Over het Traject Ethisch Hacken

In 2020 sloegen de VVSG en Howest hogeschool de handen in elkaar om ethisch hacken in lokale besturen mogelijk te maken. Dankzij financiële steun van minister Somers en in nauwe samenwerking met Agentschap Binnenlands Bestuur, Audit Vlaanderen en Digitaal Vlaanderen kunnen lokale besturen kosteloos deelnemen aan het Traject Ethisch Hacken.

Concreet houdt het traject in dat studenten Cyber Security Professional uit de richting Toegepaste Informatica gedurende enkele dagen kosteloos de IT-omgeving doorlichten om zwakke plekken te ontdekken en deze te signaleren aan het lokaal bestuur. Alle deelnemers krijgen op het einde van het traject een auditrapport overhandigd, met daarin de gebundelde bevindingen en aanbevelingen van de studenten.

Tijdens hun bezoek kijken de studenten via enkele technische tests of zij kwetsbaarheden in de IT-omgeving kunnen vinden die door een kwaadwillige hacker uitgebuit kunnen worden, maar het aanbod bevat ook enkele andere tests:

• Een Open Source Intelligence Network Test waar de studenten op zoek gaan naar publiek beschikbare informatie die hackers kunnen gebruiken om zich toegang tot de IT-omgeving te verschaffen.
• Interne en externe blackbox pentesten waarbij de Howest-hackers zelf proberen om op veilige wijze 'binnen te dringen' in de systemen en toepassingen van het lokaal bestuur.
• Een bevraging bij lokale medewerkers naar hun kennis van goede praktijken inzake cyberveiligheid.
• Een bevraging bij de lokale DPO of CISO om zicht te krijgen op de aanwezige beschermingsmaatregelen.

Eveneens is het mogelijk om naast het standaardaanbod aan testen, te kiezen voor één van onderstaande optionele tests:

• Een social engineering campagne waarbij studenten kijken hoe medewerkers reageren op een phishingmail, impersonatie (waarbij de studenten onder een alias toegang proberen krijgen tot netwerken en systemen) of een USB-drop (waarbij gekeken wordt hoeveel medewerkers een USB die mogelijk malware bevat aansluiten).
• Een camera security audit waarbij de studenten een test uitvoeren op een beveiligingscamera/beveiligingscamera’s beheerd door het lokaal bestuur. Hierbij testen de studenten of de camera/camera’s voldoende beveiligd is/zijn tegen een mogelijke cyberaanval.

Het traject gaat steeds van start in oktober, om te eindigen in december met een auditrapport op maat van jouw lokaal bestuur, die de gevonden kwetsbaarheden en aanbevelingen om de organisatie verder te beveiligen bevat. De ICT-veiligheidstesten zelf vinden plaats in de tweede helft van november.

Deelname is volledig gratis en er wordt vooraf een overeenkomst gesloten tussen de deelnemende lokale besturen en studenten om de tests binnen een veilig en professioneel kader te laten verlopen. 

Via dit online inschrijvingsformulier kan je jouw lokaal bestuur aanmelden voor het traject van 2023.

De inschrijvingen worden op 26 juni 2023 afgesloten. De geselecteerde deelnemers worden kort hierna op de hoogte gebracht van het verdere verloop van hun deelname.

Belangrijk is dat dit aanbod voorbehouden is voor steden en gemeenten, OCMW's en intercommunales. Steden en gemeenten krijgen voorrang bij de toewijzing van ethische hackers. Steden en gemeenten die nog niet deelnamen aan het traject, worden als eerste behandeld. 
 

Dit aanbod is complementair met de professionele ICT-veiligheidsaudits met cofinanciering via de Vlaamse overheid. Het traject ethisch hacken is geen vervanging, maar biedt de mogelijkheid om je bestuur hierop voor te bereiden of na te gaan in welke mate de verbeterpunten die uit de audits kwamen effectief zijn opgelost. De twee initiatieven zijn vrij te combineren, maar het wordt alvast warm aanbevolen.

Op basis van de individuele rapporten die de studenten opstelden op maat van de deelnemende lokale besturen, werd een globale analyse gemaakt waarin de meest voorkomende kwetsbaarheden worden uitgelicht samen met aanbevelingen om de organisatie en IT-omgeving beter te beveiligen.