V prizoru, ki je na videz iztrgan iz njegovega filmskega navdiha, je bil van der Gaast star približno 16 let, ko je vdrl v indijski objekt za jedrsko orožje in ukradel podatke iz podzemnih jedrskih poskusov. »Uporabljali so staro različico poštnega strežnika, ki sem ga zvijačno prepričal, da mi je dodelil skrbniški račun,« pravi. Zaradi tega je prišel v središče pozornosti številnih obveščevalnih agencij in sčasoma je bil imenovan za enega od petih najbolj razvpitih hekerjev na svetu.

Van der Gaast se je jeseni 1998 ravno preselil iz Evrope v ZDA, ko je na njegova vrata potrkala skupina moških v oblekah iz agencije, povezane z ameriškim obrambnim ministrstvom. »Mislil sem, da so pravzaprav iz imigracijske službe,« pravi, »ker sem prekoračil veljavnost 90-dnevnega vizuma.«

Na srečo najstniškega hekerja je agencija želela rekrutirati vzhajajoče zvezde iz virtualnega podzemlja, ne pa jih preganjati. V tistem trenutku je hitro zamenjal stran in začel sodelovati z Ministrstvom za obrambo v skupni operaciji z FBI, ki je trajala naslednja tri leta. Delo je vključevalo zbiranje obveščevalnih podatkov o hekerjih in sorodnih kriminalnih dejavnostih ter preiskovanje kršitev podatkov v nacionalnem interesu.

To nekonvencionalno usposabljanje je služilo kot odskočna deska za 25-letno kariero strokovnjaka za kibernetsko varnost, glavnega govorca in korporativnega svetovalca, kar ga je pripeljalo do trenutne vloge ustanovitelja in generalnega direktorja podjetja Sequioa Consulting, kjer pomaga vodstvenim delavcem in globalnim organizacijam, da »manj skrbijo za kibernetsko varnost in več poslujejo varno«.

»Začel sem z učenjem o metodah, taktikah in zmožnostih, ki jih uporabljajo hekerji,« pravi. „Ampak gledano za nazaj? Mislim, da sem se bolj naučil o tem, kako bi bilo mogoče praktično vse te kršitve preprečiti, če bi se organizacije preprosto lotile osnov IT in si prizadevale za aktivno izpopolnjevanje svojih procesov.«

Prav ta pristop zagovarja njegovo podjetje. Podjetje dejansko uporablja metodologije iz svetovanja za upravljanje, vitkega razmišljanja in drugih disciplin v kontekstu tehnologije za izboljšanje IT procesov, tako da je manj točk napak, ki jih lahko akterji grožnje izkoristijo.

Preprosta analogija je avtomobilska tovarna, kjer ima vsak izdelan avtomobil napake – volan ni na sredini, manjkajoči vijaki na vzmetenih ročicah, zavorne cevi so polne zraka in druge napake. Pravi, da bi bilo absurdno zaposliti več ljudi za odpravo vseh teh napak na končnih avtomobilih. Namesto tega bi težavo obravnavali, verjetno že med postopkom, na proizvodni liniji, kjer se te napake pojavljajo – s čimer bi zmanjšali število napak in hkrati tudi stroške.

Pa vendar, pravi van der Gaast, je pristop k kibernetski varnosti večinoma prvi, zato je industrija večinoma ostala reaktivna namesto proaktivna, pri čemer so osnovni vzroki ostali večinoma nedotaknjeni.

»V bistvu smo v nekakšni tekmi v orožju [da bi hekerjem preprečili dostop do naših ranljivosti], vendar se moramo vprašati, zakaj se soočamo s toliko izzivi?,« pravi. "Kar pomeni, zakaj sploh imamo te ranljivosti?"

Nekdanji heker si že tri desetletja zastavlja tako široka vprašanja, in to je vrsta vprašanj, ki še nikoli ni bila bolj relevantna za podjetja in družbo na splošno.

Najenostavnejši pogled na varnost je, da gre za izkoriščanje ranljivosti, te ranljivosti pa so dejansko težave s kakovostjo, pravi – napake v kodi, konfiguraciji, vrzeli v nadzoru, oblikovanju, načrtovanju in celo kulturi.

Reševanje teh težav zmanjšuje število ranljivosti, zato je manj možnosti za izkoriščanje, pravi, namesto da bi bilo treba pred temi ranljivostmi krepiti obrambo. Dodaja, da to ne pomeni le manjših izdatkov za varnost – ponavadi tudi poveča učinkovitost poslovnih in IT procesov, kar zmanjša tudi njihove stroške.

»Ko se začnete osredotočati na varnost bolj kot funkcijo procesa in kakovosti, ko začnete stvari delati pravilno, ne le odpravite temeljne težave, ampak lahko to podjetju pomaga tudi ustvariti pozitivne spremembe in prihraniti denar.«

Van der Gaast vedno začne varovati organizacije tako, da pride do bistva njihovih težav, pri čemer se poglobi veliko globlje kot tehnološko osredotočeni varnostni svetovalci. »Večina podjetij se nagiba k pristopu k kibernetski varnosti, kjer nenehno gasijo požare,« pravi. »Namesto tega poskušam pogledati, kaj povzroča morebitne pomisleke glede IT.«

„Ali izzivi izvirajo iz oblikovanja aplikacij? "Ali različni poslovni oddelki uporabljajo različne IT-procese in ponudnike?" dodaja. »Ko enkrat razumete temeljni vzrok težav, jih lahko začnete optimizirati in sistematično odpravljati.«

Van der Gaast meni, da moramo spremeniti naš fokus na to, kako se spopadamo s problemom kibernetske kriminalitete. Namesto da bi gledali na kriminalce, se moramo osredotočiti na to, zakaj je zločin tako enostaven.

Omenja, da praktično vse kršitve vključujejo znane ranljivosti z razpoložljivimi popravki in da so bili v večini primerov ti popravki na voljo že več kot eno leto.

„Če bi ti na vrt posadil vrečo žita, te ne bi presenetilo, če bi čez teden dni ugotovil, da imaš na tisoče miši.“ Idealna rešitev ni postavitev in upravljanje tisočih mišolovk, temveč boljše shranjevanje žita ali sprememba postopka glede na to, zakaj ga potrebujete.«

Povzetek: Lahko namestite najboljši sistem kibernetske varnosti na planetu, toda če nimate ustreznih orodij za upravljanje identitet, vaši ljudje niso dovolj usposobljeni in niste posodobili in nadgradili svojih sistemov, naprav ali aplikacij, lahko hekerji preprosto zaobidejo vašo obrambo, digitalno ali kako drugače, pravi. 

Konec koncev, v dobi naraščajočih groženj, ki jih poganja umetna inteligenca, kot so avtomatizirani napadi in videoposnetki z globokimi ponaredi, van der Gaast pravi, da mora uspešna obramba sodobne organizacije pred kibernetskimi kriminalci vključevati usposabljanje, izobraževanje in proaktiven – ne reaktiven – pristop.

Ko te grožnje enkrat razumemo, jih je pogosto mogoče nevtralizirati z vzpostavitvijo trdnih temeljev – ni pomembno, kako hiter je napad, če niste ranljivi zanj – in procesi, kot so prenosi sredstev, ki se vedno izvajajo prek določenega postopka, ki ni dovzeten za ponarejanje.

Po njegovem mnenju je najboljše, kar lahko storite za pomoč svoji organizaciji, ugotoviti težave, ki povzročajo vaše ranljivosti, in jih obravnavati čim prej, tudi z upoštevanjem organizacijskih in kulturnih vprašanj. Nato naj varnostne ekipe sodelujejo z vsemi deli organizacije, da bi razumele vse poslovne in IT procese ter jih po potrebi na novo opredelile, da bi zmanjšale morebitna tveganja, ki bi jih lahko uvedle, in se zavedale vseh preostalih tveganj.

Šele ko organizacije to storijo in razumejo svoje temeljne težave, lahko oblikujejo strategijo in načrt za boljše stanje.

Tako kot je pred desetletji prelistaval knjige o računalnikih, tudi danes van der Gaast še vedno skuša absorbirati ogromno informacij. Nekdanji kibernetski kriminalec, čigar hobiji danes vključujejo popravljanje avtomobilov in branje vsega, kar mu pride v roke o najboljših poslovnih praksah, pravi, da uspeh v kibernetski varnosti ni le programska oprema: »Ugotavljam, da so številni izzivi bolj povezani s kulturo kot z visokotehnološkimi rešitvami.«