Щоб зупинити кіберзлочинність, не думайте як злочинець

У сцені, яка нібито була вирвана з його кінематографічного натхнення, ван дер Гаасту було близько 16 років, коли він зламав індійський об'єкт ядерної зброї та вкрав дані підземних ядерних випробувань. «Вони використовували стару версію поштового сервера, яку я обманом змусив отримати адміністраторський обліковий запис», – каже він. Це привернуло до нього увагу низки розвідувальних служб, і зрештою його було названо одним із п'ятірки найвідоміших хакерів світу.

Ван дер Гааст щойно переїхав з Європи до США восени 1998 року, коли група чоловіків у костюмах з агентства, пов'язаного з Міністерством оборони США, постукала до його дверей. «Я думав, що вони насправді з імміграційної служби», — каже він, — «бо я перевищив термін дії своєї 90-денної візи».

На щастя для хакера-підлітка, агентство прагнуло завербувати висхідних зірок з віртуального андеграунду, а не переслідувати їх. У той момент він швидко перейшов на інший бік і почав співпрацювати з Міністерством оборони в рамках спільної операції з ФБР протягом наступних трьох років. Робота включала збір розвідувальних даних про хакерів та супутню злочинну діяльність, а також розслідування витоків даних, що становлять національний інтерес.

Це нестандартне навчання стало стартовим майданчиком для 25-річної кар'єри експерта з кібербезпеки, основного доповідача та корпоративного радника, що призвело до його нинішньої посади засновника та керуючого директора Sequioa Consulting, де він допомагає керівникам та глобальним організаціям «менше займатися кібербезпекою та більше вести бізнес безпечно».

«Я почав з вивчення методів, тактик і можливостей, які використовують хакери», – каже він. «Але озираючись назад?» Я думаю, що я дізнався більше про те, як практично всіх цих порушень можна було б запобігти, якби організації просто керувалися основами ІТ та активно вдосконалювали свої процеси.

Саме такий підхід підтримує його компанія. Фактично, компанія застосовує методології управлінського консалтингу, бережливого мислення та інших дисциплін у контексті технологій для покращення ІТ-процесів, завдяки чому зловмисники можуть використовувати менше точок відмови.

Проста аналогія — це автомобільний завод, де кожен випущений автомобіль має дефекти — кермо не по центру, відсутні болти на важелях підвіски, гальмівні трубки, заповнені повітрям, та інші дефекти. Було б смішно, каже він, наймати більше людей для виправлення всіх цих дефектів на готових автомобілях. Натомість ви б вирішували проблему, ймовірно, в процесі, на складальній ділянці, де виникають ці дефекти, — зменшуючи кількість дефектів, а отже, і витрати.

І все ж, за словами ван дер Гааста, підхід у кібербезпеці значною мірою є першим, і тому галузь залишається переважно реактивною, а не проактивною, а основні причини залишаються здебільшого незмінними.

«По суті, ми перебуваємо у певній гонці озброєнь [щоб тримати хакерів подалі від наших вразливостей], але нам потрібно запитати себе, чому ми стикаємося з такою кількістю викликів?», — каже він. «Тобто, чому в нас взагалі є ці вразливості?»

Колишній хакер ставить такі широкі питання протягом останніх трьох десятиліть, і ця лінія питань ще ніколи не була настільки актуальною для бізнесу та суспільства загалом.

Найпростіший спосіб поглянути на безпеку полягає в тому, що вона стосується використання вразливостей, і ці вразливості фактично є проблемами якості, каже він — дефекти в коді, конфігурації, прогалини в контролі, дизайні, плануванні та навіть культурі.

Вирішення цих проблем зменшує кількість вразливостей, тому менше можливостей для їх використання, каже він, замість того, щоб постійно посилювати захист перед цими вразливостями. Це не лише призводить до зменшення витрат на безпеку, додає він, — це також, як правило, підвищує ефективність бізнес-процесів та ІТ-процесів, що також знижує їхню вартість.

«Як тільки ви почнете зосереджуватися на безпеці більше як функції процесу та якості, коли ви почнете робити все правильно, ви не лише виправите основні проблеми, але й зможете допомогти бізнесу створити позитивні зміни та заощадити гроші».

Ван дер Гааст завжди починає боротьбу з безпекою організацій, добираючись до кореня їхніх проблем, копаючи набагато глибше, ніж консультанти з безпеки, що спеціалізуються на технологіях. «Більшість компаній схильні застосовувати підхід до кібербезпеки, за якого вони постійно працюють над гасінням пожеж», – каже він. «Натомість я намагаюся з’ясувати, що викликає будь-які проблеми з ІТ.»

«Чи виникають труднощі з дизайном додатків?» «Чи використовують різні бізнес-відділи різні ІТ-процеси та постачальників?» — додає він. «Як тільки ви зрозумієте першопричину проблем, ви зможете почати їх оптимізувати та систематично усувати».

Ван дер Гааст вважає, що нам потрібно змінити нашу увагу до того, як ми вирішуємо проблему кіберзлочинності. Замість того, щоб дивитися на злочинців, нам потрібно зосередитися на тому, чому злочин такий легкий.

Він зазначає, що практично всі порушення стосуються відомих вразливостей з доступними виправленнями, і що в більшості випадків ці виправлення були доступні вже понад рік.

«Якби я поклав мішок зерна у ваш город, ви б не здивувалися, виявивши, що через тиждень у вас будуть тисячі мишей». Ідеальне рішення — не встановлювати та керувати тисячами мишоловок, а краще зберігати зерно або змінити процес відповідно до того, навіщо воно вам потрібне».

Підсумок: ви можете встановити найкращу систему кібербезпеки на планеті, але якщо у вас немає належних інструментів керування ідентифікацією, ваші співробітники недостатньо навчені, а ви не виправили та не оновили свої системи, пристрої чи програми, хакери можуть просто обійти ваш захист, цифровий чи інший, каже він. 

Зрештою, в епоху зростання загроз на основі штучного інтелекту, таких як автоматизовані атаки та відео з глибокими фейками, ван дер Гааст каже, що успішний захист сучасної організації від кіберзлочинців повинен включати навчання, освіту та проактивний, а не реактивний, підхід.

Ці загрози, якщо їх зрозуміти, часто можна нейтралізувати завдяки впровадженню міцних основ — не має значення, наскільки швидкою є атака, якщо ви не вразливі до неї — та процесам, таким як переказ коштів, які завжди здійснюються через визначений процес, не схильний до дипфейків.

На його думку, найкраще, що ви можете зробити, щоб допомогти своїй організації, це визначити проблеми, що спричиняють ваші вразливості, та вирішити їх якомога раніше, навіть розглядаючи організаційні та культурні проблеми. Потім доручіть командам безпеки співпрацювати з усіма підрозділами організації, щоб зрозуміти всі бізнес- та ІТ-процеси та допомогти переосмислити їх за потреби, щоб зменшити будь-які ризики, які вони можуть створити, та бути в курсі тих, що залишилися.

Тільки після того, як організації зроблять це, зрозумівши свої основні проблеми, вони зможуть сформулювати стратегію та дорожню карту для кращого стану.

Так само, як він десятиліття тому пробирався крізь книги з комп'ютерів, інтереси ван дер Гааста й сьогодні все ще пов'язані з засвоєнням величезної кількості інформації. Колишній кіберзлочинець, чиї хобі сьогодні включають ремонт автомобілів та читання будь-чого, що він може знайти про найкращі бізнес-практики, каже, що успіх у кібербезпеці — це набагато більше, ніж просто програмне забезпечення: «Багато проблем, на мою думку, зводяться радше до культури, ніж до високотехнологічних рішень».