Het Haagse hack-evenement Hack the Hague heeft 78 kwetsbaarheden opgeleverd in de IT-systemen van de stad. Het evenement trok 206 'ethische hackers' die met hun digitale inbraken de stad weerbaarder moeten maken tegen zaken zoals gijzelsoftware. 

Tijdens Hack the Hague stelde de gemeente Den Haag vandaag zijn automatisering open voor ethische hackers. Doel van dit jaarlijkse evenement is om te kijken waar de gemeente en haar toeleveranciers kwetsbaar zijn voor criminele hackers en om het bewustzijn over cyberveiligheid te vergroten. 206 hackers uit  zo'n twintig landen namen de uitdaging aan en probeerden in te breken in de digitale systemen van de stad. Er waren prijzen van 500 tot 2000 euro te verdienen in categorieën zoals 'de meest creatieve hack'  tot en met 'de hack met de meeste impact' op de digitale veiligheid. Tot 'de buit' behoorden onveilige toegang tot accounts, verouderde software, de mogelijkheid tot het injecteren van kwaadaardige codes in een website en een account dat volledig kon worden overgenomen.

Gijzelsoftware
‘Hackathons’ zijn voor bedrijven en overheden een goede manier om uit te vinden waar hun IT-systemen kwetsbaar zijn vóórdat cybercriminelen dat doen. Een actueel onderwerp gezien de gijzelsoftware-aanvallen en datalekken die tegenwoordig aan de orde van de dag zijn. Beruchte voorbeelden zijn de hacks dit jaar van de Citrix- en Microsoft Exchange-servers die voor problemen over de hele wereld zorgden. Ook Nederlandse onderwijsinstellingen zagen recent hun computersystemen gekraakt worden voor losgeld.

CISO Jeroen Schipper en Pieter Jansen van IT-securitybedrijf Cybersprint

Voorloper
Den Haag wil zich met dit hack-evenement profileren als cyberveilige stad. Jeroen Schipper, Chief Information en Security Officer van de gemeente: “Wij willen als ‘stad van vrede en recht’ een voorloper zijn in digitale veiligheid. Den Haag is daar ook een logische plek voor, omdat de rijksoverheid en veel internationale organisaties hier zitten. Maar het gaat niet alleen om de overheid en grote bedrijven die veel geld kunnen stoppen in hun IT-beveiliging. Ook MKB’ers en burgers willen we leren om digitaal weerbaarder te worden. Wij voelen ons daar als gemeente ook verantwoordelijk voor. Zo bieden we op veel plekken in de stad veilige wifi aan, hebben we digitale ambassadeurs en projecten als ‘Digitale veiligheid in de wijk’. Maar ook laten we met dit hack-evenement aan de buitenwacht zien dat wij zelf de digitale beveiliging serieus nemen.”

Behalve een bedreiging voor bedrijven en overheid is cyberveiligheid echter ook een terrein met grote economische kansen. Er is volgens Jeroen Schipper een enorm tekort aan IT’ers met dit specialisme en de gemeente en de IT-bedrijven waar ze mee samenwerkt, zien Hack the Hague dan ook als een kans om hackers aan zich te binden en binnen te halen. “Het is een groeimarkt”, zegt hij, “en we hebben heel wat vacatures openstaan op dat gebied. Als je geïnteresseerd bent in automatisering, is cyberveiligheid the place to be.”

Ethisch of crimineel?
Volgens CISO Jeroen Schipper hebben hackers tot nu toe een slecht imago, omdat mensen daarbij direct denken aan internetcriminelen, digitale inbrekers met slechte bedoelingen. In plaats daarvan zou hij graag zien dat ‘hacken’ een positieve connotatie krijgt. “Wij zeggen: je hebt hackers en je hebt criminelen.” Ook het begrip ‘ethisch hackers’ vindt hij te ingewikkeld, alsof het iets heel verhevens zou zijn. Schipper spreekt liever van ‘helpende hackers’, een term die hij ontleent aan het boek Cyberellende was nog nooit zo leuk van security-expert en internetsocioloog Chris van ’t Hof. Volgens Schipper staan bedrijven tegenwoordig veel meer dan vroeger open voor de meldingen van deze helpende hackers. 

Chris van ’t Hof was dagvoorzitter tijdens deze Hack The Hague. Hij vertelt hoe tijdens het vorige hack-evenement in 2019 102 kwetsbaarheden werden ontdekt, waarvan de meeste inmiddels zijn verholpen. De meest opzienbarende zat in de printersoftware in het Haagse gemeentehuis, waardoor het voor kwaadwillenden mogelijk was om te zien wie de apparaten had gebruikt en wat zij hadden geprint.” Van ’t Hof vertelt hoe vervolgens werd ontdekt dat deze kwetsbaarheid ook bij andere gemeenten en dus eigenlijk wereldwijd speelde. Omdat de printerfabrikant niet direct reageerde op de melding, werd de informatie via de IBD (Informatiebeveiligingsdienst) en het NCSC (Nationaal Cyber Security Centrum) naar de Japanse autoriteiten gestuurd, die de printerfabrikant opdroegen meteen zijn lek te dichten.