Hackers die komen helpen

Digitale inbrekers leggen kwetsbaarheden gemeenten bloot

‘Het bekende plaatje van een man met bivakmuts achter een toetsenbord begint ons een beetje de keel uit te hangen.’ Aan het woord is Fabian Leijten (31), directeur en eigenaar van het bedrijf CybersecurIT. Hij wordt vergezeld door de ethische hackers Paul Stevens en Stephan van Amelsfoort. Nee, hackers zijn volgens het drietal niet per definitie ‘bad guys’, ze kunnen juist een heldenrol vervullen. Sterker nog, dat gebeurt al regelmatig. Diverse gemeenten zetten hackers in om hun digitale beveiliging op orde te krijgen.

De vraag naar ethische hackers groeit flink, merkt Leijten. ‘We zien dit al langer bij bedrijven, maar de laatste tijd ook bij de overheid.’ De veiligheid van digitale infrastructuur komt volgens Leijten steeds meer onder de loep te liggen. ‘Vaak wordt er door ambtenaren nog volledig uitgegaan van de kennis en kunde van hun eigen ict-afdeling. Wij merken dat wanneer een externe partij de veiligheid gaat testen, er veel onvermoede zaken aan het licht komen.’

Een van de klanten van CybersecurIT is de Heerlense rekenkamer. Nadat – mede na onderzoek van Binnenlands Bestuur – duidelijk werd dat Heerlen niet voldeed aan de standaarden voor e-mailbeveiliging, schakelde de gemeentelijke rekenkamer ethische hackers in om te kijken hoe het met de digitale beveiliging van de gemeente was gesteld. De resultaten vielen niet mee. Ethische hackers kwamen makkelijk bij de gemeente binnen en konden namens ambtenaren online bestellingen tot 100.000 euro plaatsen.

Behoorlijk schokkend
Ethisch hacken begint bij CybersecurIT met een steekproef waarbij alle onderdelen met ‘eenvoudige processen’ worden getest. ‘Een gemeente heeft een centrale rol en kent als ketenorganisatie diverse potentiële ingangen voor hackers. Als ethisch hacker neem je die ingangen allemaal onder de loep, van schoonmaker tot de bestuurlijke top. Iedereen die maar toegang heeft tot de organisatie’, zo vertelt Leijten over de aanpak. ‘We bekijken bijvoorbeeld of we in staat zijn om een e-mail te sturen vanuit het gemeentelijke domein.

Als het antwoord ‘ja’ is, dan is de gemeentelijke al heel kwetsbaar. Iemand kan zich dan als ambtenaar voordoen. Ook testen we hoe moeilijk het is om aan wachtwoorden te komen.’

Het lukt Leijten en zijn collega’s vrijwel altijd om kwetsbaarheden in gemeentelijke websites te vinden. ‘De resultaten worden vaak als behoorlijk schokkend ervaren. Heerlen was daarop geen uitzondering. We konden inloggen bij de gemeentelijke website en gelieerde websites en uitingen plaatsen namens de gemeente. Kwaadwillenden hadden dus veel schade kunnen veroorzaken als ze een poging hadden gedaan.’ Wanneer een gemeente behoefte heeft aan een diepere analyse van de bestaande kwetsbaarheden, kan dat. Maar vaak is de steekproef al effectief genoeg. Klanten kunnen behalve een penetratietest onder meer phishing mails verwachten, maar ook usb-sticks met gecontroleerde virussen die op afdelingen worden verspreid, zo vertelt Leijten. ‘Uiteindelijk geldt: hoe meer tijd je neemt om te hacken, hoe groter de kans wordt dat het lukt. Een echte hacker gaat natuurlijk niet een jaar lang proberen een onbenullig systeem binnen te komen. Absolute digitale veiligheid kan nooit worden gegarandeerd, maar we kunnen wel zo veel hindernissen maken dat het simpelweg niet meer loont.’

Gemeenten denken vaak ten onrechte dat ze hun digitale beveiliging goed op orde hebben, valt de ethische hackers op. Vaak zitten er toch diverse kleine foutjes in de beveiliging. Bijvoorbeeld systemen die niet de laatste updates hebben of e-mailverkeer dat niet helemaal veilig verloopt. ‘Veel openingen vallen niet zo op, omdat ze onbenullig en klein lijken. Maar ze kunnen er wel toe leiden dat een hacker overal binnen kan komen’, leggen Stevens en Van Amelsfoort uit.

Open organisatie
In vergelijking met bedrijven staan gemeenten er slechter voor, denkt zowel Stevens als Van Amelsfoort. ‘Een gemeente is van nature een open organisatie. Je kunt er binnenlopen en afspraken maken. Ze zijn dus goed benaderbaar en hebben veel koppelingen met andere websites die mogelijkheden vormen voor een inbraak, terwijl een bedrijf belangrijke gegevens kan afsluiten van de buitenwereld.’ Soms is het nodig om processen om te gooien. ‘Iets wat ambtenaren al jaren op een bepaalde manier doen, moet ineens anders. En dat willen gemeenten vaak niet’, zegt Stevens. ‘Neem Windows XP. Mensen zijn daar erg aan gehecht en willen het blijven gebruiken. De updates verlopen op een gegeven moment waardoor het onveilig wordt’, vult Van Amelsfoort aan.

Stevens: ‘Als je ziet hoe gemeenten over hun klanten in het sociaal domein communiceren – dat is toch wel verbazingwekkend. Een BSN-nummer van een klant moet bijvoorbeeld in het onderwerp van de mail staan, zodat ze weten om wie het gaat. Deze informatie wordt vervolgens onversleuteld het internet opgegooid. Zoiets is voor een hacker een open deur. Gemeenten moeten hun werkwijze echt fundamenteel veranderen.’

Aan welke criteria moet een ethische hacker voldoen? Volgens Leijten zijn de eisen ‘behoorlijk hoog’. ‘Van de 150 aanmeldingen zijn er bij ons uiteindelijk slechts negen toegelaten. Iemand die als ethisch hacker aan de slag wil, moet niet alleen interesse in hacken hebben, maar ook maatschappelijk betrokken zijn en een beter resultaat voor anderen willen realiseren.’ ‘Eerlijk gezegd denk ik dat iedere hacker vroeger wel iets stouts heeft gedaan met zijn vaardigheden’, vult Stevens aan. ‘Maar dat is ook voor een deel nieuwsgierigheid.’ Leijten: ‘Als er een lek is gevonden, moet de hacker een belangrijke ethische overweging maken. Zijn alle kwetsbaarheden nu aangetoond of kan verder gaan nog iets opleveren? Het voornaamste is dat er geen schade wordt veroorzaakt bij een organisatie. Als je die afweging goed maakt, ben je in mijn ogen een goede ethische hacker.’

Schade
Toch vrezen gemeenten bij de inzet van ethische hackers nogal eens schade. Onnodig, vindt Leijten. ‘Gemeenten zijn soms bang dat we documenten vinden en gegevens zien die niet voor ons bedoeld zijn. Dat is echter uitdrukkelijk niet onze bedoeling. Een systeem binnenkomen is voor ons voldoende. Maar je wilt wel een reële situatie nabootsen.’

Leijten krijgt nogal eens de vraag of zijn hackers zich bij een simulatie willen beperken tot één blok IP-reeksen. ‘Dan zeg ik: nee. Want in zo’n geval vinden wij de resultaten niet betrouwbaar genoeg. Een echte aanvaller houdt daar ook geen rekening mee. Een klant moet – als hij met ons wil samenwerken – met de billen bloot. Uiteraard maken we van tevoren wel afspraken over wat wel en niet kan. Maar als iedereen weet wanneer de gesimuleerde aanval plaatsvindt, worden er vaak van tevoren nog even wat onveilige servers uitgetrokken. Ambtenaren moeten er niet vanaf weten.’

E-mailbeveiliging grootste handicap
Diverse digitale kwetsbaarheden komen bij veel gemeenten terug. Op dit moment met name de slecht aangehouden standaarden voor e-mailbeveiliging eruit, aldus Fabian Leijten van CybersecurIT. ‘Het is inmiddels al geruime tijd bekend, maar grondige verbeteringen blijven nog steeds uit.’ Phishing mail wordt ondertussen steeds gevaarlijker. Leijten: ‘De e-mailstandaarden hadden eigenlijk al lang op orde moeten zijn. Gemeenten lopen echt achter de feiten aan.’

‘Er is een zekere durf nodig’
Er waren kritische reacties, maar het gevoel bij de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) nadat een brandweerauto door ethische hackers werd gehackt is uiteindelijk positief. ‘We hebben er veel van geleerd. De hack heeft bijgedragen aan een verhoogd bewustzijn, in combinatie met technische maatregelen’, zegt teamleider Informatie Mike Mulder.

Veel organisaties waaronder gemeenten zijn behoorlijk huiverig als het gaat om hackers, ethisch of niet. Maar de VNOG blikt tevreden terug. ‘Als organisatie wil je met de tijd meegaan. Er zijn veel ontwikkelingen op het gebied van nieuwe technologie gaande. Connectiviteit neemt in alle opzichten toe, ook in voertuigen van de brandweer’, aldus Mulder. ‘Als organisatie moet je anticiperen op deze ontwikkelingen. Daar horen technische maatregelen bij, maar ook een scherp bewustzijn van de risico’s die de ontwikkelingen met zich meebrengen.’

De Veiligheidsregio Noord- en Oost-Gelderland werkt met systemen in brandweerauto’s die de bemanning van actuele informatie voorzien bij een crisis. Aan de hand van deze informatie kunnen problemen effectiever worden opgelost. Ethische hackers slaagden er in augustus bij de VNOG in om toegang te verkrijgen tot het netwerk.

‘Het gaf ons een inkijkje in de wijze waarop hackers naar beveiliging kijken. Wat daarbij opvalt is dat informatiebeveiliging door de organisatie vaak in meerdere ‘onderdelen’ wordt uitgevoerd.’ Hackers gaan de organisatorische grenzen voorbij in de zoektocht naar een lek. ‘Ze zien het totaalplaatje van de beveiliging’, verduidelijkt Mulder.

Meer bewustzijn
Na de geslaagde hackpoging bij de brandweerauto werd de beveiliging aangescherpt, maar de grootste winst is misschien wel het verbeterde bewustzijn. Mulder: ‘Bewustzijn van risico’s is erg belangrijk. De router in de auto mag niet zichtbaar zijn. We letten er nu op dat merken en serienummers van auto’s afgeplakt zijn. Ook moeten wij onze bemanning beter informeren over het belang van informatiebeveiliging. Zij moeten goed letten op diefstal of verlies van technische apparatuur.’ Mulder begrijpt de angst bij organisaties om met ethische hackers te werken goed. Er zijn van tevoren afspraken gemaakt om volgens het principe van ‘responsible disclosure’ te werken, met afspraken hoe ze te werk gaan bij een aangetroffen lek en met gevoelige informatie.

Mulder herkent echter de spagaat van twijfelende organisaties tussen risico’s en resultaat. ‘Er is een zekere durf nodig. De samenwerking die wij hebben gehad is zeer positief verlopen en heeft bijgedragen aan belangrijke verbeteringen. Er waren zowel negatieve reacties als positieve. Er werd aangestipt dat we de zaken niet goed op orde hadden, maar er waren ook burgers en ict-professionals die het juist een goede zet vinden. Uiteindelijk overheerst er een goed gevoel.’