Den Haag laat IT in de buitenruimte hacken

Precies om half zes schalt de instrumentale versie van ‘The Final Countdown’ door het gemeentehuis van Den Haag. Schroevendraaiers worden neergelegd, beeldschermen dichtgeklapt. De veertig deelnemers aan Hâck the Hague verlaten de hal. Een slimme camera blijft ontmanteld achter op een tafel. De prijsuitreiking van de hackwedstrijd vindt plaats achter gesloten deuren.

Ondergeschoven kindje

Eén keer per jaar nodigt de gemeente Den Haag eerlijke hackers uit om de systemen te testen op kwetsbaarheden. Deze zesde editie van Hâck the Hague draait voor het eerst helemaal om operational technology (OT): de software en hardware achter sluizen, verkeerslichten, laadpalen, bruggen et cetera. Als de besturing van deze technologie in verkeerde handen valt, kunnen er doden vallen. Toch was OT lang een ondergeschoven kindje in de cyberbeveiliging. Leveranciers van bijvoorbeeld verkeerslichten gingen er in de vorige eeuw nog niet van uit dat hun product ooit doelwit van staatshackers zou kunnen zijn. Ook binnen de cyberbeveiliging geldt het als een apart specialisme. Dat maakt het een extra grote uitdaging voor gemeenten om zich te wapenen tegen cyberdreigingen.

‘De laatste jaren is er steeds meer aandacht voor IT in de buitenruimte,’ zegt Lilian Knippenberg, projectmanager van Hâck the Hague en plaatsvervangend CISO bij gemeente Den Haag. ‘Wij zijn er zelf ook steeds meer van bewust, ook door de komst van de Cyberbeveiligingswet, die nieuwe eisen stelt aan gemeenten op dit vlak. En als wij er meer over leren, dan criminelen ook.’

Realistische testopstellingen

Om een stel hackers, hoe eerlijk ook, los te laten op onder meer een beweegbare brug, vonden ze toch wat te risicovol in Den Haag. Daarom wordt er deze editie voor het eerst gewerkt met realistische testopstellingen in plaats van met live systemen. Dat mag de pret niet drukken, vindt hacker Wietse Boonstra. In 2019 deed hij voor het eerst mee aan Hâck the Hague en won prompt de eerste prijs. Sindsdien is de Achterhoeker elk jaar van de partij. Vandaag leeft hij zich uit op een systeem dat wordt gebruikt in gemalen om het waterpeil te monitoren. ‘Ken je die kastjes in de stad met die rode lampjes erop? Als het heel hard heeft geregend, brandt er zo’n rood lampje. Ik check de hardware die daarin zit.’ Het is zijn tweede natuur: als hij een huis koopt waarop zonnepanelen liggen, dan is zijn eerste gedachte: ‘eens kijken of ik die kan hacken’. Idem voor zijn auto en zijn grasmaaierrobot. Is de verleiding dan niet groot om even met het waterpeil te spelen? ‘Nee, dat heb ik nooit. Natuurlijk schiet het even door je hoofd, maar het heeft consequenties. Ik heb dingen gevonden in systemen waar ik zo veel mee plat kon leggen…’

Met de billen bloot

Knippenberg en Boonstra zijn vol lof voor de vijftien partners die hun systemen aan de test laten onderwerpen. De partners zijn leveranciers van de gemeente of bedrijven die hun hoofdkantoor in Den Haag hebben. Knippenberg: ‘Iedereen gaat toch met de billen bloot.’ Tegelijkertijd zou een verstandig bedrijf blij moeten zijn dat de gemeente ze deze mogelijkheid biedt, vindt Boonstra. ‘Er is altijd wel iets te vinden, als je er maar genoeg tijd voor uittrekt. Als je niet test, weet je per definitie dat er iets fout in zit, maar dan weet je niet wat.’

Hoog risico

Over de winnaars brengt Den Haag alleen naar buiten dat het gaat om hackers die iets hebben kunnen aanpassen in een webportaal en dat het een bevinding is met een hoog risico. ‘Eerst willen we de leveranciers de ruimte geven om het op te lossen,’ zegt Knippenberg. In overleg met de leverancier en de security-onderzoekers die de kwetsbaarheid hebben gevonden, maken ze daarna eventueel bekend wat er is gevonden. Boonstra en zijn team moeten zich tevreden stellen met de tweede prijs, eveneens voor een melding met een hoog risico.

Het organiseren van een cool evenement met hackers is populair onder gemeenten. Hack010 is binnenkort aan de vierde editie toe. Groningen organiseert dit jaar voor het eerst Hack050 en ook Nijmegen heeft een eigen hackwedstrijd. Den Haag bracht in 2020 een eGuide uit, die binnenkort een update krijgt. ‘Dat het echte werk pas na het evenement plaatsvindt, wordt door andere organisaties in eerste instantie nog wel eens vergeten.’

Naar een kast toe

In Den Haag zijn leveranciers contractueel verplicht om te bewijzen dat hun systemen adequaat beveiligd zijn en dat meldingen zo snel mogelijk worden opgepakt. Al levert dat in het geval van OT een extra uitdaging op: ‘Normaal gesproken kunnen we het zelf testen of een leverancier een probleem heeft opgelost en dat doen we ook regelmatig,’ zegt Knippenberg. ‘Ik kan me voorstellen dat we na afloop van het evenement met leveranciers daadwerkelijk naar een kast of een specifieke plek toe gaan om ze te vragen om te laten zien dat het verholpen is.’