Zó hack je een stad!


Elke organisatie is te hacken. Dagelijks sta je als gemeente bloot aan digitale risico’s, waarbij cybercriminelen gaten proberen te ontdekken in de beveiliging. Om de gemeentelijke digitale weerbaarheid te toetsen en vergroten, organiseert gemeente Den Haag in samenwerking met Cybersprint daarom sinds 2017 het jaarlijkse hack-evenement: Hâck The Hague. Met de e-guide ‘Zo hack je een stad’ kan iedere gemeente nu een eigen variant organiseren.

Hâck The Hague

De digitale ontwikkelingen gaan razendsnel. De tools en technieken die hackers inzetten om op systemen in te breken gaan nog sneller. Ofwel, het is en blijft een kat en muis spel tussen hackers en beveiligers. Als organisatie moet je alle gaten dichten, terwijl een hacker maar één kwetsbaarheid hoeft te vinden om binnen te komen. Dit maakt het bijna onmogelijk om zonder hulp van externe specialisten optimaal gebruik te maken van de mogelijkheden die de technologie biedt.

Bij Hâck The Hague krijgen ethische hackers daarom de kans om de ICT-systemen van de gemeente Den Haag en haar leveranciers onder de loep te nemen. Hiermee kun je kwetsbaarheden opsporen en ‘fixen’ en de veiligheid van je IT-systemen verbeteren. De gemeente en Cybersprint hebben hun kennis en ervaring rondom digitale veiligheid nu gebundeld in een e-guide. In deze blog een korte samenvatting van de onderwerpen die aan bod komen.

Ethische hackers

Allereerst het verschil tussen ‘criminele hackers’ en ‘ethische hackers’. Voor veel mensen staat de term ‘hacker’ nog steeds gelijk aan het stereotype: een duister figuur die op een zolderkamer bezig is met het uitvoeren van criminele activiteiten. Dit stereotype noemen we de criminele hackers die continu proberen in te breken bij organisaties met kwade bedoelingen. Dit zijn uiteraard niet de hackers waar je mee wilt samenwerken. Ethische hackers daarentegen, proberen binnen te komen in systemen met als doel applicaties en websites juist veiliger te maken. Ze houden zich daarbij aan spelregels en melden gevonden kwetsbaarheden bij de betreffende organisatie om te voorkomen dat deze wellicht misbruikt worden door criminele hackers.

Organisatieparaatheid 

Als je een dergelijk evenement wilt organiseren zal je eerst het nodige voorwerk moeten doen. De gemeente moet er namelijk klaar voor zijn om dit soort concrete stappen op het gebied van digitale veiligheid te gaan zetten. Allereerst is het belangrijk om te peilen hoe je stakeholders hierover denken. Een hack-evenement raakt veel interne aspecten. Sta daarom ook niet gek te kijken als anderen niet (direct) enthousiast zijn. Als je deze stap neemt stel je je namelijk kwetsbaar op als gemeente, en dat is spannend. Hoe reageert de gemeente op beveiligingsincidenten, hoe zijn processen uitgewerkt? Hebben we alles wel op orde?

Belangrijk hierbij is om vanaf het begin je stakeholders heel goed te betrekken. Goede communicatie is dus cruciaal. Ga met ze in gesprek, geef ze een rol. Kortom, creëer eerst draagvlak. Hoe je dit doet, kun je lezen in onze vorige blog. Daarnaast moet er ook gekeken worden of er een proces is ingericht voor het melden van kwetsbaarheden. En ook het evalueren, vervangen en aanschaffen van benodigde systemen en infrastructuur is een onderdeel. In hoofdstuk 2 van de e-guide vind je diverse handvatten om je gemeente klaar te stomen.

Met de billen bloot

Zoals hierboven al beschreven kunnen stakeholders, zoals het management en/of bestuur, een dergelijk evenement spannend vinden. Als je deze stap neemt, moet je namelijk met de billen bloot durven gaan. Door dit te doen begeven zij zich op terrein waar ze zelf misschien minder kennis van hebben. En het kan ook behoorlijk confronterend zijn wanneer blijkt dat de beveiliging niet op orde is.

Wil je hen meekrijgen, dan zal je moeten beschikken over een sterke overredingskracht en goede argumenten. Want waarom zou je zelf hackers uitnodigen en vragen je systemen te hacken? Stiekem willen we misschien helemaal niet weten wat er niet op orde is, en als we het al willen weten, willen we zeker niet dat anderen dit ook weten. Toch geldt bij digitale veiligheid: hoe opener en transparanter je aanpak, hoe beter het resultaat. Wanneer deze bereidheid er niet of onvoldoende is, dan heeft het organiseren van een hack-evenement geen zin.

De scope bepalen

Wanneer je intern draagvlak hebt, kun je gaan nadenken over de scope. Hierbij is het erg belangrijk om je externe belanghebbenden, zoals leveranciers van systemen en applicaties, te betrekken. Ook hier geldt dat het kennisniveau van leveranciers flink kan verschillen en deelname spannend kan zijn. De systemen van de leverancier worden namelijk aangevallen door hackers. Uit ervaring van gemeente Den Haag blijkt, dat de inzichten die tijdens de wedstrijd naar voren komen, juist heel relevant en waardevol voor leveranciers zijn. Want wat ethische hackers in dit geval vinden, hadden ook hackers met kwade bedoelingen kunnen zijn. En dan kun je er maar beter zelf op deze manier achter komen. Met de bevindingen kunnen zij namelijk hun systemen en websites veiliger maken.

Eén van de bedrijven die aan Hâck The Hague heeft deelgenomen is DG Groep. In 2019 hebben zij meegedaan aan Hâck The Hague met hun applicatie GISIB online. Dit is een applicatie waarmee kapitaalgoederen van de overheid worden geregistreerd, geïnspecteerd en gemanaged. Denk aan wegen, lantaarnpalen, maar ook zaken als gras, bos, oevers en riet. Door deelname aan Hâck The Hague is dataveiligheid nu (veel) beter geborgd in bedrijfsprocessen. Hun ervaring en meer lees je in hoofdstuk 2.2. van de e-guide. Zo wordt er een aantal belangrijke processen beschreven, waarmee je de basis legt voor de uitvoering van je beleid en strategie voor digitale veiligheid.

Het hack-evenement 

Heb je al het voorwerk gedaan? Dán kun je starten met de organisatie van het hack-evenement zelf, wat vergeleken met het voorwerk, relatief eenvoudig is. Waar het met name om draait is een strakke planning, organisatie en coördinatie. Goede communicatie is ook hierbij weer essentieel. Want als het hack-evenement verkeerd uitpakt, kan dit ook zorgen voor negatieve publiciteit bij zowel de hackers als het publiek en in extreme gevallen zelfs datalekken waar niemand op zit te wachten. Zorg daarom voor een goed draaiboek en betrek bijvoorbeeld collega’s van communicatie of evenementenorganisatie. In de e-guide vind je een uitgewerkt draaiboek voor de organisatie van een hack-wedstrijd.

Kortom, denk je dat jouw gemeente hier klaar voor is? Probeer het dan ook eens, al dan niet in het klein, en benut deze guide. 

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?