Hâck The Hague: "Je moet jezelf geregeld durven testen"

Je eigen systemen bewust laten hacken; je moet maar durven. Den Haag ging de uitdaging aan tijdens Hâck The Hague 2019. Eind september zat het Atrium van het stadhuis vol met superknappe koppen die een dag lang hun best deden om de deuren van de gemeentelijke systemen open te breken.

Door: Quita Hendrison

Het begon in 2017 met een rapport van de Algemene Rekenkamer: het was niet best gesteld met de informatiebeveiliging bij de overheid. De Rotterdamse Rekenkamer meldde hetzelfde op basis van onderzoek in de eigen gemeente. "Alles bij elkaar genoeg aanleiding voor raadsvragen van D66 hier in Den Haag," vertelt Chief Information Security Officer (CISO) Jeroen Schipper. "Dat was de basis voor de eerste Hack Den Haag. Op kleine schaal nog; met 37 hackers die vier kwetsbaarheden vonden. Bij editie twee in 2018 waren dat al 50 hackers die ruim zestig kwetsbaarheden vonden. Al snel maakten we naam met deze bijzondere hackwedstrijd. Vooral vanwege de openheid waarmee we dat doen. Letterlijk; hier open en bloot in ons Atrium, waar iedereen kan komen kijken."

Afgelopen september zaten er 79 hackers in het Atrium. Uit elf verschillende landen. Die komen uiteraard niet zomaar binnenwandelen. Schipper: "We hebben een uitnodiging verstuurd die breed gedeeld is. Onze partner Cybersprint is een bekende partij in de wereld van cybersecurity, dus via hen bereiken we de doelgroep makkelijker."

Hâck The Hague heeft de vorm van een wedstrijd. De 'spelers' zijn studenten en professionals die alleen of in duo's op zoek gaan naar lekken in de digitale infrastructuur. Een deskundige jury, met onder meer de Informatiebeveiligingsdienst (IBD) en het Nationaal Cyber Security Center (NCSC) beoordeelt de vondsten. Er zijn geldprijzen te winnen in de categorieën 'meest geavanceerde hack', 'hack met de grootste impact' en 'meest creatieve hack'.

Eerst fiksen

Wie denkt dat de hackers de vrije hand krijgen heeft het mis. Er worden duidelijke afspraken gemaakt. "Responsible disclosure" heet dat, vervolgt Schipper. "We werken uiteraard met ethische hackers; die proberen lekken te vinden, juist om te voorkomen dat kwaadwillende hackers systemen binnen dringen. We spreken onder meer met hen af dat ze mogen proberen om de deur open te krijgen, maar dat ze er niet met een stormram op mogen blijven rammen: bijvoorbeeld met software die alles platlegt. En wie een kwetsbaarheid vindt, gaat daar niet direct mee extern. De regel is: eerst rapporteren en fiksen en dan pas eventueel publiceren." Ook  verschillende leveranciers van gemeentelijke systemen stelden hun applicaties 'open'. En  in een van die systemen die ook door andere gemeenten wordt gebruikt, werd een kwetsbaarheid gevonden. "Dat is meteen gemeld en opgelost. Op die manier profiteren ook alle andere gemeenten die het betreffende systeem gebruiken van onze hackwedstrijd."

Voorbereiden

Schipper vindt dat Den Haag het als stad van Vrede & Recht en epicentrum van cybersecurity aan haar stand verplicht is om de informatiebeveiliging bovenaan de prioriteitenlijst te zetten. "Informatietechnologie ontwikkelt zich razendsnel, we lopen als gemeentelijke organisatie dagelijks het risico van cybercriminaliteit. Daarom moet je op gezette tijden jezelf blootgeven, testen en bevestigen, uiteraard volgens bepaalde spelregels. Het lijkt wellicht alsof je jezelf hierdoor kwetsbaar maakt, maar je doet dit juist als je het zelfvertrouwen hebt dat je het op orde hebt. Met een hackwedstrijd organiseer je het zo dat je onder gecontroleerde omstandigheden zelf de kwetsbaarheden vindt in plaats van dat je overvallen wordt. Ik raad het elke gemeente aan, maar je moet het wel goed voorbereiden. Stap één is commitment bij bestuur en management, daarna het benodigde budget en de benodigde uren. En stel jezelf de vraag of je er klaar voor bent: heb ik informatieveiligheid al goed geborgd in de organisatie, ben ik weerbaar, kan ik opvolging geven aan wat we tegenkomen tijdens de hack? Wij doen van tevoren een scan, gaan langs al die digitale voordeuren om het laaghangend fruit eruit te halen."

Internationaal

Er werden tijdens Hâck The Hague 2019 102 kwetsbaarheden gevonden. Op het eerste gezicht lijkt het wellicht vreemd dat het aantal toeneemt. "Dat komt door de bredere scope ten opzichte van de vorige jaren en de toenemende professionaliteit van de ethische hackers. Vijftien leveranciers die hun digitale infrastructuur openstelden, en we hebben alles wat via internet verloopt aan de hackwedstrijd blootgesteld. Wel goed om te melden: de hackers zijn nog nooit bij persoonsgegevens gekomen." Concrete voorbeelden van recent gevonden kwetsbaarheden noemt Schipper niet; dat is de ongeschreven wet in deze wereld. "Ik kan wel een voorbeeld geven van vorig jaar. Toen bleek een bepaald printsysteem van een internationale leverancier, dat niet alleen in de Nederlandse gemeenten maar ook in het buitenland breed gebruikt wordt, een lek te hebben. Het systeem is meteen uit de lucht gehaald, we hebben het gemeld aan de Informatiebeveiligingsdienst, die vervolgens weer bij het Nationaal Cyber Security Centrum. Via het CERT van het land waar de softwareleverancier zit, is het lek wereldwijd gedicht. Daar zie je goed aan wat voor impact dit kan hebben."

Begin klein

Des te meer reden voor ons om de Hâckwedstrijd voort te zetten, meent Schipper. "Ook richting burgers en ondernemers van je gemeente is het goed om transparant te zijn over cyberveiligheid. Laat maar zien dat je dat serieus neemt en permanent op de agenda hebt staan. Wij hebben naast de jaarlijkse Hâck een portaal waar iedereen 24/7 onder de voorwaarden van responsible disclosure meldingen kan doen. Als je zoiets organiseert moet je het natuurlijk wel zo regelen dat je daadwerkelijk respons kunt geven: wij reageren binnen 24 uur en ondernemen meteen actie of we laten het door de leveranciers van het betreffende systeem aanpakken. Die inrichting is echt belangrijk, ook als je een hackwedstrijd gaat organiseren. Ik raad het elke gemeente aan, maar weet waar je aan begint. Het evenement is een; daarna moet je ook de capaciteit hebben om daadwerkelijk wat te doen met de resultaten en dat vervolgens op orde houden. Begin sowieso klein, bijvoorbeeld met tien hackers. Zorg voor een goed draaiboek en nogmaals, voor commitment op het hoogste bestuurlijke niveau. Het kost enorm veel tijd, maar het levert veel winst op in je digitale veiligheid. En dat is iets wat we aan onze organisatie, de inwoners en de ondernemers verplicht zijn."

Menu

#7
December 2019

• Vorige pagina
• 11 artikelen
• Volgende pagina

1. Column: Louter zonnetjes
2. Eenvoudig én veilig regelingen checken
3. Hâck The Hague: "Je moet jezelf geregeld durven testen"
4. Amsterdam kijkt (weer) naar open source software
5. SCG: portret van een gemeentelijke vraagbaak
6. Ervaringen delen op netwerkbijeenkomsten samen organiseren
7. Tien vragen over Open Raadsinformatie
8. Met Vensters kom je bij de niet-gestelde vragen
9. PGB2.0: gefaseerd en kwaliteit boven snelheid
10. Meetup XL Datalabs: "Die datatrein rijdt gewoon door"
11. Nieuws voor en door gemeenten
12. Colofon