Οι ηθικοί χάκερς ethicalhackers) είναι το επάγγελμα του μέλλοντος. Τρεις επαγγελματίες από την Ελλάδα εξηγούν στο kariera.gr τι επαγγελματικές δυνατότητες έχει κάποιος αν ασχοληθεί με τον τομέα της κυβερνοασφάλειας. 

Από την Μελπομένη Μαραγκίδου

Όταν ακούς τη λέξη “χάκερ” το μυαλό σου ίσως πηγαίνει σε κάποιον που βρίσκεται κρυμμένος σε κάποιο σκοτεινό υπόγειο, φορώντας μαύρη κουκούλα, τρώγοντας junk food και προσπαθώντας όλη μέρα να σπάσει τον κωδικό σου στο facebook. Η πραγματικότητα όμως δεν είναι έτσι για τους υπεύθυνους κυβερνοασφάλειας ή αλλιώς ηθικούς χάκερς. 

Πρόκειται για ένα από τα πιο περιζήτητα επαγγέλματα στην Ελλάδα και το εξωτερικό, ενώ είναι μάλιστα και ιδιαίτερα καλοπληρωμένο. Ένα επάγγελμα, που δεν έχει προαπαιτούμενες τις σπουδές, αλλά κυρίως την αφοσίωση και το ταλέντο. Συνάντησα τρεις εργαζόμενους στον τομέα της κυβερνοασφάλειας, οι οποίοι είναι και προπονητές της εθνικής μας ομάδας κυβερνοασφάλειας (ναι έχουμε!) ενόψει του European Cyber Security Challenge για να μάθω περισσότερα για το συγκεκριμένο κλάδο. 

Παύλος Κολιός, penetration tester

«Λειτουργούμε και όπως η δίωξη ηλεκτρονικού εγκλήματος, δηλαδή όταν συμβαίνει μία παραβίαση, μας καλεί μία εταιρεία για να καταλάβουμε πότε έγινε, από ποιον, και γιατί».

Είμαι εργαζόμενος σε μια εταιρεία η οποία ασχολείται γενικά με τον κλάδο της πληροφορικής, κι ένα κύριο κομμάτι της είναι το cyber security. Υπάρχουν διάφορα πράγματα με τα οποία μπορεί να ασχοληθεί κανείς στον τομέα της κυβερνοασφάλειας. Εγώ είμαι penetration tester. Αυτό που κάνω πρακτικά είναι να παρέχω συμβουλευτικές υπηρεσίες για ζητήματα κυβερνοασφάλειας. Με απλά λόγια υπηρεσίες σε μικρομεσαίες και μεγάλες εταιρείες που θέλουν να ελέγχουν την ασφάλεια είτε των υποδομών τους, είτε των εφαρμογών τους. 

Επίσης, ως penetration testers διενεργούμε σεμινάρια cyber security awareness, για να ευαισθητοποιηθεί το προσωπικό των εταιρειών πάνω σε ζητήματα κυβερνοασφάλειας. Αυτό είναι πολύ βασικό γιατί όσα συστήματα και να φτιάξουμε, πάντα ο άνθρωπος θα κάνει το λάθος, ώστε να καταφέρει να μπει κάποιος κακόβουλος στο σύστημα. 

Επίσης λειτουργούμε και όπως η δίωξη ηλεκτρονικού εγκλήματος, δηλαδή όταν συμβαίνει μία παραβίαση, μας καλεί μία εταιρεία για να καταλάβουμε πότε έγινε, από ποιον, και γιατί. 

Επιπλέον, αυτό που κάνουμε είναι να ασχοληθούμε και με την έρευνα πάνω στο κομμάτι της ασφάλειας, είτε για να γίνουμε καλύτεροι, και να έχουμε πλεονέκτημα σε σχέση με άλλες εταιρείες, είτε για να βρίσκουμε κενά ασφαλείας και να τα χρησιμοποιούμε προς όφελός μας έχοντας ανταγωνιστικό πλεονέκτημα. 

Αν κάποιος θέλει να ασχοληθεί με αυτό τον κλάδο σίγουρα βοηθάει το να μπει σε μια Σχολή Πληροφορικής. Υπάρχουν αρκετές σχολές στην Ελλάδα που έχουν και κατευθύνσεις που αφορούν το cyber security. Αλλά από εκεί και πέρα, όντας άνθρωπος που ακόμα δεν έχω τελειώσει το πανεπιστήμιο, είμαι στο 9ο έτος, αλλά εργάζομαι στον τομέα, θα πω ότι περισσότερο είναι το μεράκι που έχεις γι' αυτό το πράγμα. Βοηθάει το Πανεπιστήμιο, αλλά πρέπει να δίνεις εσύ κίνητρο στον εαυτό σου και να έχεις τη φωτίτσα μέσα σου που να σου λέει ότι “είμαι περίεργος και θα το ψάξω”. 

Θωμάς Τουμπούλης, penetration tester

«Η δουλειά μας είναι να ελέγχουμε είτε εφαρμογές είτε δίκτυα εταιρειών για το αν έχουν ευπάθειες που θα επέτρεπαν σε κάποιον να τους χακάρει».

Είμαι penetration tester. Η δουλειά μας είναι να ελέγχουμε είτε εφαρμογές είτε δίκτυα εταιρειών για το αν έχουν ευπάθειες που θα επέτρεπαν σε κάποιον να τους χακάρει. Εγώ έχω σπουδάσει Πληροφορική. Στην αρχή δούλεψα ως developer. Μου άρεσε όμως ο χώρος της κυβερνοασφάλειας και το είχα σαν χόμπι παίρνοντας μέρος σε διαγωνισμό για cyber security. Μετά βρήκα απασχόληση ως ερευνητής ασφαλείας. Κι έτσι από το 2016 ασχολούμαι πιο σοβαρά με τον κλάδο. Το υπόβαθρο που χρειάζεται να έχεις γι' αυτή τη δουλειά είναι γενικότερες γνώσεις για την πληροφορική και τους υπολογιστές, οπότε αν θες να ασχοληθείς με αυτόν τον τομέα καλό είναι να κάνεις το πρώτο βήμα με σπουδές στην Πληροφορική. Μετά η εξειδίκευση έρχεται είτε με την προσωπική ενασχόληση όπως έκανα εγώ που δεν έχω κάποιο μεταπτυχιακό, είτε με κάποιο μεταπτυχιακό πάνω στην κυβερνοασφάλεια. Πάντως, υπάρχουν διάφοροι τομείς που μπορεί να απασχοληθεί κανείς. Υπάρχουν εταιρείες που ασχολούνται αποκλειστικά με υπηρεσίες ασφάλειας. Και υπάρχουν μεγάλες εταιρείες που σε ένα μόνο κομμάτι τους έχουν την κυβερνοασφάλεια. Στην Ελλάδα δεν συναντάται τόσο συχνά, αλλά εταιρείες όπως η Facebook, η Google, η Twitter, για παράδειγμα έχουν μέσα δικούς τους ερευνητές ασφαλείας, για να ερευνούν τα δικά τους προϊόντα. Πάντως οι επιλογές για κάποιον ενδιαφερόμενο είναι πολλές. 

Στάθης Μπούκικας, Information Security Consultant

«Μέσα από διαγωνισμούς όπως το European Cyber Security Challenge (ECSC) γνώρισα το community κι έτσι ξεκίνησα δουλειά».

Έχω τελειώσει Πληροφορική κι έκανα μεταπτυχιακό στο Πανεπιστήμιο Πειραιά πάνω στο information security. Ύστερα, μέσα από διαγωνισμούς όπως το European Cyber Security Challenge (ECSC) στο οποίο είχα πάρει για πρώτη φορά μέρος το 2016 γνώρισα το community κι έτσι ξεκίνησα δουλειά. Τo cyber security έχει πάρα πολλούς τομείς, πολλά μονοπάτια να διαλέξεις. Μπορείς για παράδειγμα να γίνεις penetration tester, μπορείς να έχεις πιο θεωρητική κατεύθυνση και να γίνεις consultant, να κάνεις data protection, να ασχοληθείς με το GDPR. Υπάρχει και στην Ελλάδα και στο εξωτερικό πάρα πολύ μεγάλη ζήτηση για δουλειά. Είναι στα τοπ επαγγέλματα αυτή τη στιγμή.

Επίσης ένας αρκετά αναπτυσσόμενος τομέας της κυβερνοασφάλειας είναι το red teaming. Το red teaming το αναλαμβάνει μία ομάδα, η οποία προσπαθεί να προσομοιώσει ρεαλιστικές επιθέσεις που θα χρησιμοποιούσε ένας οποιοσδήποτε κακόβουλος επιτιθέμενος από τον έξω κόσμο προς έναν οργανισμό ή εταιρεία με σκοπό να πετύχει κάποιους συγκεκριμένους στόχους που έχουν τεθεί στο έργο. Για παράδειγμα εγώ έχω μία ομάδα που κάνουμε red teaming και με καλεί μία εταιρεία και μου λέει “θέλω με οποιοδήποτε τρόπο να μπεις σε συγκεκριμένο γραφείο στα headquarters μου”. Εσύ το προσπαθείς με οποιοδήποτε τρόπο, ακόμα και φυσικό. Μπορεί δηλαδή να πάω επί τόπου στην εταιρεία με σκοπό να “ξεγελάσω” την γραμματέα και να με αφήσει να μπω στο κτίριο ώστε να φτάσω στο στόχο που έχει τεθεί. Είναι πάρα πολλά τα πράγματα που μπορείς να κάνεις αν ασχοληθείς με την κυβερνοασφάλεια και σίγουρα καθόλου βαρετά. 

Image source: Gerd Altmann by Pixabay

Σχετικά άρθρα: εδώ