Pentesterzy często nazywani są etycznymi hakerami. Ich praca polega na tym, że włamują się do firm, które im jeszcze za to płacą. Najczęściej przeprowadzają kontrolowane ataki na system teleinformatyczny. Czasami próbują też fizycznie wejść do budynku firmy. Później składają swoim klientom raporty o lukach. Wszystko po to, by dało się je załatać, zanim odkryją je prawdziwi hakerzy.
Podobną pracę wykonują bugbounterzy. Oni z kolei szukają błędów w oprogramowaniu. Zdaniem Mirosława Maja z Fundacji Bezpieczna Cyberprzestrzeń, nie można sobie wyobrazić funkcjonowania współczesnych firm bez obecności przedstawicieli obu zawodów. – Trudno zabronić właścicielom systemów, by sprawdzali, czy są podatne na ataki. Poza tym trzeba sobie zadać pytanie, czy jesteśmy w stanie powstrzymać zwykłą ciekawość ludzką polegającą na szukaniu luk i błędów. Moim zdaniem nie – mówi Mirosław Maj.
Kary od Ziobry
Szyki pentesterom i bugbounterom mogło pokrzyżować jednak Ministerstwo Sprawiedliwości. Pod koniec ubiegłego roku wniosło do Sejmu nowelizację kodeksu karnego, która głównie miała ułatwić pozbawianie przestępców korzyści osiągniętych z naruszeniem prawa. Przy okazji resort postanowił zaostrzyć przepis, którego etyczni hakerzy obawiają się od lat.
Dotąd przewidywał on karę do trzech lat więzienia za to, czym zajmują się właśnie pentesterzy i bugbounterzy, czyli za „wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia przestępstwa". Resort postanowił podnieść maksymalną karę do pięciu lat pozbawienia wolności. W uzasadnieniu do projektu można było przeczytać, że zmiana jest podyktowana implementacją jednej z dyrektyw unijnych.
Zmiana wywołała zaniepokojenie w portalach branżowych zajmujących się bezpieczeństwem. „Uwaga pentesterzy i bugbounterzy: chowajcie swoje majątki!" – ostrzegał portal Niebezpiecznik.pl. Jego zdaniem z wcześniejszych zapowiedzi rządu wynikało, że przepisy nie zostaną zaostrzone, lecz złagodzone.