Czy płacą im za włamania do serwisów internetowych? Na czym polega praca etycznych hakerów z red team?

Ataki na sieci komputerowe (w tym Wi-Fi), łamanie haseł i stosowanie broni cybernetycznej (ang. exploity). Tak wygląda codzienność specjalistów w cyberbezpieczeństwie ofensywnym. Jak dostać się do tej branży i jakich zarobków się spodziewać, wskazuje druga edycja raportu „Cybersecurity. Rynek pracy w Polsce 2023” wydanego przez HRK i HackerU.

Atak pożądaną umiejętnością

Red team zawodowo imituje działania hakerów i opiera się na technikach ofensywnych. Eksperci mogą stosować różne metody, a ich celem jest uzyskanie nieautoryzowanego dostępu do sieci, serwerów, aplikacji czy stacji roboczych poprzez testy penetracyjne (tzw. pentesty). Stosują także inżynierię społeczną, np. przez phishing (atak poprzez maila), vishing (atak poprzez telefon). Zespoły wyspecjalizowane w cyberbepieczeństwie potrafią symulować ataki wymierzone w systemy, oprogramowanie, a nawet w poszczególnych pracowników firmy. Dlaczego? Dzięki temu wykrywane są luki w zabezpieczeniach i słabe punkty bezpieczeństwa danej organizacji. Wykrycie niebezpieczeństw pozwala później naprawić luki zanim znajdą i wykorzystają je cyberprzestępcy.

Z doświadczenia wiem, że taka praca może być bardzo emocjonująca i momentami wygląda jak w filmach, np. kiedy podszywając się pod pracownika IT wchodzimy do budynku i próbujemy wyciągnąć wrażliwe dane z serwerowni. Podczas samych pentestów, gdy przełamujemy perymetr i pokonujemy kolejne warstwy zabezpieczeń, także można poczuć pewien dreszczyk emocji. Do tych wszystkich działań, oprócz specjalistycznej wiedzy, potrzebne są także pasja, zaangażowanie i ciągłe dokształcanie się. Doświadczenie potwierdza, że dobrego cyberspecjalistę cechuje również chęć ciągłego rozwoju, podążanie za trendami rynkowymi oraz skuteczna praca w zespole.

Maciej Cieśla, Head of Cybersecurity HackerU

Zawodowo łamią zabezpieczenia

Transformacja cyfrowa, dynamiczny rozwój nowych technologii i sektora IT sprawiły, że zmieniły się nasze społeczne oraz biznesowe potrzeby. Ochrony danych i zasobów wymagają już nie tylko globalne korporacje, ale również lokalne przedsiębiorstwa. Firmy poszukują usługodawców wyspecjalizowanych w ochronie IT, w tym przedstawicieli red teamów, którzy profesjonalizują się w atakach odtwarzających zasoby hakerów. Badanie przeprowadzone przez HRK oraz HackerU wśród ponad 500 przedstawicieli branży IT pokazało, że cyberbepieczeństwo jest jednocześnie najbardziej pożądaną i najlepiej płatną wśród specjalizacji.

Zapotrzebowanie na specjalistów wzrosło w porównaniu do ubiegłego roku. Cybersecurity jest gwarancją stałego rozwoju, ponieważ powstają nowe specjalizacje jak AI, popularny ChatGPT, Blockchain, kolejne technologie chmurowe. Jednak wciąż najczęściej zwraca się uwagę na bezpieczeństwo aplikacji mobilnych i webowych, a także infrastrukturę. Jednak na rynku nadal brakuje praktyków w tym zakresie.

Maciej Cieśla, Head of Cybersecurity HackerU

Czy wysokie zarobki to mit?

Średnie wynagrodzenie w branży cybersecurity jest konkurencyjne i stopniowo przyciąga nowych kandydatów. W badaniu „Cybersecurity. Rynek pracy w Polsce 2023” zauważalny jest wzrost poziomu wynagrodzeń w najwyższych widełkach płacowych (powyżej 20.000 zł brutto miesięcznie). W porównaniu z rokiem 2021 zmniejszyła się również liczba osób, których zarobki utrzymują się w granicach
5.001 zł a 10.000 zł brutto miesięcznie. Wysokość płac wiąże się z inflacją i oczekiwaniami pracowników, którzy mają ponad 3-letnie doświadczenie w branży bezpieczeństwa. Na taką zmianę miały jednocześnie wpływ wzrost oczekiwań kandydatów aplikujących na pozycje juniorskie oraz wysoki popyt na kandydatów.

Źródło: „Cybersecurity. Rynek pracy w Polsce 2023”, HRK, HackerU.

Jak zostać etycznym hakerem?

Biorąc pod uwagę rozwój usług cyfrowych, zapotrzebowanie na nowych pracowników, a także wciąż zbyt małą liczbę kandydatów zainteresowanych rozwijaniem kariery w IT, wynagrodzenia pracowników zespołów zajmujących się cyberbezpieczeństwem nadal będą rosły. Dlatego pracą związaną z bezpieczeństwem IT interesują się nie tylko kandydaci z doświadczeniem, ale też pasjonaci bez specjalistycznego wykształcenia, którzy zainteresowania przekuli na karierę zawodową.

Potrzeby rekrutacyjne związane z bezpieczeństwem IT stale rosną. Przy obecnej obserwacji dynamiki rynku, liczbę miejsc pracy w szeroko rozumianym cyberbezpieczeństwie szacuje się na ok. 7. 400. W drugim i trzecim kwartale tego roku spodziewamy się intensyfikacji ofert pracy w tym obszarze. Obecnie specjalizacja ta jest otwarta na osoby z mniejszym doświadczeniem, zatrudniając pracowników tuż po specjalistycznych kursach na stanowiska juniorskie. Wiele firm decyduje się także na kształcenie własnych kadr - organizuje programy stażowe, inwestuje w szkolenie pracowników. Największym zainteresowaniem cieszą się kandydaci z doświadczeniem oraz eksperci posiadający kompetencje managerskie, dzięki którym mogą zarządzać bieżącą pracą oraz rozwijać własne zespoły.

Mikołaj Zbudniewek, Executive Director w zespole HRK ICT

O badaniu:
Raport powstał w oparciu o badanie przeprowadzane we wrześniu i październiku 2022 roku wśród pracowników związanych z sektorem cybersecurity. W badaniu wzięło udział ponad 500 specjalistów, ekspertów i managerów zajmujących się zagadnieniami związanymi z bezpieczeństwem IT. Dane zostały pozyskane za pomocą ankiet internetowych (CAWI) oraz wywiadów telefonicznych (CATI). Autorami publikacji są HackerU oraz HRK S.A.