Hackers zijn weer welkom in het Haagse stadhuis
Op 2 oktober mogen ethische hackers de computersystemen van de gemeente Den Haag weer proberen binnen te dringen. De gemeente organiseert voor de vijfde keer de wedstrijd Hâck The Hague.
In 2022 werd de wedstrijd niet georganiseerd vanwege de situatie in Oekraïne. Maar nu mogen ethische hackers van over de hele wereld de kwetsbaarheden in de computersystemen van Den Haag weer gaan opsporen. Ze mogen hierbij alles uit de kast halen. Wel zijn de hackers verplicht om gevonden kwetsbaarheden te melden, geen data te downloaden of systemen te veel te belasten. ICT-specialisten van de gemeente en leveranciers staan paraat om hun vondsten te beoordelen of zelfs direct te verhelpen. Het wordt deze keer een fysieke bijeenkomst middenin het stadhuis van Den Haag. Iedereen kan live meekijken.
CISO Jeroen Schipper: “Het evenement is opgezet als een wedstrijd waarbij een geldprijs van 14.000 euro wordt verdeeld in vier categorieën. Van hack met de meeste impact tot meest verrassende hack. Ik zie het als een hackersfeestje, waarvan je zeker weet dat er interessante zaken worden gevonden.” In 2021 vonden 206 hackers uit 23 verschillende landen 125 kwetsbaarheden. Er werden een aantal belangrijke vondsten aan het Nationaal Cyber Security Centrum (NCSC) gemeld. Deze hadden impact op meerdere Nederlandse organisaties.
Zo’n professionele wedstrijd inclusief prijzengeld lijkt niet haalbaar voor iedere gemeente. Maar je kunt de kennis en expertise van hackers op een kleinere schaal inzetten, vertelt de Haagse CISO op Digitale Overheid. “Den haag heeft de eigen ervaringen gedeeld in de e-Guide ‘Zo hack je een stad’. “Geleerde lessen transparant delen is de enige manier waarop we kunnen winnen van cybercriminelen,” aldus Schipper.
Nog een tip: “Vergeet niet een ‘Coordinated Vulnerability Disclosure programma’ op te stellen. Dan geef je op jouw website aan dat hackers kwetsbaarheden kunnen melden. Je zegt dan: ‘Wij gaan serieus met die melding om en slepen je niet voor de rechter.’ Terwijl hackers beloven dat ze niks kapotmaken of data weghalen.”
Het echte werk begint daarna
Inmiddels weet Jeroen Schipper dat het echte werk na het evenement begint. “Dan zit je met ruim honderd kwetsbaarheden die aan het licht zijn gekomen, die moeten we dan, samen met de leveranciers, oplossen.”