Cyberveiligheid: Ethische hackers geven 104 steden en gemeenten inzage in zwakke plekken

In 2020 lanceerden de VVSG en de Vlaamse overheid Cyberveilige Gemeenten, een project om lokale overheden weerbaarder te maken tegen hackers. Daar zit ook een kosteloos aanbod bij waarmee steden en gemeenten hun IT-omgeving, -systemen en -toepassingen kunnen laten doorlichten door studenten Cyber Security Professional van Howest. De gemeente Ruiselede stelde zich meteen kandidaat, want ze wou wel zicht krijgen op eventuele kwetsbaarheden.

‘Ondertussen is het glashelder dat cyberveiligheid in de komende jaren aan belang zal blijven winnen. We hebben vorig jaar daarom besloten een ICT-veiligheidsaudit met cofinanciering via Audit Vlaanderen te laten uitvoeren en ons meteen ook aan te melden voor de samenwerking met Howest. Er zijn genoeg voorbeelden van lokale besturen, ook in de regio, die op een gegeven moment het slachtoffer worden van een cyberaanval. Het is dan ook ons doel om op reguliere basis dergelijke testen te laten uitvoeren en zo te blijven inzetten op cyberveiligheid,’ vertelt algemeen directeur Florian Van de Sompel.

‘Het grote voordeel is dat deze pentesters (penetratietesters of pentesters toetsen computersystemen op kwetsbaarheden; nvdr) naar de IT-omgeving kunnen kijken vanuit het perspectief van een hacker. Wij weten wel hoe de binnenzijde eruitziet, maar het is niet altijd eenvoudig om van buitenaf zicht te krijgen op de situatie. Bovendien zijn heel wat lokale besturen in grote mate afhankelijk van externe leveranciers, die al snel zullen zeggen dat ze zich geen zorgen hoeven te maken over de veiligheid van hun hard- ensoftware.Maar testresultatenwijzenuit dat ook leveranciers soms steken laten vallen,’ voegt ICT-deskundige Hendrik De Graeve toe.

Deze samenwerking heeft tastbare voordelen voor lokale besturen, maar ook voor de studenten van Howest vormt ze een interessante kans. Gedurende hun academisch parcours worden ze grondig opgeleid om ICT-veiligheidstesten correct en met de nodige voorzorg uit te voeren, maar een IT-professional moet ook over andere vaardigheden beschikken, en die leer je niet altijd op de schoolbanken. ‘Via labs kunnen de studenten technische kennis opbouwen, maar het is toch nog net iets anders om dit in een reële omgeving te doen.

Zelfstandig werken, communicatie, risicoschattingen, debriefen…, het zijn stuk voor stuk belangrijke vaardigheden voor een cybersecurityexpert, en de studenten kunnen ze via deze weg oppikken. Daarnaast past het traject ook mooi in de opdracht van onze hogeschool: we doen veel onderzoek over cyberpreventie en beschouwen het dan ook als onze taak om mensen en organisaties bewust te maken van de reële gevaren,’ vertelt Howest-coördinator Kurt Schoenmaekers.

De ethische hackers van dienst – Bram Ravijts, Edward Bogaerts en Lowie van Hooreweder – bevestigen zelf ook dat dit een waardevolle aanvulling op hun opleiding vormt, dankzij de complexiteit van een echte IT-omgeving en het belang van dialoog met de cliënt. ‘De schaal is zonder twijfel een van de grootste uitdagingen waarop we gebotst zijn. Het is verbazingwekkend hoeveel data lokale besturen verwerken en hoe groot het netwerk is. Er komt dan ook veel onderzoek en voorzichtigheid aan te pas om mogelijke kwetsbaarheden te vinden die hackers kunnen misbruiken. Gelukkig konden we steeds rekenen op een constructieve dialoog met de gemeente Ruiselede. Geregeld kwamen ze eens kijken hoe de testen verliepen en of we vragen hadden,’ klinkt het bij de studenten.

Een ICT-veiligheidsaudit of pentesten laten uitvoeren is een belangrijke eerste stap, maar natuurlijk moeten de resultaten ook leiden tot verbeteracties. Naar aanleiding van de ICT-veiligheidsaudit met cofinanciering namen ze in Ruiselede al belangrijke maatregelen, zoals de opmaak van een businesscontinuïteitsplan en een geïntegreerd meerjarig informatieveiligheidsplan, en de aanstelling van een externe DPO (data protection officer), maar de gemeente engageert zich om ook met de nieuwste resultaten aan de slag te gaan. ‘We zullen de resultaten uit beide audits naast elkaar leggen en punt per punt kijken welke acties we moeten ondernemen. Zo leerde het rapport van de studenten bijvoorbeeld dat werknemers wel op de hoogte zijn van de regels voor informatie- en cyberveiligheid, maar dat ze die in de praktijk niet altijd volgen. Op basis van de resultaten kunnen we dan ook bijkomend gericht sensibiliseren,’ vertelt de algemeen directeur.

De coronacrisis is nu al een belangrijk scharnierpunt gebleken voor allerlei maatschappelijke ontwikkelingen, zoals de omslag naar digitale systemen en toepassingen. Van VPN-connecties voor telewerk tot online afspraaksystemen en datagedreven barometers, ook in kleinere besturen is de verandering sterk voelbaar. ‘Honderd jaar geleden werkten onze voorgangers met een uitgekiend systeem van sleutelbeheer om vertrouwelijke gegevens te beschermen tegen misbruik van onbevoegden, nu moeten wij voortdurend hetzelfde nastreven met hedendaagse, innovatieve oplossingen.

Of het nu gaat over Gent of Ruiselede, cybercriminaliteit zal niet verdwijnen, integendeel. Dat blijkt ook geregeld op onze vergaderingen met de intergemeentelijke samenwerking Midwest. Inwoners liggen er misschien minder wakker van dan van een nieuwe straat of een extra speelplein, maar wanneer het misloopt zijn de gevolgen immens,’ benadrukt de algemeen directeur. De kans dat de opmars van cybercrime de komende jaren zal afnemen, is ook volgens Howest-coördinator Kurt Schoenmaekers klein. Want terwijl lokale besturen en bedrijven investeren in gerichte maatregelen en oplossingen, kijken hackers hoe ze hun activiteiten effectiever en lucratiever kunnen maken.

‘Mal- en ransomware zullen ook de komende jaren de zwaarste cyberdreiging blijven voor organisaties. Zorgwekkend hier zijn de experimenten met malware die uit containers kan ontsnappen, wat inhoudt dat je er niet langer van kunt uitgaan dat een besmetting zodra ze ingesloten is, ook onschadelijk is. Daarnaast zal artificiële intelligentie ook een toenemende rol spelen: cybercriminelen zullen in staat zijn om via slimme technologieën sneller de juiste slachtoffers te zoeken voor een phishingaanval, en boodschappen te versturen die het taalgebruik van bestaande personen – zoals een burgemeester of financieel directeur – nagenoeg perfect nabootsen.

Daarnaast merk je ook dat het speelveld van hackers met een snel tempo evolueert en professionaliseert. Zo is cybercriminaliteit ondertussen ook een dienst, met partners op het darknet die tegen betaling denial-of-serviceaanvallen uitvoeren of gijzelsoftware verspreiden. Het is dus een landschap in snelle verandering, even uitblazen is geen optie voor wie zich wil wapenen tegen cybercriminaliteit,’ merkt de Howest-expert op.

In nogal wat steden en gemeenten leeft het besef dat bijkomende inspanningen nodig zijn, maar in de praktijk is het niet altijd even eenvoudig om een versnelling hoger te schakelen in deze strijd. Verouderde technologieën, een versnelde mobiliteit van data en een gebrek aan controle op toeleveranciers zijn maar enkele van de struikelblokken waar lokale besturen op botsen. ‘Je netwerk is maar zo veilig als de zwakste schakel. Dikwijls vind je in organisaties en lokale besturen systemen terug die in de loop van de tijd vergeten zijn geraakt, wat natuurlijk niet zonder risico’s is.

Door de komst van mobiele toestellen en telewerk zijn gegevens nu ook een stuk mobieler dan vroeger, wat de controle bemoeilijkt,’ zegt algemeen directeur Florian Van de Sompel. ‘Het is ook niet altijd even eenvoudig om als kleiner bestuur je leveranciers in vraag te stellen of inzage te krijgen in de veiligheid van je systemen en toepassingen,’ haalt ICT-deskundige Hendrik De Graeve aan. Gelukkig is het ook mogelijk om hier de controle wat terug te nemen, door kritisch te blijven gedurende de samenwerking: ‘Verken de markt, blijf zoeken en blijf vooral vragen stellen.

Het is gevaarlijk om zonder meer te vertrouwen op de goede wil van leveranciers. Steeds weer moeten de juiste vragen gesteld worden, met betrekking tot GDPR, veiligheidsupdates en opvolging bij incidenten. Ook bij beleidskeuzes en investeringen moet je als lokaal bestuur telkens weer je huiswerk doen. Kies niet voor de zoveelste flitsende, digitale trend, maar maak goed gefundeerde keuzes die geen nieuwe deuren openzetten,’ besluit Howest-coördinator Kurt Schoenmaekers. —

Tomas Coppens is oud-VVSG-stafmedewerker communicatie en cyberveiligheid
Voor Lokaal 06 | 2022