Ciso Jeroen Schipper houdt Den Haag veilig
INTERVIEW – Het aanvalsoppervlak bij een organisatie als de gemeente Den Haag is enorm. Aan chief information security officer (ciso) Jeroen Schipper (49) de schone taak om de gemeente digitaal veilig te houden. Hij vertelt over zijn vakgebied, hackwedstrijd Hâck The Hague en hoe hij ondanks de toegenomen werkdruk het hoofd koel houdt. ‘Je moet kunnen relativeren, anders slaap je niet meer.’
In de metershoge centrale hal van het stadhuis van de gemeente Den Haag zoeken op maandagochtend 30 september zo’n veertig hackers naar kwetsbaarheden in de beveiliging van operationele technologie (ot) die wordt gebruikt in de Hofstad. In een vloeroppervlak dat is afgezet met geel-zwart lint, vlak naast de plek waar burgers aan de balie hun paspoort ophalen of rijbewijs verlengen, vindt de zesde editie van Hâck The Hague plaats. Bezoekers die nietsvermoedend door het stadhuis schuifelen, zien hoe onder strenge voorwaarden, zoals vastgelegd in de rules of engagement, met daarin voorwaarden voor het melden van kwetsbaarheden, op zoek gaan naar gaten in de beveiliging. Tijdens deze ‘OT-edition’ van Hâck The Hague proberen de ethische hackers onder meer beveiligingscamerasystemen, verkeersregelinstallaties, toegangs- en communicatiesystemen en een schaalmodel van een beweegbare brug te kraken. Ze mogen zelfs de behuizing van de apparatuur openmaken om te kijken of ze zo de hard- en software kunnen manipuleren. Op de tafels ligt allerlei opengewerkte apparatuur waarvan de bedrading en moederborden tevoorschijn komen.
Shit
Ciso Jeroen Schipper neemt even verderop ontspannen plaats aan een tafeltje in Kafe Kafka en bestelt een espresso. Wie een ciso verwacht die ijsberend rondloopt om te kijken of er al een lek is ontdekt, komt bedrogen uit. ‘Jeroen is eigenlijk nooit gestrest en als hij dat al is dan merk je er niks van’, zegt een collega. ‘Als er shit is, dan word ik juist nog rustiger’, zal Schipper zeggen in het gesprek dat volgt.
Met de poten in de modder
Schipper, die in mei tijdens Ciso Day, een evenement met tweehonderd vakgenoten, een award won voor zijn ‘holistische’ en ‘inclusieve’ benadering van cybersecurity en zijn rol als actieve cybersecurity-vertegenwoordiger van de stad Den Haag, heeft een achtergrond in zowel ict als managementwetenschappen. Hij studeerde informatietechnologie in Leiden en aan de Haagse Hogeschool en rondde een managementopleiding af. De geboren Voorburger die met zijn vrouw en kinderen (13 en 16 jaar) in Rijswijk woont, heeft meer dan twintig jaar ervaring in cybersecurity. Hij stond bij Defensie ‘met de poten in de modder’ als securityspecialist. Zijn kennis van verandermanagement komt goed van pas in de grote gemeente waar hij nu werkt.
Testen gemeentelijke ict
Schipper is inmiddels zes jaar ciso in Den Haag. Toen hij er in 2018 begon, was er al een eerste Hâck The Hague georganiseerd. In 2017 ontstond het evenement nadat een raadslid in een audit-rapport las dat de gemeente moest oppassen voor hackers, vertelt Schipper. Samen met de wethouder werd een plan gesmeed om een hackwedstrijd te organiseren om de beveiliging van de gemeentelijke ict te testen. Dat groeide uit van een klein evenement van een paar uur naar een groot evenement aan het begin van de Haagse Securityweek waarin onder meer het bekende securitycongres One Conference wordt georganiseerd.
Den Haag wordt regelmatig door andere gemeenten gevraagd hoe ze een vergelijkbaar evenement als Hâck The Hague kunnen organiseren. De gemeente publiceerde eind 2021 dan ook het e-book ‘Zo hack je een stad’, om andere gemeenten, rijksoverheden of organisaties te helpen met de organisatie van een hackathon. In dat jaar deed een recordaantal van 206 deelnemers uit 22 landen mee, zij meldden 125 kwetsbaarheden.
Schipper zag de laatste jaren ook zijn eigen team flink groeien. Vergeleken met zijn start bij de gemeente is het team verdubbeld naar 25 personen. Hij hoopt eind van dit jaar door te groeien naar dertig personen en is nog volop nieuwe mensen aan het werven. Hij wijst er tijdens het interview meermaals op dat de ict-beveiliging van de stad Den Haag een teamprestatie is.
Cyberwapenwedloop
Het gespreksonderwerp komt op de toegenomen werkdruk van ciso’s door de alsmaar toegenomen cyberaanvallen en het extra werk dat dit met zich meebrengt. In alarmerende rapporten wordt zelfs gewaarschuwd voor stress die ciso’s kan vellen. Schipper herkent het beeld van de gegroeide verantwoordelijkheid en de druk die daarbij komt kijken. ‘Zeker in een stad als Den Haag moet ict altijd beschikbaar zijn. En natuurlijk wordt security steeds belangrijker. Daarbij moet je vooroplopen. Want als je achterloopt, dan word je gepakt.’ Hij ziet het als een cyberwapenwedloop die gewonnen moet worden. Schipper heeft naar eigen zeggen een flink team om zich heen en collega’s die hem bij vakantie, verlof of ziekte kunnen vervangen. Ook is er een samenwerkingsverband waarbij de ciso’s van de vier grote steden (Amsterdam, Den Haag, Rotterdam en Utrecht) wekelijks contact hebben en periodiek fysiek samenkomen.
Je moet er wel een beetje relaxed in staan
Schipper: ‘Het aanvalsoppervlak bij een organisatie als de gemeente Den Haag is enorm. We hebben heel veel sites, we hebben heel veel applicaties, we hebben ot, it, noem maar op.’ Zijn blik wordt serieus als hij ingaat op de genoemde rapporten over de hoge uitval onder ciso’s door mentale druk. ‘Niet iedereen kan ciso worden, heb ik al gemerkt. Je moet heel veel dingen tegelijk kunnen managen. Als je het je allemaal aantrekt, dan slaap je niet meer.’ Hij vervolgt: ‘Het is ook gewoon werk. Ik bedoel, ik neem het heel serieus, maar je moet er wel een beetje relaxed in staan. Kunnen relativeren. Maar dat is niet voor iedereen weggelegd.’
Politieke aspect
Hij legt uit dat er ook een groot verschil zit in welke organisatie een ciso werkt. ‘Iedere organisatie en iedere ciso-rol is weer anders. Ik heb een technische en een managementachtergrond. Maar er zijn ook ciso’s die volledig technisch zijn en daar vol bovenop zitten. Ik moet in deze rol vooral kunnen begrijpen wat er gezegd wordt door een beheerder of door een ict-leverancier. Bij mij is het politieke aspect weer heel belangrijk. Bij andere bedrijven en organisaties is dat weer heel anders.’
Aan een ciso bij een productleverancier worden totaal andere eisen gesteld, duidt hij. ‘Die maakt misschien één product en daar moet je dan gefocust zijn op de hele leveranciersketen van dat product.’ In vergelijking met een ministerie heeft een gemeente ook weer een hele andere dynamiek, vervolgt hij. ‘Wij doen veel van wat er ook bij ministeries gebeurt. Van toeslagen tot aan handhaving tot aan noem maar op. Het is dus heel breed. Het zijn heel veel systemen, een enorm aanvalsoppervlak.’ Hij wijst op het belang van samenwerking, ook met partijen als het Nationaal Cyber Security Center (NCSC) en de Vereniging van Nederlandse Gemeenten (VNG). ‘En soms gaat het fout en op het moment dat er iets echt misgaat, dan hoop ik dat ik die rust nog steeds heb.’
Lukt ze nooit
Nadat de werkdruk van ciso’s besproken is, gaat het gesprek weer over Hâck The Hague. Op de vraag welke kwetsbaarheden er tijdens dat evenement zoal zijn ontdekt, antwoordt hij: ‘We hebben geen kwetsbaarheden gezien waarbij we direct systemen moesten uitzetten, maar we hebben wel gehad dat hackers op plekken in onze infrastructuur konden komen waar we van dachten: ‘dat lukt ze nooit’.’
Binnen drie dagen was er een wereldwijde fix
Ook haalt hij een voorbeeld van Hâck The Hague 2019 aan waarbij hackers het verkeer van printers onderschepten. Ze konden de documenten zelf niet in, maar zagen wel wie iets had geprint, de bestandsnaam en de informatie op welke schijf het bestand stond. Schipper: ‘Dat is gewoon informatie die niet publiekelijk beschikbaar mag zijn. Op het moment dat ik iets print en het bestand heet bijvoorbeeld ‘ontslagbrief’, dan is dat gewoon een risico.’ De zaak is toen direct opgepakt door het NCSC en de Japanse printerleverancier. Via de VNG is de kwetsbaarheid gemeld bij gemeenten.’ Schipper: ‘De leverancier had binnen drie dagen een wereldwijde fix. Dat is dus een voorbeeld van een kwetsbaarheid met veel impact die ook snel is opgelost. We hebben ook kwetsbaarheden gevonden waarbij leveranciers deze ter plekke hebben opgelost.’
Veel van leren
Schipper krijgt regelmatig de vraag wat de meerwaarde is van een hackwedstrijd in vergelijking met bestaande audits of pentests. ‘Een audit is meestal meer ‘hoog over’. Ook als je het bijvoorbeeld over een pentest of een red teaming-opdracht (onderzoek waarbij aanvallers een organisatie digitaal proberen binnen te dringen, red.) hebt. Dat gaat volgens Schipper vaak over een min of meer vooraf bepaald stramien. Het verschil met een hackwedstrijd is dat verschillende hackers allerlei verschillende methodieken inzetten om binnen te komen. ‘Daar is veel van te leren omdat het telkens om een andere aanpak gaat.’
De opbrengst van Hâck The Hague is volgens Schipper groter dan alleen een beter beveiligde it- of ot-omgeving. ‘Het klinkt misschien een beetje hoogdravend, maar we proberen ook de wereld een stukje veiliger te maken. En alles wat hier gevonden en gefixt wordt, draagt daaraan bij.’ Ook is het evenement belangrijk voor de aanwas van nieuwe mensen voor zijn securityteam. Regelmatig wordt via het evenement het eerste contact gelegd en bedenken deelnemers zich daarna dat de gemeente een interessante werkplek kan zijn.
Eigen wetten
Terug op de vloer bij de hackathon valt op dat er nauwelijks koffie wordt gedronken. Deelnemers zetten liever een flesje Club-Mate aan de mond. Dat is een in de hackerscene enorm populaire energiedrank met veel cafeïne. Die hackerswereld kent sowieso zijn eigen wetten. Aanwezigen die niet gefotografeerd willen worden, dragen een rood keycord, sommigen draaien ook bewust de naambadge weg die aan dat koord hangt. ‘Ja, soms hebben we de neiging om wat paranoia te doen en wordt het een wedstrijd wie zo min mogelijk privacy-sporen nalaat’, zegt een deelnemer. Een andere hacker, met een rood koord om zijn nek, bekijkt met een microscoop de printplaat van een beveiligingscamera. Hij onderzoekt de chips en kijkt of de signalen op de printplaat iets prijsgeven over de firmware. Als de foto van achteren wordt gemaakt vindt hij het prima dat de Computable-verslaggever het tafereel met camera vastlegt. Er is ook veel media-aandacht voor Hâck The Hague. Schipper stond bij eerdere edities camerateams te woord van onder meer WNL en SBS6. Vandaag zijn ook de dagbladen FD, Telegraaf en Trouw aanwezig. Computable sluit aan in het rijtje van de vakbladen.
De spanningsboog moet zo af en toe gebroken worden door een vrolijke noot
In de hoge hal van het Haagse gemeentehuis heeft een bekende uit de internationale hackerscene, Edwin van Andel, cto van Zerocopter, dat de triagetool levert waar deelnemers hun kwetsbaarheden melden, zijn zwarte kloffie tijdelijk uitgebreid met een brandweerpet, clownsneus, en fluoriderende werkbroek. Hij vraagt met een pluche eend onder de arm of er al een lek gevonden is. Deelnemers in zwarte hoodie met achterop het logo van het evenement, kijken lachend toe als deze typische hackershumor aan hun tafel voorbijtrekt. Ook Jeroen Schipper kan een glimlach niet onderdrukken als hij de ethische hacker, die al sinds de jaren tachtig in de hackerscene meeloopt, in het vizier heeft. Ethisch hacken is een serieuze zaak, maar ook voor de ciso van Den Haag geldt dat de spanningsboog zo af en toe gebroken moet worden door een vrolijke noot.
Beknopt cv Jeroen Schipper
Ciso gemeente | 2018 – heden |
Senior management consultant Joint IV Commando, Defensie | 2013 – 2018 |
Senior consultant en projectleider informatiebeveiliging, Defensie | 2002 – 2012 |
Oprichter van eigen bedrijven voor internetdiensten tijdens en na studie | 1995 – 2002 |
Opleidingen | |
Open Universiteit, Master of Science (MSc) / Doctorandus (drs.), Managementwetenschappen | 2017 – 2022 |
Haagse Hogeschool, Bachelor of Science (BSc) / Engineer (ing.), Information Technology | 1996 – 2000 |
Universiteit Leiden, Informatica | 1994 – 1996 |
Winnaars
Tijdens Hâck the Hague 2024 ‘The OT edition’ werden de volgende prijzen uitgereikt voor gevonden kwetsbaarheden:
* Eerste prijs (3.072 euro): Toegekend aan hackers die een aanpassing konden maken in een webportaal met een hoog risiconiveau.
* Tweede prijs (1.536 euro): Voor een melding met een hoog risico, waarbij slechte netwerksegmentatie leidde tot een groot aanvalsoppervlak.
* Derde prijs (768 euro): Voor een bevinding met gemiddeld risiconiveau, waar verkeerde invoer kon leiden tot het uitvallen van een portaal.
Eervolle vermeldingen:
* Kwetsbaarheid met lage dreiging en een concreet uitvoerbare suggestie voor systeemverbetering.
* Kwetsbaarheid met gemiddelde dreiging, met mogelijke financiële impact.
Dagblad Trouw meldde dat tijdens het evenement een kwetsbaarheid is gevonden waardoor het mogelijk is om gratis te laden met een laadpaal. Een bij het evenement betrokken communicatieadviseur reageert dat die informatie na een check bij de leverancier onjuist bleek te zijn. ‘Dat heeft Trouw niet gecheckt voor publicatie van het artikel.’