'Gemeenten nog huiverig voor ethische hackers'

Doorgaans vrezen gemeenten hackers, maar ze kunnen ook waardevol zijn. Steeds meer overheden huren goedaardige digitale inbrekers in om hun – vaak zeer gebrekkige –­ digitale veiligheid te testen. Binnenlands Bestuur ging op bezoek bij de ethische hackers van CybersecurIT.  

Hackers niet altijd de bad guys

‘Het bekende plaatje van een man met bivakmuts achter een toetsenbord begint ons een beetje de keel uit te hangen.’ Aan het woord is Fabian Leijten (31), directeur en eigenaar van het bedrijf CybersecurIT. Hij wordt vergezeld door de ethische hackers Paul Stevens en Stephan van Amelsfoort. Nee, hackers zijn volgens het drietal niet per definitie ‘bad guys’, ze kunnen juist een heldenrol vervullen. Sterker nog, dat gebeurt al regelmatig. Diverse gemeenten zetten hackers in om hun digitale beveiliging op orde te krijgen.  De vraag naar ethische hackers groeit flink, merkt Leijten. ‘We zien dit al langer bij bedrijven, maar de laatste tijd ook bij de overheid.’ De veiligheid van digitale infrastructuur komt volgens Leijten steeds meer onder de loep te liggen. ‘Vaak wordt er door ambtenaren nog volledig uitgegaan van de kennis en kunde van hun eigen ict-afdeling. Wij merken dat wanneer een externe partij de veiligheid gaat testen, er veel onvermoede zaken aan het licht komen.’  Een van de klanten van CybersecurIT is de Heerlense rekenkamer. Nadat – mede door onderzoek van Binnenlands Bestuur – duidelijk werd dat Heerlen niet voldeed aan de standaarden voor e-mailbeveiliging, schakelde de gemeentelijke rekenkamer ethische hackers in om te kijken hoe het met de digitale beveiliging van de gemeente was gesteld. De resultaten vielen niet mee. Ethische hackers kwamen makkelijk bij de gemeente binnen en konden namens ambtenaren online bestellingen tot 100.000 euro plaatsen.

Behoorlijk schokkend
Ethisch hacken begint bij CybersecurIT met een steekproef waarbij alle onderdelen met ‘eenvoudige processen’ worden getest. ‘‘Een gemeente heeft een centrale rol en kent als ketenorganisatie diverse potentiële ingangen voor hackers. Als ethisch hacker neem je die ingangen allemaal onder de loep, van schoonmaker tot de bestuurlijke top. Iedereen die maar toegang heeft tot de organisatie’, zo vertelt Leijten over de aanpak. ‘We bekijken bijvoorbeeld of we in staat zijn om een e-mail te sturen vanuit het gemeentelijke domein. Als het antwoord ‘ja’ is, dan is de gemeentelijke al heel kwetsbaar. Iemand kan zich dan als ambtenaar voordoen. Ook testen we hoe moeilijk het is om aan wachtwoorden te komen.’

Phisingmails en usb-sticks
Het lukt Leijten en zijn collega’s vrijwel altijd om kwetsbaarheden in gemeentelijke websites te vinden. ‘De resultaten worden vaak als behoorlijk schokkend ervaren. Heerlen was daarop geen uitzondering. We konden inloggen bij de gemeentelijke website en gelieerde websites en uitingen plaatsen namens de gemeente. Kwaadwillenden hadden dus veel schade kunnen veroorzaken al ze een poging hadden gedaan.’ Wanneer een gemeente behoefte heeft aan een diepere analyse van de bestaande kwetsbaarheden, kan dat. Maar vaak is de steekproef al effectief genoeg. Klanten kunnen behalve een penetratietest onder meer phishing mails verwachten, maar ook usb-sticks met gecontroleerde virussen die op afdelingen worden verspreid, zo vertelt Leijten. ‘Uiteindelijk geldt: hoe meer tijd je neemt om te hacken, hoe groter de kans wordt dat het lukt. Een echte hacker gaat natuurlijk niet een jaar lang proberen een onbenullig systeem binnen te komen. Absolute digitale veiligheid kan nooit worden gegarandeerd, maar we kunnen wel zo veel hindernissen maken dat het simpelweg niet meer loont.’

Gemeenten versus bedrijven
Gemeenten denken vaak ten onrechte dat ze hun digitale beveiliging goed op orde hebben, valt de ethische hackers  op. Vaak zitten er toch diverse kleine foutjes in de beveiliging. Bijvoorbeeld systemen die niet de laatste updates hebben of e-mailverkeer dat niet helemaal veilig verloopt. ‘Veel openingen vallen niet zo op, omdat ze onbenullig en klein lijken. Maar ze kunnen er wel toe leiden dat een hacker overal binnen kan komen’, vertellen Stevens en Van Amelsfoort. In vergelijking met bedrijven staan gemeenten er slechter voor, denkt zowel Stevens als Van Amelsfoort. ‘Een gemeente is van nature een open organisatie. Je kunt er binnenlopen en afspraken maken. Ze zijn dus goed benaderbaar en hebben veel koppelingen met andere websites die mogelijkheden vormen voor een inbraak, terwijl een bedrijf belangrijke gegevens kan afsluiten van de buitenwereld.’

Werkwijze moet fundamenteel anders
Soms is het nodig om processen om te gooien. ‘Iets wat ambtenaren al jaren op een bepaalde manier doen, moet ineens anders. En dat willen gemeenten vaak niet’, zegt Stevens. ‘Neem Windows XP. Mensen zijn daar erg aan gehecht en willen het blijven gebruiken. De updates verlopen op een gegeven moment waardoor het onveilig wordt’, vult Van Amelsfoort aan.  Stevens: ‘Als je ziet hoe gemeenten over hun klanten in het sociaal domein communiceren, dat is toch wel verbazingwekkend. Een BSN-nummer van een klant moet bijvoorbeeld in het onderwerp van de mail staan, zodat ze weten om wie het gaat. Deze informatie wordt vervolgens onversleuteld het internet opgegooid. Zoiets is voor een hacker een open deur. Gemeenten moeten hun werkwijze echt fundamenteel veranderen.’

Schade
Toch vrezen gemeenten bij de inzet van ethische hackers nogal eens schade. Onnodig, vindt Leijten. ‘Gemeenten zijn soms bang dat we documenten vinden en gegevens zien die niet voor ons bedoeld zijn. Dat is echter uitdrukkelijk niet onze bedoeling. Een systeem binnenkomen is voor ons voldoende. Maar je wilt wel een reële situatie nabootsen.’ Leijten krijgt nogal eens de vraag of zijn hackers zich bij een simulatie willen beperken tot één blok IP-reeksen. ‘Dan zeg ik: nee. Want in zo’n geval vinden wij de resultaten niet betrouwbaar genoeg. Een echte aanvaller houdt daar ook geen rekening mee. Een klant moet – als hij met ons wil samenwerken – met de billen bloot. Uiteraard maken we van tevoren wel afspraken over wat wel en niet kan. Maar als iedereen weet wanneer de gesimuleerde aanval plaatsvindt, worden er vaak van tevoren nog even wat onveilige servers uitgetrokken. Ambtenaren moeten er niet vanaf weten.’

Dit is een ingekorte versie. Lees het volledige verhaal in Binnenlands Bestuur nummer 17.