BINNENLANDS BESTUUR - WEEK 37 | 2021 36 ACHTERGROND DIGITAAL OP BEZOEK Hackers bij een eerdere editie van Hâck the Hague in het stadhuis melden. Normaal zul je altijd zien dat een hacker binnenkomt op zaterdagavond als er niemand bereikbaar is, terwijl ze daar dankzij Hâck The Hague op een maandagmiddag onder gecontroleerde omstandigheden achter komen. Zo kunnen ze op hun gemak werken aan oplossingen.’ ‘Er zijn nog steeds leveranciers die niet meedoen omdat ze het idee van hackers die aan de beveiliging rommelen eng vinden. Dat zijn typisch voorbeelden van organisaties die niet volwassen genoeg zijn. Pak die zorgplicht! Ga mee met je tijd! Als je nu nog dingen stil wilt houden dan leef je echt tien, vijftien jaar terug in de tijd. Niemand heeft me ooit aangesproken op het feit dat we in drie jaar van vier naar tweehonderd kwetsbaarheden zijn gegaan.’ Hoe gaan de hackers te werk tijdens het evenement? ‘Het begint met een verkenning. Na die verkenning gaan ze aan de deuren rammelen. De scope van het evenement is alles wat internet-facing is, dus alles wat door een hacker kan worden geraakt, inclusief systemen van leveranciers die meedoen. Zijn er bepaalde kwetsbaarheden die nog niet gepatcht zijn? Met welke kan ik een prijs winnen? Uiteindelijk kiezen ze en dan gaan ze er vol voor. Het is dus niet zo dat een hacker zegt: laat ik me nu eens richten op iets wat impactvol is voor de gemeente. Als een foutmeldingspagina bijvoorbeeld het versienummer van de server geeft, dan is dat al een kwetsbaarheid. Het heeft totaal geen impact, maar het is niet goed geconfigureerd en het wordt voor de vorm gemeld. Je zal er alleen geen prijzen mee winnen.’ Hoe is jullie voorbereiding? ‘We begonnen al in november met twee overleggen per maand en inmiddels zitten we op een overleg per week. In de week ervoor overleggen we iedere dag. We zorgen onder andere dat er ruimtes beschikbaar zijn, dat de communicatie goed loopt, dat de techniek niet omvalt en dat er een netwerk klaarligt. Dat doen we met tien tot vijftien mensen. Op de dag zelf zijn we met tientallen mensen bezig. De gemeente heeft aan de Leyweg een control room. Daar wordt 24/7 gemonitord, maar nu komt daarvan op het stadhuis aan het Spui een afsplitsing puur voor het evenement. Daar houden ze bijvoorbeeld in de gaten of er een brute force-aanval wordt gebruikt, wat volgens de rules of engagement niet mag. Zo’n aanval is een soort stormram en daardoor kan via ons de server van de leverancier overbelast raken. Daar hebben ook andere organisaties last van.’ Jullie loven tijdens Hâck The Hague prijzen uit voor de meest verrassende, de meest geavanceerde en de meest impactvolle hack. Hoe bepaalt de jury dat? ‘De meest impactvolle hack gaat vooral om hoeveel potentiële schade de kwetsbaarheid zou opleveren, hoeveel data er zou kunnen worden gelekt. Je kunt je voorstellen – en dat is nog nooit voorgekomen – dat het ergste voor een gemeente is dat een hacker bij de Gemeentelijke Basisadministratie komt. Het kan ook gaan om financiele schade, om imagoschade, maar ook gewoon dat een systeem een tijd lang niet gebruikt kan worden.’ Zoals bij Hof van Twente? ‘Ja. Volgens de gemeente zijn er geen data vrijgekomen, maar ze hebben wel de systemen stil moeten zetten en dat heeft gevolgen voor de dienstverlening. Daar zit met name de impact.’ En wat maakt een hack de meest verrassende? ‘Dat is iets voor specialisten binnen de jury. Ik ben zelf geen hacker dus voor mij is die lastig te beoordelen, maar zo’n hack kan bijvoorbeeld zijn dat iemand via een enorme omweg tóch binnenkomt. Iets waarvan hackers zeggen: dat had ik nooit bedacht. Het gaat net als bij de meest geavanceerde hack om de tools of the trade. Heb je bijvoorbeeld een programmaatje
37 Online Touch Home