Hackers in de hal
De vijfde editie van Hâck the Hague speelt zich helemaal af in het gemeentehuis. Hackers in hoodies nemen plaats vlakbij burgerzaken.
Op maandag 2 oktober vindt de vijfde editie plaats van Hâck the Hague. In het stadhuis van gemeente Den Haag zullen 120 professionele hackers en studenten verschillende systemen van de gemeente en haar leveranciers testen op hun digitale veiligheid. Voor de gemeente zijn de gevonden kwetsbaarheden secundair. ‘We willen vooral als voorbeeld dienen.’
'Alweer 100 kwetsbaarheden?'
‘Het gaat niet zo lekker hè? Nou zijn er dit jaar alwéér honderd kwetsbaarheden gevonden.’ Voor Jeroen Schipper, Chief Information Security Officer van de gemeente Den Haag, is Hâck the Hague altijd een aanleiding om misverstanden uit de weg te ruimen. ‘Je moet je eigenlijk afvragen hoe het dan zit met andere organisaties die helemaal níets doen met de hackercommunity,’ zegt hij. ‘Dat bewustzijn mag nog wel wat breder landen in Nederland. Ook bij de overheid.’
Systemen testen
In 2017 stelde toenmalig wethouder Baldewsingh na vragen uit de gemeenteraad voor om hackers uit te nodigen om de systemen te testen. ‘Dat is best bijzonder,’ zegt Schipper. ‘Normaal heb je gerichte testen, zoals pentesten, die je door een bedrijf laat uitvoeren. Wij zeggen: hier heb je alle systemen van de gemeente Den Haag die je via internet kan bereiken. Kijk maar of je binnenkomt.’
Grootschalig evenement
Van een bescheiden hackersfeestje van een halve dag groeide Hâck the Hague uit tot een grootschalig evenement met een uitgebreide randprogrammering. Vorig jaar deden er 206 hackers uit 23 landen mee, waaronder uit India, Iran, Pakistan en Nigeria. Dit jaar kiest Den Haag niet meer voor een hybride evenement. Middenin het atrium van het gemeentehuis, tussen de balies, zitten 120 hackers en studenten achter hun laptops.
BB Waarom deze opzet?
Uit de evaluaties blijkt dat de hackerscommunity vooral het fysieke gedeelte erg waarderen. En voor ons is het heel interessant om deze doelgroep aan ons te binden. Om het hacken heen zijn aardig wat evenementen geprogrammeerd. Al met al wordt het een grote hackersfeest.
BB Levert de opzet een kruisbestuiving op met het publiek?
Je kunt de hackers niet op de schouder tikken als je je paspoort komt ophalen. Wel is er veel te zien: ze hebben dezelfde hoodies aan als onze eigen specialisten en er staan grote schermen met live dashboards van het dataverkeer. Er zijn altijd inwoners die geïnteresseerde vragen stellen. Den Haag gebruikt het evenement als bewustwordingscampagne, ook intern.
BB Ook voor leveranciers?
Zeker. Sinds een jaar of drie staat ook in de aanbestedingsdocumenten dat we verwachten dat leveranciers meedoen met Hâck the Hague. Op het moment dat wij alles op orde hebben en de leveranciers niet, zijn we nog steeds zo lekker als een mandje. Die bewustwording bij leveranciers is dus belangrijk. We willen het zien en fixen, dan zijn we weer veilig.
BB Lukt het om leveranciers te laten meedoen?
Met zachte dwang wel. Met name voor de kleinere partijen is het best wel spannend. Het komt voor dat leveranciers zeggen ‘maar stel je voor dat ze wat vinden’. Ja, dat is het hele idee. Dan toch liever op een maandagmiddag dan op een zaterdagnacht als je niet bereikbaar bent.’
Het komt voor dat leveranciers zeggen ‘maar stel je voor dat ze wat vinden’. Ja, dat is het hele idee.
Alles in de cloud
VerSaaSing, de ontwikkeling waarbij organisaties steeds meer voor software as a service (SaaS) kiezen en hun systemen in de cloud hebben, maakt het lastiger om systemen open te stellen voor hackers. Op dezelfde server waarop de gemeente Den Haag staat, staan ook andere klanten, die misschien plat liggen als bij Hâck the Hague iets gebeurt. Vaak volgt er pas op het laatste moment een stroom aanmeldingen van leveranciers, die eerst toestemming hebben moeten vragen aan andere klanten.
Samen oplossen
Om dezelfde reden mogen de deelnemers aan Hâck the Hague volgens de Rules of Engagement gevonden kwetsbaarheden niet zomaar publiceren. Een regel die niet alle hackers kunnen waarderen, omdat het leveranciers de mogelijkheid geeft om zaken onder de pet te houden. Schipper kan zich niet vinden in die kritiek. 'Wij doen aan coordinated vulnerability disclosure. Het verschil met responsible disclosure is dat we het gesprek met leverancier en hacker willen aangaan: hoe lossen we dit zo snel en goed mogelijk op? Stel dat een hacker ’s avonds aan zijn vrienden laat zien wat hij heeft gevonden: dan zijn alle gemeenten in Nederland kwetsbaar, of andere organisaties. Het evenement vormt misschien het hoogtepunt, maar daarna zijn wij drie maanden fulltime bezig om die dingen snel opgelost te krijgen.'
BB Kom je er wel eens niet uit met een leverancier?
Soms gaat het om een operationeel technologiesysteem (fysieke IT in de stad, zoals in lichtmasten, paaltjes, bruggen, tunnels of sluizen) dat maar één keer in het jaar kan updaten, omdat er iemand fysiek langs moet. Als een hacker dat publiceert, heeft hij op zijn geweten dat iedereen weet dat het systeem op dat moment heel kwetsbaar is. Dat valt ook niet lekker bij andere hackers, hoor.
BB Wanneer is deze editie voor jou geslaagd?
Als we weer aardig wat kwetsbaarheden hebben gevonden die niet al te kritisch zijn. Anders is het best wel vervelend en stressvol. Mensen noemen het evenement ook weleens voor de gein mijn beoordeling. Ik hoop dat ik mag blijven, ha ha.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.