Ogłoszenie, które zaczynałoby się od słów "Zatrudnimy hakera", wyglądałoby na nieco tandetny chwyt marketingowy. Ale gdy brzmi: "Zatrudnimy na stanowisko Audytor Zabezpieczeń Aplikacji Webowych" lub: "Dla klienta, firmy z Katowic, poszukujemy osoby na stanowisko pentester", to otoczka taniej sensacyjności znika. A to jedynie dwa z dziesiątek aktualnych anonsów. Bo dziś zatrudnianie pentesterów i bug bounterów to codzienność.
Pentesty to próby przedarcia się przez zabezpieczenia sieci informatycznych, zaś bug bounty to znajdowanie błędów w programach. – Z usług takich ekspertów korzystają nie tylko przedsiębiorstwa, dla których bezpieczeństwo ma kluczowe znaczenie, jak np. banki. Coraz częściej w ten sposób testują się firmy z sektora usług medycznych czy telekomunikacyjnych oraz te, którym zależy na ochronie danych klientów, niezakłóconym działaniu i ochronie własności intelektualnej – mówi Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa w Deloitte w Polsce. – Pentesting jest legalny. Włamanie na zlecenie poprzedza podpisanie umowy, która określa zakres i głębokość ataku – tłumaczy Przemysław Krejza, dyrektor ds. badań w laboratorium informatyki śledczej Mediarecovery. Dodaje, że podobnie jest z wynajmowaniem bug bounterów: – Firmy, które chcą być przetestowane przez osoby z zewnątrz, same się ogłaszają. Decydują się na to, by mieć pewność, że systemy informatyczne – na których pracują lub które sprzedają – są bezpieczne.
Jednak ostatnio wokół tych metod dbania o bezpieczeństwo zaczynają pojawiać się kontrowersje. Bo z jednej strony Strategia Ochrony Cyberprzestrzeni RP, przygotowana przez Ministerstwo Cyfryzacji, zakłada prawne uregulowanie sytuacji bug bounterów i pentesterów. A z drugiej – nowy projekt kodeksu karnego przedstawiony przez resort sprawiedliwości, jak ostrzegają niektórzy eksperci od bezpieczeństwa sieciowego, może zaprowadzić pentesterów i bug bounertów za kratki nawet na 5 lat.
Czy rzeczywiście rząd kręci bicz na etycznych cyberwłamywaczy?
Reklama