Hacker Kiralamadan Önce Sormanız Gereken 10 Soru (2025 Kontrol Listesi)

Etik bir hacker kiralamak, dijital eviniz için bir güvenlik görevlisi kiralamak gibidir. Ona güvenmelisiniz, ancak güven doğrulama gerektirir. Dolandırıcılar her yerde ve yetersiz "uzmanlar" yarardan çok zarar verebilir.

İster Upwork'ten bir serbest çalışan, ister Cyberlord gibi bir firma kiralıyor olun, ön görüşme sırasında bu 10 soruyu sorun. Cevapları size bilmeniz gereken her şeyi söyleyecektir. Doğru soruları sormak, bilinçli bir alıcı olduğunuzu gösterir ve güç dinamiğini değiştirir.

Soru 1: "Bana sertifikalarınızı (CEH/OSCP) gösterebilir misiniz?"

Neden sormalısınız: Siber güvenlik dünyasında sertifikalar becerinin kanıtıdır. Bir dolandırıcı kaçamak cevaplar verecektir ("her şeyi kendi kendime öğrendim"). İyi cevap: "Evet, OSCP (Offensive Security Certified Professional) ve CEH (Certified Ethical Hacker) sertifikalarına sahibim. İşte doğrulama için kimlik numaralarım."

Soru 2: "NDA ve hizmet sözleşmesi imzalayacak mıyız?"

Neden sormalısınız: Yasal profesyoneller evrak işlerini sever çünkü her iki tarafı da korur. Suçlular kağıt izlerinden kaçınır. İyi cevap: "Elbette. İmzalanmış bir gizlilik sözleşmesi ve net bir iş kapsamı olmadan çalışmaya başlamam."

Soru 3: "Test metodolojiniz nedir?"

Neden sormalısınız: Kaotik mi yoksa standartlara (OWASP veya PTES gibi) göre mi çalıştıklarını bilmek istersiniz. İyi cevap: "OWASP Top 10 standardını takip ediyorum. Keşif ile başlıyorum, ardından tarama ve sonra manuel güvenlik açığı doğrulaması."

Soru 4: "Düzeltme önerileri içeren bir rapor sunacak mısınız?"

Neden sormalısınız: Sadece "bir açığınız var" diyen bir hacker pek yararlı değildir. Onu nasıl kapatacağınızı söyleyecek birine ihtiyacınız var. İyi cevap: "Evet, nihai raporum yönetim için bir özet ve adım adım düzeltme talimatları içeren teknik bir bölüm içerecek."

Soru 5: "Mesleki sorumluluk sigortanız var mı?"

Neden sormalısınız: Yanlışlıkla sitenizi bozarlarsa, parasını kim ödeyecek? İyi cevap: "Evet, firmamızın aksiliklere karşı Hatalar ve İhmaller Sigortası (Professional Indemnity Insurance) var."

Soru 6: "Hangi araçları kullanacaksınız?"

Neden sormalısınız: Sadece ücretsiz, otomatik tarayıcıları listelerlerse, yüksek ücretlere değmezler. İyi cevap: "Manuel testler için ticari araçların (Burp Suite Pro, Nessus) ve kendi Python komut dosyalarımın bir kombinasyonunu kullanıyorum."

Soru 7: "Kritik bir açık bulursanız ne yapacaksınız?"

Neden sormalısınız: Sorumluluklarını test eder. İyi cevap: "Testleri hemen durdururum ve tehdidi size bildiririm, böylece çalışmaya devam etmeden önce onu güvence altına alabiliriz."

Soru 8: "Önceki müşterilerinizden referans verebilir misiniz?"

Neden sormalısınız: Sosyal kanıt. İyi cevap: "Sizi geçen ay denetim yaptığım [X Şirketi] ile görüştürebilirim." ("Tüm müşterilerim gizli" cevabına dikkat edin).

Soru 9: "Testler sırasında verilerimi nasıl koruyorsunuz?"

Neden sormalısınız: Hassas verilerinizin hackerın bilgisayarından sızmasını istemezsiniz. İyi cevap: "Tüm veriler şifreli disklerde saklanır ve proje tamamlandıktan sonra DoD 5220.22-M standardına uygun olarak güvenli bir şekilde silinir."

Soru 10: "Neden daha ucuz bir freelancer yerine sizi seçmeliyim?"

Neden sormalısınız: Kendilerine olan güvenlerini ve değerlerini kontrol eder. İyi cevap: "Çünkü sadece hataları bulmayı değil, güvenlik ortaklığı, denetim sonrası destek ve yanlış pozitif (false positive) olmama garantisi sunuyorum."

Soru 11: "Çalışanlarınızda arka plan kontrolü yapıyor musunuz?"

Neden sormalısınız: Bu kişilere en hassas verilerinize erişim veriyorsunuz. Suçlu olmadıklarını bilmeniz gerekir. İyi Cevap: "Evet, tüm çalışanlarımız sıkı ceza arka plan kontrollerinden ve güvenlik izni incelemelerinden geçer." Tehlike Sinyali: Tereddüt veya "Dünyanın her yerinden serbest çalışanlar kullanıyoruz."

Soru 12: "Veri işleme ve gizlilik politikanız nedir?"

Neden sormalısınız: Kritik bir güvenlik açığı bulurlarsa (müşteri şifreleri veritabanı gibi), bu verileri nasıl işlerler? İyi Cevap: Net bir Veri İşleme Politikası olmalıdır. Şifreli kanallar (PGP, güvenli portallar) kullanmalı ve çalışma sonrası verilerinizi silmelidirler. Tehlike Sinyali: Hassas raporları standart e-postayla göndermek veya verilerinizi genel bulut depolama alanlarında saklamak.

Soru 13: "Benzer endüstrilerden referans verebilir misiniz?"

Neden sormalısınız: Bir bankayı test etmek bir hastaneyi test etmekten farklıdır. Belirli uyumluluk ortamınızı (HIPAA, PCI-DSS, GDPR) anlayan bir ortak istersiniz. İyi Cevap: Sektörünüzden (gerekirse anonimleştirilmiş) vaka çalışmaları veya referanslar sağlayabilmelidirler. Tehlike Sinyali: "NASA ve FBI'yi hackledik" iddiasında bulunmak ama tek bir doğrulanabilir iş referansı sağlayamamak.

Sonuç

Bu soruları sorarak, amatörleri ve dolandırıcıları hızla eleyeceksiniz. Yukarıdaki tüm maddelere tereddüt etmeden "EVET" cevabı veren bir ekibe ihtiyacınız varsa, Cyberlord ile iletişime geçin. Sorularınıza hazırız.

Meşru profesyoneller bu soruları sever çünkü uzmanlıklarını ve değerlerini göstermelerine olanak tanır. Dolandırıcılar bunlardan nefret eder çünkü öz eksikliklerini ortaya çıkarırlar.

Vetting sürecini atlamayın. Güvenliğiniz buna bağlıdır.

Sıkça Sorulan Sorular (SSS)

S1: Bir hackerın sertifikalarını nasıl doğrularım? Çoğu sertifika kuruluşunun (CEH için EC-Council veya OSCP için Offensive Security gibi) çevrimiçi doğrulama portalları vardır. Potansiyel çalışandan sertifika kimlik numarasını veya dijital rozet bağlantısını isteyin. Ekran görüntüsünü asla kanıt olarak kabul etmeyin, çünkü bunlar kolayca sahtecilik yapılabilir.

S2: Serbest çalışan mı yoksa şirket mi işe almalıyım? Küçük, spesifik görevler için, doğrulanmış bir serbest çalışan maliyet etkin olabilir. Ancak kapsamlı iş güvenliği için, bir şirket daha fazla güvenilirlik, sigorta ve tek bir hata noktası yerine bir uzman ekibi sunar.

S3: Sözleşme imzalamayı reddederlerse ne olur? Hemen uzaklaşın. Bir sözleşme her iki tarafı da korur. Kapsam, gizlilik, ödeme koşulları ve yasal yetkiyi tanımlar. Siber güvenlikte sözleşme olmadan çalışmak yasal olarak tehlikelidir ve profesyonel değildir.

Genel Bakış

Bu konu için temel kararlar, riskler ve uygulama adımları.