Het Centrum voor Cybersecurity België (CCB) organiseert Hack the Government 2024, het allereerste ethische hackingevenement georganiseerd door de Belgische federale overheid.
Op woensdagavond 27 november zal eerste minister, Alexander De Croo de felbegeerde “Ethische Overheidshacker van 2024”-prijs uitreiken aan de winnaar van het evenement.
Hack de Government 2024 wil aantonen dat ethische hackers kunnen helpen om België cyberveiliger te maken. In België is ethisch hacken in de wet verankerd en kunnen ethische hackers binnen een welomschreven kader te werk gaan.
Dit nooit eerder geziene initiatief brengt de gemeenschap van ethische hackers samen om kwetsbaarheden in overheidswebsites en -systemen te identificeren. Samen kunnen we van België het minst cyberkwetsbare land in de EU maken.
Om het nog spannender te maken, is Hack the Government 2024 samengesteld uit een gevarieerde groep ethische hackers (professionals en studenten) die meehelpen om de Belgische digitale omgeving veiliger te maken. Deze samenwerking geeft deelnemers een unieke kans om rechtstreeks bij te dragen aan het beveiligen van de overheidsinfrastructuur. Hoewel het een wedstrijd is om "Ethische Overheidshacker van 2024" te worden, moedigen we ook samenwerking aan tussen de meer en minder ervaren deelnemers.
De overheidsdiensten die deelnemen aan dit initiatief zijn:
- FOD Beleid en Ondersteuning (FOD BOSA/SPF BOSA)
- Rijksdienst voor jaarlijkse vakantie (ONVA/RJV)
- Het Federaal Agentschap voor Geneesmiddelen en Gezondheidsproducten (FAGG)
- Het Centrum voor Cybersecurity België (CCB)
Hack The Government 2024 wordt georganiseerd in nauwe samenwerking met het bug bounty platform Intigriti en biedt een unieke kans om overheidssystemen op de proef te stellen door middel van gecontroleerde, geautoriseerde penetratietests. De uitdaging begon op 13 november en wordt afgerond tijdens een evenement op woensdag 27 november. Degene die wordt gekroond tot "Ethical Government Hacker of 2024" wint een training van het SANS Institute, inclusief het Global Information Assurance Certification-examen (GIAC) ter waarde van meer dan € 10.000. Een vleugje IT-humor mag niet ontbreken, dus we hebben ook eervolle vermeldingen voorzien voor verschillende ludieke prijzen, waaronder “The first to draw blood” and “The one submitting most duplicates”.
Het belang van ethisch hacken en bug bounty-programma's
Door middel van penetratietests (pentests) en bug bounty-programma's pakken organisaties proactief cyberbeveiligingsrisico's aan, blijven ze cyberbedreigingen voor en versterken ze het vertrouwen van het publiek in digitale diensten.
Het werk eindigt niet op 27 november. Het controleren van de bevindingen, het valideren van processen en procedures en het maken van de nodige aanpassingen om de cyberbeveiliging te verbeteren, zullen in de toekomst opnieuw worden getest.
Dit initiatief betekent een grote stap voorwaarts op het gebied van cyberbeveiliging bij de overheid en brengt overheidsinstanties, particuliere expertise en de gemeenschap van ethische hackers samen. Hack The Government 2024 benadrukt het belang van samenwerking op het gebied van cyberbeveiliging en we kijken uit naar de resultaten van deze baanbrekende inspanning.
Nationaal beleid voor het melden van kwetsbaarheden
Het evenement wordt georganiseerd onder de bepalingen van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS2). Dit is het Belgische wettelijke kader dat personen in staat stelt om vastgestelde kwetsbaarheden in informatiesystemen te melden aan het Centrum voor Cybersecurity België (CCB) en de betrokken organisatie zonder vrees voor strafrechtelijke of burgerrechtelijke vervolging, op voorwaarde dat bepaalde regels worden nageleefd. Dit wettelijke kader maakt het mogelijk om de digitale verdediging van België te versterken door de deelname van het publiek aan inspanningen op het gebied van cyberbeveiliging aan te moedigen en een passend kader te bieden voor dergelijke acties.
Dit type evenement moedigt organisaties in België, zoals de federale overheidsadministraties, ook aan om een gecoördineerd beleid voor de bekendmaking van kwetsbaarheden (CVDP) te ontwikkelen, zodat ze meldingen van kwetsbaarheden kunnen ontvangen (via de juiste communicatiekanalen).
Elke organisatie zou ook een Bug Bounty-programma kunnen aanbieden (met financiële beloningen voor ontdekte kwetsbaarheden) en zo experts aanmoedigen om bij te dragen aan de beveiliging van overheidsdiensten.