Meer dan twintig ethical hackers hebben op vrijdag 29 september geprobeerd de ICT-systemen van de gemeente Den Haag te hacken. De gemeente organiseerde deze ‘Bug Bounty Challenge’ in samenwerking met het Haagse cyber security bedrijf Cybersprint, om haar systemen te laten testen op mogelijke onveiligheden.
Tijdens de challenge zijn drie mogelijke zwakke punten in de systemen gevonden, maar het is geen enkele hacker gelukt in de gemeentelijke ICT door te dringen.
De gemeente heeft cyber security hoog in het vaandel staan en beschermt de ICT systemen zo goed mogelijk tegen misbruik. De challenge die vanmorgen werd georganiseerd in het Atrium van het stadhuis, de openbare huiskamer van de gemeente, vond plaats op de laatste dag van de Cyber Security Week.
Wethouder Rabin Baldewsingh, verantwoordelijk voor de ICT-omgeving van de gemeente: “De veiligheid van de burgers én van hun gegevens staat voor ons voorop. Ik vind het daarom belangrijk dat we onze systemen zo goed mogelijk bouwen, continu monitoren en ook aan zware tests moeten durven onderwerpen. Ik ben er trots op dat we dit als organisatie op een transparante manier durven te doen en dat deze ethische hackers Den Haag hebben geholpen om drie mogelijke zwakke punten in de systemen te vinden. Maar ook dat er verder geen grote lekken zijn gevonden.”
Responsible disclosure beleid
Deze ‘challenge’ was ook hét moment om het nieuwe responsible disclosure beleid van de gemeente bekend te maken. Marijn Fraanje, CIO van de Gemeente Den Haag: “100 procent veiligheid bestaat niet. Wat vandaag veilig is, kan door nieuwe hacktechnieken morgen misschien toch opengebroken worden. Met een goed responsible disclosure beleid kunnen we op een andere manier samenwerken met hackers en onze systemen dus nog beter beschermen op basis van de meldingen die we krijgen.”
De gevonden kwetsbaarheden werden, zoals vooraf met de hackers afgesproken, direct gemeld aan de organisatie, zodat direct actie kon worden ondernomen. Het betrof geen kritieke kwetsbaarheden, maar met het ‘dichtzetten’ van deze ingangen wordt het systeem nog meer beschermd.
De hack-wedstrijd vond plaats in het vrij toegankelijk Atrium van het Haagse. Na drie uur hacken bepaalde de jury, bestaande uit juryvoorzitter Ancilla van der Leest (privacy adviseur), Pieter Jansen (CEO Cybersprint), Thijs Bosschert (Incident Response & Security Professional) en Marijn Fraanje (CIO Gemeente Den Haag), wie de winnaars waren: A-K (@xxByte voor de most sophisticated hack, Oude Meesters voor de most impactful hack en voor de most surprising hack de Looney Toons.
Wethouder Rabin Baldewsing reikte de prijzen uit: 1666 euro per categorie, plus een winnaarsbokaal.
Pieter Jansen, CEO Cybersprint: “Het doel van deze hack-wedstrijd is bereikt. Met de gevonden kwetsbaarheden kunnen we zowel de infrastructuur van de gemeente Den Haag nog verder verbeteren, als ook het Digital Risk Monitoring platform van Cybersprint. Wij hopen andere gemeentes hiermee te inspireren om hun systemen ook te testen.”
