'Als je hacks stil wilt houden dan leef je in het verleden'
Hackers vanuit de hele wereld nemen op 27 september Den Haag weer onder vuur. De gemeente verwelkomt het met Hâck The Hague. Chief information security officer Jeroen Schipper: ‘Als je nu nog dingen stil wilt houden, dan leef je echt tien, vijftien jaar terug in de tijd.’
Hackers vanuit de hele wereld nemen op 27 september Den Haag weer onder vuur. De gemeente verwelkomt het met Hâck The Hague. Chief information security officer Jeroen Schipper: ‘Er zijn nog steeds leveranciers die niet meedoen omdat ze het idee van hackers die aan de beveiliging rommelen eng vinden.'
De aanleiding voor de eerste Hâck The Hague was een kritisch rapport van de Algemene Rekenkamer?
Jeroen Schipper: ‘Klopt. Een raadslid vroeg daarom aan toenmalig PvdA-wethouder Baldewsingh: joh, moeten wij onszelf niet eens laten hacken? Dat is toen opgepakt. Na een uitgebreide discussie. De eerste keer, in 2017, waren er 37 hackers die in totaal vier kwetsbaarheden vonden. In 2018 hadden we al 47 hackers en werden er 64 kwetsbaarheden gevonden en de laatste versie was in 2019. Toen hadden we 79 hackers en 102 kwetsbaarheden. Die kwetsbaarheden zitten natuurlijk ook bij de leveranciers van de gemeente.’
Hadden jullie in 2018 niet een grote kwetsbaarheid gevonden bij een leverancier?
‘Dat was een grote leverancier van printers uit Japan. De kwetsbaarheid was twee dagen voor het evenement gevonden, maar nog niet opgelost. De hacker die de kwetsbaarheid ontdekte, heeft dit aangemeld tijdens Hâck The Hague. Heel veel gemeenten en andere organisaties gebruikten dat systeem. Via de Informatiebeveiligingsdienst, het NCSC en het CERT-Japan kwam het nieuws bij de leverancier. In drie werkdagen was de patch beschikbaar.’
‘Er zijn nog steeds leveranciers die niet meedoen omdat ze het idee van hackers die aan de beveiliging rommelen eng vinden. Dat zijn typisch voorbeelden van organisaties die niet volwassen genoeg zijn. Pak die zorgplicht! Ga mee met je tijd! Als je nu nog dingen stil wilt houden dan leef je echt tien, vijftien jaar terug in de tijd. Niemand heeft me ooit aangesproken op het feit dat we in drie jaar van vier naar tweehonderd kwetsbaarheden zijn gegaan.’
Hoe gaan de hackers te werk tijdens het evenement?
‘Het begint met een verkenning. Na die verkenning gaan ze aan de deuren rammelen. De scope van het evenement is alles wat internet-facing is, dus alles wat door een hacker kan worden geraakt, inclusief systemen van leveranciers die meedoen. Zijn er bepaalde kwetsbaarheden die nog niet gepatcht zijn? Met welke kan ik een prijs winnen? Uiteindelijk kiezen ze en dan gaan ze er vol voor. Het is dus niet zo dat een hacker zegt: laat ik me nu eens richten op iets wat impactvol is voor de gemeente. Als een foutmeldingspagina bijvoorbeeld het versienummer van de server geeft, dan is dat al een kwetsbaarheid. Het heeft totaal geen impact, maar het is niet goed geconfigureerd en het wordt voor de vorm gemeld. Je zal er alleen geen prijzen mee winnen.’
Hoe is jullie voorbereiding?
‘We begonnen al in november met twee overleggen per maand en inmiddels zitten we op een overleg per week. In de week ervoor overleggen we iedere dag. We zorgen onder andere dat er ruimtes beschikbaar zijn, dat de communicatie goed loopt, dat de techniek niet omvalt en dat er een netwerk klaarligt. Dat doen we met tien tot vijftien mensen. Op de dag zelf zijn we met tientallen mensen bezig.'
'De gemeente heeft aan de Leyweg een control room. Daar wordt 24/7 gemonitord, maar nu komt daarvan op het stadhuis aan het Spui een afsplitsing puur voor het evenement. Daar houden ze bijvoorbeeld in de gaten of er een brute force-aanval wordt gebruikt, wat volgens de rules of engagement niet mag. Zo’n aanval is een soort stormram en daardoor kan via ons de server van de leverancier overbelast raken. Daar hebben ook andere organisaties last van.’
Lees het volledige interview in nummer 17 van Binnenlands Bestuur.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.