OV-chip

We reizen bij Gendo veel met het openbaar vervoer. Sterker nog, voor een boel medewerkers is het zo’n beetje de enige manier waarop ze reizen. Nooit in de file, gewoon door kunnen werken in de trein met de laptop op schoot en vaak redelijk in de buurt van de klant uitkomen.

Sinds kort hebben we ook bij Gendo te maken met OV chipkaarten. Nou hielden we dat vanuit onze interesse in security natuurlijk al scherp in de gaten maar als eindgebruiker zijn we, los van de gaten in de beveiliging, ook helemaal niet enthousiast.

Wellicht is het handig om uit te leggen dat we bij Gendo met een team van circa een man of tien voor klanten door het hele land heen werken. Dat maakt het hebben van een abonnement voor een vast traject niet interessant. Verder is het ook niet zo dat we iedere dag in de trein zitten waardoor eenn OV jaarkaart financieel ook niet voordelig is. Verder reizen we graag anoniem, omdat we vinden dat het de vervoerders geen bal aan gaat wie van waar naar waar reist en omdat we niet geloven in het opslaan van reizigers- en reisgegevens voor een periode van zeven jaar.

Na mijn laatste column over de OV-chipkaart dacht ik dat er niets meer te zeggen zou zijn. Vele experts hadden het ding al naar de prullenbak verwezen en het was dus meer een kwestie van rustig afwachten tot het project zou afsterven (nadat er nog een paar miljoen gemeenschapsgeld over de balk gesmeten zou zijn – maar zo gaan die dingen nu eenmaal).

Een paar weken geleden schreef ik hier al over de OV-chip farce als 'een geloof in de platte Aarde'. De werkelijkheid is echter nog erger dan een 21ste-eeuwse staatssecretaris die Middeleeuwse denkbeelden aanhangt. De OV-chipkaart is net een zombie in een low-budget film. Iedere keer als je denkt dat hij nu écht dood is omdat het niet meer lachwekkender en ongeloofwaardiger kan, staat de bloederige vleesklomp toch weer op om grommend nog een wannabe-acteur te lijf te gaan.

Het door Staatsecretaris Huizinga gevraagde contra-expertise rapport van het Royal Holloway Instituut University uit London is af en het liegt er niet om. Hoewel het document ten alle tijde vriendelijk blijft naar TNO kan de goede verstaander tussen de regels door duidelijk lezen dat deze instelling de huidige OV-chipkaart ongschikt vindt om in te voeren. Dit in tegenstelling tot TNO dat rapport na rapport bleef roepen dat het allemaal goed zou komen.

Voor Livre heb ik de soap rond de OV-chipkaart en andere RFID toepassingen samengevat. De kapotte beveiliging van de OV-chipkaart en de wijze waarop de verantwoordelijke bestuurders hiermee omgaan, neemt lachwekkende vormen aan. Desperaat blijft de staatssecretaris zelfs nu nog vasthouden aan het idee 'dat het allemaal wel meevalt' en dat bedachte deadlines in principe gewoon gehaald kunnen worden. Het is alsof beleidsmakers niet willen geloven dat de aarde rond is omdat er nu eenmaal diepteinvesteringen in landkaarten gedaan zijn die uitgaan van een platte aarde.

Veel acuter dan de nog niet ingevoerde OV-chipkaart is de gekraakte beveiliging van 2 miljoen RFID deurpassen zo staat in het Parool en andere nieuwsbronnen Het idee dat de problemen met de Mifare Classic RFID chip zich zouden beperken tot het toepassingsgebied van de OV kaart, of tot het Nederlands grondgebied zijn een beetje naief. Alle toepassingen van de chip waar informatiebeveiliging een rol speelt staan op de helling.

Wat TNO vorige week nog voor onmogelijk hield maar waar experts het al over eens waren is nu werkelijkheid: De OV chipkaart is definitief gehacked door Duitse experts. De huidige technologie van de OV-chipkaart is daarmee definitief afgeschreven en ongeschikt om ingezet te worden voor toepassingen die enige vorm van bescherming van de gegevens vereisen. Maar wat ik het meest interesante aan de hele sage blijf vinden is dat iedereen maar TNO vervolg opdrachten blijft geven terwijl dit instituut, om wat voor reden dan ook, keer op keer volkomen de plank misslaat.

Volgens IT en andere media gaat de Staatssecretaris onder de vlag van een aanvalsplan door met de OV chipkaart. Dit ondanks de zorgen van diverse experts. De instelling die vorig jaar nog riep dat het prima zat met die kaart (TNO) heeft het nu nog een keer onderzocht en zegt eigelijk nog steeds dat het prima zit. Hoewel hun rapport start met een uitgebreide beschrijving van wat ze niet hebben onderzocht. Ook wekt de filenaam "TNO_ICT_-_Security_Analysis_OV-Chipkaart_-_public_report.pdf" de suggestie dat er ook nog een niet publieke versie is. Wat zou daar in staan?

Twee oud-collega's van Twynstra Gudde schreven een commentaar op een NRC artikel (zeer losjes gebaseerd op een open brief van 10 informatiebeveiligings experts) dat ging over de vraag of een meer open manier van werken de mislukking van het project had kunnen voorkomen. Ik was het niet eens met hun argumenten en conclusies en kon het niet nalaten een reactie te kloppen in de trein. Waarom open in beveiliging niet nieuw en niet moeilijk is: Open kennis delen, het oude wondermiddel . We hebben daarna onderling mailcontact gehad en gaan samen verder kijken hoe we de begripsverwarring in de publieke sector te lijf kunnen gaan. Twynstra heeft tenslotte een goede staat van dienst in de publieke sector. (volledig tekst na de break).