Zes uur de tijd om in te breken bij de gemeente

Zijn de sites van Eindhoven hackerproof? De gemeente nodigde hackers uit om dat te ontdekken.

Er zitten 27 hackers in de commissiezaal van het stadhuis in Eindhoven. Ze zijn deze zaterdag afgereisd uit Amsterdam, Waalwijk en Lelystad, en proberen al sinds tien uur ’s ochtends de gemeentesite te hacken. Het is als schatzoeken voor hen, zeggen ze. „We doen het voor de kick.”

Ze hebben allemaal hun eigen laptop meegebracht. De zaal ligt vol snoeren. Op hun schermen verschijnen reeksen codes. Mannen zijn het, en jongens. De jongste veertien, de meesten rond de dertig. Ze dragen zwarte T-shirts of donkere overhemden. Een enkeling verstopt zich in pet en sjaal.

Ze zijn hier omdat onderzoeksjournalist Brenno de Winter een oproep plaatste: „Wie komt er legaal de site van Eindhoven hacken?” De Winter verwierf landelijke bekendheid doordat hij een OV-chipkaart hackte en vervolgens dagenlang gratis met de trein reisde. De Winter was ook de drijvende kracht achter ‘Lektober’, een initiatief van IT-website Webwereld waarbij in oktober 2011 elke dag over een lekke website van een overheidsinstantie of bedrijf werd gepubliceerd.

Eindhoven was een van de eerste gemeentes waarover Webwereld in Lektober publiceerde. Meerdere websites van de gemeenten bleken te kampen met ernstige beveiligingsproblemen. Overheidsautomatiseerder Logius besloot daarop de gemeente Eindhoven tot nader order ‘los te koppelen’ van DigiD, het digitale systeem waarmee burgers overheidszaken vertrouwelijk kunnen regelen.

Vanaf dat moment werkte Eindhoven hard aan een betere beveiliging van zijn systemen. Althans, dat vertelde wethouder Staf Depla (PvdA, financiën, dienstverlening en organisatie) steeds. De Winter daagde hem uit. „Heb dan ook de ballen in je broek om het te laten testen”, zei hij. Depla nam de uitdaging aan.

Er moesten contracten worden opgesteld om het Openbaar Ministerie buiten de deur te houden. Providers als KPN en Clarenet en softwareleveranciers als Monet-IP en Q-Matic verklaarden zwart op wit dat zij van vervolging zouden afzien. Hackers op hun beurt garandeerden dat zij ethisch zouden hacken, en bedrijven met beveiligingsproblemen niet publiekelijk te benoemen.

Er waren mensen die waarschuwden dat wethouder Depla vlak voor de gemeenteraadsverkiezingen zijn eigen ondergang tekende. Er waren leveranciers die vreesden voor reputatieschade. De Winter: „Ik bewonder alle partijen die dit aandurfden.”

Er is veel verbeterd in websitebeveiliging sinds Lektober, vindt hij. „Maar de tegenstanders zijn, onder andere, criminele netwerken met veel geld in landen waar wij geen juridische slagkracht hebben. We zullen blijven achterlopen.” Daarom moeten we gebruikmaken van het werk van goedwillende hackers, vindt De Winter. Nu durven hackers lekken niet zelf te melden omdat ze dan een strafzaak riskeren. Onverteerbaar, zegt hij. „Ga geen zestienjarig hackertje vervolgen, maar rol die Russische bende op!”

Het licht in de commissiezaal valt uit. „Sorry, wrong button”, zegt een hacker. „Serieus?”, vraagt een ander. „Nee, maar het had gekund.” Gelach. Het is half drie en heet geworden, in de zaal. Hacker Jacco van Tuijl (34) zweet. Zes uur is te kort om de gemeentesite te hacken, zegt hij. „Als je te snel wilt, word je geblokkeerd.” Daarom stelt hij een lijst op met allerlei kleine beveiligingsmankementen waar de betrokken bedrijven van kunnen leren.

Het is vier uur, en de gemeentesite ligt niet plat. Tot lichte teleurstelling van De Winter en zijn hackers, en tot grote opluchting van providers, leveranciers en gemeente. Toch hebben zij samen hun punt gemaakt, vindt wethouder Depla: „Laten we mensen die te goeder trouw hacken zien als bondgenoten in de beveiliging.”