Jak działają etyczni hakerzy, czyli testy QA i cyberbezpieczeństwa
Nieprzetestowane oprogramowanie może okazać się nie tylko niewiele warte, ale przede wszystkim niebezpieczne. dlatego firmy informatyczne często korzystają w ramach Software Quality Assurance i Cyber Security z pomocy zewnętrznych firm. Na czym polega taka współpraca.
Z wielu powodów programiści nie zawsze są w stanie zagwarantować odpowiedni poziom bezpieczeństwa kodu, który sami tworzą i w który niemal zawsze wkradają się jakieś błędy, luki, przez które kompetentny haker może uzyskać kontrolę nad systemem i dostęp do pilnie strzeżonych informacji. Tutaj do gry włączają się eksperci od zabezpieczeń, etyczni hakerzy z takich firma jak TestArmy Group.
Na co dzień wykrywają oni niebezpieczne niedoróbki w kodzie i doradzają, jak je naprawić w taki sposób, aby wyeliminować zagrożenie - a bywa ono na tyle poważne, że jeden skutecznie przeprowadzony atak może nawet wyeliminować firmę z rynku. Ataki nie ograniczają się tylko do typowej kradzieży pieniędzy z kont firm, a wręcz przeciwnie, są o wiele bardziej wyrafinowane i urozmaicone. Do najczęstszych modus operandi zalicza się szpiegostwo przemysłowe, ataki ransomware, szantaż, niszczenie reputacji i sparaliżowanie pracy firmy czy wykorzystanie mocy obliczeniowej zaatakowanych komputerów do kopania kryptowalut. Nie dość, że zagrożeń jest wiele, to są one bardzo powszechne - szacuje się, że rocznie nawet 80 proc. polskich przedsiębiorstw pada ofiarą cyberataku, często nawet o tym nie wiedząc, dopóki nie jest już za późno na reakcję (między innymi o tym, jak w takiej sytuacji zareagować, aby zminimalizować straty, uczą eksperci TestArmy Group na prowadzonych przez siebie szkoleniach).
Poza specjalizacją security, bardzo wielu pracowników TestArmy Group zajmuje się usprawnianiem oprogramowania pod kątem funkcjonalności i stabilności. Czy aplikacja działa tak samo na każdym urządzeniu i systemie? Liczba możliwych kombinacji jest ogromna, więc laboratorium firmy zajmującej się testami funkcjonalnymi powinno być wyposażone w górę sprzętu każdej możliwej klasy. Stabilność i szybkość ocenia się podczas testów wydajnościowych, w kontrolowanych warunkach doprowadzając do przeciążenia systemu, tak aby określić jego rzeczywiste zdolności przerobowe i wskazać wąskie gardła oraz mierząc czas odpowiedzi systemu na zapytania. Badania przeprowadzone przez Amazon wykazują, że nawet kilkuprocentowe spowolnienia powodują zauważalny spadek konwersji w sklepach internetowych, więc gra jest warta świeczki.
Sprawdza się nie tylko gotowe aplikacje i serwisy, ale także ściśle współpracuje z rozmaitymi klientami już na etapie projektowania. W TestArmy Group dział User Experience prowadzi badania, wywiady i warsztaty z użytkownikami, a na podstawie analizy ich zachowań i uwag pomaga tworzyć takie serwisy, które spełniają oczekiwania klientów).
Do tego dochodzi jeszcze crowdtesting, czyli testy w tłumie. Firma je wykonująca dysponuje bazą testerów rozproszonych po całym świecie (w przypadku TestArmy Group ich liczba przekracza 7 tys.), dzięki czemu jest w stanie zlecić pracę osobie odpowiadającej profilowi demograficznemu docelowego użytkownika badanej aplikacji/serwisu w bardzo dużym stopniu. Nie jest problemem spełnianie bardzo precyzyjnych zachcianek klienta, przydzielając do projektu testera w odpowiednim wieku, mieszkającego w odpowiedniej okolicy, a nawet posiadającego telefon odpowiedniej marki. Bez eksperckiej wiedzy i zaplecza technicznego, nie dałoby się przeprowadzić tego typu testów lub byłoby to niesamowicie żmudne i kosztowne. Z usług specjalistów korzystają zatem wielkie korporacje oraz niewielkie firmy. Dla nich wypuszczenie na rynek w 100 proc. gotowego i funkcjonalnego produktu oznacza być albo nie być i po prostu nie stać ich na ryzyko.
Kto wpadł na pomysł stworzenia tej armii?
Za pomysłem stworzenia TestArmy Group stoją Damian Szczurek, Wojciech Mróz i Marcin Łuczyn - wrocławianie, specjaliści od testowania oprogramowania z doświadczeniami w venture capital i private equity. Spółkę założyli w 2015 roku, rozwijając biznes z własnych środków, a następnie dzięki dwu milionowemu kapitałowi pozyskanemu od inwestorów - Tomasza Szpikowskiego, współtwórcy Work Service’u oraz Krzysztofa Czuby, który zarządzał inwestycjami w TFI, a teraz wspólnie z Tomaszem Szpikowskim i Bartłomiejem Sobolewskim, wieloletnim prezesem zarządu Navi Group, tworzy Prime Fund - prywatny fundusz inwestujący w firmy B2B. - Dokapitalizowaliśmy TestArmy Group ze względu na kombinację ponadprzeciętnego zespołu, a takie nie zdarzają się codziennie, szybko rosnący rynek software QA oraz doskonałą pozycję spółki w dopiero tworzącym się na szerszą skalę sektorze cyberbezpieczeństwa - tłumaczy decyzję Krzysztof Czuba, prezes Prime Fund.
Dziś TestArmy Group zajmuje się usługami Software Quality Assurance i Cyber Security, czyli upraszczając - testowaniem oprogramowania pod względem funkcjonalnym i bezpieczeństwa.
Obecnie TestArmy Group zatrudnia 70 osób w biurze we Wrocławiu, choć w ciągu najbliższych 2 lat zespół ma powiększyć się do 150-ciu pracowników. Jak sami określają, jest to sztab generalny. W terenie współpracują z armią ponad 7 tys. crowd testerów z Polski i z zagranicy, którzy badają oprogramowanie na swoich lokalnych rynkach. Jeżeli ambitne plany zrealizują się, w 2020 roku armia testerów będzie liczyć nie bagatela 20 tys. osób!
30 proc. przychodów spółki pochodzi z zagranicy. Z końcem 2018 roku wpływy te sięgną 40 proc., a w 2019 roku - 50 proc. Co ciekawe, ich źródłem nie będzie Dolina Krzemowa czy Londyn. TestArmy Group, w przeciwieństwie do większości firm IT, stawia na północ Europy, szczególnie Norwegię, Szwecję, Danię i Finlandię, bo to tam jest bardzo duże zaufanie do polskich specjalistów. W czerwcu 2018 roku TestArmy Group planuje debiut na giełdzie NewConnect.
Obok testów oprogramowania pod kątem użyteczności i wydajności, kluczowa jest kwestia cyberbezpieczeństwa. - Świadomość w obszarze zabezpieczeń przed atakami cyberprzestępców jest jeszcze bardzo niska. W 2017 roku zrealizowaliśmy ponad 60 audytów bezpieczeństwa - dla największych firm w Polsce, kilku ministerstw, branży energetycznej i spółek technologicznych. Nie zdarzyło nam się trafić na system, który nie miałby żadnych luk i podatności na ataki. Sytuacja może pogarszać się, bo mamy do czynienia z deficytem programistów w Polsce i na świecie, problemem z dostępnością doświadczonych developerów oraz wielką presją na szybkie powstawanie nowych aplikacji - podsumowuje Marcin Łuczyn, założyciel TestArmy Group.