Hack_FRL: jezelf laten hacken levert meer op dan alleen kwetsbaarheden
In dit artikel:
Achttien Friese gemeentes lieten zich deze maand in Leeuwarden gecontroleerd binnendringen tijdens Hack_FRL, een oefening om te laten zien hoe makkelijk publieke dienstverlening platgelegd kan worden en hoe belangrijk voorbereiding is tegen ransomware. Het event was een gezamenlijk initiatief van onder meer RBPO Noord-Nederland, RIEC Noord-Nederland, NHL Stenden en regionale cybersecuritybedrijven, en reageert op het beeld dat in 2023–2024 zo’n 150 Nederlandse gemeenten direct of indirect betrokken waren bij ransomware-incidenten.
De “hackers” waren vooral mbo- en hbo-studenten, begeleid door ervaren security-experts en gehanteerde ethische regels: white hats testen systemen zonder schade te veroorzaken, in tegenstelling tot black hats. Omdat de gemeenten terughoudend waren, mochten deelnemers slechts een beperkt aantal systemen onderzoeken; dat zorgde ervoor dat de grootste winst niet in het aantal ontdekte lekken zat, maar in bewustwording. Ongeveer twintig kwetsbaarheden werden gevonden, terwijl IT-afdelingen door de aankondiging al preventief hun systemen versterkten.
Specifieke aandacht ging uit naar Operational Technology (OT) — besturingssystemen voor industriële processen zoals gemalen — en de steeds grotere koppeling tussen OT en reguliere IT. Hoewel het risico op rampzalige scenario’s zoals Friesland onder water zetten wordt gerelativeerd, nam de kwetsbaarheid toe door netwerkverbindingen met alledaagse apparaten (bijvoorbeeld koffieautomaten). Organisator Henk van Ee benadrukt ook het wervingsaspect: “Je kunt talent spotten.” Evenementen als Hack_FRL bieden daarom zowel directe leereffecten als kansen om jonge, ethische cybersecuritytalenten aan te trekken; volgens de organisatie zouden vergelijkbare edities in Groningen en Drenthe wenselijk zijn.