Partner

20 februari 2024

Tech, Ict & Smart

Hackaton Eindhoven 2023

NUT EN NOODZAAK

De gemeente Eindhoven is de eerste gemeente die sinds 2014 jaarlijks een Hackaton organiseert. Dat doet zij samen met de Fontys hogeschool in Eindhoven en een professioneel beveiligingsbedrijf die de studenten ondersteunt en adviseert, maar niet zelf meedoet met de aanval.

Met behulp van een Hackaton probeer je mogelijke kwetsbaarheden in de IT-omgeving bloot te leggen en eventueel te misbruiken. Daarmee kan worden aangetoond dat een mogelijke aanvaller data kan bemachtigen of ongeautoriseerde software kan laten uitvoeren. Denk daarbij aan ransomware, ook wel gijzelsoftware genoemd, waarbij data onleesbaar wordt gemaakt. Alleen door het betalen van een ransom (losgeld) kan dan weer toegang tot de betreffende data worden verkregen. Tegenwoordig dreigen misdadigers steeds vaker om de data publiek te maken als er geen losgeld wordt betaald. In dat geval worden mogelijk persoonsgegevens blootgelegd die bepaalde personen direct kunnen raken.

Doordat er een groot financieel gewin kan worden
behaald, worden in een hoog tempo steeds meer nieuwe aanvalstechnieken bedacht en uitgevoerd. Het is daarom van belang om als vooraanstaande gemeente deze nieuwe technieken te leren begrijpen en tijdig maatregelen te nemen om misbruik te voorkomen.

Daarom is het de strategie van de gemeente Eindhoven om bij iedere nieuwe Hackaton steeds een stap verder te gaan. Dat kan door de studenten van de Fontys hogescholen steeds meer inzicht te geven in de huidige maatregelen en hen steeds meer vrijheid te geven door ze ook buiten het bereik van de gemeentelijke systemen te kijken en hun zelfs uit te dagen om persoonsgegevens proberen te bemachtigen.

Vorig jaar zijn de studenten voor het eerst ondersteund door Defenced, een professionele cybersecurity organisatie die veel ervaring heeft op dit gebied. Dit jaar is de ondersteuning uitgebreid met een portaal waar studenten vragen konden stellen en scenario’s konden testen. Ze waren in staat om daar drie weken voor de afsluitende dag van de hackaton mee te beginnen.

Op vrijdag 15 december 2023 vond deze afsluitende dag plaats in het stadhuis waar de studenten van Fontys Hogeschool Eindhoven aanwezig waren om samen met de adviezen van Defenced onze systemen, applicaties en infrastructuur ‘aan te vallen’, zoals hackers doen. Drie weken lang werden de systemen getest op kwetsbaarheden.

De studenten werden vooraf geïnstrueerd en moesten een geheimhoudingsverklaring tekenen. Daarvoor heeft de gemeente een vrijwaring afgegeven omdat ze iets doen wat normaal gesproken wettelijk verboden is. Voor de gemeente is deze jaarlijkse uitvoering belangrijk, omdat zij over veel (persoons) gegevens en informatie beschikt die op een hoog niveau beveiligd moet zijn. Deze hackaton onderstreept de inzet voor veiligheid en verdediging tegen mogelijke cyberdreigingen. Naast dat deze systemen continu getest worden is het van belang om met een open blik door andere hackers juist nieuwe inzichten te verkrijgen.

Tijdens de hackaton voerde drie teams zogenaamde penetratietesten uit. Het aanvallende team studenten probeerde zo onzichtbaar mogelijk de systemen van de gemeente te hacken, daarbij ook in het gebouw zelf nog onveilige situaties te vinden die mogelijk naar een nieuwe ingang konden leiden.

Een jury die bestond uit iemand van de gemeente, een docent van de Fontys en een expert van Defenced, lette vooral op de skills en technieken waarmee de aanvallers probeerde binnen te komen.
Er is uiteindelijk een eerste, tweede en derde prijs uitgereikt voor de overeenkomstige plaatsen. Ook de gemeente Tilburg en Breda waren tijdens deze dag aanwezig om inspiratie op te doen voor een hackaton bij hun gemeente.

De afgelopen drie weken heeft het technische team, dat de verdediging voert voor de gemeente, al die tijd niet geweten dat de Hackaton plaatsvond. Dat is bewust gedaan om de effectiviteit van dit team te testen. De security specialisten uit dit team hebben in het begin van de hackaton veel afwijkingen gevonden en aanvallen in de kiem kunnen smoren. Desondanks heeft dit hele proces veel kennis opgeleverd van mogelijke nieuwe aanvalsscenario’s en verdedigingstechnieken. Een mooi kat- en muisspel, waarbij ook deze keer de impact zeer beperkt is gebleven.

Volgend jaar zal er een nieuwe dimensie worden toegevoegd en zal de Hackaton weer een stukje uitdagender worden. Wellicht zijn de gemeenten dan klaar om tegen elkaar te strijden.

Met vriendelijke groet,
Rob Mellegers
CISO gemeente Eindhoven