Într-o scenă parcă ruptă din inspirația sa cinematografică, van der Gaast avea în jur de 16 ani când a spart o instalație indiană de fabricație a armelor nucleare și a furat date din testele nucleare subterane. „Foloseau o versiune veche a unui server de mail, pe care l-am păcălit să-mi ofere un cont de administrator”, spune el. Acest lucru l-a adus pe radarul mai multor agenții de informații și, în cele din urmă, a fost numit unul dintre cei mai cunoscuți 5 hackeri din lume.

Van der Gaast tocmai se mutase din Europa în SUA în toamna anului 1998, când un grup de bărbați în costume de la o agenție afiliată Departamentului Apărării al SUA i-a bătut la ușă. „Am crezut că sunt de fapt de la imigrări”, spune el, „pentru că depășisem termenul de ședere pentru viza de 90 de zile.”

Din fericire pentru hackerul adolescent, agenția căuta să recruteze vedete în ascensiune din clandestinitatea virtuală, nu să le urmărească penal. În acel moment, și-a schimbat rapid tabăra și a început să lucreze cu Departamentul Apărării într-o operațiune comună cu FBI-ul timp de următorii trei ani. Munca a implicat colectarea de informații despre hackeri și activitățile infracționale conexe, precum și investigarea încălcărilor de date de interes național.

Această instruire neortodoxă a servit drept rampă de lansare pentru o carieră de 25 de ani ca expert în securitate cibernetică, vorbitor principal și consultant corporativ, ceea ce a dus la rolul său actual de fondator și director general al Sequioa Consulting, unde ajută liderii executivi și organizațiile globale „să facă mai puțină securitate cibernetică și să facă mai multe afaceri în siguranță”.

„Am început prin a învăța lecții despre metodele, tacticile și capacitățile pe care le folosesc hackerii”, spune el. „Dar, privind în urmă?” Cred că ceea ce am învățat a fost mai mult despre cum practic toate aceste breșe ar fi putut fi prevenite dacă organizațiile ar fi gestionat pur și simplu elementele fundamentale IT și s-ar fi străduit să-și maturizeze activ procesele.

Această abordare este cea pe care o susține compania sa. Practic, compania aplică metodologii din consultanța în management, gândirea lean și alte discipline în contextul tehnologiei pentru a îmbunătăți procesele IT, astfel încât să existe mai puține puncte de eșec pe care actorii amenințători le pot exploata.

O analogie simplă este o fabrică de automobile unde fiecare mașină produsă are defecte - volanul descentrat, șuruburi lipsă de la brațele suspensiei, conductele de frână pline de aer și alte defecte. Ar fi ridicol, spune el, să angajăm mai mulți oameni pentru a repara toate aceste defecte ale mașinilor finite. În schimb, ați aborda problema, probabil în cursul procesului, la stația de asamblare unde apar aceste defecte — reducând numărul de defecte și, de asemenea, costurile.

Și totuși, spune van der Gaast, abordarea în domeniul securității cibernetice este în mare parte prima, așa că industria a rămas în mare parte reactivă în loc de proactivă, cauzele subiacente rămânând în mare parte neatinse.

„În esență, suntem într-o cursă a înarmării [care îi ține pe hackeri departe de vulnerabilitățile noastre], dar trebuie să ne întrebăm de ce ne confruntăm cu atâtea provocări?”, spune el. „Adică, de ce avem aceste vulnerabilități, în primul rând?”

Fostul hacker și-a pus întrebări atât de ample în ultimele trei decenii, iar această linie de întrebări nu a fost niciodată mai relevantă pentru companii și societate în general.

Cel mai simplu mod de a privi securitatea este că este vorba despre exploatarea vulnerabilităților, iar aceste vulnerabilități sunt practic probleme de calitate, spune el - defecte de cod, configurație, lacune în control, design, planificare, chiar și cultură.

Abordarea acestor probleme reduce numărul de vulnerabilități, astfel încât există mai puține de exploatat, spune el, în loc să fie nevoie să se intensifice apărarea în fața acestor vulnerabilități. „Acest lucru nu duce doar la reducerea cheltuielilor cu securitatea”, adaugă el, „dar tinde să eficientizeze și procesele IT și de afaceri, ceea ce le reduce și costul.”

„Odată ce începi să te concentrezi pe securitate mai mult ca o funcție a procesului și a calității, când începi să faci lucrurile corect, nu numai că rezolvi problemele de fond, dar poți ajuta și o afacere să creeze o schimbare pozitivă și să economisească bani.”

Van der Gaast începe întotdeauna să securizeze organizațiile ajungând la rădăcina problemelor lor, investigând mult mai profund decât consultanții în securitate orientați spre tehnologie. „Majoritatea companiilor tind să adopte o abordare a securității cibernetice în care lucrează constant pentru a stinge incendiile”, spune el. „În schimb, încerc să analizez ce cauzează orice probleme IT.”

„Vin provocările din proiectarea aplicațiilor?” „Oare diferite departamente de afaceri utilizează procese IT și furnizori diferiți?”, adaugă el. „Odată ce înțelegi cauza principală a problemelor, poți începe să le optimizezi și să le elimini sistematic.”

Van der Gaast consideră că trebuie să ne schimbăm modul în care abordăm problema criminalității cibernetice. În loc să ne uităm la criminali, trebuie să ne concentrăm asupra motivului pentru care crima este atât de ușoară.

El menționează că practic toate breșele de securitate implică vulnerabilități cunoscute cu remedieri disponibile și că, în majoritatea cazurilor, aceste remedieri erau disponibile de peste un an.

„Dacă ți-aș pune un sac de cereale în grădina ta, nu te-ai mira să descoperi că ai mii de șoareci o săptămână mai târziu.” Soluția ideală nu este să instalezi și să gestionezi mii de capcane pentru șoareci, ci să depozitezi mai bine cerealele sau să schimbi procesul în funcție de motivul pentru care ai nevoie de ele.

„Concluzia: Poți instala cel mai bun sistem de securitate cibernetică de pe planetă, dar dacă nu ai instrumente adecvate de gestionare a identității, oamenii tăi nu sunt suficient instruiți și nu ți-ai actualizat și nu ți-ai actualizat sistemele, dispozitivele sau aplicațiile, hackerii pot pur și simplu să ocolească apărarea ta, digitală sau de altă natură”, spune el. 

În cele din urmă, într-o eră a amenințărilor tot mai numeroase bazate pe inteligență artificială, cum ar fi atacurile automate și videoclipurile deepfake, van der Gaast afirmă că apărarea cu succes a unei organizații moderne împotriva infractorilor cibernetici trebuie să includă instruire, educație și o abordare proactivă – nu reactivă.

Aceste amenințări, odată înțelese, pot fi adesea neutralizate prin implementarea unor fundații solide — nu contează cât de rapid este un atac dacă nu ești vulnerabil la el — și prin procese, cum ar fi transferurile de fonduri, efectuate întotdeauna printr-un proces definit, care nu este susceptibil de a fi falsificat.

În opinia sa, cel mai bun lucru pe care îl poți face pentru a-ți ajuta organizația este să identifici problemele care cauzează vulnerabilitățile tale și să le abordezi, cât mai mult posibil în amonte, chiar și analizând problemele organizaționale și culturale. Apoi, echipele de securitate trebuie să colaboreze cu toate părțile organizației pentru a înțelege toate procesele de business și IT și pentru a ajuta la redefinirea lor, după cum este necesar, pentru a reduce orice riscuri pe care le-ar putea introduce și pentru a fi conștiente de cele care rămân.

Numai după ce organizațiile au făcut acest lucru, înțelegând problemele lor fundamentale, pot formula o strategie și o foaie de parcurs către un loc mai bun.

Așa cum sfâșia cărți de informatică în urmă cu decenii, interesele lui van der Gaast implică și astăzi absorbția unei cantități mari de informații. Fostul infractor cibernetic, ale cărui hobby-uri includ astăzi repararea mașinilor și citirea oricărui material despre cele mai bune practici de afaceri, spune că succesul în securitatea cibernetică înseamnă mult mai mult decât software: „Multe provocări pe care le găsesc se rezumă mai mult la cultură decât la soluții de înaltă tehnologie.”