V scéne, ktorá sa zdá byť vytrhnutá z jeho filmovej inšpirácie, mal van der Gaast asi 16 rokov, keď sa nabúra do indického jadrového zariadenia a ukradol údaje z podzemných jadrových testov. „Používali starú verziu poštového servera, ktorý som oklamal, aby mi dal administrátorský účet,“ hovorí. Vďaka tomu sa dostal do pozornosti viacerých spravodajských agentúr a nakoniec bol vyhlásený za jedného z 5 najznámejších hackerov na svete.

Van der Gaast sa práve na jeseň 1998 presťahoval z Európy do USA, keď mu na dvere zaklopala skupina mužov v oblekoch z agentúry prepojenej s americkým ministerstvom obrany. „Myslel som si, že sú v skutočnosti z imigračného úradu,“ hovorí, „pretože som prekročil platnosť svojho 90-dňového víza.“

Našťastie pre dospievajúceho hackera sa agentúra snažila naverbovať vychádzajúce hviezdy z virtuálneho undergroundu, nie ich stíhať. V tej chvíli rýchlo zmenil strany a začal spolupracovať s ministerstvom obrany v rámci spoločnej operácie s FBI počas nasledujúcich troch rokov. Práca zahŕňala zhromažďovanie spravodajských informácií o hackeroch a súvisiacich trestných aktivitách, ako aj vyšetrovanie únikov údajov v národnom záujme.

Toto neortodoxné školenie slúžilo ako odrazový mostík pre 25-ročnú kariéru experta na kybernetickú bezpečnosť, hlavného rečníka a firemného poradcu, ktorá viedla k jeho súčasnej pozícii zakladateľa a generálneho riaditeľa spoločnosti Sequioa Consulting, kde pomáha výkonným riaditeľom a globálnym organizáciám „robiť menej kybernetickej bezpečnosti a viac podnikať bezpečne“.

„Začal som tým, že som sa naučil lekcie o metódach, taktikách a schopnostiach, ktoré hackeri používajú,“ hovorí. „Ale s odstupom času?“ Myslím si, že som sa dozvedel skôr o tom, ako by sa prakticky všetkým týmto narušeniam dalo predísť, keby organizácie jednoducho riešili základy IT a aktívne zdokonaľovali svoje procesy.“

Práve tento prístup jeho spoločnosť presadzuje. V skutočnosti spoločnosť aplikuje metodiky z oblasti manažérskeho poradenstva, štíhleho myslenia a ďalších disciplín v kontexte technológií na zlepšenie IT procesov, aby sa znížil počet bodov zlyhania, ktoré by mohli útočníci zneužiť.

Jednoduchá analógia je automobilka, kde každé vyrobené auto má chyby – volant mimo stredu, chýbajúce skrutky na ramenách zavesenia kolies, brzdové potrubia plné vzduchu a ďalšie chyby. Bolo by smiešne, hovorí, zamestnávať viac ľudí na opravu všetkých týchto nedostatkov na hotových autách. Namiesto toho by ste problém riešili, pravdepodobne počas procesu, na montážnej linke, kde k týmto chybám dochádza – čím by ste znížili počet chýb a zároveň aj náklady.

A napriek tomu, hovorí van der Gaast, prístup v kybernetickej bezpečnosti je do značnej miery prvý, a preto odvetvie zostalo do značnej miery reaktívne namiesto proaktívneho, pričom základné príčiny zostali väčšinou nedotknuté.

„V podstate sa nachádzame v tak trochu pretekoch v zbrojení [držíme hackerov ďalej od našich zraniteľností], ale musíme si položiť otázku, prečo čelíme toľkým výzvam?,“ hovorí. „Čím to znamená, prečo vôbec máme tieto zraniteľnosti?“

Bývalý hacker si kladie takéto široké otázky už tri desaťročia a je to otázka, ktorá nikdy nebola relevantnejšia pre podniky a spoločnosť ako celok.

Najjednoduchší spôsob, ako sa pozrieť na bezpečnosť, je, že ide o zneužívanie zraniteľností a tieto zraniteľnosti sú v skutočnosti problémami s kvalitou, hovorí – chyby v kóde, konfigurácii, medzery v kontrole, dizajne, plánovaní, dokonca aj kultúre.

Riešenie týchto problémov znižuje počet zraniteľností, takže je menej zraniteľností, ktoré sa dajú zneužiť, namiesto toho, aby sa pred týmito zraniteľnosťami muselo neustále posilňovať obrana. Dodáva, že to nevedie len k nižším výdavkom na bezpečnosť – má to za následok aj zefektívnenie obchodných a IT procesov, čo zároveň znižuje aj ich náklady.

„Keď sa začnete zameriavať na bezpečnosť viac ako funkciu procesu a kvality, keď začnete robiť veci správne, nielenže vyriešite základné problémy, ale môžete tiež pomôcť firme vytvoriť pozitívnu zmenu a ušetriť peniaze.“

Van der Gaast vždy začína so zabezpečením organizácií tým, že sa dostane k jadru ich problémov a skúma ich oveľa hlbšie ako technologicky zdatní bezpečnostní konzultanti. „Väčšina spoločností má tendenciu pristupovať ku kybernetickej bezpečnosti tak, že neustále pracujú na hasení požiarov,“ hovorí. „Namiesto toho sa snažím pozrieť na to, čo spôsobuje akékoľvek obavy týkajúce sa IT.“

„Prídu výzvy z návrhu aplikácií?“ „Používajú rôzne obchodné oddelenia rôzne IT procesy a dodávateľov?“ dodáva. „Keď pochopíte základnú príčinu obáv, môžete ich začať systematicky optimalizovať a odstraňovať.“

Van der Gaast verí, že musíme zmeniť naše zameranie na to, ako riešime problém kybernetickej kriminality. Namiesto toho, aby sme sa pozerali na zločincov, musíme sa zamerať na to, prečo je zločin taký jednoduchý.

Spomína, že prakticky všetky narušenia zahŕňajú známe zraniteľnosti s dostupnými opravami a že vo väčšine prípadov boli tieto opravy dostupné už viac ako rok.

„Keby som ti dal do záhrady vrece obilia, neprekvapilo by ťa, keby si o týždeň neskôr zistil, že máš tisíce myší.“ Ideálnym riešením nie je umiestniť a spravovať tisíce pascí na myši, ale lepšie skladovať obilie alebo zmeniť proces, prečo ho potrebujete.“

Výsledok: Môžete si nainštalovať najlepší systém kybernetickej bezpečnosti na planéte, ale ak nemáte správne nástroje na správu identít, vaši ľudia nie sú dostatočne vyškolení a nevykonali ste opravy a neaktualizovali svoje systémy, zariadenia alebo aplikácie, hackeri môžu jednoducho obísť vašu obranu, digitálnu alebo inú, hovorí. 

V konečnom dôsledku, v dobe rastúcich hrozieb poháňaných umelou inteligenciou, ako sú automatizované útoky a deepfake videá, van der Gaast hovorí, že úspešná obrana modernej organizácie pred kyberzločincami musí zahŕňať školenia, vzdelávanie a proaktívny – nie reaktívny – prístup.

Tieto hrozby, keď sa im raz porozumie, sa dajú často neutralizovať zavedením pevných základov – nezáleží na tom, aký rýchly je útok, ak voči nemu nie ste zraniteľní – a procesmi, ako sú napríklad prevody finančných prostriedkov, ktoré sa vždy uskutočňujú prostredníctvom definovaného procesu, ktorý nie je náchylný na deepfaking.

Podľa jeho názoru je najlepšie, čo môžete urobiť pre svoju organizáciu, identifikovať problémy spôsobujúce jej zraniteľnosť a riešiť ich čo najskôr, a to aj pohľadom na organizačné a kultúrne problémy. Potom nechajte bezpečnostné tímy spolupracovať so všetkými časťami organizácie, aby pochopili všetky obchodné a IT procesy a pomohli ich podľa potreby predefinovať s cieľom znížiť akékoľvek riziká, ktoré by mohli predstavovať, a aby si boli vedomí všetkých zostávajúcich rizík.

Až keď organizácie toto urobia a pochopia svoje základné problémy, môžu sformulovať stratégiu a plán k lepšiemu.

Tak ako sa pred desaťročiami predieraval počítačovými knihami, aj dnes sa van der Gaast venuje vstrebávaniu množstva informácií. Bývalý kyberzločinec, ktorého záľuby dnes zahŕňajú opravovanie áut a čítanie všetkého, čo sa mu podarí získať o osvedčených obchodných postupoch, hovorí, že úspech v kybernetickej bezpečnosti je oveľa viac než len softvér: „Mám pocit, že mnohé výzvy pramenia skôr z kultúry než z high-tech riešení.“