Den Haag massaal gehackt

Jeroen Schipper: ‘Klopt. Een raadslid vroeg daarom aan toenmalig PvdA-wethouder Baldewsingh: joh, moeten wij onszelf niet eens laten hacken? Dat is toen opgepakt. Na een uitgebreide discussie. De eerste keer, in 2017, waren er 37 hackers die in totaal vier kwetsbaarheden vonden. In 2018 hadden we al 47 hackers en werden er 64 kwetsbaarheden gevonden en de laatste versie was in 2019. Toen hadden we 79 hackers en 102 kwetsbaarheden. Die kwetsbaarheden zitten natuurlijk ook bij de leveranciers van de gemeente.’ 

‘Dat was een grote leverancier van printers uit Japan. De kwetsbaarheid was twee dagen voor het evenement gevonden, maar nog niet opgelost. De hacker die de kwetsbaarheid ontdekte, heeft dit aangemeld tijdens Hâck The Hague. Heel veel gemeenten en andere organisaties gebruikten dat systeem. Via de Informatiebeveiligingsdienst, het NCSC en het CERT-Japan kwam het nieuws bij de leverancier. In drie werkdagen was de patch beschikbaar.’

‘Een groot deel van kwetsbaarheden komt bij leveranciers vandaan. De meeste zijn heel erg blij als we een kwetsbaarheid melden. Normaal zul je altijd zien dat een hacker binnenkomt op zaterdagavond als er niemand bereikbaar is, terwijl ze daar dankzij Hâck The Hague op een maandagmiddag onder gecontroleerde omstandigheden achter komen. Zo kunnen ze op hun gemak werken aan oplossingen.’ 

‘Er zijn nog steeds leveranciers die niet meedoen omdat ze het idee van hackers die aan de beveiliging rommelen eng vinden. Dat zijn typisch voorbeelden van organisaties die niet volwassen genoeg zijn. Pak die zorgplicht! Ga mee met je tijd! Als je nu nog dingen stil wilt houden dan leef je echt tien, vijftien jaar terug in de tijd. Niemand heeft me ooit aangesproken op het feit dat we in drie jaar van vier naar tweehonderd kwetsbaarheden zijn gegaan.’ 

‘Het begint met een verkenning. Na die verkenning gaan ze aan de deuren rammelen. De scope van het evenement is alles wat internet-facing is, dus alles wat door een hacker kan worden geraakt, inclusief systemen van leveranciers die meedoen. Zijn er bepaalde kwetsbaarheden die nog niet gepatcht zijn? Met welke kan ik een prijs winnen? Uiteindelijk kiezen ze en dan gaan ze er vol voor. Het is dus niet zo dat een hacker zegt: laat ik me nu eens richten op iets wat impactvol is voor de gemeente. Als een foutmeldingspagina bijvoorbeeld het versienummer van de server geeft, dan is dat al een kwetsbaarheid. Het heeft totaal geen impact, maar het is niet goed geconfigureerd en het wordt voor de vorm gemeld. Je zal er alleen geen prijzen mee winnen.’ 

‘We begonnen al in november met twee overleggen per maand en inmiddels zitten we op een overleg per week. In de week ervoor overleggen we iedere dag. We zorgen onder andere dat er ruimtes beschikbaar zijn, dat de communicatie goed loopt, dat de techniek niet omvalt en dat er een netwerk klaarligt. Dat doen we met tien tot vijftien mensen. Op de dag zelf zijn we met tientallen mensen bezig. De gemeente heeft aan de Leyweg een control room. Daar wordt 24/7 gemonitord, maar nu komt daarvan op het stadhuis aan het Spui een afsplitsing puur voor het evenement. Daar houden ze bijvoorbeeld in de gaten of er een brute force-aanval wordt gebruikt, wat volgens de rules of engagement niet mag. Zo’n aanval is een soort stormram en daardoor kan via ons de server van de leverancier overbelast raken. Daar hebben ook andere organisaties last van.’ 

‘De meest impactvolle hack gaat vooral om hoeveel potentiële schade de kwetsbaarheid zou opleveren, hoeveel data er zou kunnen worden gelekt. Je kunt je voorstellen – en dat is nog nooit voorgekomen – dat het ergste voor een gemeente is dat een hacker bij de Gemeentelijke Basisadministratie komt. Het kan ook gaan om financiele schade, om imagoschade, maar ook gewoon dat een systeem een tijd lang niet gebruikt kan worden.’ 

‘Ja. Volgens de gemeente zijn er geen data vrijgekomen, maar ze hebben wel de systemen stil moeten zetten en dat heeft gevolgen voor de dienstverlening. Daar zit met name de impact.’ 

‘Dat is iets voor specialisten binnen de jury. Ik ben zelf geen hacker dus voor mij is die lastig te beoordelen, maar zo’n hack kan bijvoorbeeld zijn dat iemand via een enorme omweg tóch binnenkomt. Iets waarvan hackers zeggen: dat had ik nooit bedacht. Het gaat net als bij de meest geavanceerde hack om de tools of the trade. Heb je bijvoorbeeld een programmaatje gedownload van het internet of heb je zelf iets geschreven voor die situatie?’

‘Het is meestal niet bier, maar Club-Mate, een cafeïnedrankje dat je een paar keer geproefd moet hebben om te kunnen waarderen. Het is typisch iets dat hackers drinken, dus daar zorg je voor. We hebben ingezet op het binden van de hackergemeenschap aan het evenement, bijvoorbeeld met podcasts. We zijn al over de tweehonderd aanmeldingen uit ruim twintig verschillende landen. De sfeer blijft belangrijk, dus we hebben een dagvullend programma met een opening door verantwoordelijk wethouder Saskia Bruines, we vertellen de rules of engagement, we laten interviews zien met hackers en bestuurders, we tonen interessante data op het scherm, noem maar op.’ 

‘De vorige keer waren er meer dan honderd kwetsbaarheden gevonden. Heel veel wordt in de eerste weken opgelost, maar er blijft altijd een handvol over. Zo’n 10 tot 20 procent ervan is lastiger op te lossen. Als de kwetsbaarheid in een systeem zit dat wordt uitgefaseerd, ga je dan veel energie erin steken? Misschien is het risico acceptabel. Maar we laten het nooit zitten.’ 

‘Het heeft heel erg te maken met hoe volwassen een organisatie is. Soms is de eerste vraag hoeveel capaciteit het ons nou kost, terwijl ze het nog niet eens hebben afgestemd met een verantwoordelijk directeur of wethouder. Die moet er altijd achter staan. Het begint met de technische basis van je ict-organisatie. Is het patch-management op orde? Zijn de systemen up-todate? Als dat niet zo is dan heb je wat te doen. Naarmate je verdergaat kun je ook sneller reageren op patches, of informatie die uit hackercommunities komt.’ ‘Wat we daarbovenop hebben voor hackers is het coordinated vulnerability disclosureprogramma op onze website: “Beste hacker, je mag onze systemen hacken, maar je maakt niets kapot.” 

We noemen een hele rits afspraken en daar staat tegenover dat wij serieus omgaan met de melding en dat we ervoor betalen. Binnen gemeenteland is dat vrij uniek. In de hackergemeenschap zit de expertise om kwetsbaarheden te vinden en die moet je serieus nemen. Dat doe je met zo’n disclosure-programma. Ik zal niet zeggen dat je de criminelen altijd een stap voor bent zodra je dat doet, maar dan ben je in ieder geval aardig bij. Want het is een wapenwedloop.’