Vandaag is de operationele technologie (OT) van de gemeente Den Haag getest door 40 eerlijke hackers. Tijdens het zes uur durende Hâck The Hague zijn o.a. stoplichten, laadpalen, een testopstelling van beweegbare bruggen, de opstelling van een gemaal en camera’s getest. Er kwamen meerdere unieke meldingen van kwetsbaarheden binnen. Drie meldingen wonnen een prijs en twee bevindingen ontvingen een eervolle vermelding.
De hal van het Haagse stadhuis was vandaag gevuld met bureaus, waaraan mensen in een zwarte hoodie, met een laptop en gereedschap zaten. Bezoekers die een nieuw paspoort kwamen aanvragen troffen hackers die probeerde de operationele technologie van de gemeente Den Haag open te breken. Zo werden laptops uitgelezen, camera’s opengeschroefd en werd getest of de Koningstunnel via een testsimulator bereikbaar was. Zowel professionele hackers als studenten hadden zich aangemeld voor de hackwedstrijd.
Jeroen Schipper, CISO van de gemeente Den Haag: “Operationele technologie wordt steeds belangrijker als het gaat om beveiliging. De systemen en apparaten die vandaag werden getest zijn ook voor kwaadwillenden bereikbaar. Tijdens Hâck The Hague proberen we op een veilige en gecontroleerde manier inzicht te krijgen in de mogelijke zwakke plekken, zodat we ze kunnen oplossen. Dit vergroot niet alleen onze veiligheid, maar ook die van alle andere gebruikers wereldwijd. Daar zijn we enorm trots op. Wij zijn heel erg blij met de veertig eerlijke hackers die hier vandaag aanwezig zijn geweest. Samen met de deelnemende leveranciers, hebben ze ons geholpen onze veiligheid verder aan te scherpen. Zo stellen we ons kwetsbaar op om minder kwetsbaar te worden.”
Operationele technologie
Tijdens de speciale OT-editie van Hâck The Hague draaide het allemaal om het opsporen van kwetsbaarheden in de operationele technologie en aanverwante hardware. Daar komt meer bij kijken dan enkel het vinden van kwetsbaarheden in digitale systemen. Bij operationele technologie kun je bijvoorbeeld denken aan laadpalen voor elektrische auto’s, verkeersregelinstallaties en het cameramanagementsysteem. Alle eerlijke hackers moesten akkoord gaan met speciale spelregels. Zo was het verplicht om alle bevindingen aan de organisatie te rapporteren.
Wethouder ICT Hilbert Bredemeijer: “Enorm leerzaam en leuk dat zoveel hackers vandaag de systemen van de gemeente hebben getest. Met regelmatige interne controles werken wij continu aan digitale veiligheid en weerbaarheid tegen cyberaanvallen. Juist de operationele technologie zoals stoplichten is essentieel voor bewoners. Belangrijk dus dat we tijdens deze editie van Hâck The Hague daar de focus op legden.
Bevindingingen Hâck The Hague 2024
Er zijn verschillende kwetsbaarheden gevonden en daarvoor zijn er drie geldprijzen uitgereikt van €3.072, €1.536 en €768. Twee bevindingen kregen een eervolle vermelding.
De eerste eervolle vermeldingen was een kwetsbaarheid met een lage dreiging, waarbij er een concreet uitvoerbare suggestie voor de verbetering van het systeem zat.
De tweede eervolle vermelding had een gemiddelde dreiging omdat het een mogelijk financiële impact zou kunnen hebben.
De derde prijs werd gewonnen voor een bevinding met een gemiddeld dreigingsniveau. Een verkeerde invoer zou kunnen leiden tot het uitvallen van een portaal.
De tweede prijs ging naar een melding met een hoog risico, waarbij slechte segmentatie van het netwerk een groot aanvalsoppervlak veroorzaakte.
De eerste prijs werd gegeven aan hackers die een iets hebben kunnen aanpassen in een webportaal. Deze bevinding had ook een hoog risico.
