Hackdemonstraties en meer tijdens het WIP-congres

Op donderdag 5 maart a.s. heeft de IBD tijdens het Work in Progress Congres 2015 een inhoudelijke workshop en meerdere inloopspreekuren verzorgd waar gemeenten terecht konden met vragen over informatiebeveiliging. Tijdens de IBD-workshop ‘Loopt jouw gemeente risico om gehackt te worden?’ stond bewustwording voor risico’s op het vlak van informatiebeveiliging centraal en is er een hackdemonstratie gegeven. In totaal hebben ruim dertig mensen deelgenomen aan de workshop en is de IBD tijdens de inloopspreekuren in gesprek geweest met gemeenten over allerhande vragen op het vlak van informatiebeveiliging.

Open WiFi-netwerken

De workshop was opgebouwd uit twee delen. In het eerste deel is een hackdemonstratie gegeven door Hong Gie Ong en Gerard Klomp van Capgemini. Zij hebben de deelnemers met de demonstratie gewezen op de risico’s van het gebruik van openbare en onbeveiligde WiFi-netwerken. Met behulp van een WiFi-Pineapple kit, die eenvoudig via Internet aan te schaffen is, is het voor elke willekeurige hacker mogelijk om smartphones en tablets die een onbeveiligd WiFi-netwerk in het geheugen hebben staan te hacken. Wanneer iemand met zijn smartphone of tablet gebruik heeft gemaakt van een onbeveiligd WiFi-netwerk blijft het apparaat een signaal uitzenden om verbinding te maken  met deze netwerken. De WiFi-Pineapple kit vangt deze signalen op en de hacker kan de smartphone of tablet vervolgens hacken en overnemen. Om te laten zien hoe het systeem precies werkt, is aan de deelnemers gevraagd verbinding te maken met het accespoint ‘king-wip’ en vervolgens de website nu.nl te openen. Met een eenvoudige handeling hebben de hackdemonstraten een omleiding weten te realiseren en kregen de deelnemers een andere website te zien, speciaal voor deze demonstratie gemaakt. Het belangrijkste advies die de ethisch hackers aan de deelnemers hebben meegegeven is om goed bewust te zijn van de handelingen die je verricht wanneer je gebruikmaakt van een open Wi-Fi-netwerk. “Verwijder deze onveilige open draadloze netwerken daarna ook uit je telefoon”, vult Jule Hintzbergen, adviseur informatiebeveiliging bij de IBD, vervolgens aan.

Beveiliging digitaal loket

In het tweede deel van de workshop is Jacco van Tuijl van Sogeti vervolgens ingegaan op de DigiD-audit en de eisen die daar in gesteld worden door Logius, op basis van de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Gemeenten hebben de verplichting om te voorkomen dat  gegevens op straat komen te liggen. Er zijn flink wat regels opgesteld. Eén daarvan is bijvoorbeeld dat men gebruik moet maken van geparametriseerde queries. Met een korte demonstratie is laten zien, hoe hackers op een website, waar geen beveiliging tegen SQL injectie is opgenomen, op een eenvoudige manier accountgegevens van klanten kunnen achterhalen en ook gegevens kunnen toevoegen of wijzigen. Dit kan ook gebeuren met websites van gemeenten. Voor veel persoonlijke aanvragen en handelingen werkt een gemeente met DigiD. Dit geldt daarentegen niet voor inschrijvingen voor bijvoorbeeld een digitale nieuwsbrief. Vaak gebruiken mensen hier wachtwoorden voor die ze ook voor andere accounts gebruiken. Hackers maken hier gebruik van en gaan die combinatie van gegevens ook voor andere toepassingen gebruiken. Het is een van de meest gebruikte hacks volgens Anita van Nieuwenborg, teamleider IBD. Haar advies: “Overweeg een pentest DigiD voor de hele organisatie”.

Inloopspreekuren

Tijdens de inloopspreekuren hebben de congresdeelnemers de mogelijkheid gehad om allerhande vragen op het vlak van informatiebeveiliging te stellen aan de IBD. Verschillende gemeenten hebben hier gebruik van gemaakt. Zo gaf een gemeente aan problemen te hebben om draagvlak te krijgen om van start te gaan met de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Het College van Burgemeester en Wethouders (B&W) en de gemeenteraad zien vooralsnog geen direct belang in informatiebeveiliging of beleid hierop. Jule Hintzbergen, adviseur informatiebeveiliging bij de IBD, heeft deze persoon geadviseerd te starten met een GAP-analyse en de resultaten hieruit te relateren aan businessrisico’s voor bestuurders en management. Ook de Meldplicht Datalekken kan ingezet worden als argument voor meer inzet op informatiebeveiligingsvlak. Tot slot heeft Hintzbergen aangegeven dat de IBD eventueel ook langs kan komen om de gemeente te helpen informatiebeveiliging in de gemeente verder vorm te geven, bijvoorbeeld met een bewustwordingsbijeenkomst.

Meer informatie?

Heeft u vragen over hoe u meer bewustwording voor risico’s op het vlak van informatiebeveiliging teweeg kan brengen? U kunt hiervoor contact opnemen met de IBD via 070 373 8011 of een e-mail sturen naar info@IBDgemeenten.nl.