O holenderskich doświadczeniach w obszarze cyberbezpieczeństwa oraz organizacji państwowego systemu cyberbezpieczeństwa mówi Rik Veenendaal, koordynator w holenderskim, rządowym Computer Emergency Response Team. Podejście do cyberbezpieczeństwa tego byłego żołnierza marynarki wojennej, który służył m.in. w Kambodży, Iraku, Haiti i Afganistanie, a od 2006 roku działa w obszarze cyberbezpieczeństwa IT, pomagając budować od podstaw zespół ds. reagowania w sytuacjach kryzysowych, może być zaskakujące. Mówi on bowiem o „ludzkim podejściu”, przekonując, że jeśli jest zwykła chęć do współpracy, tajemnice państwowe i biznesowe nie stanowią przeszkody.

Swoje wystąpienie na „CyberGOV 2018” rozpoczął Pan od stwierdzenia, że prezentuje „ludzkie podejście” do cyberbezpieczeństwa. Co to oznacza w praktyce?

To najważniejsza sprawa: chęć do współpracy pomiędzy ludźmi i pomiędzy organizacjami. Nie powinno mieć żadnego znaczenia, że ja działam w strukturach obronnych państwa, a ktoś inny w biznesie. Ta chęć do współpracy, skłonność do inwestowania w relacje między ludźmi jest kluczowa. Opiera się to na prostych sprawach, na przykład wspólnym wyjściu na lunch czy kolację.

Niestety, praktyka, chociażby dyskusje na „CyberGOV”, potwierdza, że jest przepaść pomiędzy sektorem prywatnym a publicznym. Mam wrażenie, że żadna ze stron nie ma w sobie dostatecznie dużo takiej zwykłej, ludzkiej chęci do pracy na rzecz wspólnego celu. Gdyby było inaczej, działania w obszarze cyberbezpieczeństwa mogłyby być dużo bardziej efektywne i skuteczne.

Jak to zmienić? Czy potrzebne są działania legislacyjne, polityczne, technologiczne?

Trzeba poznawać ludzi. W ten sposób można lepiej zrozumieć potrzeby drugiej strony. Rząd Holandii blisko współpracuje z bankiem Rabobank, gdzie pracują wybitni specjaliści w pewnych obszarach, które są dla nas istotne, a nam brakuje ludzi. Zwróciliśmy się do nich bezpośrednio: słuchajcie, potrzebujemy waszej pomocy – i sprawa była załatwiona. Kiedy mamy problem, dzwonię do nich i pomagają nam go rozwiązać. To działa również w drugą stronę.

Czasem przeszkodę w tego typu współpracy stanowią „tajemnice”, „informacje wywiadowcze” itp. Jeśli jednak to pokonamy, uznamy, że trzeba sobie pomagać, sytuacja w cyberbezpieczeństwie znacznie się poprawi. Wzajemne zaufanie i współdzielenie informacji to fundament. Tymczasem brakuje tego nawet po jednej stronie – nieraz ludzie z Ministerstwa Obrony nie ufają ludziom z Ministerstwa Spraw Zagranicznych. Można to zmienić właśnie poprzez współdzielenie informacji, zapraszanie specjalistów z innych organizacji do siebie i szkolenie ich w pewnych obszarach, a także wysyłanie ich na podobne szkolenia do innych. My na przykład wysyłamy naszych ludzi do bankowości.

Czy można powiedzieć, że z punktu widzenia cyberbezpieczeństwa technologia nie stanowi żadnego problemu?

W naszym przypadku technologia jest rozproszona i znajduje się pod kontrolą kilku ministerstw. Odpowiednie podejście do współdzielenia technologii oraz wiedzy o nich sprawia, że przestaje to być problem. Kiedy pojawia się potrzeba, wystarczy wykonać telefon. Można zatem powiedzieć, że nie ma znaczenia, jakie są twoje możliwości technologiczne. Ważne jest to, czy będziesz wiedział, do kogo zadzwonić w sytuacji kryzysowej.

Czy w skali międzynarodowej takie „ludzkie podejście” do cyberbezpieczeństwa jest powszechne? Czy to jest największe wyzwanie cyberbezpieczeństwa w Europie?

Różne kraje mają własne wyzwania. Jeśli spojrzeć na organizację systemu cyberbezpieczeństwa w Holandii i porównać ją z Polską, to jasno widać, że brakuje jednego ośrodka decyzyjnego. Odpowiedzialność jest podzielona na cztery ośrodki. Kto jest odpowiedzialny za obsługę incydentów? Kto finansuje działania w tym obszarze? Dodatkowo taka sytuacja z pewnością utrudnia współpracę w modelu partnerstwa publiczno-prywatnego.

Jednym z elementów partnerstwa publiczno-prywatnego w Holandii są sektorowe centra ISAC – Information Sharing and Analysis Centre – których celem jest formułowanie właściwego podejścia do cyberzagrożeń i podatności. Proszę powiedzieć, jak one działają.

Centra ISAC powstały dawno temu, zanim jeszcze zaczęliśmy mówić o cyberprzestrzeni. Początkowo koncentrowały się na szeroko pojętym bezpieczeństwie. W ich skład wchodzą eksperci sektorowi, przedstawiciele rządu oraz służb odpowiedzialnych za bezpieczeństwo. W Holandii jest 14 takich centrów, które działają niezależnie i ze zróżnicowaną dynamiką. Na regularnych spotkaniach wymienia się informacje i doświadczenia związane z cyberbezpieczeństwem. ISAC stanowi także forum do współdzielenia analiz dotyczących sytuacyjnej świadomości w poszczególnych sektorach.

Podczas wystąpienia na „CyberGOV 2018” mówił Pan także, że niezwykle ważna jest otwartość wobec partnerów, opinii publicznej i edukacja społeczeństwa. Jakie działania sprawdzają się najlepiej w tym obszarze?

Brak działań związanych z podnoszeniem świadomości ludzi w zakresie cyberbezpieczeństwa był jednym z naszych największych zaniedbań. To się zmieniło. Uświadamiamy społeczeństwu zagrożenia i na tej podstawie budujemy zdolność do obrony. Publikujemy co roku dokumenty, które przedstawiają stan obecny, pokazują to, co udało się nam osiągnąć i czego nam jeszcze brakuje. Taka otwarta komunikacja, prezentująca osiągnięcia i błędy, jest niezwykle ważna.