Op 2 oktober stroomt het Haagse stadhuis voor de 5de keer vol met ethische hackers. Ze hebben maar één doel: de computersystemen van de gemeente Den Haag binnendringen. Met de wedstrijd Hâck The Hague wil de gemeente digitale kwetsbaarheden opsporen voordat cybercriminelen dat doen. Jeroen Schipper, Chief Information Security Officer (CISO) bij de gemeente Den Haag, vertelt er meer over.
Schipper: “Het evenement is opgezet als een wedstrijd waarbij een geldprijs van 14.000 euro wordt verdeeld in vier categorieën. Van hack met de meeste impact tot meest verrassende hack. Ethische hackers van over de hele wereld gaan kwetsbaarheden in onze computersystemen opsporen. Ze mogen hierbij alles uit de kast halen. Wel zijn de hackers verplicht om gevonden kwetsbaarheden te melden, geen data te downloaden of systemen te veel te belasten. ICT-specialisten van de gemeente en leveranciers staan paraat om hun vondsten te beoordelen of zelfs direct te verhelpen. Ik zie het als een hackersfeestje, waarvan je zeker weet dat er interessante zaken worden gevonden.”
Jubileum
Het is de 5de keer dat de gemeente Hâck The Hague organiseert. Zijn er veranderingen ten opzichte van vorige edities? Schipper: “We gaan terug naar de basis, een fysieke bijeenkomst middenin het stadhuis van Den Haag. Iedereen kan live meekijken. Daarnaast maken we het voor de hackers interessanter omdat we de reikwijdte, de scope uitbreiden. Ook willen we er voor het eerst Haagse organisaties bij betrekken. Inmiddels weet ik dat het echte werk na het evenement begint. Dan zit je met ruim honderd kwetsbaarheden die aan het licht zijn gekomen, die moeten we dan, samen met de leveranciers, oplossen.”
Zo hack je een stad
Het is niet voor iedereen mogelijk om zo’n professionele wedstrijd als Hâck The Hague te organiseren. Wat is er haalbaar qua testen en oefenen voor kleinere organisaties met een beperkt budget? Schipper: “Er is altijd meer mogelijk dan je denkt. Je kunt ook de kennis en expertise van hackers op een kleinere schaal inzetten. Wij hebben onze ervaringen gedeeld in de e-Guide ‘Zo hack je een stad’. En vergeet een Coordinated Vulnerability Disclosure programma niet. Dan geef je op jouw website aan dat hackers kwetsbaarheden kunnen melden. Je zegt dan: ‘Wij gaan serieus met die melding om en slepen je niet voor de rechter.’ Terwijl hackers beloven dat ze niks kapotmaken of data weghalen.”
Overheidsbrede cyberoefening
Ook de Overheidsbrede Cyberoefening viert dit jaar haar 5-jarige jubileum. Op maandag 30 oktober is de nieuwe oefening, kennen jullie dit cyberevenement? Schipper: “Natuurlijk, vlak voor de editie van 2022 had onze gemeente de eerste versie van het cybercrisisplan klaar. Die hebben we toen gelijk kunnen testen. We hebben simultaan meegedaan met de oefening. En elke keer de vraag gesteld: hoe gaan we om met de situatie die nu wordt gespeeld? Is ons crisisplan daar ook geschikt voor? Op basis van de Overheidsbrede Cyberoefening is ons plan aangepast. Dus voor ons is deelnemen heel waardevol.
Mocht je nieuwsgierig zijn naar het cybercrisisplan, het is op de website van de gemeente Den Haag te downloaden. Het kan andere organisaties helpen om zich voor te bereiden op digitale noodsituaties. Van oudsher wordt security benaderd als: je moet alles geheim houden en vooral niet delen. Ik denk dat geleerde lessen transparant delen de enige manier is waarop we kunnen winnen van cybercriminelen. Zoveel mogelijk informatie uitwisselen. Jouw kennis helpt misschien een ander.”
Hâck The Hague door de jaren heen
2017
Tijdens de eerste editie werden 4 meldingen gedaan door 37 deelnemers. Zo vonden ze een XSS, oftewel Cross Site Scripting. Hiermee zou je een sessie van een andere bezoeker van de website kunnen overnemen. Dat kan ernstig zijn, ware het niet dat de betreffende site geen gevoelige gegevens verwerkte.
2018
45 hackers deden mee en vonden 90 kwetsbaarheden, waaronder een belangrijke. Er kon worden ingelogd op een printer en zo werden bestandsnamen van documenten zichtbaar. Wereldwijd werden de printers gebruikt. Binnen 3 dagen was het probleem opgelost met een werkende patch voor die systemen.
2019
79 hackers vonden 107 kwetsbaarheden in de systemen van Den Haag. Geen grote problemen kwamen naar boven. Een leverancier heeft zelfs de gevonden bug ter plekke gefikst.
2020
Het evenement werd gecanceld i.v.m. COVID-19. Wel is een internationaal webinar georganiseerd. Een hacker uit een eerdere editie liet zien hoe er destijds problemen aan het licht kwamen en bepaalde kwetsbaarheden vond.
2021
206 hackers uit 23 verschillende landen vonden 125 kwetsbaarheden. Er werden een aantal belangrijke vondsten aan het Nationaal Cyber Security Centrum (NCSC) gemeld. Deze hadden impact op meerdere Nederlandse organisaties.
2022
De wedstrijd werd niet georganiseerd vanwege de situatie in Oekraïne. Hieromheen was veel aandacht voor cyberoorlogen en cyberlegers. De organisatie vond het niet de juiste timing voor een cyberevenement.