דעה: כמה מילים על אחוזים

הבהרה: פוסט זה עודכן ושונה לאחר קבלת מספר תגובות בפורומים שונים. תודה למגיבים.

הנה סיטואציה שכל עצמאי עם ותק מעל שנה בתחום מכיר: מישהו (חברה או עצמאי אחר) יוצר איתך קשר, יש לו איזה לקוח שמעוניין בשרות/ים שאתה מוכר, ואותו פונה מעוניין להיפגש איתך היכן שהוא כדי לתת יותר פרטים ואולי לסגור איתך איזו עיסקה.

עד פה הכל טוב ויפה. הבה נודה, כל עצמאי מחפש בסופו של יום יותר הכנסות, ישירות או בעקיפין וזה בסדר גמור. הדבר שמעניין אותי בעסקאות כאלו ושבגינו אני כותב את הפוסט הזה הוא פשוט: אני מבקש סכום X, בתנאי תשלום כך וכך. מוכן? אהלן וסהלן, לא אכפת לי כמה אתה לוקח מהלקוח, תהנה. רוצה לשלם לי מחיר נמוך? אני מוכן לשמוע, לא בטוח שאסכים.

אם, לדוגמא, כל מה שאתה עושה זו הפניה של פרטיי לחברה X ואני מתראיין בחברה X, מקבל את הפרויקט והם משלמים לי, ואתה מבקש על כך עמלת "דמי גישור", אז ניחא, נסכם סכום של כמה מאות שקלים נניח ותקבל אותם אחרי שאקבל את הפרויקט. בדרך כלל מהנסיון שלי במקרים כאלו המפנה לא מבקש כספים (אישית, אף פעם לא ביקשתי כסף כשהפנתי אנשים) – אבל אם זה כזה משנה, נסגור משהו בינינו. לא בעיה.

אם התשלום בעצם הולך להיות שעתי במחיר נמוך מאוד, אני מוכן לשמוע, יכול להיות שיש הצדקה שהמחיר המוצע נמוך, ואם אני מקבל פרטים ואני רואה שסיוע לחברה באותה נקודה יכול לעזור לי לדוגמא בהמשך, אז יש מצב שבהחלט נסגור משהו. מצד שני, אם אני מקבל מידע שהמפנה שרוצה מחיר לשעה הולך לשלם לי אולי שליש ממה שהוא גובה – אז לא תהיה כאן עיסקה.

אני משער שכאן הקורא היקר יאמר "חץ, אתה מקבל עבודה, פרויקט!" ואותו קורא יקר יהיה צודק, רק שהבעיה היא שכמו לכל עצמאי או שכיר, כבר יש לי "שותפים טבעיים" שגוזרים להנאתם כמעט מחצית (תלוי בכל מיני פרמטרים) מההכנסות, ולפני שאני הולך להוסיף "שותף טבעי" חדש, אני רוצה לדעת מה אני מקבל ממנו, חוץ מהפרויקט. אחד הפרמטרים החשובים לי לדוגמא, הוא עניין תשלום: מקדמה ו/או תשלום נניח "שוטף" מאותו מפנה ללא קשר מתי החברה המבקשת את הפרויקט משלמת בפועל לעצמאי/חברה שהפנתה אותי, ולכן הצעות שבהם אני שומע את המילים "Back to Back" (למי שלא מכיר: אתה מקבל כסף רק אחרי שמבקשת העבודה משלמת בפועל) זו בשבילי עיסקה גרועה: אני הולך לשלם פר שעה רק בגלל הפניה חד פעמית שמישהו הפנה אותי, מבלי שהוא יקח שום סיכון לגבי איחור בקבלת כספים. No deal.

עכשיו אעבור לשכירים שעובדים דרך חברות "גולגלות", "כח אדם" וכו'. אותם שכירים יקרים מקבלים משכורת מאותן חברות כח-אדם/גולגלות בכל חודש, ללא קשר מתי הלקוח שהם עובדים אצלו – משלם לאותן חברות (במקרים רבים התשלום יגיע לאותן חברות בתנאים של שוטף+60,90,120 ויש גם כאלו שמשלמים שוטף+180), כלומר אותן חברות המעסיקות את השכירים ישירות סופגות את הסיכון לגבי תשלום מאוחר או אי תשלום. הדבר שאולי כדאי ששכיר ידע – מה המחיר שאותה חברה שהוא מגיע אליה יום יום, משלמת על שרותיו לאותה חברת כח-אדם ומה בעצם הוא לא מקבל. אם, לשם הדוגמא, כשכיר, אתה מקבל 80 שקלים לשעה (החישוב הגס הוא: חלוקת משכורת הברוטו שלך ב-200 שעות לחודש) ואתה מצליח להבין שהחברה שאתה נמצא משלמת עליך כ-160 שקלים לשעה, אז אתה בעצם מפסיד 50% (ברוטו, ברוטו, אנחנו בישראל) משכורת. איך ההרגשה לא לקבל עוד 50% (ברוטו) כל חודש?

לכן, לשכירים, אני ממליץ מספר דברים:

  1. נסה לברר מה המשכורת המקובלת בתחומך (קח בחשבון דברים כמו ותק וכו'). זה יכול להיות מעמיתים שעובדים באותו תפקיד אך מועסקים ישירות בחברה, זה יכול להיות מחברים אחרים שעובדים באותו תפקיד כמו שלך בחברות אחרות.
  2. העדף תמיד העסקה ישירה. כך, אתה מנהל את המו"מ על משכורתך ואף אחד לא גוזר עליך קופונים (טוב, חוץ מה"שותפים הטבעיים" – מס הכנסה, ביטוח לאומי, מס בריאות וכו')
  3. חברות כח אדם מבטיחות תמיד שברשותן מלאי של משרות בתחומים שונים, כולל התחום בו אתה עובד. אל תקנה את הלוקש הזה. הן ממהרות לרשום אותך במאגר שלהן, אבל אם הופנית על ידן למשרה ולא התקבלת מכל סיבה שתהיה – הן לא ממש תמהרנה להציע לך הצעות אחרות.
  4. אל תתבייש לשאול חברים, לחפש ב-Linkedin ובפורומים שונים בפייסבוק – לגבי משרה, אם אתה מחפש משרה חדשה.

ולעצמאים:

  1. חישוב צריך להתבצע לפי מחיר פר-שעה, בניכוי כל המיסים (ביטוח לאומי, מס הכנסה, מע"מ, עכשיו הוסיפו גם צורך לשלם פנסיה בתנאים סופר גרועים).כמה העצמאי או החברה המפנה גוזרים, ומה הסכום שאתה מקבל בפועל. אם הם גוזרים סכום סביר (נניח 10%, אולי יותר, תלוי מה אתה מחשיב "סביר") ומדובר על עבודה ארוכה או עבודה שדורשת כמות שעות כל חודש, אז עבודה כזו יכולה להיות הכנסה מעולה לכסות מספר הוצאות שחוזרות כל חודש (שכר דירה/משכנתא, מיסי רשויות), וכדאי לסגור דיל. מצב נוסף שכדאי לקחת בחשבון – חברה מפורסמת עם פוטנציאל לעבודות עתידיות שם.
  2. … אבל מצד שני, אם אחרי כל הקיזוזים שהם חובה ("שותפים טבעיים") ובקיזוז מה שהמפנה גוזר מביא אותך לרף התחתון של המחירון שלך ומטה, או שהוא אומר את המילים "Back to Back", אני ממליץ לך לשקול היטב אם בכלל לקחת את העבודה הזו.

לסיכום: יש דברים שאי אפשר להתחמק מהם, כמו תשלומי מסים. אם מוצהר שאתה מרוויח נניח 10K בחודש, המסים שלך יהיו אחוז מסוים ולא תוכל להתחמק מזה. לעומת זאת, אם הולכים לגזור עליך קופון, בין אם אתה שכיר או עצמאי, כדאי שתחשוב ותחשב מה אתה מקבל תמורת אותו קופון שגוזרים עליך, והכי חשוב – אם זה שווה את זה או ששווה להתאמץ ולחפש משהו אחר.

הדרך לפרוץ לתשתית הפנימית שלכם

כל מי שקורא חדשות טכנולוגיות, שמע בוודאי על מקרים של נסיונות פריצה לחברות גדולות ולנסיון גניבת מידע, תוכניות, קוד ועוד מהתשתית הפנימית של חברות שונות. בואינג, איירבאס, נאסא, ועוד חברות וארגונים ציבוריים, פרטיים וממשלתיים נחשפו שוב שוב לתקיפת המערכות שלהן, למרות שאותן מערכות כלל אינן מחוברות לאינטרנט.

כפרילאנסר, אני במקרים רבים צריך לבקר בחברות לצרכי ישיבות בנושאים שונים. באותם מקרים, אין כמובן גישה ל-LAN של החברה בתוך חדר ישיבות ואם אתה רוצה חיבור לאינטרנט, יש WIFI מיוחד ל"אורחים". אתה מתחבר לאותה נקודת WIFI, מקבל מסך EULA, מסכים לתנאים ואז יש לך גישה לאינטרנט ללא גישה לאינטרה-נט של החברה. (לא תמיד. מדהים לגלות כמה אנשי IT משתמשים באותו DNS פנימי גם ל-WIFI שהוא GUEST, ואז כשמראים להם מה ניתן לגלות בעזרת פקודת dig פשוטה – הם המומים).

הבעיה מתחילה בכך שכמישהו חיצוני מקצועי מגיע לחברה עם המחשב הנייד שלו והוא צריך להתחבר ל-LAN כדי לבצע פעולות מהמחשב הנייד שלו. אני יכול לאמר לכם שכמות הפעמים שהייתי צריך בעבר לעשות זאת וקיבלתי "לא" – היתה קטנה מאוד. בדרך כלל התנו לי את זה בכך שאני לא אהיה מחובר במקביל לאינטרנט דרך הטלפון הסלולרי לדוגמא (hotspot).

וכאן מתחיל הפספוס הגדול.

הסינים, הרוסים, האיראנים ושלל מדינות נוספות (גם ידידותיות או "ידידותיות") רוצים לקבל נתונים על התשתית הפנימית של חברות בטחוניות, צבא, משרדים בטחוניים, מוסדות פיננסיים ועוד. כל מה שהם יכולים להשיג – מבורך. מכיוון שברוב המקרים אין להם גישה לתשתית הפנימית, הם משתמשים בטריק פשוט שאותן חברות שציינתי בתחילת הפוסט – סבלו מהן. הטריק פשוט מאוד: לפרוץ למחשבים של קבלן המשנה/עצמאי ולשתול שם מספר תוכנות שירוצו ברקע, וכשיהיה חיבור מהמחשב הנייד דרך LAN או WIFI לתשתית כלשהי, התוכנות האלו יתחילו לרוץ, לסרוק את הרשת ולחפש כל דרך לקבל מידע. המידע שהם יצליחו לקבל דרך אותם כלים ישמר מקומית במחשב הנייד וברגע שאותו מחשב נייד יחובר לאינטרנט, אותן תוכנות ישדרו את הנתונים בחזרה לגוף הפורץ וימחקו את הנתונים מהדיסק הקשיח המקומי. כך הסינים הצליחו לגנוב המון תוכניות ומידע והרוסים הצליחו לדוגמא לפרוץ לתחנות כח בארה"ב.

חברות רבות מנסות לחסום את ההתחברות הזה דרך כתיבת נוהלים, והפצתן. השיטה הזו לא עובדת. תארו לכם שיש מצב שיש תקלה קריטית ומגיע מישהו מקצועי שצריך להתחבר ב-SSH או RDP לשרת. בעיתות כאלו, אף אחד לא יתייחס לנוהל ואותו מישהו מקצועי יתחבר עם המחשב הנייד שלו. ראיתי זאת לא פעם ולא פעמיים.

אז מה ניתן לעשות? להלן כמה רעיונות:

  • Whitelist לכל כתובות ה-Mac Address של המכונות בחברה. כן, זה תהליך ארוך ומייגע (אם כי יש כלים ושיטות לאסוף כתובות MAC ולהזין אותם למתגים/נתבים) ולאפשר התחברות אך ורק ל-MAC "מולבן".
  • שימוש ב-Disk On Key. אם האיש המקצועי רוצה להעתיק קבצים לדוגמא, ובדיקת הקבצים לאחר ההעתקה לפני הטמעתם.
  • שימוש בתוכנת Guacamole עם 2FA: אם מקבלים עזרה מבחוץ, זה כלי שבהחלט יכול לעזור. בשיטה זו התקשורת מוצפנת ואינה עוברת באופן "טבעי" (כך שאם יש פריצה לדוגמא ב-RDP, זה לא ממש משנה, כי הכלי בתוך Guacamole אינו חלק מ-Windows), ואם השרת שצריך לתקן הוא Windows, עדיף להשתמש ב-VNC ולחבר אותו ל-Guacamole, כך שתוכלו לראות מה בדיוק נעשה. שימו לב: עניין ה-2FA מאוד חשוב.
  • השתדלו להימנע מלהשתמש בכלי שליטה מרחוק מקומיים (Any desk, Team viewer) – בחברות רבות כלים אלו מותקנים ואינם מעודכנים כלל וכלל, מה שיכול לאפשר פריצה מרחוק "בשקט".
  • אם מישהו צריך להתחבר ב-SSH, תנו לו רק לאחר שתריצו את screen או tmux, כך תוכלו לדעת מה הוא עושה.
  • אל תשתמשו בתוכנות מאתרים ישראליים. במקרים רבים התוכנות שם ישנות ויש להן פריצות. במיוחד לא תוכנות כמו ammyy admin!
  • הנהלת-IT/מנמ"ר/CTO – דאגו להורות כי כל חיבור מחשב חיצוני יחובר רק לאחר שמחלקת אבטחת מידע מאשרת, רק אם אין ברירה ובזמן החיבור שיהיה ניטור LAN מאותה כתובת IP.

לסיכום: לרוב האנשים אין ידע עמוק ב-OS Internals שמותקן במחשב הנייד שלהם, וכשגוף עוין גדול רוצה לפרוץ, הוא ימצא את הדרך לפרוץ (ושום אנטי וירוס לא ממש יעזור, ברוב הזמן כלי ההגנה לא ממש יודעים לזהות כלים כאלו), ולכן מחובתכם לנעול את המערכות שלכם ולא לאפשר חיבור ציוד חיצוני אם התשתית היא רגישה/מסווגת/סודית, במקרים של אין ברירה, אני ממליץ לשקול את הנקודות שציינתי לעיל.

כשאין נסיון מספק בתחום

בעבר, לאלו שעובדים כשכירים, בתחום ה-IT החיים היו יחסית פשוטים: בדרך כלל היו מחפשים אנשים עם נסיון עשיר ב-Windows, קצת נסיון בתקשורת, נסיון באפליקציות נלוות (אופיס, Exchange, Sharepoint וכו'), אם אפשר – נסיון כלשהו בלינוקס, ויש סיכוי סביר שהיית מתקבל לעבודה. ברוב המקומות, גם אם לא היה לך נסיון מספק ב-Windows אבל עברת איזה קורס והיית מכוון לאיזו משרת ג'וניור ב-IT, היו מוכנים לקבל אותה לאיזו משרה זוטרה.

כפרילאנסר – החיים מאוד דינמיים ומאוד תובעניים. ככל שאתה מכוון ליותר "גבוה" לפרויקטים והזדמנויות רווחיות – אתה צריך "להשיל" תחומים מסויימים בגלל שהשוק באותם תחומים מוצף בעצמאים שיהיו מוכנים לתת מחיר תחרותי מאוד. לדוגמא: תחזוקת מכונות Windows Desktop או תחזוקת שרתי Windows – יש מספיק בשוק שיציעו מחירים של 70-150 לשעה. אם אני אבקש "מאות" שקלים לשעה, ההצעה תידחה ולכן בדברים כאלו צריך לוותר ולכוון לדברים היותר רווחיים – קונטיינריזציה, עננים ציבוריים, כלי CI/CD, אוטומציה, אינטגרציית לינוקס, מערכות  משובצות, HPC, Scale Out, אחסונים גדולים (מעל פטה) ועוד.

בכל הנושאים שהזכרתי לעיל, עצמאי שמציע שרותים לחברות ועסקים, חייב נסיון. יש אפס תקופת התלמדות. "ראיון העבודה" הוא בעצם אותה שיחת טלפון שנציג מהעסק מרים טלפון ומפרט מה הוא מחפש. במהלך אותו "ראיון" הנציג מתרשם מהיכולות ומהידע ומהבטחון שאתה משדר לגבי היכרות התחום והידע המקצועי בו ומהצד השני אתה, כעצמאי, צריך להתרשם מאותו נציג כמה הדברים רציניים והאם יש פה איזה "בשר", האם מדובר בפרויקט רלוונטי קרוב או שזה משהו שהם חושבים להקים ב-2025. אם התקדמתם לאספקטים פיננסיים, מקדמות וקבעתם להתחיל לעבוד – בפגישת העבודה מחפשים שתפגין את הידע שלך פה ועכשיו. אם תחמנת ואין לך באמת את הידע – אתה שרוף.

רבים חוששים ומתקשים למצוא עבודה עקב חוסר נסיון עם הידע שלהם במקומות עבודה. אני אנסה לתאר את הבעיה מהצד שלי כעצמאי: יעצתי בעבר לבנק גדול ולחברת אשראי גדולה בנושאי קונטיינריזציה, אבטחת מידע בנושא ועוד. אני יכול לציין שמות חברות (הן נמצאות בדף הלקוחות) אם ישאלו אותי, אבל אני לא יכול לפרט אלו דברים בדיוק יעצתי ולאיזה מחלקות בבנק ובחברת האשראי – בגלל NDA. מצד שני, אם אתה קורא את הבלוג הזה ואתה מציץ בערוץ הוידאו שלי בעברית, תוכל לראות איך אני מקים מערכות הדגמה כאלו, וכך תוכל לראות שיש לי ידע באותם נושאים שאני מציע בהם שרות.

וזה רלוונטי גם לשכיר: אם נניח יש לך נסיון קודם, יבקשו ממך שם ממליץ וסביר להניח שירימו אליו טלפון לשאול האם באמת יש לך נסיון. אותו ממליץ לא יתאר את המערכות שיש בחברה בפרוטרוט עקב סודיות, דבר מובן מאליו, אבל הדבר החשוב לאותו בודק המלצה זה לדעת האם באמת יש לך את הידע והאם אתה יודע לבצע Troubleshooting.

אז איך אפשר בעצם לתרגם ידע ל"נסיון" גם אם אין לך דה-פאקטו נסיון של כמה שנים בחברה קודמת? פשוט. פרסום עצמי. ברגע שאתם מפרסם פוסטים על נושאים שונים בנושא שאתה רוצה לעסוק בו ויש לך ידע מהלימוד הביתי שלך – אנשים יכולים להבין שיש לך נסיון. אתה כן יכול לחפש לך שאלות באתרים כמו Stack Exchange ואם יש לך תשובות, אז אתה יכול לענות שם, אבל מה שיותר חשוב – זה לכתוב פוסט על הבעיה שהשואל העלה, ואיך לפתור את אותה בעיה (עדיף עם צילומי מסך).

וכך, כשכיר, בעת הראיון, אתה יכול לאמר את האמת: אין לי נסיון בנושא X מחברה קודמת, אבל יש לי ידע טוב בנושא X ואתה יכול לקרוא בעצמך את הפוסטים שכתבתי בבלוג שלי בכתובת XYZ. בשביל המראיין, הפוסטים האלו מראים את הידע שלך, ואת העובדה שאתה יכול לפתור בעיות. אותו דבר לגבי מפתח – פוסטים עם קישורים ל-Github עם קוד משלך עוזר הרבה יותר מ-1001 המלצות, גם אם מדובר בסקריפט BASH פשוט, באוטומציה פשוטה וכו'. מישהו יכול לראות, להתרשם, ואז להמשיך במסלול עד לחתימת חוזה עבודה איתך.

עוד נקודה לשכירים – להכיר תחומים או דברים מסויימים ברמת ה-Overview וברמת תפעול כלשהי: כשכיר, יש סיכוי שהולך וגודל כל הזמן שתצטרך לעבוד (בין אם ב-IT או ב-Devops) מול ענן ציבורי כלשהו, ורוב החברות עובדות מול ענן ציבורי אחד. יחד עם זאת, יש סיכוי לא קטן שבחברה אחרת שתעבוד, הם עובדים עם ענן ציבורי אחר, ולכן, בזמן שאתה עובד באותה חברה נוכחית, תתחיל להכיר את העננים Azure, GCP, AWS ואם אתה צריך הדרכה אונליין, הנה קישור Referral שיכול לעזור לך להכיר את העננים האחרים, כך שאם ישאלו אותך אם יש לך נסיון ב-AWS לדוגמא, תוכל לענות "כן".

לסיכום: זה שאין לך נסיון בחברה קודמת בתחום שאתה רוצה לעבוד בו, לא אומר שלא ניתן למצוא עבודה. אתה כן יכול להראות את הידע שלך, את כישורי פתרון הבעיות שצצות באמצעים אחרים כמו פוסטים בבלוג, וידאו, מדיה חברתית ועוד. נכון, זה לא אותו דבר כמו ממליץ, אבל יש מראיינים מקצועיים רבים שמוכנים להציץ בדברים שאתה כותב ולהתרשם. נכון, זה יכול להוריד את סכום המשכורת שישולם לך, אבל עדיף סכום נמוך יותר מאשר אפס.