HALON 2023: hoe is het om doelwit te zijn van ethisch hackers? (nuttig!)

Met 71 gevonden kwetsbaarheden was ethisch hack-event HALON 2023 een succes. Hogeschool Windesheim, waar ik functionaris gegevensbescherming ben, was dit jaar de host én stelde een deel van zijn infrastructuur open voor de ethische hackers. Hoe was het om deel te nemen als doelwit voor ethische hackers? En wat hebben we ervan geleerd? En was het voor herhaling vatbaar? (ja!)

Kwaadwillenden ontwikkelen zich sneller dan wij

Als functionaris gegevensbescherming bij Windesheim en voorzitter van de privacy-community voor onderwijs en onderzoek SCIPR weet ik hoe belangrijk het is dat we als sector cyberweerbaarder worden. We streven naar CMM-volwassenheidsniveau 3. Dat is hard nodig want zoals het Cyberdreigingsbeeld onderwijs en onderzoek 2023 het treffend omschrijft: “De professionaliteit van kwaadwillenden ontwikkelt zich vaak sneller dan de snelheid waarmee instellingen hun weerbaarheid kunnen verbeteren.” We moeten dus hard werken om onszelf zo goed mogelijk te beschermen tegen aanvallen.

Ethisch hacken helpt ons volwassener worden

Er zijn veel manieren om een hoger volwassenheidsniveau te bereiken, en HALON is een heel mooie manier vind ik. HALON staat voor Hack Al het Onderwijs Nederland. Het is een ethisch hack-event waarin onderwijsinstellingen een deel van hun infrastructuur openstellen om te laten onderzoeken op kwetsbaarheden. De ethische hackers zijn studenten en docenten, meestal van ict-opleidingen, die hun hacker-skills willen verbeteren.

HALON 2023 bij Windesheim

Op 10 oktober vond de tweede editie van HALON plaats. De vorige keer, in 2022 bij de TU Delft, deden we vanuit Windesheim niet mee, maar ik wist natuurlijk wel van het event en volgde het met belangstelling. Ik was zelfs zo enthousiast dat ik SURF voorgesteld heb om HALON in 2023 bij Windesheim te hosten. Ons management was daar akkoord mee en we kregen van hen alle ruimte.

Negen moedige instellingen waren doelwit

Het was een succesvolle tweede HALON-editie: negen instellingen waren zo moedig om een deel van hun infrastructuur open te stellen. Ook Windesheim zelf deed mee als doelwit. Zo’n 75 deelnemers waren naar Zwolle gekomen, met als doel om kwetsbaarheden te vinden bij de doelwitten. Het bedrijf Zerocopter was aanwezig om de gevonden kwetsbaarheden te beoordelen op echtheid.

71 kwetsbaarheden gevonden

In totaal zijn er 71 geverifieerde kwetsbaarheden gevonden, waarvan een aantal in de categorie “high”, oftewel ernstig. Bij mijn eigen instelling, Windesheim, wisten de deelnemers twee geverifieerde kwetsbaarheden te vinden. Aan de ene kant is dat fijn: het is een indicator dat onze infrastructuur goed beschermd is. Aan de andere kant was het voor de deelnemers natuurlijk wel leuk geweest als ze er meer gevonden hadden in onze infrastructuur.

Twee vliegen in één klap

In HALON komen voor mij twee belangrijke zaken samen: we geven instellingen laagdrempelig de mogelijkheid om cyberweerbaarder te worden. Tegelijkertijd richten we ons op studenten: met HALON bieden we hun de gelegenheid om hun IT-vaardigheden op een speelse manier te verbeteren. En we willen ze ook warm maken voor een carrière in de cybersecurity, want in de hele sector en daarbuiten is het tekort aan cybersecurityspecialisten groot.

Extra aandacht bij decentrale automatisering

Zoals gezegd kwamen er bij ons geen echte lijken uit de kast, maar wat ik deze editie wel geleerd heb is dat problemen vaak buiten je eigen netwerk zitten, bijvoorbeeld in een vergeten website die niet goed beveiligd is. En wat me ook opviel, en dat is denk ik een aandachtspunt voor de hele sector: bij instellingen waar de automatisering decentraal georganiseerd is (bijvoorbeeld bij onderzoeksgroepen van universiteiten), zagen we meer kwetsbaarheden dan bij instellingen met een centraal georganiseerde automatisering. Het is juist bij een decentrale organisatie belangrijk iedereen goed te informeren en op te leiden. Zodat bijvoorbeeld op alle plaatsen updates op tijd gedraaid worden.

Mooie ‘bijvangst’: IPv6 geconfigureerd

Bij Windesheim hebben we trouwens ook nog op een onverwachte manier geprofiteerd van HALON: de technische organisatie vroeg of we ook IPv6-ranges beschikbaar wilden stellen voor de hackers. Wij hadden IPv6 nog niet geconfigureerd op onze infrastructuur, dus dit was een mooie stok achter de deur om dat nu wel te regelen. We gaan IPv6 nu ook configureren op andere delen van ons netwerk.

Elke gevonden kwetsbaarheid is een kans

Al met al heb ik genoeg redenen om enthousiast te zijn over onze deelname aan HALON. Werk je bij een onderzoeks- of onderwijsinstelling en lijkt HALON je ook interessant, maar heb je nog een beetje koudwatervrees om doelwit te worden bij HALON 2024? Bedenk dat iedere kwetsbaarheid die gevonden wordt, een kans biedt om je infrastructuur weerbaarder te maken. 100% beschermd zul je nooit zijn, maar door veel te testen kun je een heel eind in de buurt komen.

Dus graag tot volgend jaar!

Auteur

Reacties

Dit artikel heeft 0 reacties