Blog

Schaakspel met de gemeentelijke ICT-infrastructuur in Eindhoven

Je wordt op de proef gesteld, met de billen bloot. Geen bescherming achter regels of audits maar kijken hoe goed het daadwerkelijk is geregeld in een productieomgeving. Je hebt je best misschien gedaan maar is het goed genoeg? Als deze hackers naar je systeem kijken, blijft het dan ook overeind?

Het is januari als het verzoek binnenkomt of Centric samen met een aantal andere leveranciers wil meewerken aan een legale inbraakpoging op de e-dienstverlening van de gemeente Eindhoven. Hack Me Please, heet de uitdaging. Natuurlijk doen we mee. Op zaterdag 15 februari is het zover.
Het stadhuis van de gemeente Eindhoven is de hele dag open voor hackers. Ruim op tijd kom ik aan op het stadhuis. Als eerste komen de contracten aan bod. Legaal hacken gaat niet zonder het nodige papierwerk. Leveranciers geven de ethisch hackers toestemming om aan te vallen. De ethisch hackers moeten beloven eventuele lekken niet te misbruiken en blijven ‘onder de pet’ totdat de gaten zijn gedicht.

Het echte werk

Moet ik nog ergens tekenen, vraag ik. “Nee, uw collega is u voor.” Met mijn badge op loop ik naar boven. Op het moment dat ik een kop koffie krijg aangereikt, zie ik iemand gebogen over een digitale tafel hangen. Geen moment blijft onbenut. Na drie pogingen is de toegang verkregen. Als bewijs staat er een foto van Brenno de Winter op het scherm en een persoonlijke ‘handtekening’. Hackers zijn minstens zo trots op hun werk als kunstenaars. En terecht, ik doe het ze niet na.
Het is ongeveer half tien als Brenno de aftrap verzorgt. Net als bij veel bijeenkomsten de laatste tijd, hangt ook hier veel samen met de aanstaande decentralisaties. Brenno vertelt dat hij komend jaar extra aandacht heeft voor de informatiebeveiliging bij gemeenten. De aanleiding hiervoor is duidelijk: gemeenten krijgen meer verantwoordelijkheden op het sociale domein en nooit of te nimmer mag deze gevoelige informatie op straat belanden. De gemaakte afspraken worden nog even herhaald en dan begint het echte werk.

Deurtje gevonden

De hackers zitten in een ruimte op de eerste verdieping. De leveranciers gaan richting de kantine in het stadhuis. Dan begint het wachten. Erg spannend natuurlijk, want je wilt niet de eerste zijn bij wie iets wordt gevonden. Om de tijd wat te doden maak ik wat aantekeningen (offline uiteraard). Sommige leveranciers monitoren hun diensten, anderen maken een praatje. Lange tijd is het stil. Ineens komt er een medewerker van de organisatie naar beneden. De eerste vraag voor een leverancier. Iedereen kijkt dan toch even op. Is er wat gevonden?

De vraag blijkt te gaan over de ‘scope’ van de overeenkomst. Met andere woorden, waar mogen de hackers hun gang gaan en waar niet. Er is een deurtje gevonden en ze vragen zich af of ze toestemming hebben om verder te gaan. De betreffende leverancier loopt mee naar boven.

Met de billen bloot

Ik besef nog eens dat deze confrontatie heel spannend is. Je wordt op de proef gesteld, met de billen bloot. Geen bescherming achter regels of audits maar kijken hoe goed het daadwerkelijk is geregeld in een productieomgeving. Je hebt je best misschien gedaan maar is het goed genoeg? Als deze hackers naar je systeem kijken, blijft het dan ook overeind?

Het blijft een tijdlang rustig. De werkwijze van de hackers komt op mij behoorlijk gestructureerd over. Energie verspillen is er niet bij. Het doet me denken aan een sloopbedrijf. Daarbij dacht ik als amateursloper alleen aan grof geweld, maar dat ligt toch anders. Die gaan heel secuur te werk, laagje voor laagje. Met eenzelfde precisie ontrafelen de hackers de gemeentelijke systemen.
Ook vraag ik me af of de hackers nu al het achterste van hun tong laten zien. Ik kan me voorstellen dat je niet meteen laat merken wat je waard bent. Beetje nonchalant rondhangen, zelf gemaakte tooltjes en scripts hun werk laten doen. Rustig wachten tot het vijf voor half vier is. En dan ineens, de vlam in de pan: “We hebben de systemen plat met een druk op de knop”. Dat schiet toch door je hoofd. Een schaakspel met de gemeentelijke ICT infrastructuur als bord. Je wordt er echt nieuwsgierig van en het maakt het voor de leveranciers erg spannend. Tegelijkertijd is het ook mooi om mee te maken. Allemaal gratis advies door je kwetsbaar op te stellen.

Hakcerspace

Uiteindelijk zitten leveranciers, gemeente en hackers bij elkaar in één ruimte. Het is in die paar uur een echte ‘Hackerspace’ geworden. Althans, wat ik me daarbij voorstel, want toegegeven: ik ben nog nooit in een hackerspace geweest. Vanaf 14:00 uur loopt ook de pers binnen. Het is een drukte van belang. Ondertussen wordt er hard doorgewerkt en veel informatie uitgewisseld. Hackers blijken zich ook heel bewust van de risico’s. Met regelmaat wordt er gevraagd wat er kan gebeuren bij een hack. Wat zijn de gevolgen en waar komt informatie nog meer terecht als we hier wat invullen? Het gaat immers in veel gevallen om een informatieketen die niet stopt bij de gemeente Eindhoven.
Rond half vier begint de officiële wrap-up. Alle pers en belangstellenden wordt verzocht de ruimte te verlaten. Gemeenten, leveranciers en hackers delen de bevindingen. Wat is er gevonden en wat moet er gebeuren. Naast kritische noten klinken complimenten. Gelachen wordt er ook. Als de tijd erop zit, werken sommigen gewoon door. Ineens roept een hacker “maak de lijst maar langer, ik heb nog wat gevonden”.

Een lek vinden is vaak ook een kwestie van genoeg tijd hebben. Gelukkig blijkt het mee te vallen en kan alles in de dagen erna netjes opgelost worden. Tegelijkertijd bleek tijdens de bijeenkomst hoe belangrijk het is om je voortdurend bewust te zijn van het thema informatiebeveiliging, zowel voor leveranciers als voor overheden. Staat het onderwerp ‘informatiebeveiliging’ bij u nog niet op de agenda? Organiseer ook een Hack Me Please-event of nodig de Taskforce Bestuur en Informatieveiligheid Dienstverlening een keer uit. Het loont.
Benieuwd hoe de ethisch hackers de uitdaging zelf beleefd hebben? Lees het in de blog van deelnemer Elger Jonker.

Sander de Graaf houdt zich als programmamanager Business Development & Innovatie vooral bezig met visievorming en het productbeleid om de dienstverlening van gemeenten over meerdere kanalen aan burger en bedrijf te optimaliseren. Speciale aandacht gaat daarbij uit naar zaakgericht werken en meerkanaals dienstverlening. Momenteel is hij nauw betrokken bij het ontwikkelen van de visie van Centric op de dienstverlening van lokale overheden, te weten ‘Het verbinden van een compacte en nabije overheid’.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren