Co je etický hacker? Průvodce pro IT specialisty
Mnoho lidí si myslí, že etický hacker je prostě zločinec, který přešel na druhou stranu. Je to jeden z nejvíce zavádějících mýtů v IT odvětví. Co je etický hacker ve skutečnosti? Profesionál, který kombinuje pokročilé technické dovednosti s právní a obchodní odpovědností a jedná výhradně na zakázku a s formálním souhlasem. V tomto článku vysvětlíme definici etického hackera od základů, probereme právní aspekty, technickou realitu této práce v roce 2026 a to, co skutečně odlišuje dobrého pentestera od amatéra.
Obsah
-
Co je etický hacker a jakou roli hraje v kybernetické bezpečnosti
-
Proces a standardy práce etického hackera podle pokynů NIST a tržní praxe
-
Technické výzvy a specializace etického hackera v éře nových kybernetických hrozeb
-
Role etického hackera v moderní kybernetické bezpečnosti – víc než jen vetřelec
-
Nástroje a vybavení pro etického hackera dostupné v Sapsan Sklep
Klíčové závěry
| Bod | Detaily |
|---|---|
| Definice etického hackera | Legální specialista testující zabezpečení systémů se souhlasem vlastníka. |
| Nutnost formálního souhlasu | Písemné oprávnění chrání před trestní odpovědností a potvrzuje legalitu činnosti. |
| Proces podle NIST | Penetrační testy musí být strukturované a dokumentované ve čtyřech fázích v souladu s NIST SP 800-115. |
| Klíčové technologické hrozby | Ověřování zabezpečení se musí soustředit na server, aby chránilo před útoky typu BOLA. |
| Role obchodní komunikace | Etický hacker by měl převádět technické riziko do jazyka vedení společnosti. |
Co je etický hacker a jakou roli hraje v kybernetické bezpečnosti
Etický hacker, známý také jako pentester (z anglického penetration tester), je specialista na IT bezpečnost, jehož úkolem je simulovat útoky na informační systémy v kontrolovaných podmínkách. Jak přesně formuluje oborová definice: pentester simuluje útoky na systémy se souhlasem klienta, aby našel zranitelnosti. Klíčová slova jsou právě „se souhlasem“ a „aby našel zranitelnosti“ — tím se celá činnost odlišuje od kyberkriminality.
Oborové rozdělení hackerů se opírá o tzv. „kloboukovou“ klasifikaci:
-
White hat (bílý klobouk) — etický hacker jednající legálně, s plnou autorizací. Cíl: ochrana systémů a dat.
-
Black hat (černý klobouk) — hacker jednající bez souhlasu, obvykle pro finanční zisk nebo způsobení škody. Činnost je nelegální.
-
Grey hat (šedý klobouk) — specialista jednající bez souhlasu, ale s úmyslem informovat oběť o zranitelnostech, nikoli je zneužít. Právně nejednoznačná a v praxi riziková činnost.
Čím se liší etický hacker od crackera? Cracker je technický termín pro osobu, která bez autorizace prolamuje zabezpečení softwaru nebo systémů, často za účelem krádeže dat nebo pirátství. Etický hacker provádí technicky podobné akce, ale v právním rámci a s dokumentovaným souhlasem. Rozdíly mezi etickým hackerem a black hatem se redukují na jedno slovo: legalizace — formální dokument potvrzující rozsah a účel testů. Jak zdůrazňuje právo: etický hacker jedná v souladu se zákonem a má formální souhlasy k testům.
Rozsah činnosti etického hackera je široký. Zahrnuje testování webových aplikací, síťové infrastruktury, cloudových systémů, IoT zařízení a také tzv. sociální inženýrství (social engineering), tedy testování odolnosti zaměstnanců vůči manipulaci. Více o používaných přístupech najdete v popisu metodik etického hackingu, kde jsou popsány hlavní frameworky a metodiky používané v oboru.
Proces a standardy práce etického hackera podle pokynů NIST a tržní praxe
Práce etického hackera nevypadá jako spontánní útok. Je to strukturovaný, vícefázový proces, který musí být detailně naplánován a zdokumentován. Jak stanoví osvědčené postupy, proces etického hackingu musí být strukturovaný a dokumentovaný v souladu s pokyny NIST SP 800-115.
Standardní proces etického hackingu probíhá v následujících fázích:
-
Plánování (Planning) — stanovení cílů, rozsahu, aktiv pokrytých testy, harmonogramu a kritérií úspěchu. V této fázi se podepisují Rules of Engagement (RoE), dokument upřesňující, co se smí a co se nesmí během testu dělat.
-
Rozpoznání (Discovery) — sběr informací o cíli a identifikace zranitelností. Fáze spojuje rekognoskaci (pasivní nebo aktivní: IP adresy, otevřené porty, technologie, veřejné údaje o organizaci) se skenováním zranitelností nástroji jako Nmap, Nessus nebo Burp Suite.
-
Útok (Attack) — řízené zneužití zjištěných zranitelností k potvrzení jejich reálného dopadu na bezpečnost, eskalace oprávnění a posouzení rizika přístupu k citlivým datům. Etapa vyžaduje zvláštní opatrnost, aby nedošlo k narušení provozu produkčních systémů.
-
Reportování (Reporting) — dokumentace všech zjištěných zranitelností, klasifikace podle kritičnosti (např. CVSS), doporučení k opravě a shrnutí rizika pro vedení.
Rules of Engagement je dokument, který lidé vstupující do oboru podceňují. Upřesňuje nejen rozsah IP a systémů pokrytých testem, ale také hodiny provádění testů, nouzové postupy pro případ neúmyslného výpadku služby a kontaktní osoby na straně klienta. Absence RoE je přímá cesta k právním nedorozuměním.
Tip profesionála: Vždy si vyžádejte písemné oprávnění od osoby s rozhodovací pravomocí na straně klienta, tedy od vedení nebo majitele firmy, ne pouze od IT oddělení. IT oddělení může objednat test bez vědomí vedení, což v případě incidentu vystavuje testera vážným právním důsledkům. Podpis osoby neoprávněné disponovat systémem vás právně nechrání.
Dokumentace není formalita. Je to základ, který chrání jak testera, tak klienta. Každá podniknutá akce by měla být logována s přesným časovým razítkem. V případě soudních sporů nebo úniku dat během testu se logy stávají důkazem o jednání v dobré víře a v rámci rozsahu.
Právní a etické aspekty činnosti etického hackera v Polsku
Etický hacker působí v právním prostoru, který je přísně regulován. Znalost těchto předpisů je profesní požadavek, nikoli volba.
Klíčové právní a etické zásady v práci etického hackera:
-
Písemný souhlas je bezpodmínečně vyžadován. Souhlas musí pocházet od osoby právně oprávněné disponovat systémem (vlastník, vedení, CEO), ne od správce systému.
-
Rozsah testů musí být přesně vymezen. Tester nemůže „přesahovat rozsah“, i když objeví zranitelnost mimo vymezenou oblast, bez nového písemného souhlasu.
-
Povinnost zachování důvěrnosti. Informace o zjištěných zranitelnostech nesmí být sdělovány třetím stranám. Klauzule NDA (Non-Disclosure Agreement) je standardem každé pentestové smlouvy.
-
Respektování soukromí dat. Etický hacker nemůže používat ani uchovávat osobní údaje, na které během testu narazí.
-
Testy cloudových prostředí vyžadují souhlas poskytovatele cloudu. AWS, Azure a Google Cloud mají vlastní politiky pro penetrační testování a vyžadují samostatné nahlášení nebo udělení souhlasu.
„Absence formálního souhlasu vystavuje testera trestní odpovědnosti. Polské právo (čl. 267 trestního zákoníku) i federální předpisy USA (18 U.S.C. § 1030) penalizují neautorizovaný přístup k počítačovým systémům bez ohledu na úmysl pachatele.“
Etičtí hackeři v Polsku jednají na základě polského trestního práva, konkrétně článku 267 trestního zákoníku, který penalizuje neoprávněný přístup k informačním systémům. Rozdíl mezi white hatem a grey hatem je vymezen přesně: hranice mezi etickým hackerem a grey hatem závisí výhradně na formálním souhlasu vlastníka systému.
Stojí za to věnovat pozornost specifikům testování lokální infrastruktury versus cloudu. Testy lokálních serverů vyžadují pouze souhlas vlastníka firmy. Cloudová prostředí vyžadují navíc souhlas poskytovatele služby. Mnoho testerů tento aspekt opomíjí a nevědomky porušuje smluvní podmínky cloudových služeb, což může vést nejen k právním sankcím, ale i k okamžitému zablokování cloudového účtu. Podrobnosti právních hranic popisuje sekce o legalitě penetračních testů v profesní praxi.
Technické výzvy a specializace etického hackera v éře nových kybernetických hrozeb
Rok 2026 přináší etickému hackerovi nové třídy hrozeb, z nichž některé byly ještě před pěti lety okrajové. Prioritou se stala bezpečnost API a serverové logiky.
Broken Object Level Authorization neboli BOLA je útok založený na manipulaci s identifikátory objektů v API požadavcích, který útočníkovi umožňuje získat přístup k prostředkům patřícím jiným uživatelům. Jinými slovy: změna jednoho parametru v URL může odhalit data jiného zákazníka. Podle OWASP API Security Top 10 (2023) obsazuje BOLA první místo v seznamu nejčastějších zranitelností API díky své rozšířenosti, snadnosti zneužití a vysoké závažnosti dopadů. Jak zdůrazňuje OWASP, etičtí hackeři se musí soustředit na ochranu na straně serveru, nejen klienta.
Následující tabulka představuje klíčové dovednosti a nástroje etického hackera v roce 2026:
| Oblast testování | Standardní nástroje | Úroveň složitosti | Priorita v roce 2026 |
|---|---|---|---|
| Testování API (REST, GraphQL) | Burp Suite, Postman, OWASP ZAP | Vysoká | Kritická |
| Testování Wi-Fi sítí | Aircrack-ng, Wireshark, Flipper Zero | Střední | Vysoká |
| Testování RFID/NFC | Proxmark3, Flipper Zero, ACR122U | Střední | Střední |
| Sociální inženýrství | Gophish, SET, vlastní scénáře | Vysoká | Vysoká |
| Testování fyzických zařízení (BadUSB) | Bash Bunny, Rubber Ducky | Střední | Rostoucí |
| Testování síťové infrastruktury | Nmap, Metasploit, Nessus | Vysoká | Vysoká |
| Analýza zdrojového kódu (SAST) | Semgrep, SonarQube | Velmi vysoká | Rostoucí |
Jak se stát etickým hackerem v roce 2026? Vzdělávací cesta by měla zahrnovat certifikáty CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) nebo eJPT jako vstupní bod, následně praktické platformy jako HackTheBox či TryHackMe. Certifikát OSCP je aktuálně v oboru nejlépe vnímaný, protože vyžaduje složení praktické zkoušky, nejen teoretické.
Tip profesionála: Ignorování ochrany na straně serveru je nejzávažnější chyba v penetračních testech. Většina méně zkušených testerů se zaměřuje na frontend a JavaScript, zatímco reálná data a obchodní logika jsou chráněna (nebo nikoli) na backendu. Každá komplexně testovaná webová aplikace by měla mít alespoň 60 % časového rozpočtu věnováno testování serverové a autorizační logiky.
Mezi etické hackery, kteří získali věhlas, patří lidé jako Katie Moussouris, která navrhla jeden z prvních bug bounty programů pro Microsoft, nebo Troy Hunt, tvůrce HaveIBeenPwned. Oba ukazují, že je to profese spojující technické mistrovství s komunikací a budováním produktů užitečných pro širší komunitu.
Role etického hackera v moderní kybernetické bezpečnosti – víc než jen vetřelec
Po průchodu technickými a právními aspekty této práce stojí za to položit otázku, která se v standardních článcích objevuje zřídka: co odlišuje skutečně dobrého pentestera od někoho, kdo prostě umí spustit Metasploit?
Odpověď neleží v dodatečných certifikátech ani ve znalosti dalšího exploitu. Jak trefně formuluje prostředí odborníků, největší mýtus je, že etický hacker je někdo, kdo se prostě naboural do systému. Skutečnou hodnotou je schopnost komunikovat riziko vedení společnosti. A to je přesně ten rozdíl, který trh vnímá a za který platí.
Zpráva po penetračním testu psaná pro technického administrátora je jiný úkol než zpráva pro vedení firmy. Administrátor potřebuje konkrétní CVE, cesty zneužití a pokyny k opravě. Vedení potřebuje jeden slide s odpovědí na otázku: „kolik to stojí, pokud tento problém zneužije útočník?“ Etický hacker, který nedokáže přeložit zranitelnost SQL Injection na potenciální ztrátu zákaznických dat a pokutu GDPR v milionech, dodává klientovi zprávu, která skončí v šuplíku.
To vede k dalšímu pozorování: etický hacker stále častěji jedná jako strategický partner, ne jako subdodavatel. Firmy, které berou penetrační testy jako každoroční checkbox pro audit, ztrácejí většinu hodnoty, kterou může dobrý pentester přinést. Hodnota přichází, když je specialista zapojen do architektonických procesů ve fázi návrhu systémů, ne až po jejich nasazení.
Řízení očekávání je také kritická dovednost. Klienti často očekávají jednu ze dvou věcí: buď „najdi všechny problémy“ (což je v omezeném čase nemožné), nebo „potvrď, že jsme v bezpečí“ (což je zavádějící otázka). Dobrý pentester dokáže nastavit správná očekávání ve fázi scopování projektu, což chrání jak reputaci testera, tak hodnotu celého projektu. Obsáhlé zdroje o komunikačních postupech v pentestingu ukazují, jak tento aspekt vypadá v reálných projektech.
Profesní etika etického hackera není jen právní otázkou. Je to závazek k transparentnosti vůči klientovi, i když jsou výsledky testu nepříjemné, k ochraně dat, na která narazí během práce, a k průběžnému aktualizování znalostí. Odvětví kybernetické bezpečnosti se mění rychleji než jakýkoli jiný IT sektor a hacker, který se rok neučí, ztrácí reálnou technickou hodnotu.
Nástroje a vybavení pro etického hackera dostupné v Sapsan Sklep
Teoretické a praktické znalosti jsou jednou stranou práce pentestera. Druhou je správný hardware, který umožňuje provádět testy s přesností a opakovatelností vyžadovanou profesionálním prostředím. Sapsan Sklep jako evropský distributor hardwaru pro kybernetickou bezpečnost dodává nástroje používané pentestery, firmami pro IT bezpečnost a výzkumníky zranitelností po celém světě.
V nabídce jsou zařízení jako BASH BUNNY od Hak5, multifunkční platforma pro testování USB a automatizaci fyzických útoků, používaná v testech sociálního inženýrství a auditech fyzické bezpečnosti. Pro testování kontroly přístupu a RFID systémů slouží KEYSY LF RFID duplikátor, nástroj pro analýzu a emulaci nízkofrekvenčních karet. Pro specialisty potřebující mobilní platformu pro práci v terénu je k dispozici uConsole Kit RPI-CM4 Lite, kompaktní jednodeskový počítač navržený pro přenosný pentesting, s rozšiřitelnými moduly jako AIO V2 nebo NVMe. Z našich pozorování vyplývá, že nejčastěji vybíraným vybavením v cybersec segmentu v roce 2026 jsou mobilní platformy pentestera (uConsole s modulem AIO V2) a SDR vybavení (HackRF One a HackRF Pro), které v prodeji předstihly klasické sady Hak5. Sapsan zajišťuje doručení po celé Evropské unii a v USA, čímž poskytuje rychlý přístup k hardwaru odpovídajícímu aktuálním oborovým standardům.
Často kladené otázky
Čím se etický hacker liší od black-hat hackera?
Etický hacker jedná se souhlasem vlastníka systému a má za cíl zlepšit bezpečnost, zatímco black-hat hacker jedná nelegálně, aby způsobil škodu nebo dosáhl zisku. Jak potvrzuje oborové pojetí tématu, etický hacker je pentester jednající legálně a eticky, na rozdíl od kyberzločinců.
Lze provádět penetrační testy bez písemného souhlasu?
Ne. Absence písemného souhlasu může vést k trestní odpovědnosti i tehdy, kdy mají činnosti dobré úmysly. Jak ukazují předpisy, absence formálního souhlasu představuje přímé riziko trestního řízení.
Jaké jsou nejdůležitější fáze procesu etického hackingu podle NIST?
NIST SP 800-115 rozlišuje čtyři fáze: plánování (Planning), rozpoznání (Discovery), útok (Attack) a reportování (Reporting). Každá fáze musí být detailně dokumentována a v oborové praxi fáze útoku zahrnuje také post-exploitaci a eskalaci oprávnění.
V čem spočívá hrozba Broken Object Level Authorization (BOLA)?
BOLA je zranitelnost umožňující neautorizovaný přístup k serverovým prostředkům prostřednictvím manipulace s identifikátory objektů v API. V OWASP API Security Top 10 (2023) BOLA obsazuje první místo díky své rozšířenosti a snadnosti zneužití, což zdůrazňuje prioritní význam testů na straně serveru.
Jaké kompetence kromě technických dovedností jsou důležité pro etického hackera?
Klíčová je schopnost komunikovat výsledky testů v obchodním jazyce a překládat zranitelnosti do finančního rizika pro organizaci. Jak ukazuje profesní praxe, etický hacker by měl umět přeložit technické nedostatky do obchodního rizika srozumitelného vedení.