Let's talk about hacks - Hack The Hague

Jaarlijks laat de gemeente Den Haag haar systemen testen door ethisch hackers. Wat leert de gemeente Den Haag van deze jaarlijkse test en hoe kun je als organisatie zelf zo’n hackwedstrijd organiseren?

Let's talk about hacks
Beeld: ©ICTU

Robin Rotman gaat hierover in gesprek met Chris van ’t Hof, Jeroen Schippers, de CISO van de gemeente Den Haag en Thijs Bosschert, één van de deelnemers aan Hack the Hague

Let's talk about hacks 5 - Hack The Hague

Het is wel een wat kwetsbare dag.
Sommige mensen zien het ook als mijn jaarlijkse beoordelingsgesprek.
ROTMAN: Welkom bij 'Let's talk about hacks'.
Ik ben Robin Rotman en ik praat met deskundigen en betrokkenen over hacken.
Hoe voorkom je het? Wat moet je doen als het je overkomt?
En waar zitten de risico's?
Langzaam gaan ze door het hele netwerk tot ze volledige controle hebben
om dan de kroonjuwelen te stelen.
Dat kan intellectueel eigendom zijn, maar ook toegang tot het bankiersysteem.
Dan doen ze net zo lang onderzoek tot ze het helemaal onder controle hebben
om daar een paar miljoen weg te sluizen.
ROTMAN: Dit is een podcastserie van Binnenlandse Zaken in het kader
van de overheidsbrede cyberoefening.
Vandaag heb ik het genoegen om te praten met drie kanonnen.
Jeroen Schipper, Chief Information Security Officer van Gemeente Den Haag.
Chris van 't Hof, schrijver, onderzoeker, presentator in cybersecurity
en ook nog secretaris bij het Dutch Institute for Vulnerability Disclosure.
Even kort, wat is dat laatste?
VAN 'T HOF: Dat is een groep hackers die scant en meldt.
ROTMAN: Oké. En Thijs Bosschert, de enige echte, the legend.
Security professional, maar eigenlijk hacker. Zeg ik dat goed?
BOSSCHERT: Da's prima.
-Hoe word je liever aangeduid?
BOSSCHERT: Beide is prima voor mij.
ROTMAN: Welke kwetsbaarheden zien hackers bij de overheid?
Want we hebben het vandaag over Hâck The Hague.
Jeroen, afgelopen september was het weer zover.
Een paar honderd hackers, 200 à 300 zijn er aan de slag gegaan
en die hebben 125 kwetsbaarheden gevonden.
Betekent dat nou dat Den Haag veilig is of niet?
SCHIPPER: Nou, dat sowieso, niet 100% veilig in ieder geval.
Ja, eh, het is... LACHT Ik ben eigenlijk al je vraag kwijt
ROTMAN: Is Den Haag nou veilig of niet?
Ik schrik dan, 125 kwetsbaarheden.
Een paar gasten die een dagje aan de slag gaan, vinden er 125.
SCHIPPER: Den Haag is in ieder geval veiliger dan daarvoor.
Ja, en ik denk dat het... Die vraag krijgen we wel vaker.
Jullie zijn al vier jaar bezig en dan nog steeds zoveel kwetsbaarheden.
Er zijn genoeg organisaties die zich dan ernstig zorgen moeten gaan maken
want wij nemen het heel serieus. Andere organisaties ook.
Maar als er dan nog steeds dit aantal kwetsbaarheden wordt gevonden
waarvan een aantal ook best zware, dan heb je aardig wat te doen.
ROTMAN: Chris, jij volgt de hackwereld goed, jij hebt deze dag gepresenteerd.
Wat was het niveau van de hacks dit jaar?
VAN 'T HOF: Er zijn iets minder kwetsbaarheden gevonden dan vorig jaar
terwijl er meer hackers waren.
Maar dat is met name omdat Den Haag de boel een stuk beter op orde heeft.
Je kan niet zeggen: Dit is een heel goede en dat is een slechte hacker.
Het gaat erom dat hackers met name mensen zijn die gewoon net anders
met die systemen omgaan dan de bedoeling was.
Dan heb je dus juist diversiteit nodig. En dat hadden we zeker dit jaar.
200 mensen vanuit 23 landen. Heel veel verschillende disciplines.
Ik heb ook een paar hackers gesproken. De een uit de software development,
en een andere uit de security.
Heel veel diversiteit, en ik denk dat dat de kracht is van dit evenement.
ROTMAN: Hoe kom je aan al die gasten? Melden ze zich aan?
Is Hâck The Hague inmiddels zo'n instituut dat iedereen erbij wil zijn?
Hoe gaat zoiets, Thijs?
BOSSCHERT: Het kwam mij ter ore door iemand uit het vakgebied.
Die zei: Vind je het niet leuk om daaraan mee te doen?
Ik heb zelf een keer in de jury gezeten. Daar zag ik de andere kant.
En toen dacht ik: ja, het is wel leuk om dit jaar mee te doen.
Dus zo'n evenement wordt via via binnen het vakgebied gedeeld.
En mensen die dat leuk vinden, die haken daarbij aan.
ROTMAN: Jeroen is verantwoordelijk voor de cybersecurity in de stad.
Heeft hij z'n zaakjes goed op orde? Was het een moeilijk jaar?
BOSSCHERT: Het is natuurlijk al een grote stap om zoiets te organiseren
en mensen uit te nodigen van: Ja, ga maar een paar uur los.
Dat kan je alleen doen als je security al redelijk goed op orde is.
Anders is het helemaal prijsschieten voor de hackers.
En dat er nu 125 dingen gevonden zijn
betekent niet dat er nu 125 dingen opeens lek waren.
Er waren 125 issues die daarvoor niet bekend waren en nu opeens wel.
En elke partij die dit niet doet, heeft waarschijnlijk ook die 125 lekken,
maar die weten het gewoon niet.
ROTMAN: Maar was het een moeilijk jaar?
Is Den Haag dichter dan vroeger of dan vorige jaren?
BOSSCHERT: Ze veranderen elk jaar de scope.
Dus elk jaar heb je weer wat meer ruimte en kan je nieuwe dingen bekijken.
IT is natuurlijk altijd in ontwikkeling. Iets wat er vorig jaar nog niet was,
kan er dit jaar opeens bij hangen. Software wordt constant ontwikkeld.
Dus iets wat vorig jaar niet lek was, kan dit jaar wél lek zijn.
ROTMAN: Thijs heeft een prijs gewonnen voor de meest creatieve hack.
Wan kun je daarover vertellen, Jeroen? Ik heb je van tevoren gesproken.
We kunnen nu niet in deze podcast alle hacks helemaal afpellen,
want er wordt nu achter de schermen gewerkt om de boel te repareren,
om andere partijen te waarschuwen, maar wat kun je wel vertellen
over de 'magic' van deze hacker die naast jou zit?
SCHIPPER: Ik vraag me af of ik daar de juiste persoon voor ben.
Ik zit wel in de jury, maar kijk met name naar de impact die het heeft
voor onze eigen dienstverlening en de processen in de stad.
Dus wat ik begrepen heb van de jury
is dat het met name de gelaagdheid van de hack
dus meerdere technieken gebruiken om steeds dieper te komen
en daarvan waren ze onder de indruk, daar moet je wel de tijd voor nemen.
En blijkbaar is het geen prijsschieten geweest.
ROTMAN: Want hoe gaat zoiets dan? Een creatieve hack? Vertel eens.
BOSSCHERT: Wij speelden als team. Dus we hebben vier mensen
en we hacken wel vaker samen.
We hebben allemaal een pad uitgekozen
en op een gegeven moment had een van ons een kleine ingang.
En daarmee konden we een stap verder komen
en daarmee weer een stapje verder.
En zo konden we bug na bug aan elkaar koppelen
om tot het eindresultaat te komen
ROTMAN: Wat moet ik me voorstellen bij gelaagdheid van zo'n hack?
Kun je dat wat meer omschrijven?
BOSSCHERT: Dat kan bv. zijn dat je ergens een klein informatiestukje vindt
dat op zichzelf staand niet zo boeiend is
maar die je wel weer kan hergebruiken om ergens anders iets verder te komen.
En met dat stapje verder kan je dan bv. net weer nieuwe informatie vinden.
of net één stapje een omgeving binnen
en dan weer verdergaan naar de volgende stap.
ROTMAN: Zitten jullie dan als een team bij elkaar in dezelfde ruimte?
BOSSCHERT: Idealiter zou dat inderdaad in dezelfde ruimte zijn.
In verband met corona zaten we op afstand.
ROTMAN: Jullie als team zaten niet bij elkaar in één ruimte?
BOSSCHERT: Nee, we hebben wel constant communicatie met elkaar.
ROTMAN: Koptelefoontjes op?
-Nee, meestal gewoon via chat, IRC,
een oud chat-protocol, dat is voor ons nog steeds het ideale.
We zijn ook allemaal natuurlijk in-focus, we zijn geconcentreerd,
dus als iemand dan de hele tijd in je oor tettert, is dat niet echt ideaal.
We hebben 't wel eens geprobeerd...
ROTMAN: dan komt er opeens in kapitalen op je schermpje: Ik heb iets!
BOSSCHERT: Ik werk met meerdere schermen, op één staat een chat open.
En daar zie ik inderdaad: hé, iemand heeft een update.
Die heeft ergens een beginnetje en dan gaan we daarnaar kijken.
ROTMAN: En had je van tevoren al een gevoel van: hier ga ik porren?
Daar kan ik ze volgens mij pakken?
BOSSCHERT: We hadden wel een idee waar onze focus zou liggen.
Ik zei al: De scope is vergroot.
Daarbij is het o.a. allemaal intern systeem van Den Haag zelf.
Nou ja, die zijn al vrij goed getest.
Om daar iets te vinden binnen de beperkte tijd is een stuk lastiger.
Dus we hebben ons vooral gefocust op de nieuwere omgevingen
die aangehaakt zijn en vooral van de suppliers, de third parties.
Ook uit ervaring weten we gewoon
dat vaak daar de meeste dingen te vinden zijn.
ROTMAN: Chris, zo'n Hâck The Hague, hoe werkt dat nou eigenlijk?
Er zijn dus 200 of misschien wel 300 mensen verspreid over Europa
en die gaan de hele tijd prikken?
Kun je schetsen hoe zo'n dag werkt? Jij mocht het aan elkaar praten.
VAN 'T HOF: Ja, dat was hartstikke leuk. Normaal zitten we met 100 hackers
hier in het gemeentehuis.
-ROTMAN: Da's gaaf. In het atrium?
Ja, en ook in de raadzaal. Dat was bij de laatste editie.
Dit was de vierde editie. De eerste virtuele, dus dat was wel extra spannend
omdat je aan de ene kant hackers van over de hele wereld kunt vragen.
Dus die kwamen ook uit Engeland, Nigeria...
Er zat geloof ik ook nog een Rus bij.
ROTMAN: Pakistan.
-Pakistan. Dus dat is extra spannend.
Je zou denken dat voor die hackers die altijd achter de computer zitten
het prettiger is om het vanuit huis te doen, omdat je dan meer kan focussen.
Maar ik hoorde toch van veel mensen dat ze het sociale element misten.
ROTMAN: Het is een uitje voor jullie.
VAN 'T HOF: Ja, en dan ontmoeten ze elkaar en zien ze elkaar weer in het echt
en niet op het scherm. Dus dat was voor ons wel een beetje wennen.
Dus je hebt meer hackers, maar aan de andere kant zie je ze niet.
Ja, en ik heb van tien tot zes in een camera staan toeteren.
En dan maar hopen dat het overkomt.
ROTMAN: Dus zo'n Hâck The Hague is een dag in september van tien tot zes.
Dat is de window of opportunity? Dus je hebt acht uur de tijd
dat mensen gaan hacken?
VAN 'T HOF: Nee, hoor, je moet natuurlijk eerst wat inleidingen geven.
Wat gaan we doen, wat mag, de regels.
Pas om elf uur konden ze aan de slag. Om vier uur moesten ze stoppen.
En dan heeft de jury natuurlijk tijd nodig om alles te beoordelen.
En om zes uur was de prijsuitreiking.
Dus voor de hackers zelf hadden ze dus die vijf uur maar.
Terwijl voor de kijkers, dat is dan weer wel het voordeel van zo'n virtuele editie,
we hadden heel veel kijkers erbij,
die hebben van tien tot zes hoogwaardig cybertainment gehad.
ROTMAN LACHT: Cybertainment? Jeroen, jij bent de CISO in Den Haag.
Hoe ziet zo'n dag er voor jou uit?
Er zitten allemaal mensen in andere landen, in andere steden,
misschien ook wel in Den Haag, die hebben een thuiswedstrijd,
en die gaan jouw systemen pakken, de leveranciers van de stad, de software,
weet ik veel, de verkeerslichten, of de HR-systemen, you name it.
Daar gaan ze mee bezig. Maar wat zie jij op zo'n dag?
Wat gebeurt er bij jou op zo'n dag?
SCHIPPER: Nou, het is wel een wat kwetsbare dag.
Sommige mensen zien het ook als mijn jaarlijkse beoordelingsgesprek.
ROTMAN: Voelt het ook zo voor jou?
-Het voelt niet zo,
maar dat is meer karakter, denk ik.
Nee, dus wat Chris zegt, we beginnen met de introductie
en dan gaat het los. En dan laat je je een beetje leven.
En dan kijk je naar de dashboards, naar de specialisten...
ROTMAN: Vertel, ho stop. Wat zie je? Dashboards? Vertel.
Wat gebeurt er? Komen er meldingen binnen van:
Hé, partij X heeft iets. Of partij Z heeft iets. Hoe gaat zoiets?
SCHIPPER: Aan de ene kant hebben we dashboards
waarop we kunnen zien wat voor verkeer bv. er ontstaat.
Dus wat voor poorten worden gebruikt, hoeveel data er is.
We kunnen ook zien of er bv. op een zware manier geprobeerd wordt
een bepaalde deur binnen te rammen, dus een brute force methodiek
wat dan illegaal is, wat niet mag, want dan kunnen systemen echt platgaan.
Ja, en aan de andere kant zitten we in een platform te kijken
van Zerocopter waarin de meldingen binnenkomen.
Daar kunnen we heel goed bijhouden op hoeveel zitten we.
En volgens mij het eerste half uur hadden we er tien.
En dan kan je een inschatting maken
-Binnen een half uur al tien meldingen?
Dat betekent waarschijnlijk dat er of wat laaghangend fruit is meegepakt
of mensen hebben toch stiekem zich voorbereid...
ROTMAN: Die waren al even stiekem aan de slag gegaan?
SCHIPPER: Onderschat ook niet de professionals van de bug bounty hunters
die daar gewoon echt supersnel in zijn.
Die hun scanners klaar hebben staan, op 'enter' rammen zodra het kan
ROTMAN: Wie? Bug bounty hunters? Help me even.
Ja, zoals Hâck Den Haag georganiseerd wordt, is bug bounty-stijl.
Dus je krijgt als je een bug vindt, schik je die in het platform in.
dat is het Zerocopter-platform.
En normaal zou je daar dan per bug die je vindt,
mogelijk een bounty voor krijgen.
ROTMAN: Dan krijg je betaald, word je beloond voor jouw ijver.
Dat is per omgeving en per organisatie verschillend. Soms krijg je een T-shirt.
Grote organisaties, Google, Apple, hebben ook bug bounty programma's
en daar kan je tienduizenden euro's krijgen als je echt een goede bug vindt.
ROTMAN: Hebben jullie ook banen in de aanbieding?
Nee, naast Hâck The Hague hebben wij gewoon ook het hele jaar door
die bug bounty draaien. Dus wij krijgen iedere dag wel dingen binnen.
ROTMAN: Oké, dus er zit een paar honderd van dat soort gasten
keihard te beuken op jouw systemen.
Dan zit er aan de andere kant zit er zo'n blijerd achter een microfoon
het publiek thuis als een Olav Mol verslag uit te brengen
van wat hier gaande is. Het is een soort entertainment.
Da's toch eigenlijk een rare situatie?
VAN 'T HOF: Nou, wat ik wel heel leuk vond,
we noemden het maar 'Hacker Roulette'.
Dus die 200 mensen zitten vanuit huis te werken
en een paar hebben opgegeven dat ze wel op het scherm willen komen.
Dus dan kondig ik de jury aan, hoe werkt het allemaal, en de regels
en hé, iemand via Hacker Roulette, en dan druk ik op de knop.
Dus er kwam een keer een dame uit Nigeria, een software developer,
die zei: ja, ik kom zoveel fouten tegen en ik vind het leuk
dat ik nu eens fouten mag melden.
En een andere was een dame uit Iran. Ik denk: nou, da's wel spannend.
Heb je in Iran ook een soort van hackcompetitie? Ik dacht van niet.
Zegt ze: Ja, dat hebben we regelmatig, vooral van bedrijven.
O, zullen we dan ook eens een Hack Teheran doen? Ja, doen we!
ROTMAN: Dat is toch geweldig?
-Ja, super.
ROTMAN: Oké, en dan komen er het eerste half uur tien meldingen binnen.
Dat zijn van die slimmeriken die al bezig waren
of misschien kijken ze of de lekken van vorig jaar goed gedicht waren.
Weet ik veel hoe zoiets gaat.
Maar heb je dan ook dat je denkt: Oooh, nu hebben ze iets.
Ik moet eigenlijk meteen op de grote rode knop drukken
en alle CISO's van heel Nederland waarschuwen. Nu hebben ze echt iets.
SCHIPPER: Ja, nou, dit jaar viel dat mee.
We hebben wel een aantal kritieke meldingen gehad.
En daarmee bedoelen we dat er bv. persoonsgegevens
gelekt zouden kunnen worden
of dat andere vertrouwelijke informatie naar buiten zou kunnen komen.
Maar voor ons is het ook belangrijk om te kijken
is het alleen maar binnen de gemeente Den Haag of is het breder?
En in een enkel geval is dat inderdaad breder.
ROTMAN: Je moet op zo'n dag toch een inschatting maken:
Is dit een hack die wij in de loop van de maanden wel rustig aan
kunnen gaan patchen of moeten we dit lek gaan dichten?
Je moet wel een risico-inschatting maken van hoe urgent is dit werkelijk?
Er zijn dus 125 van die gevallen. Dat vind ik nogal wat.
SCHIPPER: Ja, als ze binnenkomen, is er een heel team bezig met de triage.
Dus dan worden ze al geclassificeerd van low, medium, high of critical.
Bij die eerste tien die werden gemeld, daar zat geen high of critical tussen.
Meestal hebben hackers daar wel wat langer de tijd voor nodig
om die hele aanval te plannen.
Als in dat eerste half uur bv. al een aantal high's binnen zouden komen,
ja, dan is er iets aan de hand.
ROTMAN: Maar eigenlijk wil je zo'n Thijs naast je hebben, zo'n hacklegende,
die met jou mee kan beoordelen: is dit nou een kritische of niet?
Dat zijn de gasten die snappen het.
SCHIPPER: Absoluut. En dat is ook het team van de triage,
dus mensen vanuit onze eigen organisatie en van Zerocopter
die die dingen binnenkrijgen en die doen de classificatie
van is het nou een hoge of een lage of ter informatie?
Of niet relevant, dat kan ook.
BOSSCHERT: Wij krijgen ook via het platform dan ook reactie van de jury
waarbij ze inderdaad aangeven dat het inderdaad een valide bug is.
Het kan zijn dat iemand anders 'm al gemeld heeft, dat wordt ook aangegeven.
Of als ze meer informatie nodig hebben.
ROTMAN: En is er animo vanuit die hackerscommunity
om voor de overheid te werken?
Wordt dat gezien als de dark side? Hoe werkt zoiets?
BOSSCHERT: Ik denk dat er ondertussen best wel veel mensen
uit het vakgebied gewoon vrij en vrolijk bij de overheid werken.
Ik denk niet dat de overheid tegenwoordig nog gezien wordt
als saaie, droge ambtenarij op dit gebied.
ROTMAN: Ik wil straks een paar concrete hacks met jullie bespreken.
Dan pakken we hacks van vorige jaren die inmiddels hopelijk opgelost zijn.
Mag ik jullie een paar stellingen voorleggen? Ik begin bij jou, Jeroen.
Alle gemeentes en softwareleveranciers moeten zich net zo kwetsbaar opstellen
als de Gemeente Den Haag.
-Niet waar.
Niet waar? Oké.
Chris, het echte hackgevaar komt van de Chinezen. Waar of niet waar?
Niet waar. Het hackgevaar komt overal vandaan.
ROTMAN: O, god, het zit overal.
En Thijs, als je Nederland veilig wilt maken, moet de overheid
met een grote zak met geld over de brug komen
en de beste hackers van het land aantrekken. Waar of niet waar?
Niet waar.
-ROTMAN: Alle stellingen dus niet waar.
Is er eentje van jullie die het niet eens is met een antwoord van een ander?
SCHIPPER: Als de overheid met 'n zak geld komt en de beste hacker inhuurt
dan gaat die toch naar jou, Thijs?
Ja, in dat geval dan wel waar, want dan heb ik er zelf nog wat aan.
Nee, het is veel complexer dan dat.
Je kan er niet alleen geld tegenaan gooien.
En aan hackers alleen heb je ook niet voldoende.
Het is een veel groter en complexer probleem, dus daar moet ook gewoon
een goed systeem voor komen en niet alleen geld tegenaan.
ROTMAN: De beste hackers hoeven niet per sé voor de overheid te werken
als je als overheid die jongens en meisjes maar uitdaagt
om aan dit soort evenementen mee te doen?
BOSSCHERT: Je hebt ze wel nodig voor een deel van je security
en daar kan je ze voor inhuren of uitnodigen voor een evenement
of je kan ze in dienst nemen.
ROTMAN: Komt het grote hackgevaar niet uit China, Iran en Rusland?
SCHIPPER: Dat zijn de staatshackers. En als je puur naar de getallen kijkt,
en China, de Public Liberation Army heet dat, geloof ik,
daar zitten 56.000 ambtenaren de hele dag te hacken.
Dus qua aantal zou je kunnen zeggen: Nou, dat zijn de groten.
Maar die doen vooral bedrijfsspionage en het volgen van hun eigen burgers.
Kijk je naar de Russen, daar komen de grote ransomware-bendes vandaan.
En de Russische staat die sloopt gewoon landen als Oekraïne, Letland,
die hebben echt sabotage om de oren gekregen.
Kijk je naar de impact of de schaal, dan moet je toch ook naar de VS kijken.
De NSA zit bijna overal in, in heel veel systemen.
Ja, en Nederland hackt zelf ook andere landen.
We kunnen wel zeggen 'o, die Chinezen' maar alle landen doen het
op hun eigen manier.
En dan heb je natuurlijk nog de grote criminele bendes
en daar komt het grootste gevaar vandaan, want ransomware
is 'n gigantisch groeiend businessmodel.
BOSSCHERT: Ik denk dat je daar ook wel mooi het verschil legt.
Ransomware is een grote dreiging,
maar de actoren houden zich met andere dingen bezig.
Dus het is een beetje de vraag per organisatie of per thuisgebruiker
wat jouw dreiging is. En de gemiddelde thuisgebruiker
heeft geen problemen met een actor want die is niet geïnteresseerd in 'm.
ROTMAN: En Jeroen, wie zijn voor Den Haag de belangrijke partijen
om in de gaten te houden of waar jij voor vreest of bang voor bent?
SCHIPPER: Dat zijn wel de partijen die met ransomware komen.
Dus echt de harde criminelen.
We houden ook rekening met de APT's, Advanced Persistent Threats.
We zitten hier in Den Haag, dus veel internationale organisaties,
het koningshuis, ambassades, ministeries, we hebben hier natuurlijk
de hack van OPCW gehad. Dat zijn wel dingen die je in je achterhoofd houdt.
ROTMAN: Ik wil een paar hacks met jullie bespreken om te kijken
wat de impact is en wat voor proces dan in gang gezet wordt,
om te kijken wat je eraan kan doen.
SCHIPPER: Ik moet volgens mij mijn antwoord nog wel nuanceren.
ROTMAN: Ja, heb je daar behoefte aan? Oké.
De vraag voor jou was: Moeten anderen zich net zo kwetsbaar opstellen?
En jij zei: Da's niet waar.
SCHIPPER: Nee. En dat ligt natuurlijk wel wat genuanceerder, zoals Thijs zei.
Het gaat er met name om: wat voor volwassenheid heb je als organisatie?
Als jouw IT-organisatie helemaal op orde is en je hebt alle processen
die erbij horen van patchmanagement tot changemanagement goed ingericht,
je doet mee aan responsible disclosure of coordinated vulnerability disclosure,
je weet hoe hackers te werk gaan, je kan die dingen snel oplossen,
ja, dan kan je daar wel eens aan gaan denken, maar als dit allemaal
vreemd voor je is, dan moet je er zeker niet aan beginnen.
ROTMAN: Chris, dat is toch ook ironisch?
Je kan pas jezelf kwetsbaar opstellen voor hackers om te laten toetsen
hoe veilig je systemen zijn
als je van tevoren het gevoel hebt dat je systemen veilig zijn,
hoor ik Jeroen hier nu zeggen.
VAN 'T HOF: Niets is 100% veilig. En als je nog helemaal niks getest hebt,
en je hebt ook geen mensen klaarstaan om meldingen te ontvangen,
dan moet je niet zo'n hackevenement doen.
Dus je moet eerst intern een hoop dingen op orde hebben.
Dan pas kun je naar buiten.
Ik wil het even opnemen voor Jeroen, omdat je je eigen rol hierin onderschat.
Wat ik echt supercool vind, is dat... We hebben nu de vierde editie.
Bij de eerste was 't alleen denhaag.nl.
Bij de tweede kwamen drie leveranciers erbij, dus die hebben eigen IT-spullen
die ze onder denhaag.nl hebben hangen, die deden mee. Nou, heel spannend.
En inmiddels heeft hij het voor elkaar gekregen dat het grootste deel
van de leveranciers aan de Gemeente Den Haag meedoet,
waarmee dus de scope niet alleen Den Haag zelf is,
maar die leveranciers zitten ook bij andere gemeentes of bedrijven,
die dus een gratis pentest krijgen.
-ROTMAN: Ja, gaaf!
VAN 'T HOF: Waar ze in het begin toch dachten: moet dat zomaar?
Je doet maar lekker mee, zei Jeroen.
Daarmee is Hâck The Hague ook veel breder dan Den Haag zelf.
ROTMAN: Oké, die impact gaan we het zo over hebben. Thijs, ik hoor dus,
oké, dat evenement wordt uitgebreid,
eerst was het denhaag.nl en nu de leveranciers,
maar een beetje hacker heeft daar toch schijt aan?
Als ze zeggen 'alleen denhaag.nl' en je bent als hacker bezig
en je ziet een kwetsbaarheid ergens anders voor de software,
dan ga je toch juist daarop zitten? Of niet?
BOSSCHERT: Daar kan ik op twee manieren op antwoorden.
ROTMAN LACHT: Geef maar het eerlijke antwoord.
BOSSCHERT: Vanuit mijn oogpunt, je houdt je aan de ethische regels.
Dan hou ik mij netjes binnen de scope.
De andere kant van het antwoord is: om een prijs te kunnen bemachtigen
zal je binnen de scope moeten blijven. Dus je kan wel losgaan,
maar dan wordt het opzij geschoven.
Wij hebben ook tijdens de wedstrijd iets gevonden wat buiten de scope was.
Soms vind je gewoon dingen die net buiten de scope zijn.
Die meld je dan wel en die worden dan ook opgepakt,
maar je dingt niet mee naar de prijs.
ROTMAN: Dat is een soort happy accident dan?
BOSSCHERT: Soms komt dat voor.
ROTMAN: Oké, Jeroen, een concreet voorbeeld.
Vorig jaar was er een verhaal dat hackers konden meekijken
met printjes die werden uitgeprint
en dat klinkt best wel suf, maar dat werd een soort olievlek
waarbij heel veel mensen ingelicht moesten worden.
SCHIPPER: Ja, klopt. Dat ging om met name om metadata.
Je kon zien wat voor documenten er werden geprint
en aan de hand van hoeveel informatie mensen meestuurden
kon je dus ook meer informatie zien. We hebben zelf een test gedaan.
Er bleken veel gemeenten in Nederland van die leverancier gebruik te maken.
We hebben dat gemeld bij de Informatiebeveiligingsdienst, IBD,
dat is het CERT voor gemeenten.
En die zeiden: Ja, dat zien wij ook. We doen een melding bij het NCSC.
Die hebben die in ontvangst genomen en eigenlijk is dat direct
naar het CERT in Japan gestuurd.
Die hebben contact opgenomen met de leverancier die in Japan zit.
En binnen een paar dagen was er een wereldwijde patch beschikbaar.
Dus dat is wel een van de hoogtepunten van Hâck The Hague.
ROTMAN: Dat is wat jij zegt, toch, Chris?
Dit is een gratis test voor iedereen.
VAN 'T HOF: Ja. Nou, ik weet niet of die leverancier er zo blij mee was.
ROTMAN: Bestaan ze nog?
-Voor alle andere gemeentes in Nederland
en ook andere organisaties wereldwijd die gebruikmaken van diezelfde printer
die hebben we daarmee wel geholpen.
ROTMAN: Kun jij een voorbeeld geven van een hack
waar jij eerder bij betrokken was die inmiddels opgelost is
dat je er vrijuit over kan spreken, Thijs?
BOSSCHERT: Ik heb vooral jarenlang hacks gezien van andere partijen
in mijn jaren als incident responder.
Waarbij ik hele grote internationale partijen gezien heb die gehackt zijn.
En tegenwoordig is dat ransomware.
In het verleden waren ze naar andere dingen op zoek.
En dan zat rustig een hacker bijvoorbeeld drie maanden binnen.
En dan komen ze met een klein lekje binnen, vervolgens gaan ze rondkijken,
en langzaamaan gaan ze door het hele netwerk tot ze volledige controle hebben
om dan de kroonjuwelen te stelen. Dat kan intellectueel eigendom zijn,
maar het kan soms ook toegang tot het bankiersysteem zijn.
En dan doen ze net zo lang onderzoek tot ze het helemaal onder controle hebben
om daar een paar miljoen weg te sluizen.
-ROTMAN: Dat is ook wat, hè?
BOSSCHERT: Het was erg uitdagend om dat soort dingen te onderzoeken.

ROTMAN LACHT

-Ik moet ook zeggen dat het soms
indrukwekkend is wat bepaalde hackers voor elkaar krijgen.
Tegenwoordig is dat vooral eigenlijk alleen maar ransomware,
wat ook een stuk van het leuke van het incident response weghaalt.
ROTMAN: Ik las ook dat de hackers binnen waren gekomen
bij Gemalen en Pompen. Dat is vitale infrastructuur, toch?
SCHIPPER: Ja, dat moet wel wat genuanceerd worden.
Dat was inderdaad onderdeel van de scope aantal jaren geleden.
Toen is er inderdaad zo'n kadersysteem, dat was ook neergezet als scope,
maar daar kregen mensen ook wel een username en wachtwoord van,
dus dat was toen vrij snel...
-ROTMAN: Da's hacken met zijwieltjes.
Ja, de mensen konden binnenkomen en daar is toen binnengekeken
en in die systemen zijn wat kwetsbaarheden gevonden, ja.
BOSSCHERT: Maar dat geeft ook meteen een stuk risico aan.
Je wil niet dat iedereen zomaar rond gaat zitten klikken binnen elke omgeving.
En je weet nooit hoeveel ervaring een hacker heeft die meedoet.
En zeker in een nieuwe omgeving
zeker als je bij een kadersysteem op willekeurige knopjes gaat drukken
is het risico wel vrij groot.
Dus mijn advies zal meestal zijn: haal zulke dingen uit de scope.
Of limiteer ze tot mensen die echt weten wat ze doen.
VAN 'T HOF: Maar ja, er staat wel heel veel van dat spul gewoon bloot online.
Kijk, de gemeente Den Haag weet redelijk goed welke kadersystemen
onder de gemeente vallen, maar een beetje huis-tuin-en-keuken-hacker
kan via Shodan zo wel wat kadersystemen vinden.
En ja, die zijn niet altijd even goed beveiligd.
We hebben ook een relletje gehad dat een gemaal bij Veere
daar kon je dus in met het wachtwoord 'Veere'.
ROTMAN: Welkom2021.
VAN 'T HOF: Nee, het was nog simpeler dan dat.
Dan weet je ook welke wachtwoorden de andere gemalen hadden
van diezelfde leverancier.
Je wil niet dat zo'n ding ineens de andere kant op gaat draaien.
Dus dat is echt laaghangend fruit waar iedere beginnende hacker naar kijkt.
Maar de impact daarvan, inderdaad wat Thijs zegt,
ga niet zomaar aan knopjes draaien.
Want daar kun je ook fysieke gevolgen mee krijgen.
En dat is het fascinerende van dat soort systemen.
Als he het hebt over hacken dan denk je al snel: Informatie
en vooral gevoelige informatie.
Maar als een hack ook fysieke gevolgen heeft, ja, dan wordt het spannend.
Er was ook 'n verkeersregulatiesysteem...
-ROTMAN: Ja, die zag ik.
Net<i>Oceans 11.</i>Je ziet George Clooney met z'n vriendjes banken beroven
en die manipuleren dan de stoplichten. Dat? Dat werk?
VAN 'T HOF: Nou, zo ver kon het niet... Zo ver is het nog nooit gegaan.
ROTMAN: Ben ik nu te enthousiast?
SCHIPPER: Er zijn nog nooit van dat soort systemen gehackt
en er is ook nooit gevoelige informatie gelekt. Dat is gelukkig nooit gebeurd.
ROTMAN: Maar wat was bij dat verkeerssysteem wel de kwetsbaarheid?
VAN 'T HOF: Nou, kijk, daar kregen ze zoals Thijs zei al een gebruikersaccount,
dus dan gaan we er al vanuit dat je een gebruiker bent
die daar gebruik van maakt.
En binnen die omgeving moesten ze 'privilege escalation' noemen we dat,
dus dat je hogere rechten krijgt,
nou, binnen een uur had iemand de admin-rechten en de rest eruit gegooid,
maar dat was natuurlijk een testsysteem.
Want anders zouden hackers bv. een leuk computerspelletje maken
van de binnenstad, dan kan je bv. Snake of Pac-Man maken van al het verkeer
door het poortje op en dicht te zetten. Dat is niet de bedoeling.
ROTMAN: Da's heel even leuk.
VAN 'T HOF: Ja, dus het was een testsysteem.
Laten we kijken wat ze hiermee kunnen. En daarmee is dat testsysteem
voordat het in productie is genomen, een stuk veiliger.
Dat soort dingen ga je niet op een echte draaiende omgeving doen.
BOSSCHERT: Hier snijdt Chris een belangrijk punt aan.
Als je hackers uitnodigt, werk dan zoveel mogelijk met testomgevingen.
Of acceptatie of development omgevingen
die wel zoveel mogelijk overeen moeten komen met de echte wereld...
ROTMAN: Een soort digital twin waar je de hackers op loslaat?
BOSSCHERT: Dan zorg je dat je het risico als er iets misgaat, beperkt wordt.
Er kan ook gewoon iets foutgaan. Een hacker kan zonder kwaad te willen
vervolgens iets fout doen.
-ROTMAN: Per ongeluk iets verkloten?
Maar toch hadden we al een hoop live systemen binnen de scope.
Hoe zit dat, Jeroen? Kun je daar dan gewoon geen testomgeving van maken?
SCHIPPER: Ja, dat kan altijd wel,
maar we hebben het over een enorme scope van honderden IP-adressen
die gebruikt kunnen worden, dus dat is ook voor ons niet haalbaar.
Dus het grootste deel van de systemen is inderdaad wel live en productie,
dus daarom hebben we die duidelijke regels wat je wel en niet mag doen.
Maar we hebben bv. wel meegemaakt, een hacker had iets gevonden,
en vervolgens kon hij niet meer bij het systeem komen na een half uur.
Die ging in paniek naar de jury: volgens mij heb ik iets kapotgemaakt.
Maar het bleek dat de leverancier al een nieuwe patch had gemaakt
en die was dat systeem aan het rebooten.
-ROTMAN: Gedurende de dag?
SCHIPPER: Bijna gedurende de hack.
ROTMAN: Die kijken natuurlijk ook allemaal mee?
BOSSCHERT: Maar vanuit hackersoogpunt
snap ik ook het paniek bij de hacker op dat moment.
Als jij denkt: o, ik heb het stukgemaakt.
En ik ken dat ook wel gewoon uit alle jaren dat ik dit doe.
Het is soms puur toeval dat iets even uitvalt,
maar je denkt wel meteen als eerste: o jee, dat heb ik toch niet gedaan?
SCHIPPER: Een overijverige leverancier, ja, positief, maar lessons learned.
ROTMAN: Hé, en als jij nou naar de findings van dit jaar kijkt,
wat is dan het kaliber? Heb jij daar nu een dagtaak aan
tot de volgende Hâck The Hague
om dat te dichten, om collega's te waarschuwen?
Wat is de impact van de hacks die je dit jaar gevonden hebt?
SCHIPPER: Wat Chris al aangaf, als je kijkt naar de vorige jaren
en het aantal hackers wat nu heeft meegedaan, dan valt het nog mee.
De laatste keer hadden we 79 hackers en iets meer dan 100 kwetsbaarheden
En nu dan 206 hackers en 125 kwetsbaarheden.
Maar er zat een aantal tussen die wel wat zwaarder waren,
dus waar we ook echt direct mee aan de slag moesten.
Maar dat doen we sowieso.
We hebben echt als doel om binnen een paar weken
als het even kan 70-75% van alle bevindingen al uit hebben staan
bij leveranciers en ook opgelost.
ROTMAN: Oké, dus dan gaat jouw team aan de slag om leveranciers te bellen,
collega CISO's te bellen, gemeentes, er zijn netwerken, telefoonbomen
die in werking worden gezet?
SCHIPPER: Ja, het is nog niet eens zo complex.
We werken vanuit één platform van Zerocopter. Als het 'n eigen systeem is,
is het makkelijk, want dan wordt het uitgezet bij een interne behandelgroep
binnen de IT-organisatie. Dus die lossen dat dan op.
Als het om een leverancier gaat en dat is in de meeste gevallen zo,
dan zit je dus in een soort chatroom samen met de hacker, de leverancier
en de gemeente Den Haag, en dan kunnen er vragen gesteld worden.
Er kan gevraagd worden: zou je het nog een keer kunnen testen?
Ja, dat is een soort discussie.
Tot het moment dat die hacker zegt: Ik kan er niet meer bij, het is gefikst.
Nou, dan wordt die als gereed gemeld en dan gaan we naar de volgende.
ROTMAN: Dus, Chris, je legt niet alleen bloot waar de kwetsbaarheden zitten
in de systemen van zo'n gemeente, je legt ook een beetje bloot
of overheden en partijen wel goed samenwerken
om hun shit op te lossen. Dat komt ook aan het licht.
Zijn we wel voorbereid als er zoiets gebeurt?
VAN 'T HOF: Ja, daarom heet het nu coordinated vulnerability disclosure.
ROTMAN: Coordinated vulnerability disclosure?
Vroeger responsible disclosure. Is het verantwoord om dit te onthullen?
En dan blijkt toch al heel snel dat als je een kwetsbaarheid oplost
hoeveel partijen erbij betrokken zijn.
In dit geval is de gemeente de afnemer van een bepaalde dienst.
Dat is dan een bedrijf dat ook met andere bedrijven samenwerkt.
Die systemen draaien ook weer bij andere gemeentes en organisaties.
En dan heb je de hacker. Dus je hebt een heel samenspel van mensen
die dat samen gaan oplossen.
En dan moet je soms ook constateren van: het is hier in Den Haag gefikst.
De leverancier heeft een patch uitgerold.
Maar er zijn nog een hoop gemeentes waar die patch nog niet is geïnstalleerd.
Dus dan kan je niet nu in een programma als dit zeggen:
Ja, dat gemaal van dat type staat open. Dan pak je een andere gemeente ermee.
ROTMAN: Ik heb hier een leuke doorgeefvraag bij.
We hebben elke aflevering zo'n vraag, maar jullie zijn de eersten dit seizoen,
dus ik ben naar de ICTU gegaan en heb Margot van der Linden gesproken.
Zij is projectmanager bij de ICTU
en zij is projectleider van de Overheidsbrede Cyberoefening.
En zij heeft een leuke vraag:
'Wanneer zijn organisaties klaar voor hun eigen hack event?
En zijn al die evenementen wel interessant voor al die hackers?'
Wie wil? Wie biedt? Jeroen?
SCHIPPER: Ja, die vraag krijgen wij het hele jaar door,
met hoogtepunten net na het evenement. Dus we krijgen nu alweer vragen
van organisaties, niet alleen gemeenten: 'Wij willen dat ook organiseren.
Kunnen jullie het draaiboek delen?' Ja, zo werkt dat niet.
Je moet inderdaad je IT-organisatie op orde hebben,
bepaalde processen goed geregeld.
Je moet weten hoe hackers werken en je moet ook met name
goed kunnen communiceren met zo'n hacker en het ook tijdig oplossen.
Da's ook wel een van de redenen dat we met onze medeorganisator
Cybersprinter, hebben we een e-guide ontwikkeld,
die komt in november dit jaar uit,
waarin ook precies staat hoe onze reis verlopen is, zeg maar,
tot het organiseren van zo'n evenement.
ROTMAN: Die e-guide is straks voor elke gemeente beschikbaar?
Als zij zo'n event willen organiseren...
-SCHIPPER: Het is nog breder.
Het zijn niet alleen gemeenten, het zijn ook commerciële organisaties.
En er is ook wel interesse getoond vanuit het buitenland.
Dus hij wordt sowieso vertaald in het Engels en het Frans.
ROTMAN: En Thijs, vanuit het hackersperspectief?
Waar moeten organisaties aan voldoen als ze jou en je collega's willen inzetten?
Wanneer is het voor jullie interessant om mee te doen?
BOSSCHERT: Ik kan niet voor iedereen spreken.
Voor mij was dit vooral iets leuks, het is leuk om hieraan mee te doen.
Het is binnen Nederland, het is met andere mensen die ik ken.
Daarom is het voor mij vooral leuk. We doen het niet voor het prijzengeld.
Maar als je dit veelvuldig wil gaan doen,
dan zal je er ook inkomsten uit moeten gaan genereren.
En dan is het voor mij niet zo heel interessant
om al die hackwedstrijden af te gaan. Dan word ik alleen beloond op prestatie.
Ik word liever betaald voor mijn tijd.
ROTMAN: Ah, oké.
-Er zijn wel veel beginnende hackers
waarvoor dat wel weer interessant is. En die kan je zeker hiervoor uitnodigen.
ROTMAN: Jeroen zegt: Je moet 'n relatie opbouwen met de hackerscommunity.
BOSSCHERT: Daarom werkt het in Den Haag goed,
want die hebben die relatie met de hackerscommunity.
En als Hâck Den Haag weer is, haakt iedereen aan.
Dat betekent niet dat alle andere steden in Nederland dit ook moeten gaan doen.
Want dan krijg je een heel grote markt
en dan zit niemand erop te wachten om elke week aan zoiets mee te doen.
ROTMAN: Chris, jij volgt deze wereld een beetje als een toeschouwer vaak.
Je bemoeit je er ook flink tegenaan.
VAN 'T HOF: Ik doe ook Hâck 010 en andere hackevenementen.
En er zijn een paar praktische dingen waar je als gemeente of organisatie
als je dit wil doen, rekening mee moet houden.
Een, maak eerst een overzicht van je eigen IT-omgeving.
Zeker bij gemeentes heb je heel veel subdomeinen.
Bijvoorbeeld cultuur.denhaag.nl.
Dat is ooit eens door marketing gemaakt, daar hangt allerlei oude troep onder.
Daar gaan hackers meteen op lopen rammen.
Of het blijkt dat het is uitbesteed aan een andere partij
en het is niet eens meer van jou terwijl er staat wel denhaag.nl.
Dus één, maak een inventarisatie van wat je al hebt.
Nou, twee, kijk wie eronder hangen.
Je leveranciers, daar moet je een afspraak mee maken.
Vervolgens ga eerst een zootje scans draaien
om het laaghangend fruit weg te halen.
Want er is, zeker bij gemeentes, al heel veel achterstallig onderhoud.
Vervolgens moet je je back office gereedmaken om al die meldingen
die je binnenkrijgt te beoordelen en af te handelen.
Want wat je niet wil hebben is dat je zo'n groot evenement organiseert
en dat je vervolgens moet zeggen: Ja, sorry, maar we doen er niks mee.
Dan krijg je die hackers tegen je. Dan heb je het voorbijgeschoten
En wat Thijs ook zegt, als elke gemeente dit gaat doen,
we hebben niet genoeg hackers om aan die vraag te voldoen.
Dus doe het niet! Lees niet de e-guide van Jeroen!
ZE LACHEN Doe vooral geen hack met je gemeente,
want dan komen wij hackers tekort.
BOSSCHERT: Voor ons vanuit de hackcommunity is het ook van belang
dat het goed georganiseerd is.
Dus voordat je dit doet, moet echt de boel op orde zijn.
De communicatie moet goed zijn.
Het moet geen rommeltje zijn, want dan houdt het voor ons op.
VAN 'T HOF: Ja, dus begin klein en schaal op.
Dus bv. bij Hack 010 hebben we gewoon 40 studenten uitgenodigd
en een iets beperkte scope, veel begeleiding daarbij,
en dat was een eerste probeersel van:
Is onze gemeente überhaupt klaar voor zoiets?
En bij een volgende evenement komen er meer professionals bij
en dan wordt de scope wat breder. Dat moet je in een scrum-methode
dan ieder jaar steeds weer uitproberen, groter maken,
evalueren, verbeteren, uitproberen...
ROTMAN: Dus ik hoop dat als andere partijen zoiets willen doen,
dat ze goed jouw e-guide lezen
zodat ze echt wel weten waar ze aan beginnen.
Thijs, als jij Nederland overziet en de gemeentes,
zijn we er dan goed in, is onze cybersecurity wel op orde,
of zou je zeggen: Oe, het is eigenlijk een gatenkaas.
BOSSCHERT: Over het algemeen is er altijd wel iets te verbeteren
en zijn er zeker nog heel veel punten waar heel veel verbetering mogelijk is.
In Nederland als land staat het in ieder geval wel op de kaart.
Het wordt enigszins serieus genomen. Maar het is nog niet allemaal in orde.
ROTMAN: Oké, dus er is nog wel een beetje werk aan de winkel?
BOSSCHERT: Er is de komende jaren meer dan genoeg werk aan de winkel.
ROTMAN: Ik ga straks aan jullie alle drie tot slot vragen
of jullie korte tips hebben voor de luisteraar.
Wat kun je nu zelf doen om hacks te voorkomen?
Eerst nog even, Chris, we hebben dus de doorgeefvraag.
In de volgende aflevering hebben we Hans de Vries van het NCSC
en Noortje Henrichs, zij is teamleider bij NDN.
Wat voor vraag wil jij hun voor de voeten gooien?
VAN 'T HOF: Hans, je was erbij, je vond Hâck The Hague een gaaf evenement.
Komt er ook ooit nog eens een Hâck Holland?
Zo ja, wat moeten we daarvoor doen?
ROTMAN: Komt er een Hâck Holland? Leuke vraag.
Concrete tips, als jij wil dat jij wat minder kwetsbaar wordt voor hacks?
Thijs, de hacker?
-BOSSCHERT: Vanuit hackersoogpunt...
Ik beantwoord 'm meer vanuit m'n security professional oogpunt.
Zorg voor een goede basisbeveiliging, zorg dat je updatet.
Maar op een dag gaat die hack toch wel plaatsvinden.
En wat ik daar vooral aan mee kan geven, zorg ook vooral voor back-ups.
Wees voorbereid voor als 't wel misgaat.
ROTMAN: En dus ook: Weet wie je moet bellen als zoiets gebeurt.
Bij brandlucht weet je wie je moet bellen.
Maar als je gehackt wordt, weten veel mensen het ineens niet.
BOSSCHERT: Ja, en dat is dan weer meer je incident response readiness.
Denk daar vooral een keer over na.
Dat kan zijn dat je een telefoonnummer hebt van een externe partij
die jou daarbij gaat steunen. Maar zorg dat er iets op orde is.
ROTMAN: Jeroen, de verantwoordelijke voor de cybersecurity hier in Den Haag?
SCHIPPER: Ja, eigenlijk geeft Thijs al precies aan waar het om gaat.
Die basis die moet op orde zijn.
En laat ik daaraan toevoegen: Zorg niet alleen dat je een plan hebt,
dat is inderdaad een A4-tje met een bellijst, maar oefen het ook.
ROTMAN: Sla dat A4-tje niet op op je computer, maar print 'm uit
en leg 'm naast je computer zodat je erbij kan als de boel platligt.
SCHIPPER: Exact.
ROTMAN: Flauw ben ik, hè? Chris, wil jij er nog wat aan toevoegen?
VAN 'T HOF: Nou, dat oefenen is iets wat organisaties steeds meer doen.
Je gaat ervanuit: ooit worden wij gehackt.
Laat ik een verschrikkelijk scenario bedenken
en gaan we daar een middag mee zitten met z'n allen.
Dat is wat je als organisatie kunt doen.
Technisch, ja, zorg voor segmentatie, voor updatebeleid.
Implementeer password managers.
Dat geldt ook voor individuen. Je komt nog steeds mensen tegen:
'Nee, ja, ik heb overal een ander wachtwoord.' Hoe doe je dat dan?
'Ja, dat is mijn geheim.' Dan denk ik: dat ga je nooit onthouden.
Je moet gewoon een password manager nemen.
En ook als individu je updates, die zijn heel belangrijk.
Denk niet van: O, druk 'm maar weg, want ik moet nog even door.
En misschien kun je ook als individu af en toe eens denken:
Hoe zou ik mezelf hacken?
Stel, ik ben een hacker. Wat zou er bij mij te halen zijn?
Hoe zouden ze binnenkomen?
ROTMAN: Oe, ik zou wel weten waar ik zou moeten zijn
als ik mezelf zou moeten hacken.
Maar dat ga ik pas prijsgeven als dat lek gedicht is.
VAN 'T HOF: Dat moet je dus vooral niet zeggen.
ROTMAN: Oké, Hâck Holland, ik ben benieuwd waar Thijs mee gaat komen
als dat evenement ooit gaat plaatsvinden. Ik wacht het rustig af.
Ik heb er in elk geval zin in. Dank jullie wel voor jullie wijsheid
en voor jullie teksten. Jeroen Schipper, CISO bij de gemeente Den Haag,
Chris van 't Hof, schrijver, onderzoeker, presentator,
en Thijs Bosschert, security professional en hacker.
En luister ook de andere afleveringen van 'Let's talk about hacks' terug
op weerbaredigitaleoverheid.nl.