De gemeente Den Haag organiseert op 2 oktober voor de vijfde keer de wedstrijd Hâck The Hague. Ethische hackers zijn op deze dag uitgenodigd om digitale kwetsbaarheden op te sporen in IT-systemen van de gemeente, voordat cybercriminelen deze kwetsbaarheden vinden.
Jeroen Schipper, Chief Information Security Officer (CISO) bij de gemeente Den Haag: “Het evenement is opgezet als een wedstrijd waarbij een geldprijs van 14.000 euro wordt verdeeld in vier categorieën. Van hack met de meeste impact tot meest verrassende hack. Ethische hackers van over de hele wereld gaan kwetsbaarheden in onze computersystemen opsporen. Ze mogen hierbij alles uit de kast halen. Wel zijn de hackers verplicht om gevonden kwetsbaarheden te melden, geen data te downloaden of systemen te veel te belasten. ICT-specialisten van de gemeente en leveranciers staan paraat om hun vondsten te beoordelen of zelfs direct te verhelpen. Ik zie het als een hackersfeestje, waarvan je zeker weet dat er interessante zaken worden gevonden.”
Vijfde editie
Het is de vijfde keer dat de gemeente Den Haag de wedstrijd organiseert. Ten opzichte van de vorige editie zijn er enkele veranderingen. Schipper: “We gaan terug naar de basis, een fysieke bijeenkomst middenin het stadhuis van Den Haag. Iedereen kan live meekijken. Daarnaast maken we het voor de hackers interessanter omdat we de reikwijdte, de scope uitbreiden. Ook willen we er voor het eerst Haagse organisaties bij betrekken. Inmiddels weet ik dat het echte werk na het evenement begint. Dan zit je met ruim honderd kwetsbaarheden die aan het licht zijn gekomen, die moeten we dan, samen met de leveranciers, oplossen.”
Ook kleinere organisaties met een beperkt budget hebben mogelijkheden voor het opzetten van een dergelijke hackathon. Schipper: “Er is altijd meer mogelijk dan je denkt. Je kunt ook de kennis en expertise van hackers op een kleinere schaal inzetten. Wij hebben onze ervaringen gedeeld in de e-Guide ‘Zo hack je een stad’ (link naar andere website). En vergeet een Coordinated Vulnerability Disclosure programma niet. Dan geef je op jouw website aan dat hackers kwetsbaarheden kunnen melden. Je zegt dan: ‘Wij gaan serieus met die melding om en slepen je niet voor de rechter.’ Terwijl hackers beloven dat ze niks kapotmaken of data weghalen.”
Overheidsbrede Cyberoefening
Dit jaar viert ook de Overheidsbrede Cyberoefening haar vijfjarig jubileum. De nieuwe oefening staat voor maandag 30 oktober op de planning. Op de vraag of de gemeente Den Haag dit cyberevenement kent antwoord Schipper op de website van de Digitale Overheid: “Natuurlijk, vlak voor de editie van 2022 had onze gemeente de eerste versie van het cybercrisisplan klaar. Die hebben we toen gelijk kunnen testen. We hebben simultaan meegedaan met de oefening. En elke keer de vraag gesteld: hoe gaan we om met de situatie die nu wordt gespeeld? Is ons crisisplan daar ook geschikt voor? Op basis van de Overheidsbrede Cyberoefening is ons plan aangepast. Dus voor ons is deelnemen heel waardevol.”
Petra Claessen, Voorzitter van BTG en Boardmember BTG Services: “In ieder IT-systeem of applicatie kunnen kwetsbaarheden aanwezig zijn. Kwaadwillenden kunnen deze zwakke plekken in de beveiliging uitbuiten en zo systemen binnendringen. Ethische hackers kunnen organisaties helpen bij het vroegtijdig opsporen van kwetsbaarheden, nog voordat cybercriminelen deze ontdekken. Dit geeft organisaties de gelegenheid beveiligingsproblemen proactief aan te pakken en zo cyberaanvallen te voorkomen.”