'Ethisch hacken is een soort brandweerwerk'

Jonathan Bouman: "Het lag voor de hand dat ik aan de universiteit informatica ging studeren. Op een open dag daagde het me echter al snel dat ik wellicht voornamelijk of zelfs uitsluitend met jongens in de klas zou zitten. Dat vooruitzicht trok me niet aan: geef mij maar een goed evenwicht tussen mannen en vrouwen. Omdat ik biologie en het menselijk lichaam op school ook heel interessante materie vond, viel mijn keuze op geneeskunde. Gelukkig werd ik ingeloot!" "In mijn opleidingscontract van de huisartsenopleiding stond dat ik geen neveninkomsten mocht verdienen uit commercieel werk. Dat betekende dat ik mijn website- en programmeerwerk drie jaar op pauze moest zetten. Toen ik op de NOS een item zag over een 19-jarige zogenaamde 'ethisch hacker', trok dat mijn aandacht. Hij vertelde dat hij op vraag van bedrijven fouten zocht in hun websites en dat hij daarmee duizenden euro's verdiende. Kom nou, dacht ik. Dat klinkt toch te goed om waar te zijn? Het bracht me alleszins op ideeën. Ik mocht dan wel geen commercieel werk verrichten, maar in mijn opleidingscontract stond niets over deelnemen aan wedstrijden - ik dacht aan hackwedstrijden - en prijzen winnen. Voor de zekerheid stelde ik de vraag en het mocht! Zo begon ik me te verdiepen in de wereld van het hacken." "Ik begon met de bedrijven te hacken die ik tegenkwam tijdens de fietsrit van mijn huis naar de huisartsenpraktijk: Philips, Ikea enzovoort. Ik schreef alle fouten die ik gevonden had op, maakte daar een rapport van dat ik vervolgens deelde met het bedrijf dat ik gehackt had. Hoe meer ik hackte, hoe beter ik werd en op een gegeven moment rapporteerde ik fouten aan webwinkel Amazon. Ze deden mij, samen met nog vijf andere collega- hackers verspreid over de hele wereld, een voorstel: in ruil voor gerapporteerde fouten kreeg ik punten. Als ik 1.000 punten had verzameld, mocht ik op hun kosten naar een hackerscongres waar ook ter wereld. Dat zag ik uiteraard helemaal zitten. Met hacken kan je geld verdienen, leuke reizen winnen én je steekt er ook nog eens veel van op (lacht)!" "Zo ben ik de afgelopen jaren op heel wat verschillende plaatsen ter wereld geweest: Las Vegas, Orlando, Barcelona, Londen, Los Angeles. Kort uitgelegd nodigt een bedrijf je uit om zijn website te kraken. De eerste week werk je van thuis uit. De tweede week werk je op locatie samen met andere hackers - jongens én meisjes - om fouten te vinden. Met de gevonden fouten gaat het bedrijf vervolgens aan de slag. Hoe groter de fout, hoe meer vaart er natuurlijk achter zit (lacht). De beloningen variëren van een T-shirt tot 50.000 dollar. Met andere woorden: er zijn grote bedragen mee te winnen." Vandaag verdient Jonathan Bouman 90 procent van zijn inkomsten door zijn hackactiviteiten. Hij werkt twee dagen in de week als huisarts in een groepspraktijk in Amsterdam en één dag in de week bij de huisartsgeneeskunde aan Amsterdam UMC. Verder is hij bij de Amsterdamse Huisartsen Alliantie recent benoemd tot CMIO (Chief Medical Information Officer) en is hij adviserend lid bij de Dutch Institute for Vulnerability Disclosure, een groepering van Nederlandse ethisch hackers. Van de wereld van de geneeskunde beweegt hij zich vlot naar die van het ethisch hacken. Als hij echter moet kiezen, dan gaat hij voor de geneeskunde. Zonder twijfel. Jonathan Bouman: "Als de wereld in de fik staat, kan ik mensen helpen als huisarts. Menselijk contact geeft me veel energie, maar huisarts zijn in Nederland is wel een zware job: de werkdruk is hoog, je wordt met uitdagende problemen geconfronteerd. Dat zou ik geen vijf dagen in de week kunnen doen of ik zou een burn-out krijgen, zoals veel van mijn collega's. Het contact met de patiënten geeft me weliswaar veel energie, en ik ben dankbaar dat ik als arts een verschil kan maken in de gezondheid of psychische klachten van mensen." En het hacken dan? "In hacken ben ik nu goed, maar misschien zijn er binnen vijf jaar anderen veel beter in. Uiteindelijk ben ik gewoon een dokter en dat zal ik altijd blijven." In zijn hackactiviteiten streeft hij er dan ook naar om de lijn te trekken naar de geneeskunde. Bouman legt uit: "In de geneeskunde zijn we door de jaren heen goed geworden in het delen van kennis. Dat is ook de reden waarom artsen vandaag zoveel weten en kunnen. Stel dat een arts een ziekte heeft ontdekt, en niet vertelt hoe hij dat gedaan heeft. Dat zou toch te gek voor woorden zijn? Hetzelfde geldt voor hacken. Naar mijn mening is het heel belangrijk om transparant te zijn over gevonden fouten, zodat anderen ervan kunnen leren en hun eigen veiligheidsbeleid kunnen verbeteren."In Nederland moeten ethisch hackers toestemming hebben van bedrijven of organisaties om hun veiligheidssystemen en netwerken te hacken, aan de hand van een zogenaamde Coordinated Vulnerability Disclosure (cvd). Recent slaagde dokter Bouman er zo in toegang te krijgen tot een deel van de gegevens van het gezamenlijke inlogsysteem van de Landelijke Huisartsen Vereniging en het Nederlands Huisartsen Genootschap. Lees: toegang tot de naam, het e-mailadres, het BIG-nummer (vergelijkbaar met het Riziv-nummer in België, nvdr), en versleutelde wachtwoorden van zo'n 15.000 Nederlandse huisartsen. In België is sinds midden februari een wet van kracht die het mogelijk maakt voor ethisch hackers om zónder toestemming eender welk Belgisch bedrijf te hacken. Dat was voordien illegaal. "Fantastisch", zegt Jonathan Bouman daarover. "Jullie lopen voorop!" Volgens Bouman zetten steeds meer (internationale) organisaties en bedrijven de stap om een cvd op hun website te plaatsen. "Maar nog steeds zijn het er te weinig", vindt de huisarts-ethisch hacker. "En als ze de stap zetten, moeten organisaties er zich wel op inrichten. Stel dat ik vrijdagnamiddag om 17 uur een kritische fout meldt, en niemand kijkt er naar om... Dat is problematisch." Hoe 'ver' ga je met een hack? "Dat is telkens opnieuw de vraag en daarvoor is een goed ethisch kompas nodig. Soms breek je in bij een systeem, maar kan je nog niet bij de klantgegevens, stop je dan met zoeken of zoek je dan door om te bevestigen dat de impact groot is?", zegt Jonathan Bouman. "Het gebeurt dat hackers op het slechte pad geraken en bedrijven beginnen af te persen. Als ethisch hacker heb je een grote verantwoordelijkheid en afpersen is ondenkbaar; fouten vinden doe je niet - of niet alleen - voor je eigen gewin, maar ook om de meest kwetsbaren in de samenleving te beschermen.De grootste kwetsbaarheid in de zorg is volgens Bouman het menselijk handelen. "Een voorbeeld: je print een dossier af en je laat het per ongeluk liggen. Iedereen kan er zomaar bij." Bouman is vastbesloten: de printer moet weg uit de (huisartsen)praktijk. Net als de e-mail trouwens. Een tikkende tijdbom, noemt Bouman het. "Mailtjes verdwijnen niet uit de mailbox van de patiënt. Toepassingen waarbij bv. berichten van patiënten rechtstreeks in het EMD terechtkomen, zijn een veel betere oplossing." Of zijn collega-huisartsen het soms spannend vinden om met een collega samen te werken die ook kan hacken? "Als ik op een nieuwe plek start, is de eerste vraag steevast: 'En ga je ons nu hacken?' Dan antwoord ik: 'Nee, maar als ik iets zie, zal ik het zeggen.' (lacht) Ik heb nog maar weinig weerstand ervaren, ik voel een groot draagvlak in de zorg voor het verbeteren van veiligheidssystemen." Soms gebeurt het dat patiënten hem aanspreken over zijn activiteiten als ethisch hacker. Jonathan Bouman: "Wat hen vooral verbaast, is dat je zowel arts als hacker kan zijn. Ik zeg hen dat fouten zoeken in computersystemen en fouten zoeken in mensen ongeveer op hetzelfde neerkomt; je zoekt gestructureerd naar fouten en leert patronen herkennen die afwijkend zijn. Beide werelden zijn complementair: door fouten en lekken te zoeken in veiligheidssystemen - al dan niet in de zorgsector - bescherm je of zorg je voor de kwetsbaren in de samenleving. Dat is ook wat een arts doet."