Een groeiende groep ethisch hackers verzamelt zich jaarlijks in het stadhuis van Den Haag voor ‘Hâck The Hague’. De missie: kwetsbaarheden in de digitale beveiliging opsporen. Na de laatste editie waren dat er meer dan honderd. “Inderdaad, de dag erna moeten we flink aan de bak”, vertelt CISO Jeroen Schipper van de gemeente Den Haag.

Schipper is sinds 2018 chief information security officer (CISO) bij de gemeente Den Haag, waar hij verantwoordelijkheid heeft voor onder meer informatieveiligheid en cybersecurity. Een jaar voor hij werd aangesteld, organiseerde de gemeente Hâck The Hague voor de eerste keer. “Het bestond dus al een jaar, maar daarna is het uitgegroeid tot een evenement waar nu rond de honderd hackers op afkomen.”

Het idee voor het evenement ontstond in 2017, toen er vanuit de gemeenteraad aan de verantwoordelijke wethouder vragen werden gesteld over informatieveiligheid. Al snel klonk een oproep om digitale beveiliging door ethisch hackers te laten testen, zoals sommige gemeenten in die tijd voor het eerst probeerden. In samenwerking met Cybersprint, van de bekende hacker Pieter Jansen, ontstond al snel Hâck The Hague.

Kritische rekenkamers

“In die periode was er na kritische rekenkamerrapporten veel reuring over de slechte staat van informatieveiligheid. Onze toenmalige wethouder, Rabin Baldewsingh (PvdA), zei: dat gaan we gewoon doen.” Bij de eerste editie kwamen er zo’n veertig ethisch hackers samen in het stadhuis, waar ze live systemen mochten proberen te hacken. Om de sfeer open en transparant te houden, werden ze midden in het atrium geplaatst, waar iedereen, ook bezoekende burgers, ze goed konden zien.

Iedereen wist dat het geen normale pentest was, zoals die regelmatig wordt uitgevoerd door bedrijven. “Dat was ergens best wel spannend, omdat het nu ging om échte hackers”, vertelt Schipper. “En natuurlijk hartstikke interessant om te zien wat dat opleverde.” De eerste keer werden er drie kwetsbaarheden gevonden. Toch was daarmee het doel al bereikt. “We wilden naast het testen van de veiligheid ook onze burgers bekendmaken met het onderwerp ethisch hacken. Iedereen moet begrijpen wat eerlijke, ethisch hackers zijn.” De jaren erna werd het evenement herhaald, met een grotere groep die veel meer aantrof dan bij de eerste editie. De kwaliteit van de hackers lag simpelweg hoger omdat meer beroepshackers zich hadden gemeld, maar ook de scope was groter, inclusief die van onze leveranciers. “Het jaar erop waren er al zestig kwetsbaarheden, en in de laatste editie, van 2019, vonden ze er zelfs meer dan honderd.”

Liveomgeving van gemeente en leveranciers

De ethisch hackers mogen bij Hâck The Hague veel, zo niet alles proberen. “Het gaat om onze eigen liveomgeving, maar ook om die van onze leveranciers. Alles wat internet-facing is mag worden getest, maar wel binnen de regels. Van tevoren krijgen deelnemers de bijbehorende IP-adressen. Daarna is het een kwestie van laptopje openklappen en gaan!” Bij het evenement gebeurt volgens Schipper veel meer dan alleen de beveiliging testen. Er komt een levendige community van ethisch hackers over de vloer. “Bij de vorige editie bestond een helft van de hackers uit studenten en de andere helft uit ethische beroepshackers; een grote groep mensen met dezelfde interesse. Voor hen is het dus leuk om elkaar te ontmoeten. Behalve hacken gaat het dus ook om de gezelligheid.”

Om de hackers enthousiast voor deelname te krijgen, zijn er geldprijzen, maar ook allerlei presentjes. “Kijk, het gaat uiteindelijk niet alleen om het geld. De meesten van deze hackers zijn professionals en verdienen een goed salaris. Zij komen oprecht voor hun plezier, de status van het vinden van kwetsbaarheden en voor ‘swag’, zoals ze dat noemen. Voor iedereen is er een goedgevulde goodiebag. Het evenement heeft daarnaast ook wel een naam gekregen in de community. Het is ook gewoon erg gezellig, met ’s avonds een borrel en heel veel pizza.”

De day after

De door hackers aangetroffen kwetsbaarheden worden allesbehalve weggemoffeld. “Nee, de dag erna begint het voor ons pas. Want dan moeten wij als gemeente aan de bak om alles op te lossen, samen met onze leveranciers. Het evenement kost natuurlijk tijd en moeite, maar het echte werk begint dan pas.” Vrees voor ‘slechte pers’ kent Schipper niet. “Er was volop aandacht voor ons laatste evenement in 2019. NOS, AD, lokale kranten en zelfs het jeugdjournaal waren aanwezig. De toon was positief, terwijl er een stuk meer kwetsbaarheden waren gevonden dan een jaar eerder.”

Toch kunnen kwetsbaarheden vrij ernstig zijn. “Zeker. Zo troffen we in 2018 een kwetsbaarheid aan in een printersysteem van een internationaal bedrijf waar de gemeente gebruik van maakte. De hacker wist al dat dit overal speelde. We zagen na zijn melding dat niet alleen wij, maar ook veel grote organisaties in de buurt gebruikmaakten van dat printersysteem. We gaven het gelijk door aan de IBD, het gemeentelijke CERT, en het Nationaal Cyber Security Centrum (NCSC).” Al snel werd er contact gelegd met de autoriteiten van Japan, het land van de leverancier. “Binnen drie dagen was er een wereldwijd werkende patch. Een erg gaaf moment en een zeer serieus resultaat dus.”