Od dwóch tygodni trwa wyjątkowa operacja, podczas której dziesiątki etycznych hakerów i studentów próbują włamać się do systemów informatycznych belgijskich instytucji państwowych. Ich celem są m.in. platformy policji i wojska. Ta pozornie kontrowersyjna aktywność odbywa się za pełną zgodą Centrum Cyberbezpieczeństwa (CCB), które w ten sposób bada słabe punkty infrastruktury państwowej. Do tej pory uczestnicy wykryli już 81 luk bezpieczeństwa.
Druga edycja rządowego maratonu hakerskiego
Centrum Cyberbezpieczeństwa po raz drugi organizuje inicjatywę #HackTheGovernment. Miguel De Bruycker, dyrektor CCB, podkreśla, że głównym celem projektu jest wykrycie podatności, zanim zrobią to osoby o złych intencjach. Państwowe systemy informatyczne są rozbudowane, a współpraca z etycznymi hakerami pozwala systematycznie identyfikować obszary wymagające poprawy.
W tym roku uczestnicy otrzymali dostęp do systemów siedmiu kluczowych instytucji państwowych. W projekcie biorą udział: wojsko, policja federalna oraz lokalna jednostka policji, a także Federalna Agencja ds. Leków i Produktów Zdrowotnych (FAGG), Krajowy Urząd Urlopów Rocznych, Federalna Służba Publiczna Polityki i Wsparcia (BOSA) oraz CCB.
Etyczne hakowanie – jak działa w Belgii
Etyczne hakowanie to profesjonalna metoda testowania zabezpieczeń systemów. Specjaliści przeprowadzają kontrolowane włamania, aby wykryć błędy, które mogły pozostać niezauważone w codziennej pracy administratorów. Od lutego 2023 roku w Belgii jest to w pełni legalne, nawet bez wcześniejszej zgody instytucji, pod warunkiem zgłoszenia podatności w ciągu 72 godzin od jej odkrycia.
Uregulowanie tej praktyki to ważny krok w umacnianiu bezpieczeństwa cyfrowego kraju. Dzięki temu etyczni hakerzy mogą działać bez obaw o konsekwencje prawne, a instytucje zyskują wsparcie w identyfikowaniu zagrożeń.
Rosnące zagrożenie ze strony zagranicznych hakerów
Potrzeba organizowania takich inicjatyw wynika również z rosnącego poziomu cyberzagrożeń. Z raportu Microsoftu wynika, że aż 5 procent wszystkich ataków przeprowadzanych przez rosyjskich hakerów jest wymierzonych w Belgię. To bardzo wysoki odsetek w porównaniu z wielkością kraju.
Dyrektor De Bruycker potwierdza, że zagrożenia stale rosną. Jednym z celów inicjatywy jest również pokazanie, że Belgia ma wyspecjalizowaną i wiarygodną społeczność etycznych hakerów. De Bruycker podkreśla, że ich praca bywa niesłusznie sprowadzana do stereotypów, choć to właśnie oni odgrywają kluczową rolę w ochronie systemów przed prawdziwymi atakami.
Perspektywa uczestników: studenci w akcji
W tegorocznej edycji bierze udział 71 osób: 32 profesjonalnych hakerów i 39 studentów kierunków cyberbezpieczeństwa. Dla młodych uczestników to wyjątkowa okazja do sprawdzenia swoich umiejętności w praktyce.
Dwudziestoletni Kynan Van Looy, student Cloud i Cyberbezpieczeństwa ze specjalizacją etyczne hakowanie w szkole wyższej Thomas More w Geel, przyznaje, że zadania są trudne. Dodaje jednak, że tablica wyników pokazuje, iż wielu uczestnikom udaje się wykrywać kolejne podatności. Z kolei dziewiętnastoletni Logan Homolka, student inżynierii przemysłowej z UHasselt, podkreśla wyjątkowość możliwości testowania systemów, do których normalnie nie miałby dostępu. Odkrył już pewne luki, ale z oczywistych względów nie może ujawnić ich charakteru.
Wyniki poprzedniej edycji i ich znaczenie
W zeszłorocznej edycji znaleziono 84 luki bezpieczeństwa. Jedna z nich była podatnością typu „zero-day”, czyli błędem nieznanym nawet producentowi oprogramowania. Johan Caluwé z CCB, odpowiedzialny za weryfikację zgłoszeń, podkreśla wagę takich odkryć.
Produkty, w których wykryto błędy, są używane nie tylko przez belgijskie instytucje, ale również przez organizacje na całym świecie. Gdy producent usuwa lukę, z poprawy korzystają wszyscy użytkownicy. To pokazuje, że inicjatywa przynosi globalne korzyści.
Wszystkie zeszłoroczne podatności usunięto w ciągu tygodnia od zakończenia akcji. To dowód na skuteczność współpracy między etycznymi hakerami a instytucjami państwowymi.
Bieżące wyniki i perspektywy
Uczestnicy tegorocznej edycji wykryli do tej pory 81 podatności. Ostateczne wyniki zostaną ogłoszone wieczorem. CCB przewiduje, że tegoroczny wynik może być jeszcze wyższy, co pokazuje zarówno rozwój kompetencji uczestników, jak i rosnącą złożoność zagrożeń.
De Bruycker zaznacza, że na razie nie może ujawnić charakteru wykrytych luk. Priorytetem jest ich szybkie usunięcie, zanim mógłby je wykorzystać cyberprzestępca. Zachowanie poufności to kluczowy element całego procesu, gwarantujący przewagę nad potencjalnymi agresorami.
#HackTheGovernment to nowoczesne podejście do wzmacniania bezpieczeństwa cyfrowego. Zamiast opierać się wyłącznie na wewnętrznych audytach, belgijskie instytucje otwierają swoje systemy na testy specjalistów, którzy myślą jak potencjalni napastnicy, ale działają w interesie publicznym. To współczesna odpowiedź na rosnące wyzwania cyberbezpieczeństwa.
