Každý z nás, kto podniká online, chce mať svoje svoje dáta v bezpečí a hlavne funkčný, dostupný web 24/7 počas celého roka. Čo ale v prípade, ak sa staneme obeťou hackerského útoku? Teraz si mnoho z vás povie – „môj malý webík / eshopík si nikto nevšimne a nepriateľov nemám, takže nič mi nehrozí, som v bezpečí“ Je tomu ale naozaj tak? Proti takýmto zlým hackerom sa našla partička dobrých hackerov, ktorí proti ním bojujú v online svete. Je to projekt zo Slovenska s názvom – Hacktrophy. Vykonný riaditeľ Hacktrophy Roman Jazudek nám prezradí ako a kedy vznikol projekt, čo je jeho cieľom, a kto je v projekte zapojený.
Roman, za akým účelom a kedy vznikol projekt Hacktrophy? + kto všetko sa na projekte angažuje?
Roman: Cieľom HT je umožniť aj stredne veľkým firmám u nás zlepšiť si stav bezpečnosti ich online projektov (webov, aplikácií, IoT…). Doteraz mali menšie firmy limitované možnosti ako penetračné testy, či bezpečnostné audity, ktoré sú pomerne drahé.
S Hacktrophy prichádza možnosť sústrediť sa na preverenie kvality webu, či aplikácie z bezpečnostného hľadiska a za nižšiu cenu. Za projektom stoja renomovaní hráči na poli IT bezpečnosti u nás – spoluzakladatelia firiem Eset, Nethemba či Citadelo. Vznikla tak zaujímavá situácia, keď sa v HT spojili priami či nepriami konkurenti s víziou podporiť projekt, ktorý je minimálne v strednej Európe unikátny.
Pre koho sú vaše služby? Fráza „ja mám malý eshop / web, mne sa to stať nemôže“ – platí podľa Teba aj v praxi? Máte v tomto nejaké štatistiky útokov a napadnutých webov?
Roman: Využiť služby HT môže v podstate ľubovoľná firma podnikajúca aspoň čiastočne v online oblasti – eshop, developerská firma, cloud, CRM, platobný, stávkový či herný portál… Ak ste napríklad eshop, ktorý narába s citlivými údajmi (napr. osobné, platobné, účtovné či projektové dáta), cez Hacktrophy vám etickí hackeri overia kvalitu zabezpečenia vášho projektu.
Ak nájdu v kóde, či v zabezpečení bezpečnostné diery (tzv. zraniteľnosti), detailne vám ich nahlásia a vy si ich opravíte a uhradíte za to hackerovi odmenu. V Basic programe tak platíte len v prípade, ak vám niekto nahlási relevantnú zraniteľnosť.
Kto sú to tí zlí hackeri a čo vlastne všetko dokážu urobiť? A v porovnaní akí sú aj tí dobrí hackeri a ako spolu bojujú?
Roman: Zjednodušene možno rozdeliť hackerov na zlých (čiernych), etických (dobrých alebo bielych) a haktivistov, ktorí sa venujú najmä aktivitám s politickým presahom. Motiváciou zlého hackera je získať profit z hacknutia, prípadne poškodiť hacknutú stranu.
Keďže naučiť sa aspoň základné pravidlá hackovania dokáže v podstate ľubovoľný „itčkar“, neprekvapuje, že zlých hackerov sú vo svete milióny. Etických hackerov, ktorí sa snažia pomáhať firmám zlepšovať ich IT bezpečnosť je menej, keďže ešte nedávno nemali príliš veľa možností na realizáciu.
Projekty ako Hacktrophy sa snažia túto dieru zaplátať a zmenšiť tak obrovskú nevýhodu, v ktorej sú bežné firmy, pôsobiace na internete, voči zlým hackerom.
Mám záujem o vaše služby – čo všetko musím urobiť a splniť, aby všetko fungovalo ako má?
Roman: Snažili sme sa udržať Hacktrophy čo najjednoduchšie pre používanie. Pre firmy, ktoré si vedia obhospodáriť komunikáciu s etickými hackermi samé, sme pripravili službu Basic, ktorá je bezplatná. Stačí sa zaregistrovať, vytvoriť tzv. bug bounty projekt, v ktorom si firma stanoví kde, čo a za akú odmenu majú hackeri hľadať, a projekt poslať administrátorom na zverejnenie.
Následne podľa neho začnú testovať váš web, či aplikácie hackeri, zaregistrovaní na HT. Ak nájdu bezpečnostnú dieru, nahlásia vám ju, vy si ju opravíte a zaplatíte mu cez HT vopred stanovenú odmenu. Ak vám nenájdu nič, nestojí vás HT taktiež nič. Pre firmy, ktoré nemajú vhodných špecialistov, slúži program Premium, kde vám so všetkým pomôžu za mesačný poplatok naši moderátori.
Viac informácií o tom, ako HT funguje nájdete tu: https://hacktrophy.com/ako-to-funguje/#client
Aký je cenník alebo teda podľa čoho sa vyrátava cena – ohodnotenie za prácu?
Roman: V Basic programe využívate HT zadarmo. Premium program s plnou podporou našich špecialistov stojí 200 e na mesiac, pričom prvých 14 dní je zadarmo. V oboch programoch potom platíte len za relevantné nájdené bezpečnostné diery, ktoré spĺňajú vaše zadanie.
Každá odmena sa fakturuje zvlášť, pričom súčasťou je naša fixná 20 %-ná provízia z danej odmeny. Výhodou tiež je, že máte možnosť upraviť výšku odmien podľa svojej vôle a nastaviť maximálny mesačný limit na odmeny. Ak si teda určíte, že na odmeny nedáte viac ako 1000 eur mesačne, hodnota hlásení od hackerov nemôže presiahnuť túto sumu.
Akých máte doposiaľ klientov? Dostali ste sa aj do zahraničia?
Roman: Projekt sme spustili len pred 2 týždňami s tým, že na samotný začiatok sme spustili 3 vlastné projekty na hľadanie bezpečnostných zraniteľností. Aj samotné Hacktrophy tak podlieha testovaniu etických hackerov. V týchto dňoch sme začali oslovovať spoločnosti, pričom viacero z nich už čoskoro spustí ďalšie projekty. Ide najmä o developerské spoločnosti, banky, platobné portály a eshopy.
Na vašom webe máte aj e-book na stiahnutie s témou: Základy IT bezpečnosti pre firmy. Môžeš nám v skratke opísať čo tam nájdeme? 🙂
Roman: Ako som spomenul vyššie, náš minuloročný prieskum nám ukázal, že až príliš veľa firiem u nás podceňuje dôležitosť IT bezpečnosti. Nevedia napríklad, že od mája 2018 začne platiť výrazne sprísnená európska legislatíva, ktorá firmy zaviaže k dôslednejšej ochrane osobných dát, lepšiemu testovaniu online systémov, a tiež výrazne zvýši pokuty.
Preto sme sa rozhodli firmám pomôcť a pripravili eknižku (nielen) so základnými pravidlami IT bezpečnosti pre firmy. Získate ju jednoducho – stačí sa u nás zaregistrovať => www.hacktrophy.com
