Már most is jól fizető állások tömkelegét kínálják kiberbiztonsági szakembereknek, de a Cybersecurity Ventures egy tavalyi jelentése nagy robbanást jósol a kiberbiztonsági munkaerőpiacon. A felmérés azt állítja, hogy 2021-ig megháromszorozódik a be nem töltött IT-biztonsági munkahelyek száma. Ez új távlatokat nyit a független hibavadászok előtt. A HackerOne idei Hacker-Powered Security Reportja ezzel összhangban a hibavadász programokban kifizetett díjak 6 százalékos emelkedését mérte.

78 ezer bejelentés – 11 millió dollár

A jelentés szerint a vizsgált időszakban több mint 78 ezer bejelentés érkezett HackerOne keretrendszerén keresztül, amit több mint ezer szervezet használ a hibavadász programjához. A bejelentések 6 százaléka kritikus, 39 százaléka közepes veszélyességű, míg a 23 százaléka alacsony kockázatú sérülékenységet tárt fel. Ezekért összességében 11,7 millió dollár jutalmat fizettek ki a platformon keresztül.

Az átlagos jutalom 2041 dollár volt (2016-ban még csak 1923 dollár). Az emelkedés annak is köszönhető, hogy a feltárt kritikus és súlyos sebezhetőségek száma 22 százalékkal nőtt ugyanezen időszak alatt. A HackerOne-on a vizsgált időszakban 116 bejelentett sérülékenységért fizettek ki legalább 10 ezer dollárt. 

Az elnyerhető díjak nem csak a hiba súlyától, hanem számos más tényezőtől is függnek. Ennek megfelelően egyenetlen a díjak eloszlása is. Mindössze a hibavadászok 1 százaléka éri el azt a szintet, hogy átlagosan 20 ezer dollárt kapjon egy-egy súlyos hibáért. Nagyjából tizedük olyan szerencsés, hogy akár 6 ezer dollárt is kaphat, míg 60 százalékuknak 1-2 ezer dolláros díjjal kell beérni.

A technológiai ipar kattant rá legjobban

Tavaly 75 ezer dollár volt a legnagyobb összeg, amit kritikus hibáért kifizettek. Ez igencsak szép pénz, de a HackerOne adatai szerint idén már ezt sikerült túlszárnyalni: volt olyan hiba az év első felében, amelyért 100 ezer dollárt fizetett egy szervezet. A tavalyi csúcstartó fehérkalapos hekker egyébként nem egy hibáért kapta a díjat. Három olyan sérülékenységet talált, amiket összekapcsolva egy új támadási módszer prototípusát is elkészítette. A támadási módszerrel személyes adatokat és banki információkat lehetett volna megszerezni.

Az egyes szektorok eltérő mértékben becsülik meg az etikus hekkereiket. A leghálásabb a kormányzati szektor 3982 dolláros átlaggal, szorosan nyomában a technológiai szektor 3635 dollárral. Igencsak szűkmarkú a utazási és vendéglátási ágazat (668 dollár) és a fogyasztási cikkekhez kötődő ágazatok (880 dollár).

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

Feltűnő lehet a pénzügyi és biztosítói szektorban fizetett alacsony díj (1118 dollár) is, de itt figyelembe kell venni, hogy ezek a cégek elsősorban azoknak a nagy IT-szállítóknak a felhasználói, melyek hagyományosan a legtöbbet költenek a hibavadász programjaikra, és a kormányzati szektor után a legjobban értékelik a vadászok munkáját. A HanckerOne eddigi története során messze a technológiai szektor fizette ki a legtöbb jutalmat, összesen 20 millió dollárt, több mint dupláját, mint az összes többi szektor együttvéve.

A legtöbb biztonsági kutató az Egyesült Államokban dolgozik, és az amerikai cégek fizetik ki a legtöbb jutalmat. De nem ott lehet a legjobban keresni ezzel a tevékenységgel, már ha a helyi viszonyokat nézzük. A helyi átlagos szoftverfejlesztői fizetéshez képest Indiában éri meg legjobban biztonsági résekre vadászni: egy etikus hekker akár 16-szor is többet kereshet, mint egy szoftverfejlesztő mérnök. Az Egyesült Államokban 2,4 a szorzó, míg a legkisebb különbség Romániában és Szaúd-Arábiában van, ott mindössze 1,2-szer lehet többet keresni szabad vadászként, mint a kötött munkahelyen fejlesztőként. Az is igaz persze, hogy a hibakeresők bevételei bizonytalanok, egy szoftverfejlesztőnek pedig minden hónap végén utalnak.

Az állam is beszáll

Nagyjából az elmúlt egy évtizedben kezdtek rászokni arra a cégek, hogy önkéntes biztonsági szakembereket is bevonjanak termékeik sérülékenységeinek feltárásába. A módszer meghonosításában elévülhetetlen érdemei vannak a Mozillának és a Google-nek. Az ötletet némileg gazdasági kényszer szülte: sokkal olcsóbb egy közösségre bízni a biztonsági tesztelést, és akár magas jutalmat fizetni minden egyes feltárt sérülékenységért, mint fenntartani méregdrágán egy belső csapatot. Ráadásul a külsősök még jóval motiváltabbak is.

A HackerOne is a koncepció sikere nyomán jött létre, eredetileg a Microsoft, a Google és a Facebook társultak, hogy létrehozzanak egy egységes, szabványosított biztonságirés-bejelentő platformot. Hasonló célt szolgál a Bugcrowd, amely mögött szintén állnak nagy piaci szereplők.

A kormányzati szervek némi késéssel, de szintén bekapcsolódtak a bug bounty-versenybe. A legnagyobb hírverést a két éve meghirdetett Hack the Pentagon projekt kapta, amely hatásos belépője volt a kormányzati bug bounty-programoknak.