Op 2 oktober stroomt het Haagse stadhuis voor de 5de keer vol met ethische hackers. Ze hebben maar één doel: de computersystemen van de gemeente Den Haag binnendringen. Met de wedstrijd Hâck The Hague wil de gemeente digitale kwetsbaarheden opsporen voordat cybercriminelen dat doen. Jeroen Schipper, Chief Information Security Officer (CISO) bij de gemeente Den Haag, vertelt er meer over.
Schipper: “Het evenement is opgezet als een wedstrijd waarbij een geldprijs van 14.000 euro wordt verdeeld in vier categorieën. Van hack met de meeste impact tot meest verrassende hack. Ethische hackers van over de hele wereld gaan kwetsbaarheden in onze computersystemen opsporen. Ze mogen hierbij alles uit de kast halen. Wel zijn de hackers verplicht om gevonden kwetsbaarheden te melden, geen data te downloaden of systemen te veel te belasten. ICT-specialisten van de gemeente en leveranciers staan paraat om hun vondsten te beoordelen of zelfs direct te verhelpen. Ik zie het als een hackersfeestje, waarvan je zeker weet dat er interessante zaken worden gevonden.”
Jubileum
Het is de 5de keer dat de gemeente Hâck The Hague organiseert. Zijn er veranderingen ten opzichte van vorige edities? Schipper: “We gaan terug naar de basis, een fysieke bijeenkomst middenin het stadhuis van Den Haag. Iedereen kan live meekijken. Daarnaast maken we het voor de hackers interessanter omdat we de reikwijdte, de scope uitbreiden. Ook willen we er voor het eerst Haagse organisaties bij betrekken. Inmiddels weet ik dat het echte werk na het evenement begint. Dan zit je met ruim honderd kwetsbaarheden die aan het licht zijn gekomen, die moeten we dan, samen met de leveranciers, oplossen.”
Zo hack je een stad
Het is niet voor iedereen mogelijk om zo’n professionele wedstrijd als Hâck The Hague te organiseren. Wat is er haalbaar qua testen en oefenen voor kleinere organisaties met een beperkt budget? Schipper: “Er is altijd meer mogelijk dan je denkt. Je kunt ook de kennis en expertise van hackers op een kleinere schaal inzetten. Wij hebben onze ervaringen gedeeld in de e-Guide ‘Zo hack je een stad’. En vergeet een Coordinated Vulnerability Disclosure programma niet. Dan geef je op jouw website aan dat hackers kwetsbaarheden kunnen melden. Je zegt dan: ‘Wij gaan serieus met die melding om en slepen je niet voor de rechter.’ Terwijl hackers beloven dat ze niks kapotmaken of data weghalen.”
Overheidsbrede cyberoefening
Ook de Overheidsbrede Cyberoefening viert dit jaar haar 5-jarige jubileum. Op maandag 30 oktober is de nieuwe oefening, kennen jullie dit cyberevenement? Schipper: “Natuurlijk, vlak voor de editie van 2022 had onze gemeente de eerste versie van het cybercrisisplan klaar. Die hebben we toen gelijk kunnen testen. We hebben simultaan meegedaan met de oefening. En elke keer de vraag gesteld: hoe gaan we om met de situatie die nu wordt gespeeld? Is ons crisisplan daar ook geschikt voor? Op basis van de Overheidsbrede Cyberoefening is ons plan aangepast. Dus voor ons is deelnemen heel waardevol.
Het kan andere organisaties helpen om zich voor te bereiden op digitale noodsituaties. Van oudsher wordt security benaderd als: je moet alles geheim houden en vooral niet delen. Ik denk dat geleerde lessen transparant delen de enige manier is waarop we kunnen winnen van cybercriminelen. Zoveel mogelijk informatie uitwisselen. Jouw kennis helpt misschien een ander.”
