Gemeente.nu

Nieuws voor gemeenten

Goed voorbeeld – Zo hack je een stad

door

De gemeente Den Haag zet ieder jaar hackers in om de digitale weerbaarheid van de stad te verhogen. Dat heeft intussen veel inzichten opgeleverd. Plus een digitale uitgave, die elke gemeente kan gebruiken voor het beveiligen van ICT-systemen.

Jaarlijks laat Den Haag haar systemen door ethische hackers aanvallen tijdens het evenement Hâck The Hague, op zoek naar zwakke plekken. Tijdens de laatste – online – editie, trok de wedstrijd zelfs hackers uit meer dan twintig landen wereldwijd. Lessen die de gemeente opdeed, zijn gebundeld in de e-guide Zo hack je een stad. De gids legt gedetailleerd uit wat je als gemeente kunt doen om de digitale veiligheid te verbeteren. 

Jeroen Schipper is Chief Information Security Officer (CISO) bij de gemeente Den Haag. Hij is verantwoordelijk voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de Haagse data en ICT-systemen. Schipper legt uit wat de toegevoegde waarde is van zo’n evenement, wat je beter wel en niet kunt doen en wat belangrijke randvoorwaarden zijn. 

Hâck The Hague: aanvallen en verdedigen

‘Hâck The Hague is voor ons enorm belangrijk,’ aldus Schipper. ‘Het zorgt ervoor dat we onze systemen en die van toeleveranciers testen. Tegelijkertijd moeten onze eigen medewerkers onder tijdsdruk in actie komen. Om in de gaten te houden wat er tijdens de wedstrijd op onze systemen en met onze data gebeurt en om gevonden kwetsbaarheden zo snel mogelijk op te lossen. Dat laatste is net zo goed een wedstrijd: de meeste aandacht ligt bij de aanvallers, maar ook de verdediging is hard aan het werk.’ 

Een wedstrijd als deze werkt volgens hem ook goed om binnen de gemeente aandacht te vragen voor digitale veiligheid. De gemeentemedewerkers spelen daarin een sleutelrol. ‘Als zij zich voldoende bewust zijn van de risico’s, en hun gedrag daarop aanpassen, dan maakt dat het werk van mijn team en mij een stuk gemakkelijker.’ 

Wat gebeurt daar?

Ook richting de inwoners heeft het meerwaarde. ‘Bijvoorbeeld door de media-aandacht, maar ook doordat bezoekers van het stadhuis bij de live edities de hackers in het midden van het Atrium bezig zien. Dat roept vragen op. Wat gebeurt daar nu eigenlijk? Een mooi moment om met elkaar in gesprek te gaan over het belang van digitale veiligheid voor onze samenleving.’ 

Voor Den Haag is ook van belang dat de gemeente langs deze weg direct kan samenwerken met ethische hackers. In Nederland, maar ook daarbuiten. Schipper: ‘In die community zit enorm veel kracht, kennis en creativiteit. Dat we als samenleving zo kunnen profiteren van de mogelijkheden die digitalisering biedt, is in hoge mate aan zulke mensen te danken.’

Do’s en dont’s

‘Begin op tijd,’ is het belangrijkste advies van Schipper. ‘Het is veel werk en de dag van de wedstrijd is eigenlijk alleen maar een momentopname. Het gaat vooral om de stappen die je neemt in aanloop naar én na afloop van die dag. Denk aan het implementeren van de juiste beveiligingsmaatregelen. En detecteer en verhelp al zoveel mogelijk de kwetsbaarheden in de ICT-systemen. Het blijft een wedstrijd, dus je wilt niet dat het te makkelijk prijsschieten wordt.’

Maak het de hackers zo moeilijk mogelijk, daag ze écht uit om creatief te zijn, raadt Schipper aan. ‘Eigenlijk is het net als bij het schilderen van een huis: 90 procent van het werk is voorbereiden en schoonmaken, daar komt geen druppel verf aan te pas. En na het schilderen moet je ook de tijd nemen om alle tape weg te halen en opnieuw schoon te maken. Pas daarna zit het werk erop.’

‘Ga niet te snel en te groot van start,’ vervolgt hij. ‘Wij laten hackers inmiddels onze live systemen hacken, maar bij de eerste editie in 2017 was dit een aparte omgeving, die los stond van onze bedrijfsvoering en dienstverlening. Met de jaren hebben we dit steeds meer uitgebouwd. Zo konden we rustig experimenteren, van ervaringen leren en binnen het stadhuis mensen laten wennen aan deze nieuwe manier van kijken naar onze digitale veiligheid.’

E-guide als leidraad

Schipper, tot slot: ‘We hebben eigenlijk alles zelf moeten uitvinden. Dat heeft enorm veel werk gekost. Als we hadden geweten hoeveel werk het zou zijn, waren we er misschien niet eens aan begonnen. Daarom hebben we alle kennis en ervaring nu gebundeld in de e-guide. Zodat andere gemeenten of organisaties al dat voorwerk kunnen overslaan en direct kunnen beginnen.’

Tagged With: , , , Filed Under: Cybersecurity, Digitalisering, Goed voorbeeld

Reader Interactions

GERELATEERD

Operationele technologie Den Haag gehackt

Tijdens het terugkerende Hâck The Hague evenement werd dit keer op verzoek operationele technologie (OT) gehackt, zoals stoplichten en camera’s. Hackers vonden verschillende kwetsbaarheden van uiteenlopende veiligheidsrisico’s. Inmiddels hebben meer gemeenten vergelijkbare projecten opgestart. De hofstad zette deze editie opnieuw eerlijke hackers in om kwetsbaarheden in de gemeentelijke systemen op te sporen. Zes uur lang namen... lees verder

Pilot met koppeling data geeft inzicht in isolatiewaarde woningen

Gemeenten kunnen met een nieuwe dataset zien welke woningen slecht geïsoleerd zijn. De set is een koppeling van data van de Rijksdienst voor Ondernemend Nederland (RVO) en het Kadaster. Een pilot in de gemeente Apeldoorn laat zien in welke wijken de opgave het grootst is.  Het verduurzamen van woningen start volgens het Kadaster bij het... lees verder

Opinie Doodsbenauwd om gegevens te delen

Onderzoeker Peter Castenmiller merkt dat overheden en hun medewerkers ‘doodsbenauwd’ zijn geworden om gegevens van inwoners te delen. Jaren geleden was dat wel anders, al ging dat eigenlijk weer ‘te ver’. In het kader van een evaluatie van een applicatie van een ministerie vroegen we relevante gebruiksgegevens op. De beheerder van de applicatie reageerde snel.... lees verder

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *