Keď sa povie slovo „hacker“, veľa ľudí si predstaví nejakého introvertného týpka v kapucni, ktorý ťuká po klávesnici v nejakej temnej izbe. Katie Moussouris s výraznými ružovými vlasmi tento stereotyp ale rozbíja na prach.
S hrdým titulom „hackerka“ a nekompromisným prístupom sa stala tvárou novej éry kybernetickej bezpečnosti, kde otvorenosť a systémové zmeny hrajú rovnako dôležitú úlohu ako technické zručnosti.
Moussouris nielenže zmenila spôsob, akým firmy a vlády riešia zraniteľnosti v softvéri prostredníctvom bug bounty programov a koordinovaného zverejňovania zraniteľností, ale aktívne bojuje aj za rodovú rovnosť a spravodlivé odmeňovanie v technologickom sektore. Jej kariéra je učebnicovým príkladom toho, ako sa dá hackovanie preniesť zo sveta kódu do reálneho sveta pravidiel, zákonov a kultúry.
Za jej menom stoja historické míľniky: prvý bug bounty program v Microsofte, vedenie prelomovej iniciatívy „Hack the Pentagon“, spolutvorba noriem ISO pre zverejňovanie a riešenie zraniteľností, založenie Luta Security a Pay Equity Now Foundation.
Katie Moussouris už dávno ukázala, že technologický svet nepotrebuje len ďalší „macho leadership“, ale ľudí, ktorí dokážu spájať technické know-how s empatiou a snahou meniť kultúru zvnútra. Jej príbeh je ako stvorený pre našu rubriku Ženy v technológiách — a veľmi aktuálny.
Od pixelov k penetračnému testovaniu
Ak niekto vyrastal v 80. rokoch a v detstve dostal Commodore 64, mohol skončiť pri hrách. Katie? Naučila sa programovať v jazyku BASIC. Počítač jej kúpila mama, keď bola v tretej triede, a práve vďaka tejto podpore dostala príležitosť preniknúť do sveta technológií.
Stredná škola bola ďalším krokom. Katie ako prvé dievča absolvovala kurz AP Computer Science, v čase, keď boli takéto kurzy doménou výlučne chlapcov. Následne študovala molekulárnu biológiu a matematiku na Simmons College a popri tom pracovala na projekte ľudského genómu v MIT Whitehead Institute. To jej dalo nielen analytické a vedecké základy, ale aj pohľad na to, ako sa dajú kombinovať rôzne disciplíny.
Do sveta technológií vstúpila profesionálne v Kalifornii ako Linux vývojárka v Turbolinuxe. Tu spustila svoj prvý program reakcie na bezpečnostné incidenty, čím sa jej kariéra začala definitívne uberať smerom ku kyberbezpečnosti. A keď sa pohybovala v hackerskej komunite západného pobrežia, dlho netrvalo a v roku 2002 ju Chris Wysopal pozval do vtedy legendárnej spoločnosti @stake ako penetračnú testerku. Prešla tak „krstom ohňom“ v jadre hackerskej komunity.
Keď v roku 2004 Symantec akvíroval @stake, Katie neprestala inovovať. Založila program Symantec Vulnerability Research, vôbec prvý v rámci Symantecu, ktorý umožnil oficiálne publikovanie výsledkov výskumu zraniteľností. V tom čase to bola revolučná myšlienka — korporácie sa bežne snažili problémy zametať pod koberec, nie verejne riešiť.
Už vtedy bolo jasné, že Moussouris nielen že vie participovať na bezpečnostných iniciatívach, ale ich aj aktívne formuje a nastavuje nové pravidlá. Či to bol program reakcie na incidenty v Turbolinuxe, alebo výskumný program v Symantecu. Zakaždým išlo o posúvanie hraníc.
Ako sama hovorí, skúsenosti s prácou vývojárky a penetračnej testerky jej dali kľúčovú výhodu: empatiu a porozumenie pre obe strany barikády — ofenzívnu aj defenzívnu bezpečnosť. Táto kombinácia sa neskôr ukázala ako rozhodujúca pri tvorbe bug bounty programov a noriem ISO, kde je nutné pochopiť pohľad výskumníkov aj firiem.
Budovanie mostov, odmien a modrých klobúkov
V roku 2007 sa Katie Moussouris posunula do sveta technologických korporácií prvej ligy. Odišla zo Symantecu a nastúpila do Microsoftu ako bezpečnostná stratégka. Pre niekoho by možno takýto krok znamenal koniec rebélie, no pre ňu to bola príležitosť hacknúť firemnú kultúru zvnútra.
Už v roku 2008 oznámila na konferencii BlackHat založenie programu Microsoft Vulnerability Research (MSVR). V praxi šlo o prvý systematický pokus v Microsofte koordinovať riešenie zraniteľností nielen vo vlastnom softvéri, ale aj u tretích strán — v celom ekosystéme, ktorý ovplyvňoval zákazníkov.
MSVR sa osvedčil napríklad pri riešení aj legendárnej chyby DNS, ktorú objavil Dan Kaminsky — MSVR pomáhal koordinovať celú reakciu. Pre Katie bol tento projekt potvrdením, že korporátne dinosaury sa dajú naučiť tancovať, ak máte správny mix technického vplyvu a diplomatického tlaku. To bol ale len začiatok.
Najväčšiu stopu v Microsofte zanechala v roku 2013, keď po dlhom internom boji presadila spustenie prvého bug bounty programu. Program sa zameral na Windows 8.1 a preview verziu Internet Explorer 11. Nebolo to jednoduché. V Microsofte vládol silný odpor. Pred samotným spustením programu viedla rozsiahle vnútrofiremné diskusie a vytvorila dôkladný obchodný argument.
A výsledok? Počas prvých 30 dní testovania IE11 Microsoft prijal a opravil viacero závažných zraniteľností. Program vyplatil cez 253 000 dolárov za 18 chybných nálezov. A hlavne — položil základy pre moderné bug bounty programy v korporátnom svete.
Katie pri tom neostala. Iniciovala aj BlueHat Prize — ocenenie pre inovácie v mitigácii exploitov. Na BlackHat USA 2012 rozdali ceny v hodnote viac ako 260 000 dolárov, pričom hlavná výhra 200 000 dolárov bola v tom čase najvyššia suma, akú kedy softvérová firma ponúkla.
Okrem technických inovácií budovala aj vzťahy. V rámci Microsoft Security Response Center (MSRC) mala na starosti stratégiu komunity a vonkajších vzťahov. Budovala mosty medzi Microsoftom a hackerskou komunitou, ktorá firmu predtým skôr vnímala len ako korporátne zlo.
Globálny plán pre zverejňovanie zraniteľností
Katie Moussouris nikdy nebola spokojná len s tým, že niečo funguje v jednej firme. Keď už videla, že v Microsofte sa podarilo nastaviť nové pravidlá pre zverejňovanie zraniteľností, vedela, že musí ísť ďalej — na globálnu úroveň. A práve tu prichádza do hry jej práca na medzinárodných normách ISO.
Od roku 2008, paralelne s rozvojom MSVR a budovaním bug bounty programu, sa pustila do spoluautorskej a editačnej práce na norme ISO/IEC 29147, ktorá definuje, ako by organizácie mali prijímať hlásenia o zraniteľnostiach a ako ich následne riešiť a zverejňovať.
ISO/IEC 29147 nehovorí len „ako nahlásiť bug“, ale systematicky popisuje celý proces: od prijatia a spracovania hlásenia, cez komunikáciu s výskumníkom, až po transparentné zverejnenie informácií. Rieši aj ochranu dôvernosti a správne načasovanie zverejnenia, aby sa minimalizovali škody.
Popri tom sa Katie podieľala aj na norme ISO/IEC 30111, ktorá rieši interné procesy spracovania zraniteľností, čiže to, čo sa deje vo vnútri firmy, keď bug príde. A to nie je všetko. Prispela aj k norme ISO 27034 (bezpečný vývoj), čím dala jasne najavo, že bezpečnosť sa má riešiť už pri vývoji softvéru, nie ako neskorá náplasť.
Kľúčový moment prišiel v apríli 2016. Vtedy sa Katie spolu s Artom Manionom z CERT/CC podarilo dosiahnuť, že ISO/IEC 29147 bola sprístupnená bezplatne. V preklade: aj malé firmy a organizácie, ktoré by si inak ISO normu nemohli dovoliť kúpiť, k nej dostali prístup.
Jej firma Luta Security dnes pomáha firmám práve s týmto — nastaviť si reálne zvládnuteľný a efektívny proces práce s bugmi. A to nie je len konzultácia — Katie má totiž v rukách know-how priamo zo zákulisia tvorby noriem.
A prečo je jej práca na ISO normách taká dôležitá? Pretože tým, že ich pomohla vytvoriť a pretlačila do nich prax, ktorú sama roky budovala v Microsofte, dokázala globálne formalizovať postupy, ktoré by inak zostali iba „hackerským folklórom“. Aj to je dôvod, prečo má v kyberbezpečnostnej komunite taký rešpekt. Nejde jej len o to byť vpredu — ide jej o to, aby celý ekosystém napredoval spolu.
Hackovanie pre dobro
Už počas pôsobenia v Microsofte začala Katie s americkými federálnymi orgánmi diskutovať o možnostiach bug bounty programov pre štátne inštitúcie. Nápad v tom čase znel ako čistá utópia. Predstava, že americké ministerstvo obrany — inštitúcia známa svojou opatrnosťou a uzavretosťou — otvorí svoje systémy externým hackerom, bola pre mnohých nemysliteľná.
Lenže Katie sa nevzdáva. Keď neskôr nastúpila do HackerOne, diskusie pokračovali a v roku 2016 sa nápad konečne stal realitou. Od 18. apríla do 12. mája 2016 prebiehal pilotný program Hack the Pentagon. HackerOne sa postaralo o poradenstvo, prevádzku a realizáciu.
Výsledky? Úplne prekonali očakávania. Prvá zraniteľnosť bola nahlásená už 13 minút po spustení. Počas prvých 6 hodín bolo prijatých takmer 200 hlásení. Celkovo sa do programu zapojilo 1410 hackerov, ktorí nahlásili 138 legitímnych zraniteľností. Odmeny vo výške 75 000 dolárov boli rozdané tým, ktorí pomohli spraviť systémy Pentagónu bezpečnejšími.
Program bol nielen technickým, ale aj politickým prelomom. Išlo o historicky prvý bug bounty program federálnej vlády USA. Výsledky ukázali, že keď vláda ponúkne legálnu cestu, technologická komunita je ochotná prispieť k národnej bezpečnosti. Po úspechu pilotu nasledovali ďalšie programy, vrátane Hack the Air Force.
Partnerstvo medzi HackerOne a Luta Security pokračovalo aj pri ďalších iniciatívach pre ministerstvo obrany. Významným krokom bolo aj zavedenie Vulnerability Disclosure Policy (VDP) na platforme HackerOne — prvá takáto politika pre americkú vládu. Znamenalo to, že bezpečnostní výskumníci mali jasný a legálny spôsob, ako hlásiť zraniteľnosti, bez obavy z právnych dôsledkov.
Katie však neovplyvňovala len politiku vo Washingtone. Zapojila sa aj do medzinárodných rokovaní okolo Wassenaarskeho memoranda — dohody o kontrole exportu zbraní a technológií dvojakého použitia. V pôvodnom znení hrozilo, že by bezpečnostné nástroje a výskumné techniky mohli byť obmedzené ako zbraňové systémy.
Katie sa počas rokovaní zasadila o zmenu jazyka a presadenie technických výnimiek, aby bezpečnostní výskumníci mohli naďalej vykonávať svoju prácu. Upozorňovala, že príliš prísne regulácie by mohli spôsobiť viac škody ako úžitku — bezpečnostný výskum by bol oslabený práve v čase, keď je najpotrebnejší.
Popri tom všetkom pôsobí Katie aj v množstve poradných orgánov: v Cyber Safety Review Board, Poradnom výbore pre informačnú bezpečnosť a súkromie (ISPAB) a v Technickom poradnom výbore pre informačné systémy (ISTAC). Okrem toho spolupracuje s think-tankmi ako New America, National Security Institute, pôsobila ako hosťujúca výskumníčka na MIT Sloan School, bola pridružená k Harvard Belfer Center a poradkyňou Centra pre demokraciu a technológie.
Svet v HackerOne
Keď Katie Moussouris v máji 2014 prešla z Microsoftu do HackerOne ako Chief Policy Officer, bolo to jasné signálne gesto. Po rokoch budovania bezpečnostných programov vo vnútri veľkých korporácií sa rozhodla ísť ešte o krok ďalej — ovplyvňovať celý ekosystém. Nie len v jednej firme, ale naprieč celým technologickým svetom.
HackerOne v tom čase rástol na jednej veľmi jednoduchej myšlienke: prepojiť organizácie, ktoré chcú mať bezpečnejšie produkty, s komunitou etických hackerov. Ale bolo jasné, že ak má platforma fungovať naozaj udržateľne, musí mať pevné základy v tom, ako sa k bezpečnostnému výskumu pristupuje — filozoficky aj procesne.
Presne preto tam Katie prišla. Ako Chief Policy Officer mala na starosti definovanie filozofie HackerOne v oblasti zverejňovania zraniteľností a budovanie mostov medzi výskumníkmi, organizáciami a vládami. Inak povedané: nastavovala pravidlá hry.
Luta Security – podnikanie so svedomím
Katie Moussouris v apríli 2016 založila Luta Security. Vlastnú firmu, ktorá prišla po skúsenostiach v Microsofte, Symantecu a HackerOne Katie vedela, že trh bug bounty programov začína byť znepokojivo povrchný. Firmy síce chceli zbierať hlásenia o chybách, ale reálne si neupratali vlastné procesy.
Luta Security vznikla ako odpoveď na tento trend. Už samotný názov „Luta“ nie je náhodný — odkazuje na ostrov Rota (Luta v jazyku Chamorro), čo je pocta časti jej tichomorského dedičstva. Firma bola od začiatku postavená na jasnej misii: pomáhať organizáciám reálne zlepšiť procesy riešenia zraniteľností zvnútra von.
Luta sa špecializuje na celý životný cyklus bug bounty a správy zraniteľností — od návrhu programov cez ich prevádzku až po analýzu a opravy. Zameriava sa aj na odstraňovanie systémových príčin vzniku bugov, nie len na vyplácanie odmien. Katie totiž tvrdí, že chyby v softvéri sú len symptómom chýbajúcich alebo slabých interných procesov.
A túto filozofiu vo firme presadzuje nekompromisne. Kritizuje trend, keď niektoré bug bounty platformy (ktoré, mimochodom, sama pomáhala formovať) podporujú model „hackerské práce“ — teda zbieranie bugov pre PR účely, bez toho, aby sa riešili ich príčiny. Sama to výstižne nazýva „botox na bug bounty“.
V Luta Security naopak analyzujú dáta z bug bounty programov a snažia sa firmám pomôcť znížiť opakovanie celých tried chýb. Príklad? V spolupráci so Zoom sa im podarilo znižiť objem chýb o 40 % práve vďaka zlepšeniu interných procesov.
A v tom je Luta unikátna. Katie má za sebou nielen ISO normy, ktoré spolutvorila, ale aj know-how zo stavania bug bounty programov v Microsofte a pre americké ministerstvo obrany. Ako hovorí: „žiadna iná spoločnosť v oblasti bug bounty nemá takúto hĺbkovú expertízu“.
Katie zároveň otvorene kritizuje startupovú kultúru, ktorá podľa nej často funguje ako pyramídová schéma — s podplácaním pracovníkov, falošnými sľubmi o „rodinnej firemnej kultúre“, vyžadovaním nadčasov a ignorovaním základných práv zamestnancov.
Preto je Luta bootstrapped firma — bez externých investorov, bez umelého naháňania rastu, bez toxických predajných praktík. V Luta Security majú navyše iba 32-hodinový pracovný týždeň, ktorý je platený ako 40-hodinový. Piatky voľné. Zamestnanci nie sú nútení „žiť pre prácu“ a firma vedome odoláva tlaku rásť za každú cenu.
Katie veľmi otvorene hovorí, že nechce, aby jej firma kopírovala startupové praktiky veľkých technologických hráčov. Ako sama píše: „startupová kultúra často maskuje pyramídovú schému, v ktorej je výnos pre zamestnancov minimálny a zisky maximalizované pre chamtivých oligarchov a supí kapitál“.
Aj filozofia práce s klientmi je odlišná. Luta sa netají tým, že ak firma nie je pripravená reálne zmeniť svoje procesy, radšej s ňou spolupracovať nebude. Nejde o to zbierať bugy do tabuliek, ale o zmysluplné zlepšenie bezpečnostného systému. Aj preto je Luta pre veľa firiem síce „ťažší“ partner, ale zároveň partner, ktorý prinesie skutočnú zmenu.
A je to vidno aj v komunikácii firmy. V marketingových materiáloch Luta Security nájdete silné vyjadrenia typu „botox na bug bounty“, „chýbajúce vnútorné potrubie“, „turbíny vykorisťovania pracovníkov v gig ekonomike“. Žiadne korporátne frázy, ale jasná a ostrá kritika bežných modelov.
Zároveň je filozofia Luty osobne prepojená s Katieiným vlastným príbehom. Po skúsenostiach s diskrimináciou v korporátnom svete (žaloba voči Microsoftu), po rokoch pozorovania, ako sa bezpečnostný priemysel komercializuje, si v Luta Security nastavila podmienky tak, aby firma nešla proti jej vlastným hodnotám.
Bojovníčka za rovnosť v technológiách
V odvetví, kde ženy stále tvoria len približne 25 % pracovnej sily, je Katie neúnavnou zástankyňou rodovej rovnosti. A nerobí to len v teoretickej rovine — ide priamo na koreň problémov, nebojí sa právnych sporov a vie, že niekedy treba hacknúť nie len softvér, ale celý systém.
V roku 2015 podala žalobu na Microsoft pre rodovú diskrimináciu. Tvrdila, že v Microsofte existujú systematické rozdiely v odmeňovaní, kariérnom postupe a hodnotení žien na technických pozíciách. Podľa nej systém „núteného hodnotenia“ (forced ranking) podhodnocoval zamestnankyne. A áno, pustila sa do toho vedome — v čase, keď takýto postup ešte nebol úplne bežný.
Hoci súd neskôr zamietol certifikáciu hromadnej žaloby a Katie v roku 2020 svoju vlastnú žalobu stiahla, už samotný akt podania sporu spustil veľkú diskusiu o rodovej nerovnosti v technologickom sektore. Katie si tým otvorila novú kapitolu svojej kariéry — aktivizmus v oblasti rovnosti.
Nielenže sa nevzdala, ale založila aj Pay Equity Now (PEN) Foundation, ktorá sa venuje boju za spravodlivé odmeňovanie. Misia PEN je jasná: posilniť schopnosť žien byť spravodlivo odmeňované, umožniť efektívne podávanie žalôb, a vytvárať mechanizmy na skutočné vymáhanie spravodlivosti.
V máji 2024 oznámila iniciatívu radikálnej transparentnosti platov v spolupráci s Penn State IST. Katie verí, že je možné dosiahnuť mzdovú rovnosť ešte počas nášho života — ak sa na to spoločnosť naozaj zaviaže.
Ako sama hovorí: „Mzdová nerovnosť je oblasť, o ktorej som presvedčená, že má rozsiahle dôsledky pre našu spoločnosť. So spravodlivou ekonomickou mocou upevňujeme naše ľudské práva.“
Vyzýva firmy aj jednotlivcov, aby použili hackerské myslenie na rozbitie existujúcich systémov diskriminácie: „Informácie chcú byť slobodné. Teraz sa môžete pridať k hackerom a zmeniť systém tým, že oslobodíte informácie o mzdách.“
Katie zároveň aktívne bojuje proti mýtu o „nedostatku talentov“ v kyberbezpečnosti. Tvrdí, že to je falošný naratív, ktorý zametá pod koberec skutočný problém — systémové bariéry, ktoré bránia ženám a ďalším znevýhodneným skupinám v postupe a spravodlivom odmeňovaní.
Umelá inteligencia
Veľmi zaujímavý je aj jej postoj k umelej inteligencii (AI) v kyberbezpečnosti. Katie uznáva, že AI môže výrazne zrýchliť hľadanie chýb — dokonca často rýchlejšie ako ľudia. Ale upozorňuje, že backend stále potrebuje spracovať a opraviť výsledky — a ak AI bude používaná len na ofenzívnej strane, ľudskí obrancovia to jednoducho nezvládnu.
Ak sa AI použije na oboch stranách (útok aj obrana), vzniká ďalší problém: kompatibilita medzi rôznymi systémami, komplexita, potenciálne nové chyby.
Okrem toho varuje pred ďalším vážnym rizikom: predsudkami v algoritmoch AI. Ak trénovacie dáta obsahujú zaujaté vzorce, AI ich bude len ďalej posilňovať — čo môže mať veľmi reálne spoločenské dôsledky. Preto kladie dôraz na to, aby sa tieto otázky riešili už vo fáze tréningu a návrhu AI riešení.
Keď si dnes prejdete kariéru Katie Moussouris, je ťažké nezostať v nemom úžase. Od prvého bug bounty programu v Microsofte, cez MSVR a BlueHat Prize, cez Hack the Pentagon, tvorbu noriem ISO, až po založenie Luta Security a Pay Equity Now Foundation — každý jeden krok bol priekopnícky a posunul hranice možného.
A nejde len o to, že jej práca ovplyvnila bezpečnostné politiky korporácií a vlád. Jej vplyv je priamejší, ako si možno myslíme — vďaka jej iniciatívam je dnes softvér, ktorý denne používajú milióny ľudí, o niečo bezpečnejší. A zároveň celý technologický svet dnes vďaka nej ináč uvažuje o spolupráci s komunitou etických hackerov.
Jej vytrvalá práca v Luta Security, aktivity v PEN Foundation a pôsobenie v poradných orgánoch ukazujú, že jej odhodlanie nekončí. Neuspokojila sa s tým, že v minulosti nastavila nové štandardy — naopak, stále aktívne pracuje na tom, aby sa technologický svet stal bezpečnejším a spravodlivejším.
Jej práca je dôkazom, že sa dá budovať technologická firma na etických základoch, že sa dajú hackovať spoločenské systémy, a že transparentnosť, spravodlivosť a rešpekt nemusia byť v technológiách len prázdnymi slovami.
Ak teda hľadáme vzor pre budúce generácie hackerov, vývojárov, lídrov — Katie Moussouris je živým dôkazom, že technická zručnosť a spoločenská zodpovednosť sa nevylučujú. A v dobe, keď sa technologický svet rýchlo mení, jej posolstvo je jasné:
„Hackujte systém — ale hackujte ho tak, aby bol lepší pre všetkých.“