Strategije sajber bezbednosti za preduzeća: Ne razmišljajte kao haker

Sajber bezbednost

29 oktobra, 2025

Da biste zaustavili sajber kriminal, nemojte misliti kao kriminalac

Hakerski konsultant za sajber bezbednost Greg van der Gaast objašnjava kako kompanije mogu izgraditi bolje temelje, postajući proaktivnije, a ne reaktivne.

Scott Steinberg

Saradnik

Kao i mnogi dečaci sa zvezdanim očima koji su odrasli u Holandiji sredinom devedesetih - u trenutku kada su sami lični računari postali punoljetni - Greg van der Gaast bio je opsednut filmom „Hakeri“.

„Kao impresivni mladi adolescent, uči vas da ako budete zaista dobri u provaljivanju u računare, možete izlaziti sa Angelinom Jolie“, smeje se on.

Iako ta nova romansa očigledno nikada nije nastala, tinejdžer je brzo naučio kako da se kreće računarom - i postao jedan od najtraženijih sajber kriminalaca na svetu pre nego što je bio dovoljno star da glasa. Umesto da ga spuste u zatvor, van der Gaastovi rani podzemni podvizi pomogli su mu da započne karijeru kao poznati savetnik za sajber bezbednost, ali onaj koji je evoluirao dalje od tih tehničkih početaka.

U stvari, on poziva svoje klijente da prestanu razmišljati o sajber bezbednosti kao tehničkom problemu - najbolji način da se postignu dobri bezbednosni ishodi, kaže on, je pozajmljivanje pristupa izvan industrije sajber bezbednosti.

Greg van der Gaast na Mastercardovom Space4Commerce događaju prošle godine u Budimpešti.

Neočekivani visokotehnološki zaokret sudbine

U sceni koja je naizgled otrgnuta iz njegove filmske inspiracije, van der Gaast je imao oko 16 godina kada je hakovao u indijski objekat nuklearnog oružja i ukrao podatke iz podzemnih nuklearnih testova. „Koristili su staru verziju servera pošte, koju sam prevario da mi da administrativni nalog“, kaže on. To ga je stavilo na radar brojnih obaveštajnih agencija i na kraju je proglašen jednim od Top 5 najozloglašenijih hakera na svetu.

Van der Gaast se upravo preselio iz Evrope u SAD u jesen 1998. kada je grupa muškaraca u odelima iz agencije povezane sa američkim Ministarstvom odbrane pokucala na njegova vrata. "Mislio sam da su zapravo iz imigracije", kaže on, "jer sam prekoračio svoju 90-dnevnu vizu."

Srećom za tinejdžerskog hakera, agencija je tražila da regrutuje zvezde u usponu iz virtuelnog podzemlja, a ne da ih goni. U tom trenutku brzo je prebacio stranu i počeo da radi sa Ministarstvom odbrane u zajedničkoj operaciji sa FBI-jem naredne tri godine. Rad je uključivao prikupljanje obaveštajnih podataka o hakerima i okolnim kriminalnim aktivnostima, kao i istragu kršenja podataka od nacionalnog interesa.

Ova neortodoksna obuka poslužila je kao odskočna daska za KSNUMKS-godišnju karijeru stručnjaka za kibernetičku sigurnost, glavnog govornika i korporativnog savjetnika, što je dovelo do njegove trenutne uloge osnivača i generalnog direktora kompanije Sequioa Consulting, gdje pomaže izvršnim liderima i globalnim organizacijama "manje kibernetičke sigurnosti i više poslova sigurno".

Mislim da je ono što sam naučio više o tome kako bi se praktično sva ova kršenja mogla sprečiti da bi se organizacije jednostavno bavile IT osnovama i istakle da aktivno sazrevaju svoje procese.

Greg van der Gaast

"Počeo sam učenjem lekcija o metodama, taktikama i mogućnostima koje hakeri koriste", kaže on. „Ali unazad? Mislim da je ono što sam naučio više o tome kako bi se praktično sva ova kršenja mogla sprečiti da bi se organizacije jednostavno bavile IT osnovama i istakle da aktivno sazrevaju svoje procese.“

Upravo ovaj pristup šampioni njegova kompanija. U stvari, kompanija primenjuje metodologije iz menadžerskog konsaltinga, vitkog razmišljanja i drugih disciplina u kontekstu tehnologije za poboljšanje IT procesa, tako da ima manje tačaka neuspeha koje akteri pretnji mogu iskoristiti.

Jednostavna analogija je fabrika automobila u kojoj svaki proizvedeni automobil ima nedostatke - volan izvan centra, vijci koji nedostaju na krakovima vešanja, kočioni vodovi puni vazduha i druge nedostatke. Bilo bi smešno, kaže on, zaposliti više ljudi da poprave sve ove nedostatke na gotovim automobilima. Umesto toga, rešili biste problem, verovatno u procesu, na stanici proizvodne linije gde se ovi nedostaci dešavaju - smanjujući broj nedostataka i smanjujući troškove.

Pa ipak, kaže van der Gaast, pristup u sajber bezbednosti je uglavnom prvi, pa je industrija u velikoj meri ostala reaktivna umesto proaktivna, a osnovni uzroci ostaju uglavnom netaknuti.

"U osnovi, mi smo u maloj trci u naoružanju [držeći hakere dalje od naših ranjivosti], ali moramo se zapitati zašto se suočavamo sa toliko izazova?", kaže on. „Što znači, zašto uopšte imamo ove ranjivosti?“

Bivši haker je postavljao tako široka pitanja u poslednje tri decenije, i to je linija ispitivanja koja nikada nije bila relevantnija za preduzeća i društvo u celini.

Planiranje budućnosti kibernetičke sigurnosti

Najjednostavniji način da se sagleda bezbednost je da se radi o iskorištavanju ranjivosti, a te ranjivosti su efektivno problemi kvaliteta, kaže on - nedostaci u kodu, konfiguraciji, praznine u kontroli, dizajnu, planiranju, čak i kulturi.

Rešavanje ovih problema smanjuje broj ranjivosti, tako da ima manje da se eksploatiše, kaže on, umesto da se pojača ikada odbrana ispred ovih ranjivosti. To ne rezultira samo manjom potrošnjom na bezbednost, dodaje on - već ima tendenciju da i poslovne i IT procese učine efikasnijim, što smanjuje i njihove troškove.

"Jednom kada počnete da se fokusirate na bezbednost više u funkciji procesa i kvaliteta, kada počnete da radite stvari kako treba, ne samo da popravite osnovne probleme, već takođe može pomoći biznisu da stvori pozitivne promene i uštedi novac."

Van der Gaast uvek počinje da obezbeđuje organizacije dolazeći do korena njihovih problema, kopanjem daleko dublje od tehnološki orijentiranih bezbednosnih konsultanata. „Većina kompanija ima tendenciju da pristupi sajber bezbednosti gde neprestano rade na gašenju požara“, kaže on. „Umesto toga, pokušavam da pogledam šta izaziva bilo kakve IT zabrinutosti.

„Da li izazovi dolaze iz dizajna aplikacija? Da li različita poslovna odeljenja koriste različite IT procese i dobavljače?" dodaje on. „Jednom kada shvatite osnovni uzrok zabrinutosti, možete početi da ih sistematski optimizujete i eliminišete.“

Drugačiji pristup sajber kriminalu

Van der Gaast veruje da moramo promeniti fokus na način na koji se bavimo problemom sajber kriminala. Umesto da gledamo kriminalce, moramo se fokusirati na to zašto je zločin tako lak.

On spominje da praktično sva kršenja uključuju poznate ranjivosti sa dostupnim ispravkama i da su u većini slučajeva ove ispravke bile dostupne više od godinu dana.

„Ako stavim vreću žita u vašu baštu, ne biste se iznenadili kada nedelju dana kasnije vidite da imate hiljade miševa. Idealno rešenje nije odlaganje i upravljanje hiljadama zamki za miševe, već bolje skladištenje zrna ili promena procesa zašto vam je potrebno.“

Rezultat: Možete instalirati najbolji sistem sajber bezbednosti na planeti, ali ako nemate odgovarajuće alate za upravljanje identitetom, vaši ljudi nisu dovoljno obučeni, a niste zakrpili i nadogradili svoje sisteme, uređaje ili aplikacije, hakeri mogu jednostavno zaobići vašu odbranu, digitalnu ili na neki drugi način, kaže on.

Davanje ljudima alata za sprečavanje sajber pretnji

Na kraju, u doba rastućih pretnji koje pokreću AI, kao što su automatizovani napadi i duboki lažni video snimci, van der Gaast kaže da uspešna odbrana moderne organizacije od sajber kriminalaca treba da uključuje obuku, obrazovanje i proaktivan - a ne reaktivan - pristup.

Ove pretnje, kada se jednom shvate, često se mogu neutralizovati primenom čvrstih temelja - nije važno koliko je brz napad ako niste ranjivi na njega - i procesi, poput transfera sredstava koji se uvek vrše kroz definisani proces koji nije podložan dubokom lažiranju.

U njegovim očima, najbolja stvar koju možete učiniti da pomognete svojoj organizaciji je da odredite probleme koji uzrokuju vaše ranjivosti i rešite ih, što je više moguće uzvodno, čak i gledajući organizaciona i kulturna pitanja. Zatim neka bezbednosni timovi rade sa svim delovima organizacije kako bi razumeli sve poslovne i IT procese i pomogli da ih redefinišu po potrebi kako bi se smanjili svi rizici koje bi mogli da uvedu i bili svesni svih preostalih.

Tek kada organizacije to urade, razumevajući svoja osnovna pitanja, mogu formulisati strategiju i mapu puta ka boljem mestu.

Baš kao što je pre nekoliko decenija razbio kompjuterske knjige, van der Gaastovi interesi i danas uključuju apsorpciju gomile informacija. Bivši sajber kriminalac, čiji hobiji danas uključuju popravljanje automobila i čitanje svega što mu se može dopasti o najboljim poslovnim praksama, kaže da se uspeh u sajber bezbednosti odnosi mnogo više od softvera: „Mnogi izazovi koje nalazim svode se na kulturu više nego na visokotehnološka rešenja.“

Borba protiv prevare u plaćanju u velikom obimu

Mastercard Threat Intelligence, najavljena na Monei 20/20, objedinjuje uvide kompanije u prevare u plaćanju sa informacijama o pretnjama iz Recorded Future radi smanjenja rizika i povećanja otpornosti.

Saznajte više

Povezane priče

Evolucija prevara

Prva epizoda dokumentarne serije Mastercard " Anatomija prevare "

Knjiga za igru prevaranta

Druga epizoda dokumentarne serije Mastercard "Anatomija prevare"

Kada se bore protiv sajber kriminala, ljudima je potrebna veštačka inteligencija - a AI trebaju ljudi

Autor Aimee Levitt

Šta tražite?

Istaknuti sadržaj

Mastercard pokreće Merchant Cloud kako bi pojednostavio i podržao razvoj trgovine u globalnom ekosistemu prihvatanja

Mastercard Economics Institute predstavlja svoj izveštaj „Ekonomski trendovi za 2026”