Gemeente.nu

Nieuws voor gemeenten

Goed voorbeeld – Zo hack je een stad

door

De gemeente Den Haag zet ieder jaar hackers in om de digitale weerbaarheid van de stad te verhogen. Dat heeft intussen veel inzichten opgeleverd. Plus een digitale uitgave, die elke gemeente kan gebruiken voor het beveiligen van ICT-systemen.

Jaarlijks laat Den Haag haar systemen door ethische hackers aanvallen tijdens het evenement Hâck The Hague, op zoek naar zwakke plekken. Tijdens de laatste – online – editie, trok de wedstrijd zelfs hackers uit meer dan twintig landen wereldwijd. Lessen die de gemeente opdeed, zijn gebundeld in de e-guide Zo hack je een stad. De gids legt gedetailleerd uit wat je als gemeente kunt doen om de digitale veiligheid te verbeteren. 

Jeroen Schipper is Chief Information Security Officer (CISO) bij de gemeente Den Haag. Hij is verantwoordelijk voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de Haagse data en ICT-systemen. Schipper legt uit wat de toegevoegde waarde is van zo’n evenement, wat je beter wel en niet kunt doen en wat belangrijke randvoorwaarden zijn. 

Hâck The Hague: aanvallen en verdedigen

‘Hâck The Hague is voor ons enorm belangrijk,’ aldus Schipper. ‘Het zorgt ervoor dat we onze systemen en die van toeleveranciers testen. Tegelijkertijd moeten onze eigen medewerkers onder tijdsdruk in actie komen. Om in de gaten te houden wat er tijdens de wedstrijd op onze systemen en met onze data gebeurt en om gevonden kwetsbaarheden zo snel mogelijk op te lossen. Dat laatste is net zo goed een wedstrijd: de meeste aandacht ligt bij de aanvallers, maar ook de verdediging is hard aan het werk.’ 

Een wedstrijd als deze werkt volgens hem ook goed om binnen de gemeente aandacht te vragen voor digitale veiligheid. De gemeentemedewerkers spelen daarin een sleutelrol. ‘Als zij zich voldoende bewust zijn van de risico’s, en hun gedrag daarop aanpassen, dan maakt dat het werk van mijn team en mij een stuk gemakkelijker.’ 

Wat gebeurt daar?

Ook richting de inwoners heeft het meerwaarde. ‘Bijvoorbeeld door de media-aandacht, maar ook doordat bezoekers van het stadhuis bij de live edities de hackers in het midden van het Atrium bezig zien. Dat roept vragen op. Wat gebeurt daar nu eigenlijk? Een mooi moment om met elkaar in gesprek te gaan over het belang van digitale veiligheid voor onze samenleving.’ 

Voor Den Haag is ook van belang dat de gemeente langs deze weg direct kan samenwerken met ethische hackers. In Nederland, maar ook daarbuiten. Schipper: ‘In die community zit enorm veel kracht, kennis en creativiteit. Dat we als samenleving zo kunnen profiteren van de mogelijkheden die digitalisering biedt, is in hoge mate aan zulke mensen te danken.’

Do’s en dont’s

‘Begin op tijd,’ is het belangrijkste advies van Schipper. ‘Het is veel werk en de dag van de wedstrijd is eigenlijk alleen maar een momentopname. Het gaat vooral om de stappen die je neemt in aanloop naar én na afloop van die dag. Denk aan het implementeren van de juiste beveiligingsmaatregelen. En detecteer en verhelp al zoveel mogelijk de kwetsbaarheden in de ICT-systemen. Het blijft een wedstrijd, dus je wilt niet dat het te makkelijk prijsschieten wordt.’

Maak het de hackers zo moeilijk mogelijk, daag ze écht uit om creatief te zijn, raadt Schipper aan. ‘Eigenlijk is het net als bij het schilderen van een huis: 90 procent van het werk is voorbereiden en schoonmaken, daar komt geen druppel verf aan te pas. En na het schilderen moet je ook de tijd nemen om alle tape weg te halen en opnieuw schoon te maken. Pas daarna zit het werk erop.’

‘Ga niet te snel en te groot van start,’ vervolgt hij. ‘Wij laten hackers inmiddels onze live systemen hacken, maar bij de eerste editie in 2017 was dit een aparte omgeving, die los stond van onze bedrijfsvoering en dienstverlening. Met de jaren hebben we dit steeds meer uitgebouwd. Zo konden we rustig experimenteren, van ervaringen leren en binnen het stadhuis mensen laten wennen aan deze nieuwe manier van kijken naar onze digitale veiligheid.’

E-guide als leidraad

Schipper, tot slot: ‘We hebben eigenlijk alles zelf moeten uitvinden. Dat heeft enorm veel werk gekost. Als we hadden geweten hoeveel werk het zou zijn, waren we er misschien niet eens aan begonnen. Daarom hebben we alle kennis en ervaring nu gebundeld in de e-guide. Zodat andere gemeenten of organisaties al dat voorwerk kunnen overslaan en direct kunnen beginnen.’

Tagged With: , , , Filed Under: Cybersecurity, Digitalisering, Goed voorbeeld

Reader Interactions

GERELATEERD

Nieuwe inzichten over levensloop woningen

Hoeveel woningen zijn er gepland, van hoeveel is de bouw begonnen en hoeveel zijn er recent gebouwd? In het nieuwe CBS-systeem kan dit soort informatie beter verwerkt worden. Daardoor ontstaat er meer inzicht in de levensloop van woningen.

Autoriteit Persoonsgegevens op inspectie bij gemeenten

De komende maanden zal de Autoriteit Persoonsgegevens (AP) verschillende gemeenten steekproefsgewijs bezoeken. Via deze inspecties wil de AP controleren hoe gemeenten omgaan met de privacy en persoonsgegevens van burgers en eventueel helpen met verbetering.

Wijziging Kadasterwet schiet tekort in databescherming 

Het voorstel voor de wijziging van de Kadasterwet voorkomt niet dat onbetrouwbare partijen toegang krijgen tot kadastergegevens. Dat zegt de Autoriteit Persoonsgegevens (AP) na toetsing van het concept.  De AP stelt dat de wetswijziging niet kan doorgaan als er geen goede maatregelen zijn om te voorkomen dat onbetrouwbare bedrijven toegang krijgen tot persoonsgegevens.  Tekortkomingen Kadasterwet ... lees verder