44 biliony gigabajtów – tyle w 2020 roku ma wynosić suma cyfrowych danych wytworzona przez internautów. Jak podaje International Data Corporation, użytkownicy sieci podwajają ilość publikowanych w internecie treści każdego roku. Dzisiejsze systemy IT przechowują m.in. informacje o naszym stanie zdrowia i konta bankowego, zeznaniach podatkowych, płatnościach elektronicznych czy połączeniach telefonicznych. Rośnie więc potrzeba zapewnienia tym danym należytego bezpieczeństwa. Między innymi dlatego obecna liczba pentesterów w Polsce nie zaspokaja potrzeb rynku.
– Od ręki znalazłbym miejsce pracy dla 10 czy 20 dobrych pentesterów – mówi Adam Haertle, założyciel Zaufanej Trzeciej Strony i ekspert w dziedzinie bezpieczeństwa IT (ITSec). To jednak tylko kropla w morzu branżowych potrzeb. Jak podkreśla Haertle, legalnych hakerów szukają zarówno duże firmy, które badają bezpieczeństwo wewnętrznych systemów, jak i mniejsze organizacje, wykonujące testy na zlecenie innych podmiotów.
To poziom etyki odróżnia pentesterów od hakerów
Krzysztof Bierówka, pentester z firmy Securitum, osobom spoza świata IT mówi, że zapewnia bezpieczeństwo użytkownikom sieci. Niestety takie wyjaśnienie nie zawsze przemawia do jego rozmówców, bo część osób po prostu nie wie, że ich dane mają jakąś wartość. – Wtedy wyciągam asa z rękawa i mówię, że dbam o to, aby ich pieniądze w banku były bezpieczne. To zawsze działa - zdradza.
Bierówka twierdzi, że zaufanie to podstawa w tej branży. – Poziom abstrakcji, z jakim spotykamy się na co dzień w pracy i wszelkie umowy, w tym te o poufności, powodują, że nie możemy otwarcie rozmawiać o naszym życiu zawodowym - mówi.
Również Daniel Kalinowski, pentester z ISEC, w rozmowach ze znajomymi stara się unikać wchodzenia w szczegóły swojej pracy i tłumaczenia, czym zajmuje się etyczny haker. – Zrobiłem to kilka razy i dostawałem przez to telefony w stylu: “Ej, a nie zhakowalbyś Facebooka tej czy tamtej osoby?” – opowiada. Osobom nietechnicznym mówi więc, że jest po prostu informatykiem.
Ile można na tym zarobić?
Eksperci twierdzą, że stawki w zawodzie pentestera z pewnością są i będą wyższe niż w pozostałych sektorach branży IT, bo przedstawicieli tego zawodu jest po prostu mniej niż administratorów danych czy programistów. – Na umowę o pracę w dużym mieście pentester może zarobić 15–20 tysięcy zł miesięcznie. A najlepsi dostają wielokrotnie więcej – mówi Adam Haertle.
Czytaj także: Polscy hakerzy najlepsi na świecie
Takie kwoty działają na wyobraźnię informatyków, choć Daniel i Krzysztof zgodnie twierdzą, że to nie pieniądze skusiły ich do wyboru tego zajęcia. – Jak w każdym zawodzie, tak i tu można przyjść dla pieniędzy. Trzeba jednak mieć na uwadze, że istnieje szereg zawodów związanych z IT, które są mniej wymagające niż praca pentestera – ocenia Krzysztof. – Jeśli ktoś zostaje pentesterem tylko ze względu na zarobki, to długo nie zagości w tej branży – dodaje Daniel.
Pentesterzy to częściej ex-programiści niż ex-hakerzy
Pentesterzy najczęściej trafiają do tego zawodu z innej gałęzi IT. Tak było w przypadku Krzysztofa Bierówki, który po uzyskaniu dyplomu technika informatyka został administratorem systemów. Dopiero 5 lat temu, po przeszło dekadzie pracy na stanowisku admina, zaczął specjalizować się w ITSec. Odkrył, że szukanie słabości i błędów systemów nie tylko sprawia mu przyjemność, ale także znacząco poszerza jego umiejętności.
Czytaj także: Atak hakerski na ministerstwo finansów
Daniel także do zawodu pentestera trafił już jako doświadczony pracownik IT. Zainteresował się bezpieczeństwem systemów informatycznych, pracując jako programista tworzący aplikacje. – Przeglądałem kod źródłowy i szukałem w nim błędów bezpieczeństwa. Można pokusić się o stwierdzenie, że teraz robię to samo, tylko po drugiej stronie barykady. I zawsze zgodnie z prawem – tłumaczy. Kalinowski od 3 lat pracuje jako pentester i to właśnie bezpieczeństwo aplikacji mobilnych jest jego specjalnością.
Przydaje się nie tylko wiedza techniczna
Coraz częściej słyszy się o wyciekach wrażliwych danych, więc dobry pentester musi zawsze być o krok przed cyberprzestępcami. Wiąże się to z koniecznością stałego pogłębiania wiedzy technicznej. Wymarzony kandydat na to stanowisko powinien też mieć świadomość biznesową, a niestety rzadko zdarza się, aby te umiejętności szły ze sobą w parze.
Czytaj także: Rosyjscy hakerzy atakują
– Idealny pentester to taki, który spędził setki, a nawet tysiące godzin na przełamywaniu zabezpieczeń różnorakich systemów. Powinien też rozumieć, jakie ryzyko dla klienta wiąże się z wykrywanymi przez niego błędami oraz jaki wpływ może mieć jego badanie na funkcjonowanie organizacji zleceniodawcy. Dopiero wtedy może tak pokierować swoimi pracami, aby przynieść klientowi jak największą korzyść – opowiada Adam Haertle z Zaufanej Trzeciej Strony.
Bierówka dodaje, że tacy ludzie potrafią zaoszczędzić dla firmy setki tysięcy złotych. – Dobre decyzje projektowe owocują mniejszymi kosztami po wdrożeniu – twierdzi.
Jak dostać się do zawodu pentestera?
Krzysztof mówi, że prowadzenie pentestów to zdecydowanie zajęcie dla samouków. Dobrze, jeśli pentesterzy dodatkowo legitymują się certyfikatami, jak np. OSCP albo kończą studia na kierunku programowanie, budowa systemów IT, automatyka czy robotyka, ale nie jest to koniecznością. – Żyjemy w fajnych czasach, w których dostęp do informacji jest łatwy i niedrogi. Bez wychodzenia z domu udało mi się ukończyć np. kurs z kryptografii organizowany przez Uniwersytet Stanforda – opowiada.
Czytaj także: Szwajcarzy szukają hakerów
Daniel zaznacza jednak, że ukończenie kursów to za mało, żeby wejść do zawodu pentestera i być w nim dobrym. – Pentester musi cały czas doszkalać się na własną rękę, bo informatyka rozwija się tak szybko, że bycie na bieżąco jest coraz trudniejsze i wymaga olbrzymiego zaangażowania. Mi pomaga na przykład słuchanie technicznych podcastów – mówi Daniel.
Natomiast początkującym pentesterom eksperci polecają udział w tzw. CTF-ach (ang. Capture The Flag), czyli konkursach, w których grupy specjalistów rywalizują między sobą, rozwiązując zagadki z zakresu ITSec. Uczestnictwo w takich zawodach znacząco zwiększa szanse na rozpoczęcie kariery jako pentester – brali w nich udział zarówno Daniel, jak i Krzysztof. Warto także ćwiczyć w domu: budować własne systemy, szukać ich słabości, a następnie opracowywać metody naprawiania błędów.
Czy warto uczyć się tego zawodu? Adam Haertle twierdzi, że zarówno początkujący, jak i doświadczeni pentesterzy nie powinni obawiać się o swoją przyszłość. – Automaty szybko dobrego pentestera nie zastąpią – puentuje.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl