בסצנה שנראית כאילו נלקחה מהשראה הקולנועית שלו, ואן דר גסט היה כבן 16 כשהוא פרץ למתקן נשק גרעיני הודי וגנב נתונים מניסויים גרעיניים תת-קרקעיים. "הם השתמשו בגרסה ישנה של שרת דואר, שרימיתי אותו כדי לתת לי חשבון אדמיניסטרטיבי", הוא אומר. זה שם אותו על הרדאר של מספר סוכנויות מודיעין, ובסופו של דבר הוא נבחר לאחד מחמשת ההאקרים הידועים לשמצה בעולם.

ואן דר גאסט בדיוק עבר מאירופה לארה"ב בסתיו 1998, כאשר קבוצת גברים בחליפות מסוכנות המסונפת למשרד ההגנה האמריקאי דפקה על דלתו. "חשבתי שהם בעצם מההגירה", הוא אומר, "כי מעבר לתוקף הוויזה שלי ל-90 יום".

למרבה המזל עבור ההאקר המתבגר, הסוכנות חיפשה לגייס כוכבים עולים מהמחתרת הווירטואלית, לא להעמיד אותם לדין. באותו רגע, הוא החליף במהירות צד והחל לעבוד עם משרד ההגנה במבצע משותף עם ה-FBI במשך שלוש השנים הבאות. העבודה כללה איסוף מודיעין על האקרים ופעילויות פליליות נלוות, וכן חקירת פרצות מידע בעלות אינטרס לאומי.

הכשרה לא שגרתית זו שימשה כנקודת זינוק לקריירה בת 25 שנה כמומחה אבטחת סייבר, מרצה מרכזי ויועץ תאגידי, מה שהוביל לתפקידו הנוכחי כמייסד ומנהל חברת Sequioa Consulting, שם הוא מסייע למנהיגים בכירים ולארגונים גלובליים "לעשות פחות אבטחת סייבר ויותר עסקים בצורה מאובטחת".

"התחלתי בלמידת לקחים על השיטות, הטקטיקות והיכולות שבהן משתמשים האקרים", הוא אומר. "אבל במבט לאחור?" אני חושב שמה שלמדתי היה יותר על איך כמעט כל הפרצות האלה היו ניתנות למניעה אילו ארגונים פשוט היו מטפלים ביסודות ה-IT ומקפידים על פיתוח פעיל של התהליכים שלהם."

זוהי הגישה הזו שהחברה שלו דוגלת בה. למעשה, החברה מיישמת מתודולוגיות מייעוץ ניהולי, חשיבה רזה ותחומים אחרים בהקשר של טכנולוגיה כדי לשפר תהליכי IT, כך שיהיו פחות נקודות כשל שגורמי איום יוכלו לנצל.

אנלוגיה פשוטה היא מפעל מכוניות שבו לכל מכונית שמיוצרת יש פגמים - ההגה לא במרכז, ברגים חסרים מזרועות המתלה, קווי בלמים מלאים באוויר ופגמים אחרים. זה יהיה מגוחך, הוא אומר, להעסיק עוד אנשים כדי לתקן את כל הפגמים האלה במכוניות המוגמרות. במקום זאת, היית מטפל בבעיה, ככל הנראה תוך כדי תהליך, בתחנת קו הייצור שבה מתרחשים הפגמים הללו - מפחית את מספר הפגמים וגם מפחית את העלויות.

ובכל זאת, אומר ואן דר גאסט, הגישה באבטחת סייבר היא במידה רבה הראשונה, ולכן התעשייה נותרה במידה רבה תגובתית במקום פרואקטיבית, כאשר הגורמים הבסיסיים נותרו ברובן ללא שינוי.

"באופן עקרוני, אנחנו נמצאים במעין מרוץ חימוש [להרחיק האקרים מפגיעויות שלנו], אבל אנחנו צריכים לשאול את עצמנו למה אנחנו מתמודדים עם כל כך הרבה אתגרים?", הוא אומר. "כלומר, למה יש לנו את הפגיעויות האלה מלכתחילה?"

ההאקר לשעבר שואל שאלות כה רחבות במשך שלושת העשורים האחרונים, וזוהי דרך שאלות שמעולם לא הייתה רלוונטית יותר לעסקים ולחברה בכללותה.

הדרך הפשוטה ביותר להסתכל על אבטחה היא שמדובר בפגיעויות שמנוצלות, ואותן פגיעויות הן למעשה בעיות איכות, הוא אומר - פגמים בקוד, בתצורה, פערים בבקרה, בעיצוב, בתכנון, אפילו בתרבות.

טיפול בבעיות אלו מפחית את מספר הפגיעויות, כך שיש פחות שניתן לנצל, הוא אומר, במקום להגביר את ההגנות מפני הפגיעויות הללו. זה לא רק מביא להפחתת הוצאות אבטחה, הוא מוסיף - זה נוטה גם להפוך את תהליכי העסק וה-IT ליעילים יותר, מה שמפחית גם את עלויותיהם.

"ברגע שמתחילים להתמקד באבטחה יותר כפונקציה של תהליך ואיכות, כשמתחילים לעשות דברים נכון, לא רק מתקנים בעיות בסיסיות, אלא גם יכולים לעזור לעסק ליצור שינוי חיובי ולחסוך כסף."

ואן דר גאסט תמיד מתחיל את אבטחת הארגונים על ידי הגעה לשורש הבעיות שלהם, וחופר הרבה יותר עמוק מאשר יועצי אבטחה בעלי תודעה טכנולוגית. "רוב החברות נוטות לאמץ גישה לאבטחת סייבר שבה הן עובדות כל הזמן על כיבוי שריפות", הוא אומר. "במקום זאת, אני מנסה לבדוק מה גורם לכל בעיה בתחום ה-IT."

"האם אתגרים נובעים מתכנון אפליקציות?" "האם מחלקות עסקיות שונות משתמשות בתהליכי IT וספקים שונים?" הוא מוסיף. "ברגע שתבין את שורש החששות, תוכל להתחיל לייעל אותם ולחסל אותם באופן שיטתי."

ואן דר גאסט מאמין שעלינו לשנות את המיקוד שלנו באופן שבו אנו מתמודדים עם בעיית פשעי הסייבר. במקום להסתכל על הפושעים, עלינו להתמקד בשאלה מדוע הפשע כל כך קל.

הוא מזכיר שכמעט כל הפריצות כרוכות בפגיעויות ידועות עם תיקונים זמינים, וכי ברוב המקרים תיקונים אלה היו זמינים במשך למעלה משנה.

"אם אשים שקית של תבואה בגינה שלך, לא תופתע לגלות שיש לך אלפי עכברים שבוע לאחר מכן." הפתרון האידיאלי אינו להציב ולנהל אלפי מלכודות עכברים, אלא לאחסן טוב יותר את התבואה, או לשנות את התהליך ומסיבה מסוימת."

התוצאה: אפשר להתקין את מערכת אבטחת הסייבר הטובה ביותר בעולם, אבל אם אין לכם כלי ניהול זהויות מתאימים, האנשים שלכם לא מאומנים מספיק, ולא תיקנתם ושדרגתם את המערכות, המכשירים או האפליקציות שלכם, האקרים יכולים פשוט לעקוף את ההגנות שלכם, דיגיטליות או אחרות, הוא אומר. 

בסופו של דבר, בעידן של איומים גוברים המונעים על ידי בינה מלאכותית, כגון התקפות אוטומטיות וסרטוני דיפפייק, ואן דר גאסט אומר שהגנה מוצלחת על ארגון מודרני מפני פושעי סייבר צריכה לכלול הכשרה, חינוך וגישה פרואקטיבית - לא ריאקטיבית.

איומים אלה, לאחר הבנתם, ניתנים לעיתים קרובות לנטרול באמצעות יישום יסודות איתנים - לא משנה כמה מהירה מתקפה אם אינכם פגיעים אליה - ותהליכים, כגון העברות כספים, תמיד מתבצעים באמצעות תהליך מוגדר שאינו פגיע לעומק זיופים.

בעיניו, הדבר הטוב ביותר שאתם יכולים לעשות כדי לעזור לארגון שלכם הוא לקבוע את הבעיות הגורמות לפגיעויות שלכם ולטפל בהן, ככל האפשר במעלה הזרם, אפילו על ידי בחינת סוגיות ארגוניות ותרבותיות. לאחר מכן, בקשו מצוותי האבטחה לעבוד עם כל חלקי הארגון כדי להבין את כל תהליכי העסק וה-IT ולסייע בהגדרה מחדש לפי הצורך כדי להפחית את הסיכונים שהם עלולים להציג ולהיות מודעים לכל הסיכונים שנותרו.

רק לאחר שארגונים עשו זאת, ומבינים את הבעיות הבסיסיות שלהם, הם יכולים לגבש אסטרטגיה ומפת דרכים למקום טוב יותר.

בדיוק כפי שקרע ספרי מחשב לפני עשרות שנים, תחומי העניין של ואן דר גסט כיום עדיין כוללים ספיגת המון מידע. פושע הסייבר לשעבר, שתחביביו כיום כוללים תיקון מכוניות וקריאת כל דבר שהוא יכול להשיג על שיטות עבודה עסקיות מומלצות, אומר שהצלחה באבטחת סייבר היא הרבה יותר מתוכנה: "אתגרים רבים שאני מוצא נובעים יותר מתרבות מאשר מפתרונות היי-טק".