De lange tafels in de centrale hal van het Haagse gemeentehuis zijn afgezet met een rood/wit lint. Het is niet de bedoeling dat de mensen erachter zomaar worden gestoord. Ook niet door journalisten die vragen waarom ze vandaag de gemeente Den Haag komen hacken. Dat moet wachten tot na de wedstrijd. De gemeente nodigde de 45 zogeheten ethische hackers uit om de beveiliging van de computersystemen uit te testen. Niet in een nagemaakte testomgeving, maar het echte werk. En niet voor een pluim, maar voor geld: de prijzenpot is gevuld met 10.000 euro. Nog altijd een stuk goedkoper dan het inhuren van een bedrijf om hetzelfde werk te doen, merkt verantwoordelijk wethouder Rachid Guernaoui op.

Gemeenten zijn kwetsbaar voor hackers met kwade bedoelingen, bleek eerder dit jaar uit het Dreigingsbeeld informatiebeveiliging Nederlandse Gemeenten. Vooral vanwege de berg gevoelige informatie over burgers die er aanwezig is en door nog onvoldoende kennis bij ambtenaren over de risico’s. Den Haag werd in 2014 nog met de neus op de feiten gedrukt door de gemeentelijke Rekenkamer. Onderzoekers konden veertien dagen ongezien in de systemen rondsnuffelen, ook door privégegevens van inwoners, bleek toen.

Bugs

Sindsdien is er een hoop verbeterd, verzekert Guernaoui. “Het blijft een continue race tussen beveiliging en inbrekers. Daarom is het belangrijk dat regelmatig te controleren. Dat doen we intern. Maar het is ook goed om mensen van buiten uit te nodigen.” Rik van Duijn is klaar en achter zijn computer vandaan. Hij heeft samen met zijn teamgenoot drie ‘bugs’ gevonden. “Niet allemaal even kritiek”, voegt hij eraan toe, maar toch is hij best tevreden.

Bij de prijsuitreiking aan het einde van de dag blijkt dat het werk goed is voor twee prijzen: de tweede plek voor meest creatieve hack en de tweede plek voor de hack met de grootste impact. Wat Van Duijn precies vond, wordt niet bekend gemaakt zolang de problemen niet zijn opgelost. In totaal vinden de hackers 62 zwakke plekken. Tien daarvan vallen in de categorie ‘hoge impact’. Eén is zelfs zo kritiek dat een heel systeem direct is uitgezet. Burgers zullen daar geen last van ondervinden, verzekert de gemeente. Het gaat ook niet om privégegevens.