U sceni koja kao da je preuzeta iz njegove filmske inspiracije, van der Gaast je imao oko 16 godina kada je hakirao indijski nuklearni objekat i ukrao podatke iz podzemnih nuklearnih testova. „Koristili su staru verziju mail servera, koju sam prevario da mi da administratorski račun“, kaže on. Zbog toga je dospio na radar brojnih obavještajnih agencija, te je na kraju proglašen jednim od 5 najozloglašenijih hakera na svijetu.

Van der Gaast se upravo preselio iz Evrope u SAD u jesen 1998. godine kada je grupa muškaraca u odijelima iz agencije povezane s Ministarstvom odbrane SAD-a pokucala na njegova vrata. „Mislio sam da su zapravo iz imigracijske službe“, kaže on, „jer sam prekoračio rok boravka od 90 dana.“

Srećom po tinejdžerskog hakera, agencija je željela regrutovati zvijezde u usponu iz virtuelnog podzemlja, a ne da ih krivično goni. U tom trenutku, brzo je promijenio stranu i počeo raditi s Ministarstvom odbrane u zajedničkoj operaciji s FBI-jem naredne tri godine. Posao je uključivao prikupljanje obavještajnih podataka o hakerima i povezanim kriminalnim aktivnostima, kao i istraživanje kršenja podataka od nacionalnog interesa.

Ova nekonvencionalna obuka poslužila je kao odskočna daska za 25-godišnju karijeru stručnjaka za kibernetičku sigurnost, glavnog govornika i korporativnog savjetnika, što je dovelo do njegove trenutne uloge osnivača i generalnog direktora Sequioa Consultinga, gdje pomaže izvršnim liderima i globalnim organizacijama da „manje rade na kibernetičkoj sigurnosti, a više posluju sigurnije“.

„Počeo sam učeći lekcije o metodama, taktikama i mogućnostima koje hakeri koriste“, kaže on. „Ali gledajući unatrag?“ Mislim da sam više naučio o tome kako bi se gotovo svi ovi propusti mogli spriječiti da su se organizacije jednostavno bavile osnovama IT-a i dale sve od sebe da aktivno razvijaju svoje procese.

Upravo taj pristup njegova kompanija zagovara. U suštini, kompanija primjenjuje metodologije iz menadžment konsaltinga, lean razmišljanja i drugih disciplina u kontekstu tehnologije kako bi poboljšala IT procese i tako smanjila tačke neuspjeha koje akteri prijetnji mogu iskoristiti.

Jednostavna analogija je fabrika automobila gdje svaki proizvedeni automobil ima nedostatke - volan nije centriran, vijci koji nedostaju na ramenima ovjesa, kočione cijevi pune zraka i druge nedostatke. Bilo bi smiješno, kaže on, zapošljavati više ljudi da popravljaju sve ove nedostatke na gotovim automobilima. Umjesto toga, problem biste riješili, vjerovatno u procesu, na stanici montažne trake gdje se ovi nedostaci događaju - smanjujući broj nedostataka, a time i troškove.

Ipak, kaže van der Gaast, pristup u sajber sigurnosti je uglavnom prvi, te je industrija uglavnom ostala reaktivna umjesto proaktivna, a osnovni uzroci su uglavnom ostali netaknuti.

„U suštini, nalazimo se u nekoj vrsti utrke u naoružanju [držimo hakere podalje od naših ranjivosti], ali moramo se zapitati zašto se suočavamo s toliko izazova?“, kaže on. „Što će reći, zašto uopšte imamo ove ranjivosti?“

Bivši haker postavlja tako široka pitanja posljednje tri decenije, a to je linija pitanja koja nikada nije bila relevantnija za preduzeća i društvo u cjelini.

Najjednostavniji način da se sagleda sigurnost jeste da se radi o iskorištavanju ranjivosti, a te ranjivosti su zapravo problemi s kvalitetom, kaže on - nedostaci u kodu, konfiguraciji, praznine u kontroli, dizajnu, planiranju, pa čak i kulturi.

Rješavanje ovih problema smanjuje broj ranjivosti, tako da ima manje stvari koje se mogu iskoristiti, kaže on, umjesto da se mora pojačavati odbrana pred ovim ranjivostima. Dodaje da ovo ne rezultira samo manjim troškovima sigurnosti – to također ima tendenciju da poslovne i IT procese učini efikasnijim, što smanjuje i njihove troškove.

„Kada se jednom počnete fokusirati na sigurnost kao funkciju procesa i kvalitete, kada počnete raditi stvari kako treba, ne samo da rješavate temeljne probleme, već to može pomoći i poslovanju da stvori pozitivne promjene i uštedi novac.“

Van der Gaast uvijek počinje osiguravati organizacije tako što dolazi do korijena njihovih problema, kopajući mnogo dublje od tehnološki orijentiranih sigurnosnih konsultanata. „Većina kompanija ima tendenciju da pristupi sajber sigurnosti na način koji im omogućava da stalno rade na gašenju požara“, kaže on. „Umjesto toga, pokušavam da sagledam šta uzrokuje bilo kakve IT probleme.“

„Da li izazovi dolaze iz dizajna aplikacija?“ "Da li različiti poslovni odjeli koriste različite IT procese i dobavljače?", dodaje on. „Kada shvatite uzrok problema, možete početi s njihovom optimizacijom i sistematskim uklanjanjem.“

Van der Gaast smatra da moramo promijeniti fokus na način na koji se suočavamo s problemom kibernetičkog kriminala. Umjesto da gledamo kriminalce, moramo se fokusirati na to zašto je zločin tako lak.

On spominje da gotovo svi propusti uključuju poznate ranjivosti s dostupnim ispravkama, te da su u većini slučajeva te ispravke bile dostupne već duže od godinu dana.

„Kad bih stavio vreću žita u vašu baštu, ne biste se iznenadili da sedmicu dana kasnije otkrijete da imate hiljade miševa.“ Idealno rješenje nije postavljanje i upravljanje hiljadama mišolovki, već bolje skladištenje žitarica ili promjena procesa u odnosu na to zašto vam je to potrebno.

Zaključak: Možete instalirati najbolji sistem sajber sigurnosti na planeti, ali ako nemate odgovarajuće alate za upravljanje identitetima, vaši ljudi nisu dovoljno obučeni i niste ažurirali i nadogradili svoje sisteme, uređaje ili aplikacije, hakeri mogu jednostavno zaobići vašu odbranu, digitalnu ili neku drugu, kaže on. 

Konačno, u doba rastućih prijetnji zasnovanih na umjetnoj inteligenciji, poput automatiziranih napada i deepfake videa, van der Gaast kaže da uspješna odbrana moderne organizacije od sajber kriminalaca mora uključivati obuku, edukaciju i proaktivan – a ne reaktivan – pristup.

Ove prijetnje, jednom kada se shvate, često se mogu neutralizirati implementacijom čvrstih temelja - nije važno koliko je brz napad ako niste ranjivi na njega - i procesa, poput transfera sredstava, koji se uvijek vrše kroz definirani proces koji nije podložan lažiranju.

Po njegovom mišljenju, najbolja stvar koju možete učiniti da pomognete svojoj organizaciji jeste da utvrdite probleme koji uzrokuju vaše ranjivosti i da ih riješite, što je prije moguće, čak i razmatranjem organizacijskih i kulturnih problema. Zatim neka sigurnosni timovi sarađuju sa svim dijelovima organizacije kako bi razumjeli sve poslovne i IT procese i pomogli u njihovom redefiniranju po potrebi kako bi se smanjili svi rizici koje bi mogli uvesti, te kako bi bili svjesni svih preostalih rizika.

Tek kada organizacije to urade i shvate svoje temeljne probleme, mogu formulisati strategiju i mapu puta ka boljem mjestu.

Baš kao što je prije nekoliko decenija prelistavao knjige o računarima, van der Gaastova interesovanja i danas uključuju apsorbovanje mnoštva informacija. Bivši sajber kriminalac, čiji hobiji danas uključuju popravljanje automobila i čitanje svega što mu dođe pod ruku o najboljim poslovnim praksama, kaže da uspjeh u sajber sigurnosti nije samo softver: „Mnogi izazovi za koje smatram da se više svode na kulturu nego na visokotehnološka rješenja.“