Den Haag laat zich bewust hacken: ‘Een stuk goedkoper dan een bedrijf inhuren’

Hackers richten hun pijlen op de digitale systemen van de gemeente Den Haag. Dit doen ze op verzoek van de gemeente zelf, om zo de ICT in het stadhuis te testen op kwetsbaarheden.Beeld Phil Nijhuis

De gemeente Den Haag nodigde hackers uit om de computersystemen te kraken. Het resultaat: 62 kwetsbare plekken en één systeem direct uitgezet.

De lange tafels in de centrale hal van het Haagse gemeentehuis zijn afgezet met een rood/wit lint. Het is niet de bedoeling dat de mensen erachter zomaar worden gestoord. Ook niet door journalisten die vragen waarom ze vandaag de gemeente Den Haag komen hacken. Dat moet wachten tot na de wedstrijd. De gemeente nodigde de 45 zogeheten ethische hackers uit om de beveiliging van de computersystemen uit te testen. Niet in een nagemaakte testomgeving, maar het echte werk. En niet voor een pluim, maar voor geld: de prijzenpot is gevuld met 10.000 euro. Nog altijd een stuk goedkoper dan het inhuren van een bedrijf om hetzelfde werk te doen, merkt verantwoordelijk wethouder Rachid Guernaoui op.

Gemeenten zijn kwetsbaar voor hackers met kwade bedoelingen, bleek eerder dit jaar uit het Dreigingsbeeld informatiebeveiliging Nederlandse Gemeenten. Vooral vanwege de berg gevoelige informatie over burgers die er aanwezig is en door nog onvoldoende kennis bij ambtenaren over de risico’s. Den Haag werd in 2014 nog met de neus op de feiten gedrukt door de gemeentelijke Rekenkamer. Onderzoekers konden veertien dagen ongezien in de systemen rondsnuffelen, ook door privégegevens van inwoners, bleek toen. 

Bugs

Sindsdien is er een hoop verbeterd, verzekert Guernaoui. “Het blijft een continue race tussen beveiliging en inbrekers. Daarom is het belangrijk dat regelmatig te controleren. Dat doen we intern. Maar het is ook goed om mensen van buiten uit te nodigen.” Rik van Duijn is klaar en achter zijn computer vandaan. Hij heeft samen met zijn teamgenoot drie ‘bugs’ gevonden. “Niet allemaal even kritiek”, voegt hij eraan toe, maar toch is hij best tevreden.

Beeld Phil Nijhuis

Bij de prijsuitreiking aan het einde van de dag blijkt dat het werk goed is voor twee prijzen: de tweede plek voor meest creatieve hack en de tweede plek voor de hack met de grootste impact. Wat Van Duijn precies vond, wordt niet bekend gemaakt zolang de problemen niet zijn opgelost. In totaal vinden de hackers 62 zwakke plekken. Tien daarvan vallen in de categorie ‘hoge impact’. Eén is zelfs zo kritiek dat een heel systeem direct is uitgezet. Burgers zullen daar geen last van ondervinden, verzekert de gemeente. Het gaat ook niet om privégegevens.

Bewijs

Dat de hackers daadwerkelijk inbreken op de gemeentelijke systemen, betekent wel dat er spelregels zijn. Zoals: alles moet doordraaien. Terwijl de hackers digitale aanvallen uitvoeren, is het gewoon een komen en gaan van mensen aan de achterliggende publieksbalies. En er is meer, zegt Pieter Jansen, directeur van Cybersprint, de mede-organisator van het evenement. “Als ze iets vinden dan moeten ze dat melden in een speciale digitale portal. Ze mogen het niet direct openbaar maken. En ze moeten er bewijs bijleveren, bijvoorbeeld in de vorm van screenschots.”

Mag de gemeente na een dag kraken concluderen weer helemaal veilig te zijn? “Als je ons langer de tijd geeft, vinden we meer”, verzekert Rik van Duijn. Bovendien is één van de zwakste schakels vandaag buiten schot gebleven: de ambtenaren. Telkens blijkt uit onderzoeken dat je computersystemen technisch nog zo goed kunt beveiliging, maar dat de mens geneigd blijft soms toch op dat linkje in een frauduleuze e-mails te klikken. 

Maar beter ook dat dat buiten de spelregels viel, zegt Van Duijn. “Het zou hier een chaos worden als 45 mensen iedereen zouden bestoken met phishingmails.”

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden