Hackers komen er niet doorheen in Eindhoven

De gemeente Eindhoven liet afgelopen zaterdag een twintigtal hackers pogingen doen in te breken in de gemeentelijke ICT-systemen. Echt onveilig bleken de computers en netwerken niet, maar dat zegt niet alles, stelt mede-initiatiefnemer Brenno de Winter.

Hack me please
De 'Hack me please'-bijeenkomst in het stadhuis in Eindhoven kwam tot stand nadat wethouder Staf Depla in een discussie de ICT-journalist had uitgedaagd te kijken hoe veilig de gemeentelijke systemen zijn. De Winters frustratie was vooral dat hackers die zoiets proberen en lekken in de systemen aantonen te snel in de criminele hoek worden gezet, terwijl ze doorgaans in het algemeen belang handelen. In Eindhoven konden ze zes uur lang hun gang gaan, in het bijzijn van meewerkende leveranciers, zoals Centric.

Wel kleinere gebreken
Echt ergens 'binnen komen' is de hackers niet gelukt. Wel werden er enkele tientallen kleinere gebreken gevonden. De Winter: "Dat waren dingen als zogeheten cross-site-scripting-lekken en documenten met te veel metadata. De meeste anvallen werden afgeslagen door een intrusion detection systeem." De grote winst van de bijeenkomst vindt hij dat beveiliging op deze manier flink op de radar kwam te staan. "We wilden de leveranciers in het debat betrekken en het OM laten zien dat hackers goede bedoelingen hebben."

Eindhoven blij
Eindhoven zelf is blij met de constatering dat er geen grote lekken zijn gevonden. "Na 6 uur hacken kunnen we constateren dat de beveiliging behoorlijk op orde is", aldus een quote van wethouder Staf Depla op de site van de gemeente. "Dat vind ik goed nieuws. Niet alleen voor de gemeente Eindhoven, maar voor heel veel gemeenten. Want wij zijn natuurlijk niet de enige klant van deze leveranciers." De Winter denkt dat juichen niet op zijn plek is. "Het zegt weinig over de beveiliging van Eindhoven zelf, al willen ze anders doen geloven." Leveranciers hadden in de afgelopen weken volgens hem enkele tientallen 'patches' geïnstalleerd - softwarematige verbouwinkjes die eerder geconstateerde gebreken verhelpen. Verder overwogen twee leveranciers nog de avond ervoor zich terug te trekken van deelname aan de bijeenkomst. "En soms vind je lekken in seconden, maar soms heb je drie dagen nodig. Zes uur is niet altijd genoeg."

Wel moedig
Maar de grote winst vindt De Winter dat er nu eens een keer echt 'gestoeid' kon worden met een gemeentelijke omgeving. "Dat vind ik van de gemeente Eindhoven en van de leveranciers ook echt moedig." Hij acht de opzet van afgelopen zaterdag voor herhaling vatbaar.