U sceni koja se čini kao da je preuzeta iz njegove filmske inspiracije, van der Gaast je imao oko 16 godina kada je hakirao indijski objekt za nuklearno oružje i ukrao podatke iz podzemnih nuklearnih testova. „Koristili su staru verziju poslužitelja pošte, koju sam prevario da mi da administratorski račun“, kaže. Zbog toga je dospio na radar brojnih obavještajnih agencija, te je na kraju proglašen jednim od 5 najozloglašenijih hakera na svijetu.

Van der Gaast se upravo preselio iz Europe u SAD u jesen 1998. kada mu je na vrata pokucala skupina muškaraca u odijelima iz agencije povezane s američkim Ministarstvom obrane. „Mislio sam da su zapravo iz imigracijske službe“, kaže, „jer sam prekoračio rok boravka od 90 dana.“

Srećom za tinejdžerskog hakera, agencija je željela regrutirati zvijezde u usponu iz virtualnog podzemlja, a ne ih procesuirati. U tom trenutku brzo je promijenio stranu i počeo surađivati s Ministarstvom obrane u zajedničkoj operaciji s FBI-jem sljedeće tri godine. Rad je uključivao prikupljanje obavještajnih podataka o hakerima i povezanim kriminalnim aktivnostima, kao i istraživanje kršenja podataka od nacionalnog interesa.

Ova neobična obuka poslužila je kao odskočna daska za 25-godišnju karijeru stručnjaka za kibernetičku sigurnost, glavnog govornika i korporativnog savjetnika, što je dovelo do njegove trenutne uloge osnivača i generalnog direktora tvrtke Sequioa Consulting, gdje pomaže izvršnim liderima i globalnim organizacijama da „manje rade na kibernetičkoj sigurnosti, a više posluju sigurnije“.

„Počeo sam učeći lekcije o metodama, taktikama i mogućnostima koje hakeri koriste“, kaže. „Ali gledajući unatrag? Mislim da sam više naučio o tome kako bi se gotovo svi ovi propusti mogli spriječiti da su se organizacije jednostavno bavile osnovama IT-a i aktivno razvijale svoje procese.

Upravo taj pristup njegova tvrtka zagovara. U biti, tvrtka primjenjuje metodologije iz savjetovanja za menadžment, vitkog razmišljanja i drugih disciplina u kontekstu tehnologije kako bi poboljšala IT procese i tako smanjila broj točaka neuspjeha koje akteri prijetnji mogu iskoristiti.

Jednostavna analogija je tvornica automobila u kojoj svaki proizvedeni automobil ima nedostatke - volan nije centriran, vijci koji nedostaju na ramenima ovjesa, kočione cijevi pune zraka i druge nedostatke. Bilo bi smiješno, kaže, zaposliti više ljudi za popravak svih tih nedostataka na gotovim automobilima. Umjesto toga, problem biste riješili, vjerojatno u procesu, na stanici montažne trake gdje se ti nedostaci događaju - smanjujući broj nedostataka, a time i troškove.

Ipak, kaže van der Gaast, pristup u kibernetičkoj sigurnosti je uglavnom prvi, pa je industrija uglavnom ostala reaktivna umjesto proaktivna, a temeljni uzroci uglavnom su ostali netaknuti.

„U osnovi, nalazimo se u nekoj vrsti utrke u naoružanju [držimo hakere podalje od naših ranjivosti], ali moramo se zapitati zašto se suočavamo s toliko izazova?“, kaže on. „Što znači, zašto uopće imamo te ranjivosti?“

Bivši haker postavlja tako široka pitanja posljednja tri desetljeća, a to je linija pitanja koja nikada nije bila relevantnija za tvrtke i društvo u cjelini.

Najjednostavniji način gledanja na sigurnost jest da se radi o iskorištavanju ranjivosti, a te ranjivosti su zapravo problemi s kvalitetom, kaže on - nedostaci u kodu, konfiguraciji, praznine u kontroli, dizajnu, planiranju, pa čak i kulturi.

Rješavanje ovih problema smanjuje broj ranjivosti, pa ima manje stvari koje se mogu iskoristiti, kaže, umjesto da se mora pojačavati obrana pred tim ranjivostima. To ne rezultira samo manjim troškovima za sigurnost, dodaje, već i poslovnim i IT procesima koji su učinkovitiji, što smanjuje i njihove troškove.

„Nakon što se počnete više usredotočivati na sigurnost kao funkciju procesa i kvalitete, kada počnete raditi stvari ispravno, ne samo da rješavate temeljne probleme, već to može pomoći i tvrtki da stvori pozitivne promjene i uštedi novac.“

Van der Gaast uvijek započinje osiguravanje organizacija dolaskom do korijena njihovih problema, kopajući daleko dublje od tehnološki orijentiranih sigurnosnih konzultanata. „Većina tvrtki ima tendenciju pristupa kibernetičkoj sigurnosti na način da neprestano rade na gašenju požara“, kaže on. „Umjesto toga, pokušavam sagledati što uzrokuje bilo kakve IT probleme.“

„Dolaze li izazovi iz dizajna aplikacija? "Koriste li različiti poslovni odjeli različite IT procese i dobavljače?" dodaje. „Nakon što shvatite uzrok problema, možete ih početi optimizirati i sustavno uklanjati.“

Van der Gaast smatra da moramo promijeniti fokus na način na koji se suočavamo s problemom kibernetičkog kriminala. Umjesto da gledamo kriminalce, moramo se usredotočiti na to zašto je zločin tako lak.

Spominje da gotovo svi propusti uključuju poznate ranjivosti s dostupnim ispravcima, te da su u većini slučajeva ti ispravci bili dostupni već više od godinu dana.

„Kad bih stavio vreću žita u vaš vrt, ne biste se iznenadili kad biste tjedan dana kasnije otkrili da imate tisuće miševa.“ Idealno rješenje nije postavljanje i upravljanje tisućama mišolovki, već bolje skladištenje žitarica ili promjena procesa u odnosu na to zašto vam je potreban.”

Zaključak: Možete instalirati najbolji sustav kibernetičke sigurnosti na planetu, ali ako nemate odgovarajuće alate za upravljanje identitetima, vaši ljudi nisu dovoljno obučeni i niste zakrpali i nadogradili svoje sustave, uređaje ili aplikacije, hakeri jednostavno mogu zaobići vašu obranu, digitalnu ili neku drugu, kaže. 

U konačnici, u doba rastućih prijetnji pokretanih umjetnom inteligencijom, poput automatiziranih napada i deeplake videa, van der Gaast kaže da uspješna obrana moderne organizacije od kibernetičkih kriminalaca mora uključivati obuku, edukaciju i proaktivan – a ne reaktivan – pristup.

Ove prijetnje, jednom kada se shvate, često se mogu neutralizirati primjenom čvrstih temelja - nije važno koliko je napad brz ako niste ranjivi na njega - i procesima, poput prijenosa sredstava koji se uvijek vrše putem definiranog procesa koji nije podložan lažiranju.

U njegovim očima, najbolje što možete učiniti kako biste pomogli svojoj organizaciji jest utvrditi probleme koji uzrokuju vaše ranjivosti i riješiti ih što je prije moguće, čak i promatranjem organizacijskih i kulturnih problema. Zatim neka sigurnosni timovi surađuju sa svim dijelovima organizacije kako bi razumjeli sve poslovne i IT procese te im pomogli u njihovom redefiniranju prema potrebi kako bi se smanjili svi rizici koje bi mogli uvesti i bili svjesni svih preostalih rizika.

Tek kada organizacije to učine i shvate svoje temeljne probleme, mogu formulirati strategiju i plan za bolje mjesto.

Baš kao što je prije nekoliko desetljeća prelistavao računalne knjige, van der Gaastovi interesi i danas uključuju upijanje mnoštva informacija. Bivši kibernetički kriminalac, čiji hobiji danas uključuju popravljanje automobila i čitanje svega što mu dođe pod ruku o najboljim poslovnim praksama, kaže da je uspjeh u kibernetičkoj sigurnosti puno više od softvera: „Mnogi izazovi za koje smatram da se više svode na kulturu nego na visokotehnološka rješenja.“