Tijdens het terugkerende Hâck The Hague evenement werd dit keer op verzoek operationele technologie (OT) gehackt, zoals stoplichten en camera’s. Hackers vonden verschillende kwetsbaarheden van uiteenlopende veiligheidsrisico’s. Inmiddels hebben meer gemeenten vergelijkbare projecten opgestart.
De hofstad zette deze editie opnieuw eerlijke hackers in om kwetsbaarheden in de gemeentelijke systemen op te sporen. Zes uur lang namen de 40 hackers in de hal van het stadhuis de operationele technologie (OT) van de gemeente Den Haag onder handen. OT staat voor de IT in de buitenruimte. Zo testten de hackers stoplichten, laadpalen, een testopstelling van beweegbare bruggen, de opstelling van een gemaal en camera’s. Ook werden laptops uitgelezen, camera’s opengeschroefd en werd bijvoorbeeld getest of de Koningstunnel via een testsimulator bereikbaar was.
Dit was de zesde editie van Hâck The Hague. De stad nodigt hierbij professionele hackers en studenten uit voor de hackwedstrijd. Het idee achter de hack is dat de gemeente zich kwetsbaar op stelt, om zo juist minder kwetsbaar te worden.
Inzicht in zwakke plekken
Waar in eerdere edities aandacht was voor kwetsbaarheden in IT-systemen, draaide het dit jaar juist om het opsporen van kwetsbaarheden in de operationele technologie en aanverwante hardware. Denk hierbij bijvoorbeeld aan laadpalen voor elektrische auto’s, verkeersregelinstallaties en het cameramanagementsysteem.
Juist die operationele technologie wordt steeds belangrijker als het gaat om beveiliging, aldus Jeroen Schipper, CISO van de gemeente Den Haag. ‘De systemen en apparaten die vandaag werden getest zijn ook voor kwaadwillenden bereikbaar. Tijdens Hâck The Hague proberen we op een veilige en gecontroleerde manier inzicht te krijgen in de mogelijke zwakke plekken, zodat we ze kunnen oplossen. Dit vergroot niet alleen onze veiligheid, maar ook die van alle andere gebruikers wereldwijd.’
Schipper legde eerder aan Gemeente.nu uit wat de toegevoegde waarde is van zo’n evenement, wat je beter wel en niet kunt doen en wat belangrijke randvoorwaarden zijn. Ook leidde het event tot een digitale uitgave, die elke gemeente kan gebruiken voor het beveiligen van ICT-systemen.
Opbrengst
Na afloop van het hackevent kwamen verschillende unieke meldingen van kwetsbaarheden naar buiten. Drie hiervan bezorgden hackers een geldprijs. De eerste prijs ging naar hackers die iets konden aanpassen in een webportaal, een bevinding met een hoog risico. De tweede prijs was voor een melding met een hoog risico, waarbij slechte segmentatie van het netwerk een groot aanvalsoppervlak veroorzaakte. En de derde prijs ging naar een bevinding met een gemiddeld dreigingsniveau. Een verkeerde invoer zou kunnen leiden tot het uitvallen van een portaal.
Twee bevindingen van hackers ontvingen een eervolle vermelding. De eerste betrof een kwetsbaarheid met een lage dreiging, met daarbij een concreet uitvoerbare suggestie voor een systeemverbetering. De tweede eervolle vermelding had een gemiddelde dreiging en had te maken met mogelijke financiële impact.
Meer ‘hack’ projecten
Inmiddels hebben ook andere gemeenten vergelijkbare projecten uitgerold of doen dit binnenkort. Zo organiseert de gemeente Groningen binnenkort Hack050. Hier gaan Groningse studenten en ethische hackers strijden om de beste hack. Het doel is het aantonen van kwetsbaarheden op de digitale omgeving van de gemeente Groningen. Een tijd terug riep de gemeente Amsterdam eveneens ethische hackers op zwakke plekken in het gemeentelijke informatiesysteem op te sporen en te melden. De stad opende hiervoor een online meldpunt.
Provincie Gelderland organiseerde een cyberchallenge waarbij gemeenten in de provincie worden gehackt. Zo kregen de Gelderse gemeenten een nulmeting van hun cyberveiligheid en werden bedreigingen in kaart gebracht.
Geef een reactie