Vorige maand kreeg hoogleraar Bart Jacobs de prestigieuze Stevinpremie. Wat maakt de cybersecurity-expert zo succesvol? Een profiel van deze ‘hoopvolle cynicus’, die niet bang is om de confrontatie aan te gaan met grote bedrijven.

Toen zijn medewerkers hem op een vrijdagmiddag in 2008 vertelden dat het ze gelukt was om de toegangspas van de Radboud Universiteit te kraken, wist hoogleraar Bart Jacobs meteen dat het menens was. Wereldwijd waren er miljarden toegangspassen in omloop met precies dezelfde Mifare-chip. Hij zat onder andere in de ov-chipkaart. Als de hack uitkwam, zou dat meteen wereldnieuws zijn. ‘Bart belde direct Roelof de Wijkerslooth de Weerdesteyn, de toenmalige voorzitter van het college van bestuur’, weet Wouter Teepe nog, als postdoc een van de ‘jonge honden’ die de chip tot op het bot hadden ontleed. ‘Binnen een paar uur belde er iemand van inlichtingendienst AIVD. Of ze even koffie mochten komen drinken.’

Chipontwikkelaar NXP wilde de kwetsbaarheid van de chip binnenskamers houden en probeerde de overheid hierin mee te krijgen. Maar Jacobs maakte al snel duidelijk aan de AIVD dat het opleggen van een spreekverbod weinig zin zou hebben – los nog van de principiële bewaren die hij daartegen had. Teepe: ‘We hebben het hier over jonge onderzoekers en studenten, zei Bart. Die zitten wekelijks in het café met vrienden. Het is onmogelijk te voorkomen dat het naar buiten komt. Dus dan kun je het maar beter op een gecontroleerde manier doen.’

De AIVD snapte dat, maar NXP niet, ook al had Jacobs het bedrijf – zoals gebruikelijk is in het veld – tijdig op de hoogte gebracht van de problemen. NXP stelde zowel de universiteit als Jacobs persoonlijk aansprakelijk voor de mogelijke schade, omdat het wereldwijd miljarden chips zou moeten laten vervangen als het nieuws over de kwetsbaarheid van de chip bekend zou worden. Jacobs boog niet, en won, samen met de Radboud Universiteit, de rechtszaak die volgde. Die principiële houding is een van de redenen waarom de hoogleraar Security, Privacy en Identity vorige maand de Stevinpremie toegekend kreeg (zie kader Stevinpremie). ‘Hij is een volstrekt onafhankelijke denker’, vond de jury, en neemt geen blad voor de mond.

Teepe, en andere (oud-)collega’s van Jacobs die Vox sprak, zijn het hier helemaal mee eens. Wat Jacobs onvermoeibaar duidelijk wil maken, zeggen zij, is hoeveel gevaren er op de loer liggen als het om digitale systemen gaat. Met alle gevolgen van dien voor de privacy van burgers. Die leggen zonder na te denken hun persoonlijke gegevens in handen van allerlei bedrijven en overheden, met risico op misbruik – door hacks of voor commerciële doeleinden – tot gevolg.

‘Privacy heeft hij altijd al belangrijk gevonden’, zegt Marieke Huisman. De Twentse hoogleraar Softwarebetrouwbaarheid was de eerste promovendus die Jacobs begeleidde, in de jaren negentig. ‘Ik kan me nog herinneren dat hij niet wilde dat zijn geboortedatum op een NS-chipkaart zou staan. Nergens voor nodig, vond hij.’ Toen Jacobs’ groep de Mifare-chip kraakte heeft hij daarom bewust de media gezocht, vertelt ze. ‘Hij vindt het belangrijk dat mensen bewust worden van wat er mis kan gaan.’

‘Hij vindt het belangrijk dat mensen bewust worden van wat er mis kan gaan’

Door die boodschap consequent uit te dragen, weet hij de media goed te vinden, en andersom. Huisman: ‘Een van de dingen die ik van hem geleerd heb is dat je je onderzoek in één minuut moet kunnen uitleggen.’ Niet vreemd dus dat de Stevinpremie Jacobs toegekend is juist vanwege zijn maatschappelijke impact.

Oprechte nieuwsgierigheid

Maar daarvoor zijn meer redenen dan alleen de media-aandacht, benadrukken de mensen om hem heen. Wat Jacobs vooral uniek maakt, zeggen zij, is dat hij een ontzettend brede interesse heeft, zowel persoonlijk als professioneel. Opgeleid als wiskundige en filosoof (zie kader), toont hij oprechte nieuwsgierigheid in onderwerpen die buiten zijn expertise liggen, zegt bijvoorbeeld Tamar Sharon, sinds vorige maand hoogleraar Philosophy, Digitalization and Society in Nijmegen. Toen ze nog universitair docent was in Maastricht spoorde iemand haar aan om vooral eens contact op te nemen met de Nijmeegse hoogleraar. ‘Prompt nodigde hij me uit om een presentatie te geven over de ethische en sociale gevolgen van technologische ontwikkelingen, aan zijn onderzoeksgroep vol informatici. En dat terwijl hij mijn werk nog helemaal niet goed kende.’

De uitnodiging was niet slechts uit beleefdheid. Een paar maanden later vroeg hij of Sharon samen met hem in Nijmegen iHub wilde opzetten, een interdisciplinair onderzoeksinstituut op het gebied van digitalisering en samenleving. ‘Sure, antwoordde ik meteen, I’d love to.’

Cybersecurityproblemen zijn typisch dingen die juristen of informatici niet op hun eigen eilandje kunnen oplossen, had Jacobs namelijk al snel door. Er zitten ook economische, ethische en gedragskanten aan. Chips zoals die van de ov-chipkaart of Volkswagen – een bedrijf dat door Jacobs ook in zijn hemd werd gezet – zijn te kraken omdat bedrijven vaak liever voor een goedkope, maar onveilige, chipvariant gaan. ‘En waarom trappen mensen in phishingmails?’, zegt Frederik Zuiderveen Borgesius, hoogleraar ICT & Recht bij iHub. ‘Dat soort vragen zijn ook relevant. Het heeft dan geen zin om het probleem bij de gebruiker te leggen. Het is beter om daar samen met gedragswetenschappers een oplossing voor te vinden.’ iHub brengt al die expertises samen op de Radboud Universiteit.

Alcohol

Bij de IRMA-app, een van de paradepaardjes uit de stal van Jacobs, is juist aan al die aspecten gedacht. Met die app kunnen mensen zich digitaal identificeren – bijvoorbeeld als ze alcohol in de winkel kopen – en hebben volledig controle over wat ze willen laten zien: geboortejaar wel, geslacht niet, bijvoorbeeld. Dat is veel privacyvriendelijker dan als je dat met een paspoort zou doen. ‘Daar staat veel persoonlijke informatie op die helemaal niet nodig is om te delen’, zegt Zuiderveen Borgesius.

Jacobs plannen om samen met Spinozapremielaureaat José van Dijck – de prijzen werden tegelijk toegekend – een nieuw socialemediaplatform te bouwen, passen helemaal in dit straatje. Van Dijck is universiteitshoogleraar Media en digitale samenleving aan de Universiteit Utrecht. Hun gezamenlijke nieuwe sociale netwerk moet een beschaafd en privacyvriendelijk systeem worden. Verschillende sanctiemechanismes moeten hierbij voorkomen dat discussies ontsporen of kwaadaardig worden. Het netwerk bestaat nu nog slechts op papier, maar over een jaar hoopt Jacobs dat een eerste testversie klaar is, zei hij tegen NRC.

Zo’n spontane samenwerking is typisch Jacobs, zegt Ronald Leenes, hoogleraar Regulering door technologie in Tilburg. ‘Hij ziet mogelijkheden en schakelt dan direct. Samen hebben ze nu 5 miljoen euro om dit voor elkaar te krijgen. Dat geld is hard nodig. Want met alleen een goed idee ben je er nog niet. Draagvlak creëren door bekendheid te genereren voor je product kost gewoon veel geld.’ Dat heeft Jacobs wel geleerd van IRMA, denkt Leenes. Ondanks het nut van die app is het aantal plekken waar je hem kunt gebruiken beperkt. Wel wil de EU de principes van IRMA gaan overnemen.

Tien spades diep

Jacobs is natuurlijk niet de enige multidisciplinaire wetenschapper. Maar wat hem onderscheidt van anderen, zeggen velen, is dat hij breedte en diepte combineert. ‘Hij is een van de weinigen die dat kan’, zegt Bibi van den Berg, hoogleraar Cybersecurity Governance in Leiden. ‘Waar andere multidisciplinaire onderzoekers maar twee spaden diep gaan, reikt zijn kennis van de zuivere wiskunde tien spades diep.’

Die aandacht voor andere disciplines gaat bovendien lang terug, weet Zuiderveen Borgesius. ‘Al 15 jaar geleden voegde hij een juridisch vak toe aan de opleiding cybersecurity, als verplichte cursus.’ Nu is dat normaler, maar daarin liep hij destijds echt voorop. En op juridische congressen kwam ik hem destijds ook al tegen.’

Dat heeft hem juist de voorsprong gegeven op veel anderen in zijn vakgebied, vult Van den Berg aan. ‘Jacobs zag al vroeg dat er problemen waren rond cybersecurity en privacy, hij heeft daar echt een neus voor. Daardoor heeft hij altijd ver voor de troepen uitgelopen.’

‘Als er een gast was ging hij alle kantoren langs om te vragen wie mee uit eten ging’

Verschillende expertises bij elkaar zoeken is een ding, ze vervolgens bij elkaar zien te houden is een andere. Ook dat is een van de kwaliteiten van Jacobs. Onder andere dankzij zijn humor zorgt hij voor een sociale en inspirerende sfeer bij iHub, zegt Zuiderveen Borgesius. ‘Hij is benaderbaar, en toont oprechte interesse, ook voor junior onderzoekers’, vult Sharon aan. Oud-promovenda Huisman noemt Jacobs’ eerste onderzoeksgroep, waarvan ze deel uitmaakte, een ‘vriendenclubje’. ‘Als er een gast was voor een lezing ging hij alle kantoren langs om te vragen wie er mee ging uit eten.’

Respectvol

Als het om de inhoud gaat is Jacobs minder van het socializen. ‘Net als veel andere wetenschappers kan hij soms wat ongeduldig worden als mensen te veel afdwalen of niet concreet genoeg zijn’, lacht Van den Berg. ‘“Zullen we het weer even over de inhoud hebben”, zegt hij dan. Vervolgens brengt hij de discussie in een paar zinnen terug tot waar het eigenlijk over gaat. Die helderheid helpt enorm.’

Een enkeling is minder gecharmeerd van die stijl, zoals een collega die anoniem wil blijven. ‘Hij is erg overtuigd van zichzelf en staat graag in het middelpunt als beste in zijn vakgebied.’ Jacobs zou zich te weinig openstellen voor andere ideeën, is zijn indruk juist.

Hoe dan ook, Jacobs is geen allemansvriend die mensen naar de mond praat. Leenes: ‘Het is heel verfrissend hoe Bart soms stelling neemt, bijvoorbeeld als organisaties steken laten vallen rond de beveiliging van systemen.’ Hij steekt dan zijn nek uit, zegt hij. Oók als het grote bedrijven betreft als Volkswagen of NXP, met flinke juridische afdelingen.

Ook chipkaart-kraker Teepe prijst die instelling. ‘Soms moet je een principiële etterbak zijn, daar is niks mis mee. Daar bewijst hij de maatschappij – en de universiteit – een dienst mee, ook al zien ze dat misschien niet altijd op het moment zelf.’ Of, zoals mede iHub-directeur Sharon het verwoordt: ‘Wat dat betreft is hij een hoopvolle cynicus.’

 

Correctie. In een eerdere versie van dit artikel stond dat Jacobs in Leiden studeerde. Hij volgde zijn opleidingen in Nijmegen.