U sceni koja kao da je preuzeta iz njegove filmske inspiracije, van der Gaast je imao oko 16 godina kada je hakovao indijsko postrojenje za nuklearno oružje i ukrao podatke iz podzemnih nuklearnih testova. "Koristili su staru verziju servera za poštu, koju sam prevario da mi da administratorski račun", kaže on. To ga je stavilo na radar brojnih obavještajnih agencija, a na kraju je imenovan jednim od 5 najnotornijih hakera na svijetu.

Van der Gaast se upravo preselio iz Evrope u SAD u jesen 1998. kada mu je na vrata pokucala grupa muškaraca u odijelima iz agencije povezane s Ministarstvom odbrane SAD. „Mislio sam da su zapravo iz imigracije“, kaže on, „jer sam prekoračio svoj 90-dnevni vizni period.“

Srećom za tinejdžera hakera, agencija je tražila da zaposli mlade talente iz virtualnog podzemlja, a ne da ih procesuira. U tom trenutku, brzo je promijenio strane i počeo je raditi sa Ministarstvom Odbrane u zajedničkoj operaciji sa FBI-jem u naredne tri godine. Posao je uključivao prikupljanje obavještajnih podataka o hakerima i okolnim kriminalnim aktivnostima, kao i istrage curenja podataka od nacionalnog interesa.

Ova neortodoksna obuka bila je odskok za 25-godišnju karijeru kao stručnjak za sajber bezbjednost, glavni govornik i savjetnik za korporacije, što ga je dovelo do trenutne pozicije osnivača i izvršnog direktora Sequioa Consulting, gdje pomaže izvršnim liderima i globalnim organizacijama da "rade manje sajber bezbjednosti i više poslovanja sigurno."

"Počeo sam sa učenjem o metodama, taktikama i sposobnostima koje hakeri koriste," kaže on. "Ali naknadno?" Mislim da sam više naučio o tome kako bi gotovo sve ove povrede mogle biti spriječene da su organizacije jednostavno upravljale osnovnim IT pravilima i aktivno se trudile da unaprijede svoje procese."

To je pristup koji njegova kompanija podržava. Kompanija, zapravo, primenjuje metodologije iz konsultinga u oblasti upravljanja, lean razmišljanja i drugih disciplina u kontekstu tehnologije kako bi poboljšala IT procese za manje tačaka za iskorišćavanje pretnji.

Jednostavna analogija bi bila fabrika automobila u kojoj svaki proizvedeni automobil ima nedostatke — upravljač nije u centru, nedostaju vijci na ramenima osovina, kočione cijevi su pune zraka i drugi nedostaci. Bilo bi smiješno, kaže, zaposliti više ljudi da poprave sve te nedostatke na gotovim automobilima. Umjesto toga, riješili biste problem vjerovatno na proizvodnoj liniji gdje se ti nedostaci javljaju — smanjujući broj nedostataka i smanjujući troškove.

Pa ipak, van der Gaast kaže, pristup u sajber bezbednosti je uglavnom reaktivan umesto proaktivan, sa osnovnim uzrocima koji ostaju uglavnom netaknuti.

„U suštini, nalazimo se u svojevrsnoj trci naoružanja [da zadržimo hakere dalje od naših ranjivosti], ali moramo se zapitati zašto se suočavamo sa toliko izazova?“, kaže on. „Što znači, zašto uopšte imamo ove ranjivosti?“

Bivši haker postavlja tako široka pitanja poslednje tri decenije, i to je vrsta pitanja koja nikada nije bila relevantnija za preduzeća i društvo uopšte.

Najjednostavniji način gledanja na sigurnost je da je riječ o iskorištavanju ranjivosti, a te ranjivosti su zapravo problemi kvalitete, kaže on — greške u kodu, konfiguraciji, praznine u kontroli, dizajnu, planiranju, pa čak i kulturi.

Bu konuları ele almak, sömürülecek daha az zayıflık olmasını sağlar diyor, böylece bu zayıflıkların önünde savunmaları arttırmak zorunda kalınmaz. Bu sadece güvenlik harcamalarını azaltmakla kalmaz, aynı zamanda iş ve BT süreçlerini de daha verimli hale getirir ve bu da maliyetleri azaltır, diye ekliyor.

„Jednom kada počnete fokusirati sigurnost više kao funkciju procesa i kvaliteta, kada počnete raditi stvari ispravno, ne samo da popravljate osnovne probleme, već to može pomoći poslu da stvara pozitivne promjene i štedi novac.”

Van der Gaast uvijek počinje osiguravanjem organizacija tako što dođe do korijena njihovih problema, kopajući mnogo dublje nego konsultanti orijentisani na tehnologiju. „Većina kompanija obično pristupa sajber bezbjednosti tako što neprestano rade na gašenju požara,“ kaže on. „Umjesto toga, pokušavam sagledati šta uzrokuje bilo kakve IT probleme.“

“Uygulama tasarımından mı geliyor bu zorluklar?” “Farklı iş birimleri farklı BT süreçlerı ve tedarikçilerle mi çalışıyor?” diye ekliyor. “Endişelerin ana nedenini anladığınızda, onları sistematik olarak optimize etmeye ve ortadan kaldırmaya başlayabilirsiniz.”

Van der Gaast, siber suç problemini nasıl ele aldığımız konusundaki odak noktamızı değiştirmemiz gerektiğine inanıyor. Suçlulara bakmak yerine, suçun neden bu kadar kolay olduğunu sorgulamamız gerekiyor.

On naglašava da skoro svi propusti uključuju poznate ranjivosti sa dostupnim rešenjima, i da su u većini slučajeva ta rešenja bila dostupna već duže od godinu dana.

“Ako stavim vreću žita u vaš vrt, ne biste se iznenadili kada bi imali hiljade miševa sedmicu kasnije.” Idealno rješenje nije postaviti i upravljati hiljadama miševa klopki, već bolje čuvati žito ili promijeniti proces zbog kojeg ga trebate.”

Zaključak: Možete instalirati najbolji sistem za sajber bezbednost na planeti, ali ako nemate odgovarajuće alate za upravljanje identitetom, vaši ljudi nisu dovoljno obučeni, i niste zakrpili i nadogradili svoje sisteme, uređaje ili aplikacije, hakeri mogu jednostavno zaobići vašu odbranu, digitalnu ili neku drugu, kaže on. 

Na kraju, u doba rastućih pretnji koje koristi veštačka inteligencija, kao što su automatizovani napadi i lažni video snimci, van der Gaast kaže da uspešna odbrana modernog organizacije od sajber kriminalaca mora da uključuje obuku, obrazovanje i proaktivan – ne reaktivan – pristup.

Te pretnje, kada se jednom razumeju, često mogu biti neutralisane kroz implementaciju čvrstih osnova – nije bitno koliko je napad brz ako niste ranjivi na njega – i procesa, kao što su transferi novca koji se uvek obavljaju kroz definisani proces koji nije podložan laženju.

U njegovim očima, najbolje što možete učiniti za svoju organizaciju je utvrditi probleme koji izazivaju vaše ranjivosti i riješiti ih, što dalje uzvodno, čak i razmatranjem organizacijskih i kulturnih problema. Zatim neka timovi za sigurnost rade sa svim dijelovima organizacije kako bi razumjeli sve poslovne i IT procese i pomogli ih redefinirati prema potrebi kako bi smanjili bilo kakve rizike koje bi mogli unijeti i bili svjesni svakog koji ostane.

Tek kada organizacije to urade, razumejući njihove osnovne probleme, mogu formulirati strategiju i put ka boljem mestu.

Kao što je prije mnogo godina prolazio kroz knjige o računarima, van der Gaast još uvijek gaji interesovanje za apsorpciju velike količine informacija. Bivši cyber kriminalac, čiji hobiji danas uključuju popravljanje automobila i čitanje svega što može dobiti u svoje ruke o najboljim poslovnim praksama, kaže da uspjeh u cybersecurity više ovisi o kulturi nego visokotehnološkim rješenjima: "Mnogi izazovi koje pronalazim svode se na kulturu, više nego na visokotehnološka rješenja."