domena securitybeztabu.pl, czyli należąca do Wojciecha Ciemskiego, i aż 18 razy domena seciuritybeztabu.pl (z dodatkową literką i) i 1 raz domena seciuritybeztaby.pl (z dodatkową literką i i literką y zamiast u). Należące do mnie. Od 10 miesięcy w internecie wiszą 2 strony, stworzone w 15 minut, nawet bez użycia AI, które jawnie mówią, że mnie się nie da wywalić z żadnego wyzwania. Pisałam o tym szerzej w tym wpisie o Security bez kontroli.
Gdybym była złośliwa, to mogłabym nawrzucać tam najgorszych treści na świecie. I tak czekam, ile jeszcze minie czasu, ile człowiek z listy 40 under 40, audytor wiodący może mieć taki bajzel „w papierach”? Na razie strony wiszą w sieci już 10 miesięcy. Poczekam do pełnego roku, i jak się nic nie zmieni w regulaminie, to wymyślę coś extra.
8. Jak na stronie wyzwania, przy opisie twórcy, widzisz, że w ciągu 3 lat przeszkolił 20 000 osób, a na stronie sprzedającej dokumentację do ISO 27001, że te 20 000 osób przeszkolił jednak w ciągu 5 lat, to w Twojej głowie natychmiast zapala się czerwona lampka i uciekasz z takiej strony z okrzykiem: Run Forrest, run.
20 000 osób w 3 lata to oznacza średnio jakieś 130 osób na tydzień. To nawet ja, „zawodowa trenerka”, wykładowczyni akademicka, nie przeszkoliłam tylu osób w takim czasie. A szkolę całkiem sporo. Chciałabym zobaczyć rozpiskę tych szkoleń.
9. Kolejna sprawa: Brak paragrafów 7 i 8 w regulaminie.
10. Niezgodna ze stanem faktycznym informacja o wystawianiu faktur z VAT: w § 9 jest punkt 5, a w nim info, że „Opłaty za Szkolenie uwzględniają podatek VAT w wysokości 23%„. A w punkcie 8: Użytkownikowi po zakupie materiału edukacyjnego wystawiana jest faktura vat.
Szybkie sprawdzenie w wykazie podatników VAT pokazuje, że firma Security Bez Tabu Wojciech Ciemski została wykreślona z rejestru VAT 12.12.2024 r., czyli ponad 1,5 roku temu.
Te przykłady pokazują, że obecnie trzeba sprawdzać każdego i nie wierzyć opiniom w sieci. OSINT i odrobina wyszukiwania w sieci pozwalają na zaoszczędzenie i nerwów i pieniędzy.
P.S. Screenshoty stanowią „dowody”, bo niektóre treści lubią znikać szybko z internetu.
