Numa cena aparentemente retirada da sua inspiração cinematográfica, van der Gaast tinha cerca de 16 anos quando invadiu o sistema de uma instalação de armas nucleares indiana e roubou dados de testes nucleares subterrâneos. “Estavam a utilizar uma versão antiga de um servidor de e-mail, que enganei para obter uma conta administrativa”, disse. Isto colocou-o no radar de várias agências de inteligência e, eventualmente, foi nomeado um dos 5 hackers mais notórios do mundo.

Van der Gaast tinha acabado de se mudar da Europa para os EUA no Outono de 1998, quando um grupo de homens de fato, de uma agência ligada ao Departamento de Defesa dos EUA, lhe bateu à porta. “Pensei que fossem da imigração”, diz, “porque tinha excedido o prazo do meu visto de 90 dias.”

Felizmente para o hacker adolescente, a agência estava interessada em recrutar estrelas em ascensão do submundo virtual, e não em processá-las. Nesse momento, mudou rapidamente de lado e começou a trabalhar com o Departamento de Defesa numa operação conjunta com o FBI durante os três anos seguintes. O trabalho envolvia a recolha de informações sobre hackers e atividades criminosas relacionadas, bem como a investigação de violações de dados de interesse nacional.

Esta formação não convencional serviu de trampolim para uma carreira de 25 anos como especialista em cibersegurança, orador principal e consultor corporativo, culminando na sua função atual como fundador e diretor administrativo da Sequoia Consulting, onde ajuda os líderes executivos e as organizações globais a "preocuparem-se menos com a cibersegurança e a fazerem mais negócios em segurança".

“Comecei por aprender lições sobre os métodos, táticas e capacidades que os hackers utilizam”, diz. “Mas, olhando para trás?” Penso que o que aprendi foi mais sobre como praticamente todas estas violações poderiam ter sido evitadas se as organizações tivessem simplesmente lidado com os fundamentos de TI e se tivessem esforçado para melhorar ativamente os seus processos.”

É essa abordagem que a sua empresa defende. Na prática, a empresa aplica metodologias de consultoria de gestão, pensamento lean e outras disciplinas no contexto da tecnologia para melhorar os processos de TI, reduzindo os pontos de vulnerabilidade que podem ser explorados por agentes maliciosos.

Uma analogia simples seria uma fábrica de automóveis onde cada automóvel produzido apresenta defeitos — o volante desalinhado, parafusos em falta nos braços da suspensão, as tubagens dos travões cheias de ar e outros defeitos. Seria ridículo, diz, contratar mais pessoas para corrigir todos estes defeitos nos carros já prontos. Em vez disso, abordaria o problema, provavelmente durante o processo, na estação da linha de montagem onde estes defeitos estão a ocorrer — reduzindo o número de defeitos e também os custos.

No entanto, segundo van der Gaast, a abordagem em cibersegurança é em grande parte a primeira, e por isso o sector tem-se mantido amplamente reactivo em vez de proactivo, com as causas subjacentes a permanecerem praticamente intocadas.

“Fundamentalmente, estamos numa espécie de corrida ao armamento [para manter os hackers longe das nossas vulnerabilidades], mas precisamos de nos perguntar porque é que estamos a enfrentar tantos desafios?”, diz. “Ou seja, porque é que temos estas vulnerabilidades em primeiro lugar?”

O ex-hacker faz perguntas tão abrangentes há três décadas, e esta linha de questionamento nunca foi tão relevante para as empresas e para a sociedade em geral.

A forma mais simples de encarar a segurança é como uma questão de vulnerabilidades que estão a ser exploradas, e essas vulnerabilidades são, na prática, problemas de qualidade, afirma — defeitos no código, na configuração, falhas no controlo, no design, no planeamento e até na cultura.

Abordar estas questões reduz o número de vulnerabilidades, diminuindo assim o número de pontos que podem ser explorados, afirma, em vez de ter de reforçar cada vez mais as defesas contra estas vulnerabilidades. Isto não resulta apenas em menos gastos com segurança, acrescenta — tende também a tornar os processos de negócio e de TI mais eficientes, o que reduz os seus custos.

“Quando se começa a focar na segurança mais como uma função do processo e da qualidade, e se começa a fazer as coisas da forma correta, não só se corrigem os problemas subjacentes, como também se pode ajudar uma empresa a gerar mudanças positivas e a poupar dinheiro.”

Van der Gaast começa sempre a proteger as organizações indo à raiz dos seus problemas, investigando muito mais a fundo do que os consultores de segurança focados na tecnologia. “A maioria das empresas tende a adotar uma abordagem de cibersegurança em que estão constantemente a trabalhar para apagar incêndios”, diz. Em vez disso, tento analisar o que está a causar quaisquer problemas de TI.

“Os desafios surgem do design das aplicações?” Será que diferentes departamentos de uma empresa utilizam processos e fornecedores de TI diferentes?”, acrescenta. “Assim que compreender a causa raiz dos problemas, pode começar a otimizá-los e a eliminá-los sistematicamente.”

Van der Gaast acredita que precisamos de mudar o foco da forma como estamos a lidar com o problema do cibercrime. Em vez de olharmos para os criminosos, precisamos de nos concentrar no porquê de o crime ser tão fácil.

Refere que praticamente todas as violações envolvem vulnerabilidades conhecidas com correções disponíveis e que, na maioria dos casos, estas correções já estavam disponíveis há mais de um ano.

“Se eu colocasse um saco de grão no seu jardim, não ficaria surpreendido ao encontrar milhares de ratos uma semana depois. A solução ideal não é instalar e gerir milhares de ratoeiras, mas sim armazenar melhor os grãos ou alterar o processo que justifica a sua necessidade.”

Em resumo: pode instalar o melhor sistema de cibersegurança do planeta, mas se não tiver ferramentas de gestão de identidade adequadas, se a sua equipa não estiver suficientemente treinada e se os seus sistemas, dispositivos ou aplicações não estiverem atualizados e corrigidos, os hackers podem simplesmente contornar as suas defesas, sejam elas digitais ou não, afirma. 

Em última análise, numa era de crescentes ameaças impulsionadas pela IA, como ataques automatizados e vídeos deepfake, Van der Gaast afirma que defender com sucesso uma organização moderna contra os cibercriminosos exige formação, educação e uma abordagem proativa, e não reativa.

Estas ameaças, uma vez compreendidas, podem muitas vezes ser neutralizadas através da implementação de bases sólidas — não importa a velocidade de um ataque se não for vulnerável a ele — e de processos, como as transferências de fundos sempre realizadas através de um processo definido que não é suscetível a deepfakes.

Na sua visão, o melhor que pode fazer para ajudar a sua organização é identificar os problemas que causam as suas vulnerabilidades e resolvê-los o mais cedo possível, mesmo analisando questões organizacionais e culturais. Em seguida, as equipas de segurança devem trabalhar com todas as áreas da organização para compreender todos os processos de negócio e de TI e ajudar a redefini-los conforme necessário para reduzir quaisquer riscos que possam introduzir e estar cientes de quaisquer riscos remanescentes.

Só depois de as organizações o terem feito, compreendendo os seus problemas subjacentes, é que poderão formular uma estratégia e um roteiro para uma situação melhor.

Tal como devorava livros de informática há décadas, os interesses de van der Gaast hoje em dia ainda passam por absorver uma grande quantidade de informação. O ex-cibercriminoso, cujos passatempos hoje incluem a reparação de automóveis e a leitura de tudo o que encontra sobre as melhores práticas empresariais, afirma que o sucesso na cibersegurança vai muito além do software: "Muitos desafios que encontro estão mais relacionados com a cultura do que com soluções de alta tecnologia."