Všetko to začalo v roku 2013, keď sme sedeli s Tomášom Zaťkom v našej prvej “kancelárii”, prenajatej zasadacej miestnosti veľkosti 3 x 5m2, na Lazaretskej a brali sa za firmu. Tou sme fakticky ešte neboli, ale už sme túžobne očakávali ohlásenie o registrácii Citadela s.r.o. Kávovar sme nemali, ale mali sme Senchu a “Matéčko”, ktoré nám dodávali energiu napísať správu pre klienta v OpenOffice, bez šablóny.
Na pomoc s projektami nám prišiel “Alino” (Marek Alakša) a navzdory fyzikálnym zákonom sa nám podarilo do kancelárie vtesnať tretí stôl. Rýchlo na to sme usúdili, že keď sme teraz tá “veľká korporácia”, zaslúži si Tomáš samostatnú kanceláriu, čiastočne aj preto, že stále telefonoval a riešil biznis. A tak sa nám uvoľnilo miesto pre ďalšiu juniorskú posilu, ktorou bol Martin “Momo” Orem. Poučení minulosťou, dostal vzhľadom k priestoru detský stolík z kuchyne, zákaz telefonovania a motivačný plagát. Teraz, ako mnohočlenný tím, sme boli pripravení ísť hacknúť banku. Keď sme tam došli, posadili nás vo vývojárskom open space k malému stolíku s rozbitými stoličkami a miesto sľúbeného testovacieho iPhonu nám dali Windows phone. Tieto drobné technické obtiaže nás v hackovaní nezastavili, ani vtedy a ani v ďalšom kole, keď nás pre zmenu posadili ku kávovaru na fit-loptu. A tak sme hackli prvú banku!
Rozrastali sme sa a tak po nás HR Lucia neustále chcela aby sme jej spísali technické otázky pre uchádzačov, my sme mali, ako technici, iné plány. Zhodli sme sa, že nechceme teóriu, ale prax a hlavne aby to za nás odviedol počítač a tak v roku 2014 vzniklo naše prvé CTF (Catch the Flag). Nethemba bola naša veľká konkurencia, preto sme s nimi chodili na pivo. Závideli sme im, že nemusia robiť štátne projekty, pretože my sme ich spočiatku robiť museli. Pre imitáciu firemnej kultúry sme na komunikáciu oficiálne používali Jabber OTR, ale interne SILCi. Tiež nám napadlo, že by sme mali zdieľať, čo nám v kancelárii hrá za hudbu, aby s nami vývojári u zákazníka mohli lepšie prežívať testovanie ich aplikácií. A tak sme založili naše last.fm.
Ani projektový management pri našej veľkosti “nadnárodnej korporácie” už nebol jednoduchý, tak sme si projekty museli označiť na „tabulu.“ Ale aby sme mali aspoň nejaký projektový management a nemuseli medzi hackovaním telefonovať a mailovať, prizvali sme si v roku 2015 Mareka Patáka. Tvrdil nám, že je Princ2, najprv nám tabuľu prepísal do Excelu, potom nám miesto metalu púšťal Depeche Mode a nakoniec nás začal biť palicou po hlave kvôli termínom.
Martin Leskovjan nám zatiaľ z Prahy priniesol 2 čierne kufre ako z akčných filmov, v ktorých boli InteliGen NT kontrolery (riadiace jednotky pre zabezpečenie bezpečného monitoringu kritickej infraštruktúry) z ComAp-u so slovami “Je to síce zadarmo, ale chceli by vidieť, čo všetko by ste s tým vedeli urobiť.” A potom nás s Alinom zavreli na mesiac do malej čiernej zasadacej miestnosti. No urobili sme im s tým doslova všetko. Napísať report nám potom trvalo týždeň a klientovi prečítať ešte dlhšie. Ale odvtedy sa kamarátime.
Ako sa na “korporácie” nášho rozsahu patrilo, vybrali sme sa na nejaké tie konferencie. Najprv na Zero Nights do Moskvy, kde nám na fotku kývol Alexander “Solar Designer” Peslyak. A potom pre veľký úspech sme šli ešte na konci roka aj na OWASP Amsterdam, kde sme sa pri futbálku stretli s Nicolas Grégoire.
V roku 2016 prišiel Leskič s tou najlepšou demonštráciou, ktorú sme kedy mali - s vyhackovanou priehradou. Malí plastoví mužíčkovia, ktorí nespočetnekrát položili svoje životy na zvýšenie bezpečnostného povedomia na odborných konferenciách a pomohli nám tak otvoriť dvere do white hackingu energetického priemyslu.
Keď zákazníci v lete dovolenkovali a nebolo toľko práce, chodili sme sa vzdelávať do Krakova na Confidence. Hlavne grilovať na pláži a socializovať sa, napríklad s ľuďmi z Akami, ktorí nám demonštrovali neuveriteľné schopnosti hľadanie správnej cesty (domov) bez ohľadu na stav (intoxikáciu) systému a ešte pri tom rozprávali o novinkách v návrhu pre TLS. Tieto udalosti v nás vzbudili myšlienku vlastnej akcie a tak sme vytvorili Citadelo Security Evening (CSE). Už na prvom večeri ľudia tlieskali naším prednáškam v stoji, pravdepodobne preto, že nebolo dostatok stoličiek v zasadacej miestnosti… následne nám potom, z bratskej solidarity, pomáhali až do rána dopíjať rum a whisky.
Pretože charakteristickým znakom “veľkej korporácie” je, že nie je čas stíhať veci, ktoré je treba urobiť, prišiel Tomáš s nápadom zaviesť 4DX. Pripadalo nám zvláštne robiť viac, keď nie je čas, ale fungovalo to. Boli zaznamenané procesy, zlepšili sa odhady a ešte zostal čas na FROG. Na konci roka bol “takmer dokonalý”.
A keď už Leskič nechcel v roku 2017 stále cestovať do Bratislavy a my sme zase chceli cestovať do Paralelní Polis na kávu za LTC, urobili sme si Citadelo CZ. Na pomoc sme prizvali Romana Rossu, aby Martin nesedel v Prahe tak sám. Naša expanzia tak nadobudla strategický charakter. A ako v každej slušnej korporácií sme znovu otvorili myšlienku firemných tričiek. Zelené polo tričká sa neujali a tak sme opäť skončili s mikinami. A aby sme mali nové mikiny komu predviesť a takisto aby sme sa naučili nové triky s Burpsuitom zavolali sme si Nicolasa Grégoira na školenie. Boli to super dva dni plné hackovania miešaných nápojov.
Od tej doby ubehol už nejaký čas a náš tím sa znásobil. Máme pentest roomy plné expertných hackerov, vznikli klasické oddelenia ako sales, marketing a HR. Dokonca máme aj Country Managerov, vzhľadom k lokalitám v Prahe, Bratislave i Zugu. Získali sme aj talentovaných Švajčiarskych investorov a z malých meetingových “kancelárií” sme vyrástli do právoplatných kancelárií. To najdôležitejšie ale je, že sme dokázali získať dôveru klientov nielen u nás ale aj po svete. Vyrástli sme v skúseného a stabilného partnera pre našich zákazníkov presne tak, ako sme si v meetingovke 3 x 5m2 na Lazaretskej, predstavovali. A už máme aj kávovar.
