A világon már több mint 30 ezer IT szakember tett már sikeres vizsgát etikus hackelésből...
Fehér kalapban ■ Ebben az egyre inkább ellenséges informatikai biztonsági környezetben várhatóan nagy szükség lesz olyan etikus hackinggel foglalkozó szakemberekre, akik tisztában vannak a vállalati rendszerek sebezhetőségeivel és tanácsot tudnak adni a legkülönbözőbb támadások elhárításának módjairól.
Az etikus vagy "fehérkalapos" hackelés (amelyet a rosszindulatú hackerekre alkalmazott feketekalapos hacker kifejezéssel állítanak szembe) mint professzionális foglalkozás már elfogadottá vált az elmúlt évitzedben. A fogalmat elterjesztő International Council of Electronic Commerce Consultants (EC-Council) módszertana alapján tartott tanfolyamokon világszerte már több mint 80 ezer embert oktattak, és 87 ország több mint 30 ezer IT szakembere tett már sikeres vizsgát etikus hackelésből (Certified Etical Hacker - CEH).
Minősített oktatás ■ Magyarországon az EC-Council hazai képviseleteként a NetAcademia Oktatóközpont foglalkozik etikus hacker képzéssel, ahol 2007 óta közel száz szakembert képeztek minősített etikus hackerré; az oktatók között van egyébkként az EC-Council hivatalos nemzetközi tankönyvének egyik szerzője, Barta Csaba is. Az intenzív, 40 órás oktatást követően - amelyhez nem ártanak az alapos informatikai ismeretek - a résztvevőknek maguknak kell felkészülniük a vizsgára. Az alapvizsgát követően pedig több további szakirányban - így például csalásfelderítést vagy informatikai hálózati védelmet - tanulhatnak tovább a biztonsági szakemberek.
Fóti Marcell, a NetAcademia Oktatóközpont vezetője a Bitport kérdésére elmondta: az etikus hacker képzésen az elmúlt években csaknem kizárólag vállalati informatikusok vettek részt, ami azt mutatja, hogy a jelentősebb informatikai infrastruktúrával rendelkező hazai nagyvállalatok már rájöttek arra, hogy költeniük kell arra, hogy az informatikai, illetve biztonsági szakembereik képben legyenek a legfontosabb fenyegetésekkel kapcsolatban, így hatékonyabban tudnak ellenük védekezni is.
Az EC-Council képzése Fóti Marcell szerint mind a mai napig szabványnak számít a biztonsági iparágban; a konkurens minősítések közül a hazánkban képzési rendszerrel nem rendelkező, gyakorlatorientált SANS vizsgát emelte ki.
Nincs automatikus belépő ■ Nemzetközi minősítést ugyan nem ad, de a Kürt Zrt. oktatási részlege, a Kürt Akadémia már harmadik alkalommal indítja el szeptemberben két féléves etikus hackerképzését, amelyre egy évben legfeljebb huszan jelentkezhetnek. A 240 órás képzés részeként a hallgatók éles helyzetekben, valós projektekben is kipróbálhatják az elsajátított fogásokat, a végzett hallgatók pedig a Nemzeti Biztonsági Felügyelet (NBF) által jóváhagyott etikus hacker képesítést kapnak.
A képzésben végzett szakemberek részvételével az Akadémia egy kutató-fejlesztő tudásműhelyt is létrehozzott HackLab néven, ahol a Kürt Akadémia etikus hackerei biztonsági fejlesztéseken dolgoznak, és megosztják egymással szakmai tapasztalataikat.
Bár az elmúlt években a két helyről már százas nagyságrendben kerültek ki végzett etikus hackerek, a drága tanfolyam nem feltétlenül jelent automatikusan belépőt az informatikai biztonsági szakértők klubjába. Bár a válság kapcsán egyre több olyan informatikai biztonsági tanácsadó cég jelent meg a piacon, amelyek az etikus hackelést is a zászlajukra tűzték, valójában 4-5 olyan cég van jelenleg Magyarországon, amely komolyan foglalkozik a vállalatok informatikai sérülékenységeinek vizsgálatával, és ezeknél körülbelül harminc etikus hackeléssel (is) foglalkozó szakember dolgozik.
Sok a tévhit ■ "A hackerekkel kapcsolatban máig sok tévhit él, így például az, hogy ők rossz emberek, és jelentős informatikai jártassággal rendelkeznek. A valóságban egyik állítás sem igaz: a hackerek döntő többsége jó ember, mindössze a többséghez képest másképpen gondolkozik, szereti elhagyni a járt utat a járatlanért, és felfedezni valamilyen rendszer hiányosságait" - hangsúlyozta Papp Péter, az informatikai biztonsággal foglalkozó Kancellár.hu Zrt. elnöke, aki magánszemélyként a legnagyobb régiós hackerkonferencia, a Hacktivity jogtulajdonosa is. Más hackerkonferenciákhoz hasonlóan a Hacktivity résztvevői nem - a feltűnést különben sem kedvelő - feketekalapos hackerek, hanem döntőrészt professzionális, "etikus" szakemberek, valamint a téma iránt érdeklődők közül kerülnek ki.
Papp Péter szerint olyan is csak a hollywoodi filmekben van, hogy kiberbűnözők átállnának a jó oldalra, és profi tanácsadóként vállalnának munkát; a „fehérkalapos” hackereket pont az erkölcsi normák betartása különbözteti meg a „feketekalaposaktól”, ezen pedig nem lehet egyik pillanatról a másikra változtatni. Itthon erre nem is akadt még sikeres példa, és külföldön is csak néhány ismert eset van, mint például a börtönt is megjárt Kevin Mitnick, aki ma már a biztonsági konferenciák sztárelőadója. Ezzel együtt a hackerek is egyre kevésbé „magányos zsiványok”: a jövőben maguk az államok toborozhatnak majd maguknak hackerhadsereget – mint ahogy azt ma már többek között Kína vagy az Egyesült Államok is teszi, de már itthon is pedzegetik a témát.
