De toekomst: Krantenkoppen voorkomen, dat doe je met ethische hackers

‘Vroeger wilden hackers vooral iets platleggen. Nu versleutelen ze data en vragen ze geld. Ze richten zich ook almaar meer op het publieke domein. Zo spelen ze in op de publieke opinie. In sommige gevallen laten ze van zich horen met verhalen over data van burgers die gestolen zouden kunnen zijn. Nu, daar moeten we toch echt wel voor oppassen. Een van de volgende stappen zou kunnen zijn dat ze dan rechtstreeks naar die burgers gaan om geld op te halen. Daarom is het hoog tijd dat lokale besturen werk van cyberveiligheid maken. Dat kan bijvoorbeeld door ethische hackers in te zetten.’

‘Ethische hackers testen de veiligheidssystemen en netwerken van een bedrijf. We breken in op die systemen om fouten en lekken te ontdekken en op te lossen. Zo strijden we tegen cybercriminaliteit. We simuleren een echte hacking, maar zonder alle risico’s die daaraan verbonden zijn. We richten geen schade aan, maar noteren alles netjes in een rapport. Zo kunnen bedrijven en lokale besturen de gaten dichtmetselen, zodat er geen volgende hacker langs daar binnen geraakt.’

‘België is het eerste land met een veilige-havenbeleid. Mocht een bedrijf je aanklagen vanwege een ethische hacking zonder toestemming, dan kun je aantonen dat je de procedure gevolgd hebt en dat je dat met goede intenties deed. Op die manier kun je niet veroordeeld worden. Dat was vroeger niet het geval: er stond zelfs expliciet vermeld dat je intenties (goed of slecht) er niet toe deden. We zetten dus werkelijk een grote stap vooruit om meer ethische hackings mogelijk te maken en dat is goed nieuws voor de lokale besturen.’

‘Een paar jaar geleden heb ik op eigen initiatief de stad Aalst een paar keer getest. Ik ben zelf van Aalst, dus ze wisten ook wel dat ik een ethische hacker was. Ze hebben daar zeer goed op gereageerd. Ze beseften hoe belangrijk dit was en zijn meteen aan de slag gegaan met de veiligheidslekken die ik gevonden had.

Sindsdien hebben ze ook een ethischehackersbeleid. Wie een kwetsbare plek ontdekt, kan dat doorgeven, en dan verschijnt de melder in de ‘hall of fame’ op de website van Aalst. Intussen zijn er al tientallen ethische hackers, niet alleen van België, maar ook van Australië en de Verenigde Staten.’

'Vroeger zou men gedacht hebben: Oei, er zijn al meerdere kwetsbaarheden gevonden. Is het dan niet slecht gesteld met de veiligheid van onze gegevens? Niets is minder waar: alle veiligheidslekken zijn gevonden en verholpen. Je zou dus eerder kunnen zeggen dat het bij hen veiliger is dan bij de rest.’

‘Stop even met lezen en denk eens na: je bent een ethische hacker en je bent op zoek naar een zwakke plek binnen je lokale bestuur. Dat kan binnen een softwareprogramma zijn of binnen een proces. Waar begin je te kijken? Ik stel deze vraag vaak aan technische, maar ook niet-technische medewerkers. Het eerste dat in hen opkomt, dat moet je eigenlijk al meteen oplossen. In feite weten mensen echt wel waar de lekken zich bevinden, maar ze komen nooit in een situatie waarin ze gedwongen worden om zichzelf die vraag te stellen.’

‘Een van de grootste risico’s die ik bij lokale besturen zie, is shadow IT. Iedereen heeft zijn eigen officieel systeem, maar toch zetten medewerkers vaak daarnaast hun eigen dingen op. Ze starten snel een Google Sheet op, terwijl het bestuur eigenlijk Sharepoint gebruikt. Ze gaan daar dan bepaalde gevoelige informatie in delen en zo is een veiligheidslek snel ontstaan. Ik denk dat dat de grootste uitdaging is voor steden en gemeenten. Je hebt wel tools en regelgeving die wordt opgelegd vanuit de overheid en het lokale bestuur, maar dat wil niet zeggen dat die allemaal gevolgd worden. Je moet testen, en daar kunnen ethische hackers bij helpen.’

‘De lokale besturen hebben het niet gemakkelijk, qua budget, qua capaciteit om aan hun cyberveiligheid te werken. Daarom is het zo belangrijk om in te gaan op gratis initiatieven, zoals ethisch hacken. De VVSG heeft in het kader van het project Cyberveilige gemeenten een toolkit uitgebracht. Daar staan veel interessante zaken in, maar ik wil graag de Responsible Disclosure in de schijnwerpers zetten. Zoals de stad Aalst gedaan heeft, kun je gemakkelijk een meldingsbeleid op je website plaatsen. Zo stimuleer je dat ook en je kunt heel creatief omgaan met beloningen. In Nederland krijg je bijvoorbeeld een T-shirt met de boodschap: I hacked the Dutch government and all I got was this lousy T-shirt. Dat is een soort trofee voor de ethische hackers en het kost weinig geld. Als hackers met slechte bedoelingen binnen zouden dringen, zou het je veel meer kosten, natuurlijk. Bedankt zeggen is dus eigenlijk het belangrijkste.’

‘Ik heb de afgelopen tien jaar gelobbyd om ongeautoriseerde testen te mogen doen. Die wet is er nu gekomen, maar wat is het volgende punt op mijn agenda? Ik zou er graag voor zorgen dat de lokale besturen jaarlijks testen moeten doen, maar dat ze de resultaten ook moeten publiceren. Wat we nog kunnen leren van andere besturen, is transparantie. Nederland, Zweden en Denemarken staan daar al verder in dan wij. We moeten er allemaal achter staan dat hoe meer lekken er gevonden worden, hoe beter het is. Die lekken moeten dan uiteraard wel verholpen worden, na de ethische hacking.’—

Eliene Rijcken is VVSG-projectmedewerker communicatie en kennisdeling | Beelden Stefan Dewickere
Voor Lokaal 06 | 2023