Hâck The Hague - het belang van veiligheid en continuïteit

Het doel van het evenement was het verhogen van de digitale veiligheid van de gemeente Den Haag. Dit jaar namen 200 hackers deel en net als in de voorgaande editie was Treasury van Aareon een van de ‘slachtoffers’.

De afdeling Treasury van Gemeente Den Haag

De afdeling Treasury zorgt voor de financiële continuïteit van de gemeente Den Haag door ervoor te zorgen dat er altijd voldoende geld in kas is om de betalingen te kunnen uitvoeren. De cashmanager houdt dagelijks in de gaten wat de bankstanden zijn en welke kasstromen er in de komende periode verwacht worden. Op basis van die informatie zorgt de treasurer ervoor dat er, wanneer nodig, geld wordt opgehaald op de geld- of kapitaalmarkt. De financiële contracten die daar uit voorkomen, worden vervolgens door de backoffice vastgelegd. Zij zorgen ook voor rapportage en bewaking.

Voor de ondersteuning van dit proces maakt de gemeente Den Haag al vele jaren gebruik van de treasury- en cashmanagement applicatie van Aareon.

Overgang naar één administratie en minder bankrekeningen

Tot eind 2020 hadden de diverse afdelingen van de gemeente Den Haag eigen bankrekeningen voor het betalingsverkeer. Die bankrekeningen maakten onderdeel uit van één groot rekeningblok. De afdeling Treasury zorgde voor het gewenste saldo op de individuele rekeningen en het geheel. Hiervoor werd gebruik gemaakt van de 1.0 versie van Treasury.

Op 1-1-2021 is de administratie van Den Haag gecentraliseerd en opnieuw ingericht in software van Oracle. Het aantal bankrekeningen is sterk beperkt en bijna alle betalingen vinden nu plaats vanaf één bankrekening in één grote betaalbatch. De afdeling Treasury kwam hiermee voor de uitdaging te staan om vanuit deze centrale betaling toch de juiste kasstromen te onderscheiden. Samen met de applicatiebeheerders van Oracle en specialisten van Aareon hebben ze een plan gemaakt dit te realiseren. Dit was ook een natuurlijk moment om over te stappen naar de 2.0 versie van Treasury.

Het cashmanagement is inmiddels ingericht in de 2.0-versie. Er is een koppeling gelegd tussen Treasury en de software van Oracle om de betalingen tot het juiste niveau te kunnen herleiden. Functioneel staan alle seinen op groen om de 2.0 versie definitief in productie te nemen. Met de deelname aan Hack-the-Hague deed zich de unieke kans voor om ook de veiligheid van de 2.0 versie nog eens extra te toetsen.

Trace & Treasury 2.0 onder vuur tijdens Hâck The Hague 2021

Tijdens de vorige editie van Hâck The Hague in 2019 hebben de hackers geprobeerd om de 1.0 versie van Trace & Treasury te kraken. Die editie vond plaats in het gemeentehuis van Den Haag en naast de 100 hackers konden ook de leveranciers daarbij aanwezig te zijn om de sfeer te proeven en kennis te delen. De editie van 2021 was door Corona een volledig digitaal evenement. Dat was uiteraard jammer voor de unieke sfeer, maar dit gaf wel meer hackers de gelegenheid om deel te nemen. Het aantal hackers was ruim verdubbeld en de 206 deelnemers (152 professionals en 54 studenten) kwamen uit 22 landen verspreid over de wereld. Aan hen de eer om de software te kraken en mooie prijzen in de wacht te slepen.

“Als Aareon doen we graag mee aan een evenement zoals Hâck The Hague. De veiligheid en beschikbaarheid van onze applicaties vinden we erg belangrijk. Onze ontwikkelaars worden getraind op ‘secure programming’ en onze applicaties worden onderworpen aan interne en externe pentesten. Daarnaast hebben zowel Aareon Nederland als het eigen datacenter, diverse certificaten (ISO27001, ISAE3402, COS3000) die aantonen dat we de processen beheersen. We gingen deze dag vol vertrouwen in, maar het blijft uiteraard spannend wat er gaat gebeuren. De hackers hebben Trace & Treasury behoorlijk onder vuur genomen. Waar we op een normale dag een logging te zien is van 10 MB voor alle 160 organisaties die Trace & Treasury SaaS gebruiken, zagen we tijdens het evenement een logging van meer dan 500 MB voor alleen de omgeving van de gemeente Den Haag. Het goede nieuws is: de hackers hebben stevig aan de deur gerammeld, maar zijn niet binnengekomen. Er zijn uiteindelijk twee kleine verbeterpunten gemeld die ook direct zijn opgepakt en opgelost. Al met al zijn wij erg tevreden met de uitkomst”, aldus Ronald Martens van Aareon.

Shardha Roekalea- Biere, adviseur betalingsverkeer & treasury van gemeente Den Haag: “Totaal zijn er door de hackers 125 meldingen ingediend met daarbij ook kwetsbaarheden als onveilige toegang en een account dat volledig kon worden overgenomen. Maar gelukkig niet bij Trace & Treasury! Wij zijn vanuit de afdeling Treasury blij dat de software van Aareon de test prima heeft doorstaan. Na een intensieve periode van testen en schaduwdraaien, gaan we dan ook vol vertrouwen in productie met de nieuwe versie van Trace & Treasury.”

Voor meer informatie over de mogelijkheden van Trace & Treasury neemt u contact op met uw relatiebeheerder van Aareon of stuurt u een bericht naar Treasury@aareon.nl. Voor meer informatie over Hâck The Hague: www.hackthehague.com.