Kdo je etický hacker a co je jeho prací
Slova jako hacker nebo etický hacker se ve společnosti skloňují každý den více a více. Mnoho lidí však stále neví, co hackerství znamená a jaký je rozdíl mezi hackerem a etickým hackerem. Předtím než si vysvětlíme, co je etické hackerství, si nejprve musíme říct základní rozdělení hackerů.
Hackeři se obecně dělí na tři typy:
- black hat hackeři,
- white hat hackeři,
- gray hat hackeři.
Black hat hackeři, také nazývaní blackhats, jsou ti zlí v hackerském světě. Blackhats neberou ohled na žádná pravidla, často ignorují zákony a nezáleží jim na tom, jaké škodu napáchají. Tito hackeři útočí převážně za účelem vlastního zisku.
White hat hackeři, jiným slovom etičtí hackeři, jsou hackeři, kteří svoje znalosti využívají na zlepšení kybernetické bezpečnosti určité firmy. Hloubkově skenují systémy a sítě, koukají na svůj cíl tak, jak by se koukali black hat hackeři a dokonce sa snaží přesvědčit zaměstnance firmy, aby klikli na link, který jejich počítač následně nakazí malwarem. K tomu všemu však mají povolení a to z těchto neetických činností dělá etické.
Gray hat hackeři představují střed mezi white hat hackery a black hat hackery. Tito hackeři hledají zranitelnosti v systémech bez jakéhokoli povolení nebo bez špatného úmyslu. Jako příklad gray hat hackera můžeme uvést někoho, kdo najde a využije bezpečnostní zranitelnost za účelem obeznámení veřejnosti o dané zranitelnosti. Aktivita gray hat hackerů je však též považovaná za ilegální.
Co dělá etický hacker?
Odhalování zranitelností a slabin ve webových aplikacích, v mobilních aplikácích, v systému nebo přímo u lidí. Toto všechno a ješte mnohem více je práce etických hackerů. Techniky, taktiky a postupy mají častokrát do detailů stejné jako neetičtí hackeři.
Etičtí hackeři vykonávají investigativu systému nebo sítě aby našli slabiny, které by mohli využít neetičtí hackeři. Sbírají a analyzují informace k tomu, aby našli způsoby jakými by mohli poslinit bezpečnost systému, sítě alebo aplikace.
Etičtí hackeři jsou najatí různými organizacemi, aby otestovali jejich systémy a sítě, detekovali a definovali bezpečnostní zranitelnosti, zjistili, jestli zavedené bezpečnostní opatření fungují tak, jak by měli a následně našli řešení, kterým by se dalo předejít jakékoli krádeži dat nebo podobnému incidentu.
Jaké jsou úlohy a povinnosti etického hackera?
Etický hacker (penetrační tester) se musí držet určitých pravidel na to, aby mohl hackování vykonávat legálně. Zkušený penetrační tester pozná svoje povinnosti a dodržuje všechny etické zásady.
Nejdůležitější pravidla etického hackerství:
- Etický hacker musí mít povolení od firmy, která vlastní systém, který je v rozsahu konkrétního testu. Hacker by měl obdržet kompletní souhlas před vykonávaním jakéhokoli bezpečnostního testu.
- Etický hacker musí odkomunikovat rozsah testování a postup jakým test bude vykonávat. Většinou se však využívají známe metodiky a standardy, jako například OWASP Web Security Testing Guide.
- Etický hacker musí nahlásit každé narušení bezpečnosti a každou zranitelnost, kterou v systému najde.
- Etický hacker musí udržet všechny zranitelnosti, které najde jen v kruhu lidí, kteří jsou odpovědní za kybernetickou bezpečnost dané firmy. Vzhledem k tomu, že jeho úlohou je ochránit systém, měl by souhlasit s dohodou o mlčenlivosti a respektovat ji.
- Etický Hacker musí odstranit všechny stopy testování po jeho ukončení. Jako například soubory, které vytvořil nebo uživatele, které vytvořil vzhledem k tomu, že by mohli vést k dalším potencionálním bezpečnostním rizikům.
Etické hackování existuje v různých podobách. V dnešním světě jsou to zejména tyto:
Web Application Hacking
- Webová aplikace je aplikace, kterou může uživatel zpřístupnit přes internet. Web Application Hacking je hledání a následné využívání zranitelností právě v takových aplikácích.
Infrastructure Hacking
- Infrastructure hacking je proces hledání a následného využívání zranitelností v elektronických systémech za účelem dosažení neautorizovaného přístupu k ním.
Wireless Network Hacking
- Wireless network hacking můžeme definovat jako útoky na bezdrátové sítě nebo přístupové body, které poskytují přístup k citlivým informacím jako například administrátorský portál.
Social Engineering
- Social engineering je výraz, který opisuje širokou škálu zlomyslných aktivit vykonávaných pomocí lidské interakce. Využíva psychologickou manipulaci na oklamání uživatelů, aby udělali bezpečnostní chyby nebo poskytli citlivé informace.
Security Reviews
- Bezpečnostní review individuálních systémů, síťových komponentů (firewall, switch) nebo konfigurace cloudových služeb a prostředí. Taková review se opírá o uznávané bezpečnostní standardy a dokáže odhalit miskonfigurace, které by potencionálně mohli vést k vážným bezpečnostním incidentům.
Red Teaming
- Kombinace všech výše uvedených podob etického hackingu. Jedná sa o několika týdenní až měsíční testování, které se soustředí na klientem určené cíle. Obvykle se rozdělí na individuální fáze do nasledující podoby:
- Phishing -> Infrastructure hacking (internal/external) -> Lateral Movement -> Data Exfiltration
Jak je vídět výše, cílem je simulovat kompletní řetěz útoků. Kromě samotné bezpečnosti systémů a obezřetnosti užívatelů/zaměstnanců (ve fázi Phishingu) se též vyhodnocuje efektivita bezpečnostních řešení (firewall, antivirus), ale i zaměstnanců oddělení jako například SOC (Security Operations Center).
Nejnovější články
Newsletter
Doporučená školení:
| Název školení | Délka školení | Volné termíny | Cena | |
|---|---|---|---|---|
| Interní auditor ISO/IEC 27001:2022 a NIS 2 - systém managementu informační bezpečnosti |
2 dny
|
23.03.2026
+ 4 dostupné termíny
|
9 900,00 CZK
11 979,00 CZK s DPH
|
Více o školení |
| Požadavky normy / Proškolení interních auditorů podle normy ISO/IEC 27001:2022 a NIS 2 |
1 den
|
23.03.2026
+ 4 dostupné termíny
|
7 500,00 CZK
9 075,00 CZK s DPH
|
Více o školení |
| Interní auditor ISO/IEC 42001:2023 a ISO 19011 - Systém řízení umělé inteligence |
2 dny
|
20.04.2026
+ 4 dostupné termíny
|
9 900,00 CZK
11 979,00 CZK s DPH
|
Více o školení |
| TISAX - Trusted Information Security Assessment Exchange |
2 dny
|
18.05.2026
+ 2 dostupné termíny
|
9 500,00 CZK
11 495,00 CZK s DPH
|
Více o školení |
| Kybernetická bezpečnost a požadavky normy ISO/IEC 27001 |
2 dny
|
Podle Vás
|
Na vyžádání | Více o školení |
| Cyber Resilience Act – Implementace CRA ve firmě bez paniky |
1 den
|
Podle Vás
|
Na vyžádání | Více o školení |
| AI governance: Udělejte z chaosu systém |
1 den
|
Podle Vás
|
Na vyžádání | Více o školení |
Mohlo by Vás zajímat:
- Externí manažer kybernetické bezpečnosti (outsourcing)
- TISAX - Informační bezpečnost dodavatelů v automotive
Podobné články
Proč váš IT administrátor nemůže být zároveň manažerem kybernetické bezpečnosti?
Manažer kybernetické bezpečnosti je strategická role odpovědná za řízení a dohled nad celkovým stavem informační bezpečnosti organizace, včetně identifikace rizik, implementace politik a zajištění souladu s legislativou. Naopak IT administrátor se primárně zaměřuje na provoz, údržbu a podporu IT infrastruktury. Podle normy ISO/IEC 27001 čl. 4.1, který definuje kontext a rozsah odpovědností v rámci řízení, je klíčové pochopit, že tyto dvě pozice vyžadují odlišné dovednosti, perspektivy a míru nezávislosti, což znemožňuje jejich efektivní sloučení do jedné osoby.
Směrnice NIS 2 a nová pravidla kybernetické bezpečnosti: Co je třeba vědět?
V digitální éře, kde kybernetické útoky ohrožují stabilitu celých sektorů, se ochrana sítí a informačních systémů stává prioritou číslo jedna. Evropská unie reaguje na tuto eskalující hrozbu zpřísněním legislativy.
ISO/IEC 42001:2023 - Řízení systému umělé inteligence
Umělá inteligence (AI) způsobila revoluci v mnoha odvětvích, ale její rychlý růst přinesl i obavy týkající se etiky, soukromí a bezpečnosti. Právě k řešení těchto výzev navrhla Mezinárodní organizace pro normalizaci a Mezinárodní elektrotechnická komise normu ISO/IEC 42001.