Em uma cena aparentemente tirada de sua inspiração cinematográfica, van der Gaast tinha cerca de 16 anos quando invadiu o sistema de uma instalação de armas nucleares indiana e roubou dados de testes nucleares subterrâneos. “Eles estavam usando uma versão antiga de um servidor de e-mail, que eu enganei para obter uma conta administrativa”, disse ele. Isso o colocou no radar de várias agências de inteligência e, eventualmente, ele foi nomeado um dos 5 hackers mais notórios do mundo.

Van der Gaast tinha acabado de se mudar da Europa para os EUA no outono de 1998, quando um grupo de homens de terno, de uma agência ligada ao Departamento de Defesa dos EUA, bateu à sua porta. “Pensei que fossem da imigração”, diz ele, “porque eu tinha excedido o prazo do meu visto de 90 dias.”

Felizmente para o hacker adolescente, a agência estava interessada em recrutar estrelas em ascensão do submundo virtual, e não em processá-las. Naquele momento, ele rapidamente mudou de lado e começou a trabalhar com o Departamento de Defesa em uma operação conjunta com o FBI pelos três anos seguintes. O trabalho envolvia a coleta de informações sobre hackers e atividades criminosas relacionadas, bem como a investigação de violações de dados de interesse nacional.

Essa formação não convencional serviu como trampolim para uma carreira de 25 anos como especialista em cibersegurança, palestrante principal e consultor corporativo, culminando em sua função atual como fundador e diretor administrativo da Sequoia Consulting, onde ajuda líderes executivos e organizações globais a "se preocuparem menos com cibersegurança e a fazerem mais negócios com segurança".

“Comecei aprendendo lições sobre os métodos, táticas e capacidades que os hackers usam”, diz ele. “Mas, olhando para trás?” Acho que o que aprendi foi mais sobre como praticamente todas essas violações poderiam ter sido evitadas se as organizações simplesmente tivessem lidado com os fundamentos de TI e se esforçado para aprimorar ativamente seus processos.”

É essa abordagem que a empresa dele defende. Na prática, a empresa aplica metodologias de consultoria de gestão, pensamento enxuto e outras disciplinas no contexto da tecnologia para aprimorar os processos de TI, reduzindo os pontos de vulnerabilidade que podem ser explorados por agentes maliciosos.

Uma analogia simples seria uma fábrica de automóveis onde cada carro produzido apresenta defeitos — o volante desalinhado, parafusos faltando nos braços da suspensão, as linhas de freio cheias de ar e outros defeitos. Seria ridículo, diz ele, contratar mais pessoas para corrigir todos esses defeitos nos carros já prontos. Em vez disso, você abordaria o problema, provavelmente durante o processo, na estação da linha de montagem onde esses defeitos estão ocorrendo — reduzindo o número de defeitos e também os custos.

No entanto, segundo van der Gaast, a abordagem em cibersegurança é em grande parte a primeira, e por isso o setor tem permanecido amplamente reativo em vez de proativo, com as causas subjacentes permanecendo praticamente intocadas.

“Fundamentalmente, estamos numa espécie de corrida armamentista [para manter os hackers longe das nossas vulnerabilidades], mas precisamos nos perguntar por que estamos enfrentando tantos desafios?”, diz ele. “Ou seja, por que temos essas vulnerabilidades em primeiro lugar?”

O ex-hacker vem fazendo perguntas tão abrangentes há três décadas, e essa linha de questionamento nunca foi tão relevante para as empresas e para a sociedade em geral.

A maneira mais simples de encarar a segurança é como uma questão de vulnerabilidades sendo exploradas, e essas vulnerabilidades são, na prática, problemas de qualidade, afirma ele — defeitos no código, na configuração, falhas no controle, no projeto, no planejamento e até mesmo na cultura.

Abordar essas questões reduz o número de vulnerabilidades, diminuindo assim o número de pontos que podem ser explorados, afirma ele, em vez de ter que reforçar cada vez mais as defesas contra essas vulnerabilidades. Isso não resulta apenas em menos gastos com segurança, acrescenta ele — tende também a tornar os processos de negócios e de TI mais eficientes, o que reduz seus custos.

“Quando você começa a focar na segurança mais como uma função do processo e da qualidade, e começa a fazer as coisas da maneira correta, você não só corrige os problemas subjacentes, como também pode ajudar uma empresa a gerar mudanças positivas e economizar dinheiro.”

Van der Gaast sempre começa a proteger as organizações indo à raiz dos seus problemas, investigando muito mais a fundo do que os consultores de segurança com foco em tecnologia. “A maioria das empresas tende a adotar uma abordagem de segurança cibernética em que estão constantemente trabalhando para apagar incêndios”, diz ele. Em vez disso, tento analisar o que está causando quaisquer problemas de TI.

“Os desafios surgem do design das aplicações?” Será que diferentes departamentos de uma empresa utilizam processos e fornecedores de TI diferentes?”, acrescenta. “Assim que você entender a causa raiz dos problemas, poderá começar a otimizá-los e eliminá-los sistematicamente.”

Van der Gaast acredita que precisamos mudar o foco de como estamos lidando com o problema do cibercrime. Em vez de olharmos para os criminosos, precisamos nos concentrar em por que o crime é tão fácil.

Ele menciona que praticamente todas as violações envolvem vulnerabilidades conhecidas com correções disponíveis e que, na maioria dos casos, essas correções já estavam disponíveis há mais de um ano.

“Se eu colocasse um saco de grãos no seu jardim, você não se surpreenderia ao encontrar milhares de ratos uma semana depois. A solução ideal não é instalar e gerenciar milhares de ratoeiras, mas sim armazenar melhor os grãos ou mudar o processo que justifica a sua necessidade.”

Em resumo: você pode instalar o melhor sistema de cibersegurança do planeta, mas se não tiver ferramentas adequadas de gerenciamento de identidade, se sua equipe não estiver suficientemente treinada e se seus sistemas, dispositivos ou aplicativos não forem atualizados e corrigidos, os hackers podem simplesmente contornar suas defesas, sejam elas digitais ou não, afirma ele. 

Em última análise, numa era de crescentes ameaças impulsionadas por IA, como ataques automatizados e vídeos deepfake, Van der Gaast afirma que defender com sucesso uma organização moderna contra cibercriminosos exige treinamento, educação e uma abordagem proativa, e não reativa.

Essas ameaças, uma vez compreendidas, podem muitas vezes ser neutralizadas por meio da implementação de bases sólidas — não importa a velocidade de um ataque se você não for vulnerável a ele — e processos, como transferências de fundos sempre realizadas por meio de um processo definido que não seja suscetível a deepfakes.

Na visão dele, a melhor coisa que você pode fazer para ajudar sua organização é identificar os problemas que causam suas vulnerabilidades e resolvê-los o mais cedo possível, mesmo analisando questões organizacionais e culturais. Em seguida, as equipes de segurança devem trabalhar com todas as áreas da organização para entender todos os processos de negócios e de TI e ajudar a redefini-los conforme necessário para reduzir quaisquer riscos que possam introduzir e estar cientes de quaisquer riscos remanescentes.

Somente depois de as organizações terem feito isso, compreendendo seus problemas subjacentes, é que elas podem formular uma estratégia e um roteiro para uma situação melhor.

Assim como devorava livros de informática décadas atrás, os interesses de van der Gaast hoje ainda envolvem absorver uma grande quantidade de informações. O ex-cibercriminoso, cujos hobbies hoje incluem consertar carros e ler tudo o que encontra sobre as melhores práticas de negócios, afirma que o sucesso em cibersegurança vai muito além do software: "Muitos desafios que encontro estão mais relacionados à cultura do que a soluções de alta tecnologia."