10 frågor att ställa innan du anlitar en hackare (Checklista 2025)

Att anlita en etisk hackare är som att anlita en säkerhetsvakt för ditt digitala hem. Du måste lita på dem, men förtroende kräver verifiering. Bedragare finns överallt, och inkompetenta "experter" kan göra mer skada än nytta.

Oavsett om du anlitar en frilansare från Upwork eller ett företag som Cyberlord, ställ dessa 10 frågor under den inledande intervjun. Deras svar berättar allt du behöver veta.

Fråga 1: "Kan du visa mig dina certifikat (CEH/OSCP)?"

Varför fråga: I världen av cybersäkerhet är certifikat bevis på färdigheter. En bedragare kommer att slingra sig ("jag lärde mig allt själv"). Bra svar: "Ja, jag har OSCP (Offensive Security Certified Professional) och CEH (Certified Ethical Hacker) certifikat. Här är mina ID-nummer för verifiering."

Fråga 2: "Kommer vi att skriva under ett NDA och ett serviceavtal?"

Varför fråga: Lagliga proffs älskar pappersarbete eftersom det skyddar båda parter. Kriminella undviker pappersspår. Bra svar: "Självklart. Jag påbörjar inte arbetet utan ett undertecknat sekretessavtal och en tydlig arbetsomfattning."

Fråga 3: "Vad är din testmetodik?"

Varför fråga: Du vill veta om de arbetar kaotiskt eller enligt standarder (som OWASP eller PTES). Bra svar: "Jag följer standarden OWASP Top 10. Jag börjar med rekognosering, sedan scanning och sedan manuell verifiering av sårbarheter."

Fråga 4: "Kommer du att leverera en rapport med rekommendationer för åtgärder?"

Varför fråga: En hackare som bara säger "du har ett hål" är inte mycket värd. Du behöver någon som berättar hur du ska täppa till det. Bra svar: "Ja, min slutrapport kommer att innehålla en sammanfattning för ledningen och en teknisk sektion med steg-för-steg-instruktioner för åtgärder."

Fråga 5: "Har du ansvarsförsäkring?"

Varför fråga: Om de av misstag kraschar din webbplats, vem betalar för det? Bra svar: "Ja, vårt företag har försäkring för fel och försummelser (Professional Indemnity Insurance) i händelse av missöden."

Fråga 6: "Vilka verktyg kommer du att använda?"

Varför fråga: Om de bara listar gratis, automatiska scannrar är de inte värda höga priser. Bra svar: "Jag använder en kombination av kommersiella verktyg (Burp Suite Pro, Nessus) och mina egna Python-skript för manuell testning."

Fråga 7: "Vad gör du om du hittar en kritisk sårbarhet?"

Varför fråga: Testar deras ansvarstagande. Bra svar: "Jag avbryter testningen omedelbart och meddelar dig om hotet så att vi kan säkra det innan vi fortsätter arbetet."

Fråga 8: "Kan du ge referenser från tidigare kunder?"

Varför fråga: Socialt bevis. Bra svar: "Jag kan sätta dig i kontakt med [Företag X], som jag gjorde en revision för förra månaden." (Se upp för "alla mina kunder är hemliga").

Fråga 9: "Hur skyddar du mina data under testerna?"

Varför fråga: Du vill inte att dina känsliga data ska läcka från hackarens dator. Bra svar: "All data lagras på krypterade diskar och raderas säkert enligt standarden DoD 5220.22-M efter att projektet har slutförts."

Fråga 10: "Varför ska jag välja dig och inte en billigare frilansare?"

Varför fråga: Kontrollerar deras självförtroende och värde. Bra svar: "Eftersom jag erbjuder inte bara att hitta fel, utan ett partnerskap inom säkerhet, stöd efter revisionen och en garanti mot falska positiva (false positives)."

Slutsats

Genom att ställa dessa frågor sållar du snabbt bort amatörer och bedragare. Om du behöver ett team som svarar "JA" på alla ovanstående punkter utan att tveka, kontakta Cyberlord. Vi är redo för dina frågor.

Översikt

Viktiga beslut, risker och genomförandeåtgärder för detta ämne.