Σε μια σκηνή που φαινομενικά είναι βγαλμένη από την κινηματογραφική του έμπνευση, ο βαν ντερ Γκάαστ ήταν περίπου 16 ετών όταν χάκαρε μια ινδική εγκατάσταση πυρηνικών όπλων και έκλεψε δεδομένα από υπόγειες πυρηνικές δοκιμές. «Χρησιμοποιούσαν μια παλιά έκδοση ενός διακομιστή αλληλογραφίας, την οποία ξεγέλασα ώστε να μου δώσει έναν λογαριασμό διαχειριστή», λέει. Αυτό τον έβαλε στο στόχαστρο πολλών υπηρεσιών πληροφοριών και τελικά ονομάστηκε ένας από τους 5 πιο διαβόητους χάκερ στον κόσμο.

Ο βαν ντερ Γκάαστ μόλις είχε μετακομίσει από την Ευρώπη στις ΗΠΑ το φθινόπωρο του 1998, όταν μια ομάδα ανδρών με κοστούμια από μια υπηρεσία που συνδέεται με το Υπουργείο Άμυνας των ΗΠΑ χτύπησε την πόρτα του. «Νόμιζα ότι ήταν στην πραγματικότητα από τη μετανάστευση», λέει, «επειδή είχα παραμείνει εκεί πέρα από την 90ήμερη βίζα μου».

Ευτυχώς για τον έφηβο χάκερ, η υπηρεσία επεδίωκε να στρατολογήσει ανερχόμενα αστέρια από το εικονικό underground, όχι να τα διώξει. Εκείνη τη στιγμή, άλλαξε γρήγορα πλευρά και άρχισε να συνεργάζεται με το Υπουργείο Άμυνας σε μια κοινή επιχείρηση με το FBI για τα επόμενα τρία χρόνια. Η εργασία περιελάμβανε τη συλλογή πληροφοριών σχετικά με χάκερ και τις εγκληματικές δραστηριότητες που τον περιβάλλουν, καθώς και τη διερεύνηση παραβιάσεων δεδομένων εθνικού συμφέροντος.

Αυτή η ανορθόδοξη εκπαίδευση χρησίμευσε ως αφετηρία για μια 25ετή καριέρα ως ειδικός στον κυβερνοχώρο, κεντρικός ομιλητής και εταιρικός σύμβουλος, η οποία τον οδήγησε στον τρέχοντα ρόλο του ως ιδρυτή και διευθύνοντος συμβούλου της Sequioa Consulting, όπου βοηθά τα στελέχη και τους παγκόσμιους οργανισμούς να «κάνουν λιγότερη κυβερνοασφάλεια και να κάνουν περισσότερες δουλειές με ασφάλεια».

«Ξεκίνησα μαθαίνοντας μαθήματα σχετικά με τις μεθόδους, τις τακτικές και τις δυνατότητες που χρησιμοποιούν οι χάκερ», λέει. «Αλλά εκ των υστέρων;» Νομίζω ότι αυτό που έμαθα ήταν περισσότερο για το πώς σχεδόν όλες αυτές οι παραβιάσεις θα μπορούσαν να είχαν αποτραπεί εάν οι οργανισμοί απλώς είχαν χειριστεί τα βασικά στοιχεία της πληροφορικής και είχαν επιδιώξει να ωριμάσουν ενεργά τις διαδικασίες τους.

Αυτήν την προσέγγιση υποστηρίζει η εταιρεία του. Στην πραγματικότητα, η εταιρεία εφαρμόζει μεθοδολογίες από συμβουλευτικές υπηρεσίες διαχείρισης, λιτή σκέψη και άλλους κλάδους στο πλαίσιο της τεχνολογίας για τη βελτίωση των διαδικασιών πληροφορικής, ώστε να υπάρχουν λιγότερα σημεία αποτυχίας που μπορούν να εκμεταλλευτούν οι απειλητικοί παράγοντες.

Μια απλή αναλογία είναι ένα εργοστάσιο αυτοκινήτων όπου κάθε αυτοκίνητο που παράγεται έχει ελαττώματα — το τιμόνι εκτός κέντρου, βίδες που λείπουν από τους βραχίονες ανάρτησης, οι σωληνώσεις των φρένων γεμάτες αέρα και άλλα ελαττώματα. Θα ήταν γελοίο, λέει, να προσλάβει περισσότερους ανθρώπους για να διορθώσουν όλα αυτά τα ελαττώματα στα τελικά αυτοκίνητα. Αντίθετα, θα αντιμετωπίσετε το πρόβλημα, πιθανώς εν εξελίξει, στον σταθμό της γραμμής συναρμολόγησης όπου συμβαίνουν αυτά τα ελαττώματα — μειώνοντας τον αριθμό των ελαττωμάτων και μειώνοντας παράλληλα το κόστος.

Κι όμως, λέει ο van der Gaast, η προσέγγιση στην κυβερνοασφάλεια είναι σε μεγάλο βαθμό η πρώτη, και έτσι ο κλάδος έχει παραμείνει σε μεγάλο βαθμό αντιδραστικός αντί για προληπτικός, με τις υποκείμενες αιτίες να παραμένουν ως επί το πλείστον ανέπαφες.

«Ουσιαστικά, βρισκόμαστε σε έναν μικρό ανταγωνισμό εξοπλισμών [κρατώντας τους χάκερ μακριά από τα τρωτά μας σημεία], αλλά πρέπει να αναρωτηθούμε γιατί αντιμετωπίζουμε τόσες πολλές προκλήσεις;», λέει. «Δηλαδή, γιατί έχουμε εξαρχής αυτά τα τρωτά σημεία;»

Ο πρώην χάκερ θέτει τόσο ευρείες ερωτήσεις τις τελευταίες τρεις δεκαετίες, και πρόκειται για μια σειρά ερωτήσεων που ποτέ δεν ήταν πιο σχετική με τις επιχειρήσεις και την κοινωνία γενικότερα.

Ο απλούστερος τρόπος για να εξετάσουμε την ασφάλεια είναι ότι πρόκειται για την εκμετάλλευση τρωτών σημείων και αυτά τα τρωτά σημεία είναι ουσιαστικά ζητήματα ποιότητας, λέει — ελαττώματα στον κώδικα, τη διαμόρφωση, κενά στον έλεγχο, το σχεδιασμό, τον προγραμματισμό, ακόμη και την κουλτούρα.

Η αντιμετώπιση αυτών των ζητημάτων μειώνει τον αριθμό των τρωτών σημείων, επομένως υπάρχουν λιγότερα προς εκμετάλλευση, λέει, αντί να χρειάζεται να εντείνονται οι άμυνες μπροστά σε αυτά τα τρωτά σημεία. Αυτό δεν έχει ως αποτέλεσμα μόνο λιγότερες δαπάνες για την ασφάλεια, προσθέτει — τείνει επίσης να κάνει τις επιχειρηματικές και πληροφοριακές διαδικασίες πιο αποτελεσματικές, γεγονός που μειώνει και το κόστος τους.

«Μόλις αρχίσετε να εστιάζετε στην ασφάλεια περισσότερο ως συνάρτηση της διαδικασίας και της ποιότητας, όταν αρχίσετε να κάνετε τα πράγματα σωστά, όχι μόνο διορθώνετε υποκείμενα προβλήματα, αλλά μπορείτε επίσης να βοηθήσετε μια επιχείρηση να δημιουργήσει θετικές αλλαγές και να εξοικονομήσει χρήματα».

Ο Van der Gaast ξεκινά πάντα την ασφάλεια των οργανισμών φτάνοντας στη ρίζα των προβλημάτων τους, εμβαθύνοντας πολύ περισσότερο από τους συμβούλους ασφαλείας που ασχολούνται με την τεχνολογία. «Οι περισσότερες εταιρείες τείνουν να υιοθετούν μια προσέγγιση στην κυβερνοασφάλεια όπου εργάζονται συνεχώς για την κατάσβεση πυρκαγιών», λέει. «Αντίθετα, προσπαθώ να εξετάσω τι προκαλεί τυχόν προβλήματα πληροφορικής.»

«Προκύπτουν προκλήσεις από τον σχεδιασμό των εφαρμογών;» Χρησιμοποιούν διαφορετικά επιχειρηματικά τμήματα διαφορετικές διαδικασίες πληροφορικής και προμηθευτές;» προσθέτει. «Μόλις κατανοήσετε την αιτία των ανησυχιών, μπορείτε να αρχίσετε να τις βελτιστοποιείτε και να τις εξαλείφετε συστηματικά.»

Ο Van der Gaast πιστεύει ότι πρέπει να αλλάξουμε την εστίασή μας στον τρόπο αντιμετώπισης του προβλήματος του κυβερνοεγκλήματος. Αντί να κοιτάμε τους εγκληματίες, πρέπει να επικεντρωθούμε στο γιατί το έγκλημα είναι τόσο εύκολο.

Αναφέρει ότι σχεδόν όλες οι παραβιάσεις αφορούν γνωστά τρωτά σημεία με διαθέσιμες διορθώσεις και ότι στην πλειονότητα των περιπτώσεων αυτές οι διορθώσεις ήταν διαθέσιμες για πάνω από ένα χρόνο.

«Αν έβαζα μια σακούλα σιτηρά στον κήπο σας, δεν θα εκπλαγείτε αν διαπιστώσετε ότι έχετε χιλιάδες ποντίκια μια εβδομάδα αργότερα.» Η ιδανική λύση δεν είναι να τοποθετήσετε και να διαχειριστείτε χιλιάδες παγίδες για ποντίκια, αλλά να αποθηκεύσετε καλύτερα τα σιτηρά ή να αλλάξετε τη διαδικασία ανάλογα με τον λόγο που τα χρειάζεστε.

Το συμπέρασμα: Μπορείτε να εγκαταστήσετε το καλύτερο σύστημα κυβερνοασφάλειας στον πλανήτη, αλλά αν δεν διαθέτετε τα κατάλληλα εργαλεία διαχείρισης ταυτότητας, οι άνθρωποί σας δεν είναι επαρκώς εκπαιδευμένοι και δεν έχετε ενημερώσει και αναβαθμίσει τα συστήματα, τις συσκευές ή τις εφαρμογές σας, οι χάκερ μπορούν απλώς να παρακάμψουν τις άμυνές σας, ψηφιακές ή μη, λέει. 

Τελικά, σε μια εποχή αυξανόμενων απειλών που υποστηρίζονται από την Τεχνητή Νοημοσύνη, όπως οι αυτοματοποιημένες επιθέσεις και τα deepfake βίντεο, Ο van der Gaast λέει ότι η επιτυχής υπεράσπιση ενός σύγχρονου οργανισμού από τους κυβερνοεγκληματίες πρέπει να περιλαμβάνει εκπαίδευση, εκπαίδευση και μια προληπτική - όχι αντιδραστική - προσέγγιση.

Αυτές οι απειλές, όταν γίνουν κατανοητές, μπορούν συχνά να εξουδετερωθούν μέσω της εφαρμογής στέρεων βάσεων — δεν έχει σημασία πόσο γρήγορη είναι μια επίθεση αν δεν είστε ευάλωτοι σε αυτήν — και διαδικασιών, όπως οι μεταφορές κεφαλαίων, που πραγματοποιούνται πάντα μέσω μιας καθορισμένης διαδικασίας που δεν είναι επιρρεπής σε deepfaked.

Κατά την άποψή του, το καλύτερο που μπορείτε να κάνετε για να βοηθήσετε τον οργανισμό σας είναι να εντοπίσετε τα προβλήματα που προκαλούν τα τρωτά σημεία σας και να τα αντιμετωπίσετε, όσο το δυνατόν πιο πάνω, ακόμη και εξετάζοντας οργανωτικά και πολιτισμικά ζητήματα. Στη συνέχεια, ζητήστε από τις ομάδες ασφαλείας να συνεργαστούν με όλα τα μέρη του οργανισμού για να κατανοήσουν όλες τις επιχειρηματικές και πληροφοριακές διαδικασίες και να βοηθήσουν στον επαναπροσδιορισμό τους, όπως απαιτείται, για τη μείωση τυχόν κινδύνων που ενδέχεται να εισαγάγουν και να γνωρίζουν όσους απομένουν.

Μόνο όταν οι οργανισμοί το έχουν κάνει αυτό, κατανοώντας τα υποκείμενα προβλήματά τους, μπορούν να διαμορφώσουν μια στρατηγική και έναν οδικό χάρτη για ένα καλύτερο μέλλον.

Όπως ακριβώς ξεφύλλιζε βιβλία υπολογιστών πριν από δεκαετίες, τα ενδιαφέροντα του βαν ντερ Γκάαστ σήμερα εξακολουθούν να περιλαμβάνουν την απορρόφηση πολλών πληροφοριών. Ο πρώην κυβερνοεγκληματίας, του οποίου τα χόμπι σήμερα περιλαμβάνουν την επισκευή αυτοκινήτων και την ανάγνωση οτιδήποτε μπορεί να βρει σχετικά με τις βέλτιστες επιχειρηματικές πρακτικές, λέει ότι η επιτυχία στην κυβερνοασφάλεια έχει να κάνει πολύ με κάτι πολύ περισσότερο από το λογισμικό: «Πολλές προκλήσεις που θεωρώ ότι οφείλονται στον πολιτισμό παρά σε λύσεις υψηλής τεχνολογίας».