Studenten van de Academie voor ICT & Media van de Haagse Hogeschool zijn er niet in geslaagd de beveiliging te breken van systemen van de gemeente Haarlemmermeer en van Logius, de overheidsdienst die DigiD en PKIOverheid beheert. Minister Plasterk van Binnenlandse Zaken was bij de hacksessie aanwezig, meldt het departement. Vorig jaar beloofde het ministerie om regelmatig studenten uit te nodigen om overheidsdiensten en sites onder handen te nemen.

Speelruimte erg beperkt

Het ging maandag echter alleen om een statische site van PKIOverheid en een mailserver van Haarlemmermeer. Welke hackmethoden wel en niet waren toegelaten wordt niet bekend gemaakt, maar de speelruimte was erg beperkt, vertelt Leo van Koppen, teamleider van de Academie voor ICT & Media. De studenten hadden weinig tijd en konden ook de netwerktopologie niet in kaart brengen, omdat er geen IP-adressen onderzocht mochten worden die extern zijn gehost.

Haarlemmermeer zelf meldt trouwens dat het gaat om een webserver en slaat zich op de borst over het 'positieve resultaat'. “Daarmee bewijst deze test de betrouwbaarheid en veiligheid van de gemeentelijke webserver", aldus de gemeente.

Van Koppen is gematigd positief over de test. “Het is voor de studenten uitdagend en motiverend. De volgende keer zouden we echter wel meer tijd willen hebben en ook meer mogelijkheden, zoals bijvoorbeeld social engineering."

Duidelijkheid over ethisch hacken

De recentelijke ontwikkelingen rondom ethisch hacken en responsible disclosure vindt Van Koppen interessant. “Daar verwacht ik wel wat van." Daarbij moet echter ook het OM duidelijke richtlijnen stellen wat wel en niet kan, vindt hij. “Het is dan ook erg jammer dat de zaak rondom Henk Krol nu stilvalt. Hierover is meer jurisprudentie nodig."