В сцена, сякаш изтръгната от филмовото му вдъхновение, ван дер Гааст е на около 16 години, когато прониква в индийско съоръжение за ядрени оръжия и открадва данни от подземни ядрени опити. "Те използваха стара версия на пощенски сървър, който подмамих да ми даде административен акаунт", казва той. Това го поставя в полезрението на редица разузнавателни агенции и в крайна сметка той е обявен за един от 5-те най-известни хакери в света.

Ван дер Гааст тъкмо се е преместил от Европа в САЩ през есента на 1998 г., когато група мъже в костюми от агенция, свързана с Министерството на отбраната на САЩ, почукват на вратата му. "Помислих, че всъщност са от имиграционните служби", казва той, "защото бях просрочил 90-дневната си виза."

За щастие на тийнейджъра хакер, агенцията е искала да набира изгряващи звезди от виртуалния ъндърграунд, а не да ги преследва. В този момент той бързо сменя страната си и започва да работи с Министерството на отбраната в съвместна операция с ФБР през следващите три години. Работата включваше събиране на разузнавателна информация за хакери и свързаните с тях престъпни дейности, както и разследване на нарушения на сигурността на данните от национален интерес.

Това нестандартно обучение служи като отправна точка за 25-годишна кариера на експерт по киберсигурност, ключов оратор и корпоративен съветник, която води до сегашната му роля на основател и управляващ директор на Sequioa Consulting, където помага на изпълнителни лидери и глобални организации "да се справят по-малко с киберсигурността и да правят по-сигурен бизнес".

"Започнах да уча уроци за методите, тактиките и възможностите, които използват хакерите", казва той. "Но като се върнем назад? Мисля, че научих повече за това, че почти всички тези нарушения щяха да бъдат предотвратени, ако организациите просто се бяха справили с основните ИТ принципи и бяха направили необходимото, за да развият активно своите процеси."

Компанията му подкрепя именно този подход. На практика компанията прилага методологии от управленското консултиране, рационалното мислене и други дисциплини в контекста на технологиите, за да подобри ИТ процесите, така че да има по-малко точки на провал, от които да се възползват участниците в заплахите.

Простата аналогия е с автомобилна фабрика, в която всеки произведен автомобил има дефекти - воланът е изместен встрани, липсват болтове на раменете на окачването, спирачните тръбопроводи са пълни с въздух и други дефекти. Според него би било нелепо да се наемат още хора, които да отстраняват всички тези дефекти в готовите автомобили. Вместо това ще се заемете с проблема, вероятно в процеса на работа, на станцията на монтажната линия, където се появяват тези дефекти - ще намалите броя на дефектите и ще намалите разходите.

И все пак, казва Ван дер Гааст, подходът в киберсигурността е предимно първият, така че индустрията до голяма степен остава реактивна, а не проактивна, като основните причини остават предимно незасегнати.

"По принцип сме в известна надпревара във въоръжаването [да държим хакерите далеч от нашите уязвимости], но трябва да се запитаме защо сме изправени пред толкова много предизвикателства?", казва той. "Защо изобщо имаме тези уязвимости?"

През последните три десетилетия бившият хакер задаваше такива обширни въпроси, които никога не са били по-актуални за бизнеса и обществото като цяло.

Най-простият начин да се погледне на сигурността е, че става дума за уязвимости, които се използват, а тези уязвимости са на практика проблеми с качеството - казва той - дефекти в кода, конфигурацията, пропуски в контрола, дизайна, планирането и дори културата.

Той казва, че решаването на тези проблеми намалява броя на уязвимостите, така че те са по-малко, за да бъдат използвани, вместо да се налага да се засилват защитите пред тези уязвимости. Той допълва, че това не само води до по-малко разходи за сигурност, но и до повишаване на ефективността на бизнес и ИТ процесите, което намалява и техните разходи.

"Когато започнете да се фокусирате върху сигурността като функция на процеса и качеството, когато започнете да правите нещата правилно, не само отстранявате основните проблеми, но и можете да помогнете на бизнеса да създаде положителна промяна и да спести пари."

Ван дер Гааст винаги започва да защитава организациите, като достига до корена на техните проблеми, навлизайки много по-дълбоко от технологично ориентираните консултанти по сигурността. "Повечето компании са склонни да подхождат към киберсигурността така, че постоянно да се опитват да гасят пожари", казва той. "Вместо това се опитвам да разгледам причините за притесненията в областта на ИТ.

"Предизвикателствата идват ли от дизайна на приложенията? Използват ли различните бизнес отдели различни ИТ процеси и доставчици?", добавя той. "След като разберете основната причина за проблемите, можете да започнете да ги оптимизирате и отстранявате систематично."

Ван дер Гааст смята, че трябва да променим начина, по който се справяме с проблема с киберпрестъпността. Вместо да се вглеждаме в престъпниците, трябва да се съсредоточим върху това защо престъплението е толкова лесно.

Той споменава, че почти всички нарушения са свързани с известни уязвимости с налични корекции и че в повечето случаи тези корекции са били налични от повече от година.

"Ако сложа торба със зърно в градината ви, няма да се изненадате, ако след седмица откриете, че имате хиляди мишки. Идеалното решение не е да се поставят и управляват хиляди капани за мишки, а да се съхранява по-добре зърното или да се промени процесът, при който то е необходимо."

Резултатът е следният: Ако не разполагате с подходящи инструменти за управление на идентичността, хората ви не са достатъчно обучени и не сте актуализирали системите, устройствата или приложенията си, хакерите могат просто да заобиколят защитата ви, цифрова или друга, казва той. 

В крайна сметка, в ерата на нарастващите заплахи, задвижвани от изкуствен интелект, като автоматизирани атаки и дълбоко фалшиви видеоклипове, ван дер Гааст казва, че успешната защита на съвременната организация от киберпрестъпници трябва да включва обучение, образование и проактивен, а не реактивен подход.

Веднъж разбрани, тези заплахи често могат да бъдат неутрализирани чрез прилагането на солидни основи - няма значение колко бърза е една атака, ако не сте уязвими към нея - и процеси, като например прехвърлянето на средства винаги да се извършва чрез определен процес, който не е податлив на дълбоки фалшификации.

Според него най-доброто нещо, което можете да направите, за да помогнете на организацията си, е да определите проблемите, които причиняват уязвимостите, и да ги отстраните, колкото е възможно по-нагоре по веригата, дори като разгледате организационни и културни проблеми. След това накарайте екипите по сигурността да работят с всички части на организацията, за да разберат всички бизнес и ИТ процеси и да ги предефинират, ако е необходимо, за да намалят всички рискове, които могат да създадат, и да са наясно с всички останали.

Само след като организациите са направили това, разбирайки основните си проблеми, те могат да формулират стратегия и пътна карта за по-добро място.

Както преди десетилетия е прелиствал компютърни книги, така и днес интересите на Ван дер Гааст са свързани с поглъщане на много информация. Бившият киберпрестъпник, чието хоби днес е да поправя коли и да чете всичко, което може да му попадне под ръка, за най-добрите бизнес практики, казва, че успехът в киберсигурността е свързан с много повече от софтуер: "Много предизвикателства, които намирам, се свеждат повече до културата, отколкото до високотехнологични решения."