Чтобы остановить киберпреступность, не мыслите как преступник.

В сцене, которая, судя по всему, позаимствована из фильма, послужившего ему источником вдохновения, ван дер Гааст, которому было около 16 лет, взломал индийский объект по разработке ядерного оружия и украл данные с подземных ядерных испытаний. «Они использовали старую версию почтового сервера, которую я обманом заставил получить административный аккаунт», — говорит он. Это привлекло к нему внимание ряда разведывательных агентств, и в конечном итоге он был назван одним из 5 самых известных хакеров в мире.

Ван дер Гааст только что переехал из Европы в США осенью 1998 года, когда группа мужчин в костюмах из агентства, связанного с Министерством обороны США, постучала к нему в дверь. «Я думал, что они на самом деле из-за иммиграции», — говорит он, — «потому что я превысил срок действия своей 90-дневной визы.»

К счастью для подростка-хакера, агентство стремилось привлечь восходящих звёзд из виртуального подполья, а не привлекать их к ответственности. В этот момент он быстро перешёл на другую сторону и начал работать с Министерством обороны в совместной операции с ФБР в течение следующих трёх лет. Работа включала сбор разведданных о хакерах и сопутствующей преступной деятельности, а также расследование утечек данных, представляющих национальный интерес.

Эта нетрадиционная подготовка послужила отправной точкой для его 25-летней карьеры эксперта по кибербезопасности, основного докладчика и корпоративного консультанта, что привело его к нынешней должности основателя и управляющего директора Sequioa Consulting, где он помогает руководителям и глобальным организациям «меньше внимания уделять кибербезопасности и больше — безопасному ведению бизнеса».

«Я начал с того, что изучал методы, тактику и возможности, которые используют хакеры», — говорит он. «Но если посмотреть на это задним числом?» Думаю, я понял, что практически всех этих нарушений можно было бы избежать, если бы организации просто уделили внимание основам ИТ и целенаправленно совершенствовали свои процессы.

Именно этот подход поддерживает его компания. По сути, компания применяет методологии управленческого консалтинга, бережливого мышления и других дисциплин в контексте технологий для улучшения ИТ-процессов, чтобы снизить точек отказа для злоумышленников.

Простая аналогия — это автомобильный завод, где у каждого выпусканного автомобиля есть дефекты — руль смещён, отсутствующие болты на рычагах подвески, тормозные линии, заполненные воздухом, и другие дефекты. Было бы абсурдно, говорит он, нанимать больше людей для устранения всех этих дефектов готовых автомобилей. Вместо этого вы будете решать проблему, вероятно, в процессе, на конвейерной станции, где возникают дефекты — сокращая их количество и снижая затраты.

И все же, как утверждает ван дер Гааст, подход в кибербезопасности в основном первый, и поэтому отрасль в значительной степени остается реактивной, а не проактивной, при этом основные причины остаются в основном нетронутыми.

«По сути, мы ведём некую гонку вооружений [чтобы не пускать хакеров в наши уязвимости], но нам нужно спросить себя, почему мы сталкиваемся с таким количеством вызовов?», — говорит он. «То есть, почему у нас вообще есть эти уязвимости?»

Бывший хакер задавал такие широкие вопросы последние три десятилетия, и этот вопрос никогда не был более актуальен для бизнеса и общества в целом.

Самый простой взгляд на безопасность — это использование уязвимостей, и эти уязвимости по сути связаны с качеством — дефекты в коде, конфигурации, пробелы в контроле, дизайне, планировании, даже культуре.

Решение этих проблем снижает количество уязвимостей, поэтому их меньше можно использовать, говорит он, вместо необходимости усиливать защиту перед этими уязвимостями. Это приводит не только к снижению расходов на безопасность, добавляет он — это также делает бизнес- и IT-процессы более эффективными, что также снижает их стоимость.

«Когда вы начинаете больше сосредотачиваться на безопасности как на основе процессов и качества, когда вы начинаете делать всё правильно, вы не только решаете скрытые проблемы, но и помогаете бизнесу создавать позитивные изменения и экономить деньги.»

Ван дер Гааст всегда начинает защищать организации, находя корень их проблем, копаясь гораздо глубже, чем технически ориентированные консультанты по безопасности. «Большинство компаний обычно выбирают подход к кибербезопасности, постоянно работая над тушением пожара», — говорит он. «Вместо этого я пытаюсь понять, что вызывает ИТ-опасения.

«Возникают ли сложности при проектировании приложений? Используют ли разные бизнес-отделы разные ИТ-процессы и поставщиков?» — добавляет он. «Когда вы поймёте коренную причину проблем, вы сможете начать оптимизировать и систематически их устранять.»

Ван дер Гааст считает, что нам необходимо изменить подход к решению проблемы киберпреступности. Вместо того чтобы рассматривать преступников, нам нужно сосредоточиться на том, почему совершать преступления так легко.

Он отмечает, что практически все утечки связаны с известными уязвимостями, для которых существуют способы устранения, и что в большинстве случаев эти исправления были доступны уже более года.

«Если я посадлю мешок зерна в твой сад, ты не удивишься, если обнаружишь, что через неделю у тебя будет тысячи мышей. Идеальное решение — не ставить и управлять тысячами мышеловок, а лучше хранить зерно или менять процесс, зачем оно нужно.»

Итог: вы можете установить лучшую в мире систему кибербезопасности, но если у вас нет соответствующих инструментов управления идентификацией, ваши сотрудники недостаточно обучены, и вы не обновили и не обновили системы, устройства или приложения, хакеры могут просто обойти ваши защиты, цифровые или иные, говорит он. 

В конечном итоге, в эпоху растущих угроз на базе ИИ, таких как автоматизированные атаки и дипфейковые видео, ван дер Гааст считает, что успешная защита современной организации от киберпреступников должна включать обучение, образование и проактивный, а не реактивный подход.

Эти угрозы, если их понять, часто можно нейтрализовать путем внедрения надежных основ — скорость атаки не имеет значения, если вы не уязвимы для нее — и процессов, таких как перевод средств, всегда осуществляемый по определенной процедуре, которая не подвержена дипфейкам.

С его точки зрения, лучшее, что вы можете сделать для вашей организации — это выявить проблемы, вызывающие ваши уязвимости, и решить их как можно выше, даже учитывая организационные и культурные вопросы. Затем команды безопасности работают со всеми подразделениями организации, чтобы понять все бизнес- и ИТ-процессы, помогать переосмысливать их по мере необходимости, чтобы снизить риски, которые они могут принести, а также быть осведомленными о тех, что остаются.

Только после того, как организации это сделают, поняв свои основные проблемы, они смогут сформулировать стратегию и план действий для достижения лучшего результата.

Подобно тому, как десятилетия назад он с увлечением изучал компьютерные книги, сегодня интересы ван дер Гааста по-прежнему связаны с поглощением больших объемов информации. Бывший киберпреступник, чьими хобби сегодня являются ремонт автомобилей и чтение всего, что попадется ему под руку, о передовых методах ведения бизнеса, говорит, что успех в кибербезопасности зависит от гораздо большего, чем просто программное обеспечение: «Многие проблемы, как я обнаружил, в большей степени сводятся к культуре, чем к высокотехнологичным решениям».