IT業界資訊媒體

【獨家專訪】Ethical Hacker 可以是咁的

Hacker 不一定要穿 hoodie,不一定在漆黑中、電腦前不停打 code 的。」卡片上職位是 Senior Associate,其實就是 Ethical HackerMonie Sum 專程化個靚妝再襯條裙來做訪問,希望一洗大眾印象,包括自己親朋。「我也解釋了很多次,但總有家人及朋友不太明白甚麼是 Ethical Hacker。」大眾聽見「黑客/Hacker」聞風喪膽,而其實呢,Ethical Hacker 是專業人仕,PwC 就有幾十個,可以在中環 Big Four 會計師樓返工,團隊三份一是女生,更率先享受「靈活工作」計劃,彈性工作時間、衣著、地點,加上市場求才若渴,絕對是職場新貴。

「成黑之路」從「多手」開始

Monie Sum 「好地地」在 PwC 做審計,因手多多,開了一封不應開的電郵。「公司定期會發出釣魚郵件測試員工。雖然明知道是假的,但出於好奇,我有一次打開了。」如此就開出「成黑之路」,被公司派去參加 Awareness Training,認識何謂 Ethical Hacker,更一見鍾情,於是調職到 Cyber Security 部門受訓,由受害者變成攻擊者。「最初,我對網絡安全是一張白紙,學習過程有如海棉般不斷吸收。而我的第一個任務,就是幫客戶製作釣魚電郵,測試他們的員工,都有很多人中計。」

目標就是網絡世界更安全

Hacker 有好多種,一般稱壞人為 Black Hat(黑帽子),而好人稱為 White Hat(白帽子),亦即是 Ethical Hacker(道德黑客)。「Ethical Hacker 的目標,是保護客戶,令大家進步,讓網絡世界更安全。工作有如醫生幫人做身體檢查,企業想知道自己的網絡安全水平,我們就負責檢查、測試、報告及提供改善建議;亦有 Incident Response 服務,即事故應變及調查,有點似消防員救火;也包括 Physical Hack,例如假份員工、顧客試圖進入客戶辦公室內部。」黑帽搞破壞,白帽做建設,大家要分清。

【獨家專訪】Ethical Hacker 可以是咁的
Monie Sum, Senior Associate, Risk Assurance, PwC
這個 Hacker 不太冷

另一誤解,就是以為 Ethical Hacker 是一班御宅族,只會匿埋一角狂打 code,生人勿近。「我們的工作是為客戶提供服務、解決問題、保護客戶。我們會先與客戶溝通,了解其系統、業務特性,再度身訂造相關服務;亦會向客戶解釋其系統、網絡有何問題或弱點,建議改善方案,這都牽涉到與人溝通。」Ethical Hacker 工作絕不冰冷,亦解釋了為何審計公司會做網絡保安服務。「審計是解決財務管理問題,而網絡安全就是解決安全管理的問題。所以我可以用上做審計的 soft skill 及經驗的,並不是純技術性工作。」

Hack Machine, Hack People, Hack Yourself

Ethical Hacker 的工作有點似打機,順利過關會很開心,但總會遇到卡關的時候,那就要不斷吸收新知識新的武器,不停刺激自己。」Monie 認為技術知識固然重要,但思維更重要。「我認為做 Ethical Hacker 最重要的條件是一顆求學求進步的心,正如 Steve Job 的金句,要『求知若飢,虛心若愚(Stay hungry. Stay foolish)』,我們要 Hack MachineHack People,更要 Hack Yourself,突破自己是最困難的。」不斷 update upgrade 是這行最辛苦亦最有趣之處,如果你喜歡不斷挑戰不斷學習,Ethical Hacker 就最啱你了。

我們冇可能回到石器時代

「大家只會越來越重視網絡安全,意識到要保護自己,尤其是管理層意識到網絡安全並不只是 IT 部門的責任。」Ethical Hacker 的工作別具意義,Monie 亦對行業前景非常樂觀。「無論是人抑或一間公司,我們都冇可能回到石器時代,冇辦法避免接觸網絡世界。我們創造了網絡世界,很想去保護這個它,有趣的是,我們會將身份證、金錢、信用卡、鎖匙好好保護,但相反又不會好好保護自己的 USB、密碼或手機,大家真的必須加強網絡保安意識。」