Studenten speuren naar digitale lekken
Actueel 214 keer gelezenZoetermeer – Meer dan vijftig ICT-studenten hebben vrijdag 8 mei geprobeerd om de besturingssystemen van verschillende Zoetermeerse pompstations te hacken tijdens het cybersecurity-evenement ZeroDay in de Dutch Innovation Factory (DIF). In een gecontroleerde en veilige digitale omgeving gingen de studenten op zoek naar kwetsbaarheden in systemen die in de praktijk worden gebruikt voor de aansturing van voorzieningen in de openbare ruimte.
Door Mariëlle Mets
Het evenement werd geopend door wethouder Jan Iedema, die het belang van digitale veiligheid benadrukte. Volgens hem neemt het aantal cyberaanvallen ieder jaar toe en is het noodzakelijk om gemeentelijke systemen voortdurend te testen. “Cybersecurity wordt steeds belangrijker. Met dit ethische hack-event dagen we studenten uit om onze systemen te onderzoeken. Dat helpt ons om inzicht te krijgen in mogelijke zwakke plekken”, aldus Iedema.
De gemeente organiseerde ZeroDay inmiddels voor de derde keer. Tijdens eerdere edities onderzochten studenten onder meer het afsprakensysteem en de aanvraagportalen van de gemeente. Dit jaar lag de focus op systemen in de buitenruimte, waaronder de digitale aansturing van waterpompen. Volgens de wethouder krijgt de gemeente jaarlijks te maken met duizenden pogingen tot digitale inbraak. Door studenten actief mee te laten zoeken naar kwetsbaarheden hoopt de gemeente problemen vroegtijdig te ontdekken en te verbeteren.
Een van de deelnemers was de 23-jarige Tom Steenvoorden, tweedejaarsstudent aan De Haagse Hogeschool in Delft. Hij volgt daar de opleiding HBO-ICT met de specialisatie System Network Engineer. Volgens Tom speelt kunstmatige intelligentie inmiddels ook een rol tijdens het hacken. “We gebruiken AI vooral om snel eenvoudige openingen en mogelijke kwetsbaarheden te vinden. Zo krijgen we een overzicht van interessante punten die we daarna zelf verder onderzoeken”, vertelt hij.
Toch ziet hij AI niet als vervanging van menselijke kennis. “AI is vooral een hulpmiddel of samenwerkingspartner. Je moet nog steeds zelf goed begrijpen wat je doet en de juiste instructies geven. Voor het echte onderzoek en de analyse blijft menselijke expertise nodig.” De organisatie van ZeroDay moedigde het gebruik van AI deels aan, maar stelde duidelijke grenzen. Studententeams mochten AI inzetten ter ondersteuning, maar niet het volledige onderzoek laten uitvoeren. In het eindverslag moesten deelnemers uitleggen hoe zij tot hun bevindingen waren gekomen. Wanneer daarbij te veel op AI werd geleund, konden punten worden afgetrokken.
Naast het hoofdprogramma vond ook een zogenoemde Capture The Flag-wedstrijd plaats. Deze competitie was vooral bedoeld voor eerstejaarsstudenten die kennismaken met ethisch hacken. Bij een CTF-opdracht moeten deelnemers digitale puzzels en beveiligingsproblemen oplossen om zogenoemde ‘flags’ te verzamelen.
Cybersecuritydocent Arthur Djamardzhashvili begeleidde het evenement. Hij is verbonden aan De Haagse Hogeschool in Zoetermeer en deed als student zelf mee aan eerdere edities van ZeroDay. De studenten onderzochten tijdens deze edities tientallen gemeentelijke websites. “Destijds kwamen er daadwerkelijk enkele datalekken aan het licht, zoals formulieren die openbaar toegankelijk bleken”, vertelt hij. Inmiddels werkt Djamardzhashvili ook als cybersecurityspecialist voor verschillende bedrijven. Binnen de Dutch Innovation Factory speelt cybersecurity een steeds grotere rol. Zo beschikt het lectoraat Cybersecurity over een zogenoemd PEN-lab, een penetration test-lab waarin studenten samenwerken met mkb-bedrijven aan digitale beveiligingsvraagstukken.
Aan het einde van de dag maakte de jury de winnaars bekend. Team CTF Crushers won de Capture The Flag-competitie, terwijl Team Eye of Horus de overwinning behaalde bij Hack. De hack-teams vonden een drietal kleine kwetsbaarheden in de aanstuurmodule voor pompen en gemalen, die door de gemeente opgepakt gaan worden.
