Interviu cu un inginer de securitate: ce nu spun certificările

Certificatul nu te face periculos

Când l-am întrebat pe Radu Ciobanu — zece ani în securitate ofensivă, acum consultant independent — câte din certificările lui i-au fost cu adevărat utile pe teren, a zâmbit. „Două, poate trei. Restul mi-au dovedit că știu să memorez cadre.” Nu e o opinie marginală. Mulți ingineri cu OSCP sau CEH spun același lucru în conversații private: certificările validează cunoașterea unui vocabular, nu capacitatea de a opera în condiții reale.

Ce înlocuiește certificările în practică

Radu insistă că diferența dintre un inginer mediocru și unul eficient stă în expunerea la contexte reale: CTF-uri cu componente de rețea live, bug bounty pe programe cu scop larg, și — cel mai important — citit cod sursă până înțelegi nu ce face un sistem, ci de ce a fost construit așa. „Orice certificare te poate învăța cum funcționează un buffer overflow. Nicio certificare nu te învață să ghicești unde a greșit programatorul care a scris codul acela acum doisprezece ani.”