Hackevent legt ernstige lekken in Haagse ict bloot

Ethische hackers hebben tijdens het evenement Hack The Hague twee grote kwetsbaarheden gevonden in de ict-omgeving van de gemeente Den Haag. Het gaat om een beveiligingslek in een systeem van een externe leverancier. Dat is gekoppeld aan de gemeente-ict en wordt door het hele land door organisaties gebruikt. Ook konden hackers via een ingewikkelde weg door de gemeente-ict iets op straat doen.

Dat zegt chief information security officer (ciso) Jeroen Schipper in een gesprek met Computable. Hij maakt daags na het evenement de balans op, maar kan niet specifiek ingaan op de gevonden kwetsbaarheden. Schipper: ‘Het evenement vindt plaats onder strenge voorwaarden omdat het snel publiceren van bepaalde kwetsbaarheden schade toe kan brengen aan andere organisaties die nog kwetsbaar zijn.’

Hij deelt wel mee dat de kwetsbaarheid in het systeem van de toeleverancier ‘nationale impact’ heeft en direct is gemeld bij de Informatiebeveiligingsdienst (IBD). Deze dienst vormt het computer emergency response team (cert) voor Nederlandse gemeenten en licht in samenspraak met het Nationaal Cyber Security Centrum (NCSC) kwetsbare gebruikers in.

Ook over de kwetsbaarheid in de gemeente-ict ‘die ingreep op de fysieke wereld’ – Schipper ontkomt niet aan een cryptische omschrijving – wil de ciso geen details prijsgeven. ‘Het komt erop neer dat de hackers op een heel ingewikkelde wijze ergens binnen konden komen en op straat iets konden doen.’

Tijdens Hack The Hague namen 206 ethische hackers de ict van de gemeente Den Haag onder vuur. Ze bekeken de ict van de gemeente zelf, de Azure-omgevingen en de systemen van toeleveranciers.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Risicomanagement en bewustwording; lege containers?
Risicomanagement en bewustwording, we vinden het allemaal belangrijk. Mooie woorden die wijs en logisch klinken. Alleen in de praktijk blijft het vaak bij woorden. Waarom?
Is jouw gegevensverwerking rechtmatig?
Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar hoe weet je of jouw gegevensverwerking rechtmatig is?
Het NIST CyberSecurity Framework als kans?
Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.

Meer recente berichten

Standpunt Raad van de EU over data governance act
Verder lezen
Vier voordelen van cloudneutrale toegangsbeveiliging
Verder lezen
PKIoverheid certificaten vervangen: waarom en hoe?
Verder lezen
Podcastserie Privacy in de praktijk
Verder lezen
Hints en tips bij de implementatie van de ISO27701
Verder lezen
Informatiebeveiliging hoog op de agenda van het CBS
Verder lezen
Platform voor veilig delen medische data in de maak
Verder lezen
Experts rekenen op miljoenenschade VDL: Alle schijn van afpersing
Verder lezen
Accountantskantoren moeten nog flink aan de slag met de AVG
Verder lezen
Nederland gaat samen met andere landen ransomware te lijf
Verder lezen