Elke organisatie is te hacken. Dagelijks sta je als gemeente bloot aan digitale risico’s, waarbij cybercriminelen gaten proberen te ontdekken in de beveiliging. Om de gemeentelijke digitale weerbaarheid te toetsen en vergroten, organiseert gemeente Den Haag in samenwerking met Cybersprint daarom sinds 2017 het jaarlijkse hack-evenement: Hâck The Hague. Met de e-guide ‘Zo hack je een stad’ kan iedere gemeente nu een eigen variant organiseren.

Hâck The Hague

De digitale ontwikkelingen gaan razendsnel. De tools en technieken die hackers inzetten om op systemen in te breken gaan nog sneller. Ofwel, het is en blijft een kat en muis spel tussen hackers en beveiligers. Als organisatie moet je alle gaten dichten, terwijl een hacker maar één kwetsbaarheid hoeft te vinden om binnen te komen. Dit maakt het bijna onmogelijk om zonder hulp van externe specialisten optimaal gebruik te maken van de mogelijkheden die de technologie biedt.

Bij Hâck The Hague krijgen ethische hackers daarom de kans om de ICT-systemen van de gemeente Den Haag en haar leveranciers onder de loep te nemen. Hiermee kun je kwetsbaarheden opsporen en ‘fixen’ en de veiligheid van je IT-systemen verbeteren. De gemeente en Cybersprint hebben hun kennis en ervaring rondom digitale veiligheid nu gebundeld in een e-guide. In deze blog een korte samenvatting van de onderwerpen die aan bod komen.

Ethische hackers

Allereerst het verschil tussen ‘criminele hackers’ en ‘ethische hackers’. Voor veel mensen staat de term ‘hacker’ nog steeds gelijk aan het stereotype: een duister figuur die op een zolderkamer bezig is met het uitvoeren van criminele activiteiten. Dit stereotype noemen we de criminele hackers die continu proberen in te breken bij organisaties met kwade bedoelingen. Dit zijn uiteraard niet de hackers waar je mee wilt samenwerken. Ethische hackers daarentegen, proberen binnen te komen in systemen met als doel applicaties en websites juist veiliger te maken. Ze houden zich daarbij aan spelregels en melden gevonden kwetsbaarheden bij de betreffende organisatie om te voorkomen dat deze wellicht misbruikt worden door criminele hackers.

Organisatieparaatheid 

Als je een dergelijk evenement wilt organiseren zal je eerst het nodige voorwerk moeten doen. De gemeente moet er namelijk klaar voor zijn om dit soort concrete stappen op het gebied van digitale veiligheid te gaan zetten. Allereerst is het belangrijk om te peilen hoe je stakeholders hierover denken. Een hack-evenement raakt veel interne aspecten. Sta daarom ook niet gek te kijken als anderen niet (direct) enthousiast zijn. Als je deze stap neemt stel je je namelijk kwetsbaar op als gemeente, en dat is spannend. Hoe reageert de gemeente op beveiligingsincidenten, hoe zijn processen uitgewerkt? Hebben we alles wel op orde?

Belangrijk hierbij is om vanaf het begin je stakeholders heel goed te betrekken. Goede communicatie is dus cruciaal. Ga met ze in gesprek, geef ze een rol. Kortom, creëer eerst draagvlak. Hoe je dit doet, kun je lezen in onze vorige blog. Daarnaast moet er ook gekeken worden of er een proces is ingericht voor het melden van kwetsbaarheden. En ook het evalueren, vervangen en aanschaffen van benodigde systemen en infrastructuur is een onderdeel. In hoofdstuk 2 van de e-guide vind je diverse handvatten om je gemeente klaar te stomen.

Met de billen bloot

Zoals hierboven al beschreven kunnen stakeholders, zoals het management en/of bestuur, een dergelijk evenement spannend vinden. Als je deze stap neemt, moet je namelijk met de billen bloot durven gaan. Door dit te doen begeven zij zich op terrein waar ze zelf misschien minder kennis van hebben. En het kan ook behoorlijk confronterend zijn wanneer blijkt dat de beveiliging niet op orde is.

Wil je hen meekrijgen, dan zal je moeten beschikken over een sterke overredingskracht en goede argumenten. Want waarom zou je zelf hackers uitnodigen en vragen je systemen te hacken? Stiekem willen we misschien helemaal niet weten wat er niet op orde is, en als we het al willen weten, willen we zeker niet dat anderen dit ook weten. Toch geldt bij digitale veiligheid: hoe opener en transparanter je aanpak, hoe beter het resultaat. Wanneer deze bereidheid er niet of onvoldoende is, dan heeft het organiseren van een hack-evenement geen zin.

De scope bepalen

Wanneer je intern draagvlak hebt, kun je gaan nadenken over de scope. Hierbij is het erg belangrijk om je externe belanghebbenden, zoals leveranciers van systemen en applicaties, te betrekken. Ook hier geldt dat het kennisniveau van leveranciers flink kan verschillen en deelname spannend kan zijn. De systemen van de leverancier worden namelijk aangevallen door hackers. Uit ervaring van gemeente Den Haag blijkt, dat de inzichten die tijdens de wedstrijd naar voren komen, juist heel relevant en waardevol voor leveranciers zijn. Want wat ethische hackers in dit geval vinden, hadden ook hackers met kwade bedoelingen kunnen zijn. En dan kun je er maar beter zelf op deze manier achter komen. Met de bevindingen kunnen zij namelijk hun systemen en websites veiliger maken.

Eén van de bedrijven die aan Hâck The Hague heeft deelgenomen is DG Groep. In 2019 hebben zij meegedaan aan Hâck The Hague met hun applicatie GISIB online. Dit is een applicatie waarmee kapitaalgoederen van de overheid worden geregistreerd, geïnspecteerd en gemanaged. Denk aan wegen, lantaarnpalen, maar ook zaken als gras, bos, oevers en riet. Door deelname aan Hâck The Hague is dataveiligheid nu (veel) beter geborgd in bedrijfsprocessen. Hun ervaring en meer lees je in hoofdstuk 2.2. van de e-guide. Zo wordt er een aantal belangrijke processen beschreven, waarmee je de basis legt voor de uitvoering van je beleid en strategie voor digitale veiligheid.

Het hack-evenement 

Heb je al het voorwerk gedaan? Dán kun je starten met de organisatie van het hack-evenement zelf, wat vergeleken met het voorwerk, relatief eenvoudig is. Waar het met name om draait is een strakke planning, organisatie en coördinatie. Goede communicatie is ook hierbij weer essentieel. Want als het hack-evenement verkeerd uitpakt, kan dit ook zorgen voor negatieve publiciteit bij zowel de hackers als het publiek en in extreme gevallen zelfs datalekken waar niemand op zit te wachten. Zorg daarom voor een goed draaiboek en betrek bijvoorbeeld collega’s van communicatie of evenementenorganisatie. In de e-guide vind je een uitgewerkt draaiboek voor de organisatie van een hack-wedstrijd.

Kortom, denk je dat jouw gemeente hier klaar voor is? Probeer het dan ook eens, al dan niet in het klein, en benut deze guide.