A kiberbűnözés megállításához ne gondolkodjon úgy, mint egy bűnöző

A filmes ihletettségéből kiragadott jelenetben van der Gaast 16 éves volt, amikor betört egy indiai nukleáris fegyverkezési létesítménybe, és adatokat lopott a föld alatti nukleáris tesztekről. "Egy levelezőszerver régi verzióját használták, amelyet rávettem, hogy adjon nekem egy adminisztrátori fiókot" - mondja. Ez számos hírszerző ügynökség látókörébe került, és végül a világ 5 leghírhedtebb hackerének egyike lett.

Van der Gaast 1998 őszén éppen Európából költözött az Egyesült Államokba, amikor egy csoport öltönyös férfi kopogtatott az ajtaján egy, az Egyesült Államok Védelmi Minisztériumához tartozó ügynökségtől. "Azt hittem, hogy valójában a bevándorlásiaktól jöttek" - mondja - "mert túlléptem a 90 napos vízumomat".

A tinédzser hacker szerencséjére az ügynökség a virtuális underground feltörekvő csillagait kereste, nem pedig üldözte őket. Ebben a pillanatban gyorsan oldalt váltott, és a következő három évben a Védelmi Minisztériummal kezdett el dolgozni az FBI-jal közös műveletben. A munka magában foglalta a hackerekkel és az őket körülvevő bűncselekményekkel kapcsolatos hírszerzési információk gyűjtését, valamint a nemzeti érdekű adatvédelmi incidensek kivizsgálását.

Ez a szokatlan képzés szolgált a kiindulópontként 25 éves kiberbiztonsági szakértői, előadói és vállalati tanácsadói karrierjéhez, amely a Sequioa Consulting alapítójaként és ügyvezető igazgatójaként vezetett a jelenlegi szerepéhez, ahol segít az ügyvezető vezetőknek és a globális szervezeteknek "kevesebb kiberbiztonságot és több biztonságos üzletet csinálni".

"Azzal kezdtem, hogy leckéket tanultam a hackerek által használt módszerekről, taktikákról és képességekről" - mondja. "De utólag? Azt hiszem, inkább arról tanultam, hogy gyakorlatilag az összes ilyen jogsértés megelőzhető lett volna, ha a szervezetek egyszerűen kezelik az informatikai alapokat, és aktívan érlelik a folyamataikat."

Cége ezt a megközelítést támogatja. A vállalat valójában a vezetési tanácsadás, a lean gondolkodás és más tudományágak módszereit alkalmazza a technológiával összefüggésben az informatikai folyamatok javítása érdekében, hogy a fenyegető szereplők kevesebb hibapontot használhassanak ki.

Egyszerű hasonlat egy autógyár, ahol minden legyártott autó hibás - a kormánykerék nem középen van, a felfüggesztőkarokból hiányoznak a csavarok, a fékvezetékek tele vannak levegővel és egyéb hibák. Szerinte nevetséges lenne még több embert alkalmazni, hogy a kész autókon kijavítsák ezeket a hibákat. Ehelyett inkább a problémát kezelné, valószínűleg folyamatban, azon a szerelősoron, ahol ezek a hibák előfordulnak - csökkentve ezzel a hibák számát és a költségeket is.

Van der Gaast szerint azonban a kiberbiztonság terén a megközelítés nagyrészt az előbbi, így az iparág a proaktív helyett nagyrészt reaktív maradt, a kiváltó okok pedig többnyire érintetlenek maradtak.

"Alapvetően egyfajta fegyverkezési versenyben vagyunk [a hackerek távol tartása a sebezhetőségünktől], de fel kell tennünk magunknak a kérdést, hogy miért állunk ilyen sok kihívással szemben?" - mondja. "Ami azt jelenti, hogy miért vannak ezek a sebezhetőségek egyáltalán?"

Az egykori hacker az elmúlt három évtizedben ilyen átfogó kérdéseket tett fel, és ez a kérdésfeltevés soha nem volt még ennyire releváns a vállalkozások és a társadalom számára.

Szerinte a biztonságot legegyszerűbben úgy lehet szemlélni, hogy a biztonsági réseket kihasználják, és ezek a sebezhetőségek valójában minőségi problémák - hibák a kódban, a konfigurációban, hiányosságok az ellenőrzésben, a tervezésben, a tervezésben vagy akár a kultúrában.

Ezeknek a problémáknak a kezelése csökkenti a sebezhetőségek számát, így kevesebbet lehet kihasználni - mondja -, ahelyett, hogy a sebezhetőségek előtt mindig növelni kellene a védelmet. Hozzáteszi, hogy ez nem csak kevesebb biztonsági kiadást eredményez, hanem általában hatékonyabbá teszi az üzleti és informatikai folyamatokat is, ami szintén csökkenti a költségeket.

"Ha egyszer elkezdünk a biztonságra inkább a folyamatok és a minőség függvényeként összpontosítani, amikor elkezdjük helyesen csinálni a dolgokat, akkor nemcsak a mögöttes problémákat javítjuk ki, hanem ez segíthet egy vállalkozásnak pozitív változásokat létrehozni és pénzt megtakarítani."

Van der Gaast mindig a problémák gyökeréig hatolva kezdi meg a szervezetek védelmét, sokkal mélyebbre ásva, mint a technológia-orientált biztonsági tanácsadók. "A legtöbb vállalat hajlamos a kiberbiztonságot úgy megközelíteni, hogy folyamatosan a tűzoltáson dolgozik" - mondja. "Ehelyett megpróbálom megvizsgálni, hogy mi okozza az informatikai problémákat.

"Az alkalmazások tervezéséből fakadó kihívások? A különböző üzleti részlegek különböző informatikai folyamatokat és szolgáltatókat használnak?" - teszi hozzá. "Ha egyszer megérti az aggodalmak kiváltó okát, elkezdheti optimalizálni és szisztematikusan kiküszöbölni azokat."

Van der Gaast úgy véli, hogy meg kell változtatnunk a kiberbűnözés problémájának kezelését. Ahelyett, hogy a bűnözőket néznénk, arra kell összpontosítanunk, hogy miért olyan könnyű a bűncselekmény.

Megemlíti, hogy gyakorlatilag az összes jogsértés ismert sebezhetőségeket tartalmaz, amelyek javítására rendelkezésre állnak javítások, és hogy az esetek többségében ezek a javítások már jóval több mint egy éve rendelkezésre állnak.

"Ha egy zsák gabonát tennék a kertedbe, nem lepődnél meg, ha egy hét múlva ezernyi egeret találnál. Az ideális megoldás nem az, hogy több ezer egérfogó csapdát helyezünk ki és kezelünk, hanem az, hogy jobban tároljuk a gabonát, vagy megváltoztatjuk a folyamatot, amiért szükség van rá."

Az eredmény: Ha azonban nem rendelkezik megfelelő személyazonosság-kezelő eszközökkel, az emberei nem eléggé képzettek, és nem javította és frissítette a rendszereit, eszközeit vagy alkalmazásait, a hackerek egyszerűen megkerülhetik a digitális vagy egyéb védelmet - mondja. 

Végül a növekvő mesterséges intelligencia alapú fenyegetések, például az automatizált támadások és a deepfake videók korában a van der Gaast szerint egy modern szervezet sikeres védelméhez a kiberbűnözőkkel szemben képzésre, oktatásra és proaktív - nem pedig reaktív - megközelítésre van szükség.

Ezek a fenyegetések, ha egyszer megértettük őket, gyakran semlegesíthetők szilárd alapok - nem számít, milyen gyors egy támadás, ha nem vagyunk sebezhetőek vele szemben - és folyamatok bevezetésével, például azzal, hogy a pénzátutalások mindig egy meghatározott folyamaton keresztül történnek, amely nem hajlamos a mélyreható csalásra.

Az ő szemében a legjobb dolog, amit a szervezeted érdekében tehetsz, hogy meghatározod a sebezhetőséget okozó problémákat, és a lehető legkorábban foglalkozol velük, akár a szervezeti és kulturális kérdések vizsgálatával is. Ezután a biztonsági csapatoknak a szervezet minden részével együtt kell működniük, hogy megértsék az összes üzleti és informatikai folyamatot, és szükség szerint segítsenek újrafogalmazni azokat, hogy csökkentsék az általuk esetlegesen bevezetett kockázatokat, és tisztában legyenek a fennmaradó kockázatokkal.

Csak ha a szervezetek ezt megtették, és megértették a mögöttes problémáikat, akkor tudnak stratégiát és útitervet kidolgozni egy jobb hely felé.

Ahogy évtizedekkel ezelőtt a számítógépes könyveket tépte át, van der Gaast érdeklődési köre ma is rengeteg információ elsajátítására irányul. Az egykori kiberbűnöző, akinek hobbija ma már az autójavítás és a legjobb üzleti gyakorlatokról szóló olvasmányok olvasása, azt mondja, hogy a kiberbiztonságban a siker sokkal többről szól, mint a szoftverekről: "Sok kihívás, úgy látom, inkább a kultúrán múlik, mint a csúcstechnológiai megoldásokon."