Kim są etyczni hakerzy? "Nie działamy dla pieniędzy i sławy"

Etyczni hakerzy są Polsce bardzo potrzebni

- Niemal na każdej stronie internetowej ze zbioru [X] [a chodzi o instytucje państwowe, red.] wykryliśmy już podatności na cyberataki - mówią nam etyczni hakerzy. Trzeba bić na alarm: jasno widać konieczność systemowego wsparcia etycznych hakerów. By było ich więcej, by wykrywali luki w systemach, by przez to nasz internet był bezpieczniejszy. I by mieli zachęty do pracy i rozwoju.

Robert Kruczek i Kamil Szczurowski są niezwykle zdolni, pełni entuzjazmu, zdeterminowani, by znajdować zagrożenia w aplikacjach, programach, sprzętach, które używamy. I tłumaczą, że to co robią, ma służyć ludziom i Polsce. Ich bożkiem nie są pieniądze i sława.

Jednocześnie wskazują na to, że Polska powinna stworzyć system wsparcia. Spokojnie, ale rzeczowo tłumaczą: etyczni hakerzy znajdują więcej motywacji do pracy za granicą. Polska powinna wprowadzić system zachęt.

Nie trzeba dodawać, jak bardzo ważne jest to teraz, gdy Polskę atakują także zagraniczne służby specjalne, z Rosji, Białorusi, Chin.

Etyczni hakerzy, na konferencji NASK Secure 2026 prezentowali zgromadzonym zagrożenia, związane ze współczesnymi cyberatakami.  Jest ich bardzo dużo i przez cały czas powstają nowe – hakerzy szukają luk bezpieczeństwa, by mogły zostać naprawione.

Po prezentacji zapytaliśmy ich o to, czym zajmuje się etyczny haker i czy skala podatności na ataki, luk, w które mogą wedrzeć się cyberprzestępcy, jest naprawdę duża?

***

Agnieszka Kamińska, PolskieRadio24.pl: Kim jest etyczny haker?

Robert Kruczek, etyczny haker: To osoba, która weryfikuje za nas bezpieczeństwo aplikacji i urządzeń w sieci – tych, których używamy na co dzień. A po zlokalizowaniu podatności na ataki, zgłasza je do odpowiednich instytucji albo do producentów danego sprzętu czy technologii.

Kamil Szczurowski, etyczny haker: Taka osoba działa z pobudek etycznych, moralnych. Nie pracuje dla zarobku ani dla sławy. Działa na zasadzie chęci naprawienia czegoś, a nie zyskania na tym.

Robert Kruczek, etyczny haker: Tak, to dobre podsumowanie etycznego hackingu.

PolskieRadio24.pl: Dlaczego etyczny hacking jest potrzebny? Dlatego że używamy wielu programów, które mają dużo wad i bez ich wykrywania nie będziemy bezpieczni? To właśnie musimy sobie uświadomić?

RK: Etyczni hakerzy są potrzebni, od kiedy pojawiły komputery, a zwłaszcza Internet – to jest naturalna kolej rzeczy.

KS: Jednak w Polsce potrzebny jest przede wszystkim system, który będzie takie osoby będzie wspierać. Gdyż dotychczas… jakby to  ująć, działały one trochę na pograniczu prawa oraz bez żadnej gratyfikacji, która mogłaby nagrodzić ich ciężką pracę i ich badania. Gdy będziemy nagradzać, to będziemy tych ludzi naprawdę zachęcać do pracy.

Można tu przywołać chociażby inicjatywy typu Bug Bounty. Programy te płacą za znajdowanie błędów, luk w systemach. Prowadzą je Google, także Facebook, Apple. Poprzez takie konkursy ludzi zachęca się do tego, żeby znajdowali błędy i zgłaszali je etycznie, czyli do dostawcy, a nie próbowali sprzedawać na różnych innych rynkach, np. czarnych rynkach.

Czy informatycy, ludzie zajmujący się cyberbezpieczeństwem, mają w sobie taką naturalną potrzebę, żeby badać programy pod tym kątem? Szukają luk?

RK: Myślę, że nie. To jest kwestia bardzo indywidualna. Znamy sporo programistów, którzy w żaden sposób się tym nie interesowali. A co ciekawe, popełniali niestety takie błędy. I na przykład ja je im znajdowałem… Jedna osoba lubi tworzyć programy, druga osoba woli psuć...

KS: To czasem podział ról. Programista stara przełożyć swoją wizję na działające programowanie, a tester stara się upewnić, że będzie ono bezpieczne dla użytkowników i dla dostawcy.

Upewnię się: zapewne nie jest łatwo zostać dobrym inspektorem sieci, ale czy w ogóle to jest w zasięgu przeciętnej osoby, która chciałaby się tym zająć? Jest to dbanie o bezpieczeństwo. Bywa zapewne bardzo żmudne, jest trudno.  Jakie warunki trzeba spełnić?

RK: Jeśli chodzi o wykształcenie czy potencjalnie posiadaną wiedzę - na pewno warto pracować w branży IT. Pentesterami (testerami penetracyjnymi) zostały osoby, które pracowały wcześniej w roli programisty administratora sieciowego… Są pewnie także inne przykłady.

KS: Droga każdej osoby może być różna, nie ma żadnych specyficznych wymagań. Przede wszystkim: trzeba umieć się tym zajmować. A wykształcenie czy certyfikaty nie grają pierwszych skrzypiec.

Po tym, gdy posłuchałam Panów prezentacji na konferencji NASK Secure 2026, myślę że trzeba mieć w tym zawodzie poczucie misji: że chce się zrobić coś dobrego dla społeczeństwa. To bardzo inspirujące także dla innych. W dodatku to poczucie misji nie jest dane raz na zawsze: trzeba je ciągle w sobie pielęgnować.

RK: Tak. Myślę, że gdyby nie ta chęć, zapewne działalibyśmy za granicą.

KS: Polska na tym rynku często nie będzie tak konkurencyjna. Często opłacałoby się szukać pracy w innych miejscach, które płacą za znalezione błędy, zachęcają do pracy np. przez możliwość otrzymania nagrody. A tutaj wiadomo było od początku, że nie będzie to w odpowiedni sposób to nagrodzone.

RK: Musieliśmy działać w imię tego, żeby było lepiej w Polsce.

I tak przypomina o sobie kluczowy wniosek, który tutaj już padł: że potrzebne jest bardzo wsparcie dla takiego środowiska. To niezwykle ważne.

RK: Były informacje o tym, że z ramienia Ministerstwa Obrony Narodowej możliwy będzie program rodzaju Bug Bounty. Miałby on jednak być zamknięty, dla konkretnej grupy osób. Nie wiem, czy takie plany ma rząd – resort obrony to tylko jeden sektor.

KS: Trzeba, by strona rządowa zwracała uwagę na ten obszar, na etyczny hacking. Znalezienie problemu to jedna rzecz. A naprawienie go, najlepiej systemowo, to drugie wyzwanie.

Tym bardziej że bardzo duża jest skala problemów. Wszędzie można znaleźć jakąś podatność na ataki?

KS: Myślę, że idealnie można by zobrazować sytuację, opisując, jak skończyła się ostatnia próba researchu.

RK: Wygenerował wiele zgłoszeń do CERT.

KS: By pokazać skalę problemu: na domenie X [b. ważnej dla Polaków, red.]  łatwiej wskazać podmiot, którego nie testowaliśmy, niż taki, w którym nie wykryliśmy podatności na ataki. Tu coś widzieliśmy, tu coś znaleźliśmy…

To zatrważające. I to bardzo ważne.  Należy podjąć działania ochronne. Miejmy nadzieję, że odpowiednie instytucje zdają sobie sprawę z zagrożeń.

Dodajmy też, każdy program wymaga monitoringu. Potrzebują go również aplikacje, programy, których używają internauci prywatnie.

RK: Oczywiście. Brakłoby nam jednak życia, by testować te wszystkie programy non profit.

KS: W przypadku prywatnych aplikacji, często zagrożeniem są wtyczki do programu. To potem oczywiście dotyka prywatne osoby.

Wniosek: przeciętna osoba powinna zdawać sobie sprawę, że różne programy mogą mieć podatności na ataki, że nie są one wykluczone. Czy można coś zrobić, by chronić się na wszelki wypadek? Trzeba przecież korzystać z Internetu. Ważne są aktualizacje: o tym już wiele osób wie.

KS: Jeśli chodzi o bezpieczeństwo, takie indywidualne, tu zagrożeń jest teoretycznie mniej. Używamy telefonów od dostawców, takich jak Apple, systemów operacyjnych, od dostawców Apple czy Microsoft – oni dbają o to bezpieczeństwo. Jako jednostki niewiele możemy zrobić.

Z oprogramowaniem niewiele można zrobić, ale też mam na myśli pewne zachowania, których warto unikać. W czasie prezentacji na konferencji NASK Secure 2026 pokazywali Panowie przykłady znajdowanych na szybko w sieci formularzy, programów, które zawierały pułapki. Nie warto pobierać programów, aplikacji w pośpiechu, bez sprawdzenia informacji o nich.

RK: Do tego podchodźmy z większą rozwagą. Postarajmy się znaleźć programy wiarygodne, znane, bo tak minimalizujemy ryzyko. A jeśli jakiś program nie jest przez nas używany przez długi czas, usuńmy go. 

Uderzyła mnie też obserwacja, że nasze programy wymagają ciągłego sprawdzania. Nie wszyscy chyba mają tego świadomość.

RK: Wspominaliśmy, że trzeba wykonywać takie testy bezpieczeństwa, czasem testy penetracyjne. Przydatne mogą być nawet testy automatyczne - wskażą chociażby informacje o tym, że wersja oprogramowania jest już nieaktualna od roku.

KS: Ważna jest też edukacja: administratorów, deweloperów. To pomaga długofalowo, buduje świadomość sytuacji i zapobiega powstawaniu problemów u podstaw.

RK: Bądźcie bezpieczni.

KS: I zwracajcie na bezpieczeństwo szczególną uwagę.

Bardzo dziękuję. Powodzenia!

• Zgłoś oszustwa, phishingi i smishingi. Szef NASK: jeśli rozpoznałeś, ochronisz innych

Rozmawiała Agnieszka Kamińska, PolskieRadio24.pl