Gezien vanuit het besluitvormingsproces, het geïmplementeerde stelsel van maatregelen de dreigingen

Rijndijk 209-B 2394 CC Hazerswoude-Rijndijk Tel. +31 71 3416911 www.noordbeek.com

De ontwikkeling en implementatie van de OVchipkaart, een succes of falen? Gezien vanuit het besluitvormingsproces, het geïmplementeerde stelsel van maatregelen de dreigingen.

Versie 1.00

Auteurs Student nr. Email Status Datum Werkgever Filenaam

P. Niemantsverdriet 1325108 [email protected] Definitief 7 juni 2011 Noordbeek B.V. De ontwikkeling en implementatie van de OV-chipkaart

De ontwikkeling en implementatie van de OV-chipkaart Paul Niemantsverdriet

Voorwoord Het hier beschreven afstudeeronderzoek is bedoeld om het derde jaar van de Postgraduate IT Audit Opleiding aan de Vrije Universiteit te Amsterdam af te sluiten en om een opbouwende boodschap over te brengen aan ons vakgebied. Het uitvoeren van dit onderzoek en het schrijven van de scriptie is een reflectie op de opgedane kennis aan de Opleiding en de inmiddels breed opgebouwde ervaring binnen ons werkveld. Ik wil Robin Knip RE, prof.dr.ir. Ronald Paans RE, dr. Bas van Os en vele anderen binnen Trans Links Systems, de Stichting Open Ticketing en de Vrije Universiteit graag bedanken voor hun pogingen tot het overdragen van hun kennis en ervaring, de door hen getoonde aandacht, hun geduld en behulpzaamheid, hun visies en opbouwende kritiek. Mijn familie wil ik bedanken voor hun tijd en geduld bij het aanhoren van mijn bevindingen en analyses als gevolg van het vele spitwerk en het analyseren van datgene wat ik heb waargenomen, waarbij mijn aandacht vooral lag bij het formuleren van adviezen aan mijn vakgenoten, indien zij met soortgelijke uitdagingen worden geconfronteerd. Hazerswoude, 31 mei 2011

Paul Niemantsverdriet

2 van 55


Inhoud 1.

Inleiding..................................................................................................................................4 1.1. Aanleiding van het afstudeeronderzoek................................................................4 1.2. Doelstelling en vraagstelling.................................................................................5 1.3. Onderzoeksaanpak ................................................................................................6 1.4. Wetenschappelijk belang ......................................................................................6 1.5. Opbouw van de scriptie ........................................................................................7 2. Het besluitvormingsproces rond de totstandkoming van de OV-chipkaart............................8 2.1. De betrokken partijen............................................................................................8 2.2. Het ontwikkeltraject............................................................................................10 2.3. De OV-chipkaartarchitectuur..............................................................................12 2.4. De beoogde functionaliteit..................................................................................15 2.5. De opslag van privacy gevoelige informatie.......................................................16 3. Het stelsel van maatregelen om misbruik en fraude tegen te gaan .......................................18 3.1. Het stelsel van preventieve en detectieve maatregelen .......................................18 3.1.1. Security OV-chipkaart (Laag 0)..........................................................................18 3.1.2. Security kaartleesapparatuur / stationscomputers (Laag 1 en 2) ........................19 3.1.3. Security back-offices OV-bedrijven (Laag 3).....................................................19 3.1.4. Security centrale back-office TLS (Laag 4)........................................................20 3.1.5. Security privacy gevoelige informatie ................................................................20 3.2. De kwetsbaarheid van het stelsel van maatregelen .............................................20 3.2.1. Het kraken van de OV-chipkaart ........................................................................21 3.2.2. De methoden van hacking, het eerste kwartaal 2011..........................................22 3.2.3. Het kraken van privacy gevoelige informatie .....................................................23 3.2.4. De beeldvorming rond de OV-chipkaart.............................................................23 3.3. De repressieve mitigerende maatregelen ............................................................24 3.3.1. Het fraudebeheersingsplan..................................................................................25 3.3.2. De migratie naar een veilige OV-chipkaart architectuur ....................................26 3.3.3. Betere beveiliging van privacy gevoelige gegevens ...........................................26 3.4. De evaluatie van de mitigerende maatregelen ....................................................27 4. Dreigingenanalyse ................................................................................................................28 4.1. Financiële dreigingen..........................................................................................28 4.2. Beveiligingsdreigingen .......................................................................................34 4.3. Dreigingen voor de privacy.................................................................................39 4.4. Dreigingen voor het imago .................................................................................43 4.5. Conclusie over de dreigingenanalyse..................................................................45 5. Lessons Learned ...................................................................................................................46 5.1. Het Besluitvormingsproces .................................................................................46 5.2. De keuze voor de 4-lagen architectuur ...............................................................47 5.3. De keuze voor de Mifare Classic RFID chip ......................................................47 5.4. De opslag van persoonsgegevens (privacy discussie).........................................48 5.5. Het fraudebeheersingsproces ..............................................................................49 5.6. Voorlichting en communicatie richting de burger ..............................................49 6. Conclusie ..............................................................................................................................51 7. Bijlage 1: Literatuurlijst .......................................................................................................54 8. Bijlage 2: De opbouw van het back-office systeem van TLS ..............................................55

3 van 55


1. Inleiding Sinds het einde van de twintigste eeuw wil de politiek en overheid het gebruik van het openbaar vervoer stimuleren. Hiervoor heeft men een aantal redenen, zoals het voorkomen dat heel Nederland moet worden geasfalteerd, het tegengaan van milieuvervuiling door een overschot aan auto’s, het verminderen van de afhankelijkheid van fossiele brandstoffen etc. Een van de mogelijkheden is het eenvoudiger toegankelijk maken van bussen, metro’s, trams en treinen, onder andere door het standaardiseren van het vervoersbewijs. Men heeft een collectief en ongrijpbaar gevoel dat een uniform betaalmiddel de automobilist zal stimuleren over te stappen van het individueel naar het collectief vervoer. De uniformering is gestart met het invoeren van de landelijke strippenkaart. Deze is opgevolgd door de OV-chipkaart, die is bedoeld om het vervoersbewijs van de toekomst te worden. Als argumenten voor de invoering zijn genoemd het vereenvoudigen en goedkoper maken van het openbaar vervoer voor de klant, het beter afstemmen van het aanbod op de vraag, het tegengaan van zwartrijden, het verhogen van het veiligheidgevoel op stations, het vereenvoudigen van het verrekenen tussen vervoerders etc. Het gebruik van nieuwe technologie vraagt betrokkenheid van en acceptatie door de burger. Over het algemeen is de burger minder gecharmeerd van innovatieve middelen als die het bestaande levenspatroon veranderen. Men is huiverig voor verandering. Dit treedt ook op bij de OV-chipkaart. Men is in het begin ontevreden over het gebruikersgemak en heeft zorgen over de veiligheid, oftewel is het geld wel veilig op zo een modern ding? Plus men maakt zich zorgen over de privacy. De burgers waarderen het minder als al hun bewegingen door anderen kunnen worden gevolgd of gereconstrueerd. In 2008 is het een tweetal partijen gelukt technisch in te breken in de OV-chipkaart. Dit veroorzaakte een schokgolf binnen de politiek en werd breeduit uitgemeten in de media. Men maakte zich zorgen over de mogelijke gevolgen. Zijn die materieel? Oftewel, kan nu iedereen zomaar geld creëren op de chips of privacygevoelige informatie kopiëren? In deze scriptie gaan wij na hoe de governance van de ontwikkeling en implementatie van de OV-chipkaartarchitectuur tot stand is gekomen. Daarbij beschouwen wij de ontwikkeling van de eisen voor de functionaliteit, de kwaliteit en de beveiliging. Een kernpunt hierbij is de vraag hoe het mogelijk is dat de OV-chipkaart in een ogenschijnlijk zo korte termijn kan worden gekraakt. Op basis van een dreigingenanalyse en de meningen van experts plaatsen wij het ontwikkelen implementatietraject in een perspectief en analyseren wij of er principiële fouten zijn gemaakt, of dat beter andere routes hadden kunnen worden genomen.

1.1. Aanleiding van het afstudeeronderzoek Doordat de OV-chipkaart in 2008 is gekraakt en de daardoor veroorzaakte aandacht van de pers en het publiek, is het Wetenschapsforum voor de OV-chipkaart opgesteld. Dit forum bestaat uit hoogleraren en wetenschappers vanuit verschillende universiteiten en disciplines. De doelstelling van dit forum is het onderzoeken van de inzet van e-ticketing voor het Openbaar Vervoer (OV) op de langere termijn. Ik treed op als secretaris voor het Wetenschapsforum. In deze hoedanigheid heb ik zicht op de doelstellingen en uitgangspunten van Trans Link Systems (TLS), die verantwoordelijk is voor de introductie van de OV-chipkaart, en de activiteiten van twee van de wetenschappers die betrokken waren bij het kraken van de OV-chipkaart, professor Bart Jacobs en Dr. Wouter Teepe.

4 van 55


Gedurende de bijeenkomsten van het Wetenschapsforum is mij duidelijk geworden dat beide partijen, ondanks hun verschillende zienswijze en uitgangspunten, eenzelfde doel nastreven, namelijk het realiseren van een veilig openbaar vervoersbewijs in Nederland.

1.2. Doelstelling en vraagstelling Het Parlement is de initiatiefnemer bij de invoering van de OV-chipkaart. De politiek heeft de OV-bedrijven overtuigd tot het invoeren van deze kaart. Elektronische toegangskaarten kunnen alleen bestaan als de participerende partijen vertrouwen hebben in elkaar en in de ketens, en de overtuiging hebben dat aan alle relevante functionele, kwaliteits- en beveiligingseisen is voldaan. Het kraken van de beveiliging van de OV-chipkaart heeft ervoor gezorgd dat de kaart negatief in de media is gekomen, waardoor twijfels zijn ontstaan over de bruikbaarheid en veiligheid van OV-chipkaart. Tevens hebben veel veranderingen ten opzichte van de vertrouwde strippenkaart er toe geleid dat de acceptatie van de OVchipkaart moeizaam verliep. Op een zeker moment kwam de vraag of men door moest gaan met de invoering van de OVchipkaart en hoe het zover had kunnen komen. Had het kraken achteraf voorkomen kunnen worden of waren er meerdere dreigingen waarop geparticipeerd moest worden waardoor het kraken van de kaart vooraf niet te voorspellen was? Op deze vraag willen wij in deze scriptie antwoord geven. Voor dit onderzoek is de volgende vraagstelling opgesteld: Hebben de staat, TLS en de OV-bedrijven de juiste aanpak gekozen voor de selectie van de OV-chipkaart, uitgaande van de dreigingen en de functionele, kwaliteits- en beveiligingseisen? Om antwoord te geven hebben wij ons onderzoek aan de hand van de volgende deelvragen opgebouwd: 1. Welk stelsel van maatregelen is geïmplementeerd rondom de huidige OV-chipkaart om misbruik en fraude tegen te gaan? Het onderzoeksobject is het stelsel van maatregelen rond de OV-chipkaart en de werking ervan. Aan de hand van ontwikkelplannen en interviews met het management van TLS geven wij aan hoe het stelsel tot stand is gekomen en welke functionele, kwaliteits- en beveiligingseisen van invloed waren tijdens het ontwikkeltraject. De mate van robuustheid van het stelsel onderzoeken wij door te kijken hoe de OV-chipkaart is gekraakt en met welke andere dreigingen rekening diende te worden gehouden. Voor deze fase van het onderzoek worden de presentaties en rapporten van het kraken van de kaart geanalyseerd en interviews afgenomen met de wetenschappers die betrokken waren bij het kraken van de kaart en het management van TLS. 2. Wat zijn de dreigingen voor de OV-chip en hoe moeten het parlement, TLS en de vervoerders daarmee omgaan? Na het kraken van de RFID chip heeft TLS mitigerende maatregelen doorgevoerd. Deze zijn bedoeld om het stelsel van maatregelen te versterken, nadat dit door het kraken van de beveiliging van de OV-chipkaart is verzwakt. De communicatie in de richting van de overheid, burgers en belangenorganisatie speelt op dat moment een belangrijke rol, omdat het vertrouwen in de OV-chipkaart afneemt.

5 van 55


3. Hoe wordt er met de kennis van nu terug gekeken op de gemaakte afwegingen in relatie tot de dreigingen? In eerste instantie wordt door TLS aangegeven dat de consequenties van het kraken van de OVchipkaart beperkt zijn. In de loop van de tijd komt de OV-chipkaart echter nog verschillende keren negatief in de media, door nieuwe en innovatieve manieren van het kraken. Het gaat zo ver dat er binnen e politiek wordt geroepen te stoppen de implementatie. Dit is niet gebeurd en men is verder gegaan met de implementatie. Het is een open vraag of als er nu wordt teruggekeken, er andere keuzen of stappen hadden kunnen worden ondernomen.

1.3. Onderzoeksaanpak Het onderzoek is uitgevoerd via interviews met het management en medewerkers van TLS en de Stichting Open Ticketing (SOT). Tevens zijn wetenschappers betrokken bij het kraken van de OV-chipkaart geinterviewd en is informatie uit publiekelijk toegankelijke bronnen geanalyseerd. Het onderzoek is aan de hand van de volgende stappen uitgevoerd: 1. De onderzoeksvraag is opgesteld in januari 2010, naar aanleiding van ons participeren in het Wetenschapsforum voor de OV-chipkaart van 2008 tot heden. Deze vraag is in april 2011 bijgesteld naar aanleiding van nieuwe ontwikkelingen bij het kraken van de OV-chipkaart; 2. Via een voorstudie zijn de beoogde doelen van de OV-chipkaart, de architectuur en het stelsel van maatregelen in kaart gebracht. Deze voorstudie is afgerond in februari 2011; 3. Via bronnenonderzoek, interviews en interne beschouwingen is in 2010 en 2011 getracht inzicht te verkrijgen in de dreigingen en de wijze waarop de OV-chipkaart in Nederland is geïmplementeerd; 4. Via interviews zijn in mei 2011 de “lessons learned” in kaart gebracht; 5. Het empirisch onderzoek is afgerond in mei 2011. De uitkomsten zijn vastgelegd in deze scriptie.

1.4. Wetenschappelijk belang Bij het ontwerp van de OV-chipkaart heeft de politiek in Nederland geen heldere keuzes durven te maken. De politici willen iets dat niet al te duur is, breed kan worden gebruikt, doeltreffend en doelmatig is, en volkomen veilig is. Deze eisen zijn strijdig. De kosten heeft men weten te beperken door gebruik te maken van “security by obscurity”. Zoals in de tachtiger jaren al door prof.dr. I.S. Herschberg van de Technische Universiteit Delft is aangetoond, is dit vragen om problemen. Dit daagt wetenschappers uit de “obscurity” te doorgronden en vooral om die te doorbreken. Helaas voor de ontwerpers van de OV-chipkaart is dit ook herhaaldelijk zo gebeurd. Men heeft hiervan geleerd en verkent nu de weg naar het gebruik van open standaarden, waarbij veel meer over het mechaniek kan worden bekendgemaakt. In de toekomst zit de beveiliging vooral in het juiste gebruik van echte secrets. De vraag die open blijft staan is of de keuze voor open standaarden ook de gewenste zekerheid biedt? Of kan deze falen als gevolg van de divergentie van de doelstellingen van de betrokken partijen en de aanwezige en zich steeds verder ontwikkelende dreigingen?

6 van 55


Wij hopen dat deze scriptie bijdraagt aan meer discussie over de besluitvorming, of juist het gebrek aan centrale en uniforme besluitvorming, binnen de overheid en de door haar aangestuurde partijen. In deze scriptie zijn dat de OV-bedrijven.

1.5. Opbouw van de scriptie Deze scriptie is als volgt opgebouwd: Hoofdstuk 2 beschrijft het besluitvormingsproces rond de ontwikkeling en de implementatie van de OV-chipkaart. Dit is een beschrijvend hoofdstuk, vooral gericht op de geschiedenis. In hoofdstuk 2.4 wordt het huidige stelsel van beheermaatregelen rondom de OV-chipkaart beschreven. Dit stelsel is iteratief ontwikkeld, weliswaar initieel met een heldere strategie, maar steeds meer verschuivend naar het reageren op actuele ontwikkelingen en het manifest worden van nieuwe bedreigingen. In dit hoofdstuk wordt antwoord gegeven op deelvraag 1: Welk stelsel van maatregelen is geïmplementeerd rondom de huidige OV-chipkaart om misbruik en fraude tegen te gaan? In hoofdstuk 4 beschouwen wij de bedreigingen voor de OV-chipkaart. Dit is een beperkte risicoanalyse met een schets van de belangen van de betrokken partijen. Wij hebben een aantal experts hun mening gevraagd, die hierin per bedreiging is opgenomen. In dit hoofdstuk wordt antwoord gegeven op deelvraag 2: Wat zijn de dreigingen voor de OV-chip en hoe moeten het parlement, TLS en de vervoerders daarmee omgaan? In hoofdstuk 5 blikken wij terug en proberen wij de “lessons learned” te omschrijven. Deze worden afgeleid uit de geschiedenis, op basis van onze kennis nu. Dit is een advies voor soortgelijke ICT-projecten in de toekomst, om keuzes beter te kunnen motiveren. Hiermee wordt antwoord gegeven op deelvraag 3: Hoe wordt met de kennis van nu terug gekeken op de gemaakte afwegingen in relatie tot de dreigingen? Hoofdstuk 6 bevat de conclusie van het onderzoek, namelijk de beantwoording van de centrale onderzoeksvraag.

7 van 55


2. Het besluitvormingsproces rond de totstandkoming van de OV-chipkaart Midden in de tachtiger jaren ontstaat een discussie welk toekomstig hightech middel de strippenkaart op den duur zou kunnen vervangen. Er zijn verschillende individuele initiatieven, maar geen hiervan krijgt in die tijd voldoende steun om tot een nationale implementatie te kunnen leiden. Pas toen de centrale overheid besloot tot toewijzing van de FENS gelden1, leidt dit tot het starten van de ontwikkeling van een nationaal vervoersbewijs. NS en Prorail mogen daarbij 500 miljoen euro van de FENS-gelden besteden aan het plaatsen van OV-chippoortjes op stations en het ontwikkelen van de OV-chipkaart. Daarbij geeft de rijksoverheid aan dat deze activiteiten uiteindelijk moeten leiden tot een nationaal betaalsysteem voor het openbaar vervoer. Door het benutten van de FENS gelden, heeft de overheid het initiatief hierbij in feite belegd bij de NS en de net daarvan afgesplitste ProRail.

2.1. De betrokken partijen Na de initiële opstartfase besluit de centrale overheid de verantwoordelijkheid voor de implementatie van de OV-chipkaart te beleggen bij 35 decentrale overheden. De decentrale overheden hebben 13 functionele eisen opgesteld waaraan het te ontwikkelen vervoerssysteem zou moeten voldoen. Deze worden aan de OV-bedrijven voorgelegd. In 1993 kondigen Connexxion, GVB, HTM, NS en RET aan gezamenlijk verder te gaan met de ontwikkeling van een elektronisch vervoersbewijs voor hun deel van het OV. De OV-bedrijven hopen met de komst van een nieuw elektronisch systeem de verdeling van OV-gelden eerlijker te laten verlopen. Met het nieuwe systeem zou er worden afgerekend op basis van de werkelijke reisgegevens, in plaats van op basis van inventarisaties en schattingen achteraf. Tevens willen OV-bedrijven het reizen per OV aantrekkelijker maken. Voorheen is het OV gezien als een reismiddel voor burgers die zich onderaan de ladder van de beroepsbevolking bevinden Via het nieuwe systeem is het de bedoeling dat het OV wordt geprofileerd als een comfortabele alternatieve wijze, waarmee van A naar B kan worden gereisd, zonder rekening te hoeven houden met de file- en parkeerproblematiek. Deze strategische aanpak wordt ondersteund door het op elkaar laten aansluiten van vervoersbewijzen. Het invoeren van de OV-chipkaart zou ook moeten resulteren in het terugdringen van fraude en zwartrijden binnen het OV en daarmee tot het verbeteren van het rendement. Bij het ontwikkelen en implementeren van de OV-chipkaartarchitectuur zijn verschillende partijen betrokken. Elke partij heeft haar eigen belangen en doelstellingen Zo richten de OVbedrijven zich op de omzetverhogende mogelijkheden van het te bouwen systeem, zoals een eerlijkere verdeling van de OV-inkomsten en meer maatregelen tegen fraude en zwartrijden. De belangenbehartigers van reizigers bepleiten voornamelijk meer gebruiksvriendelijkheid van het te bouwen systeem, het borgen van de privacy van de reiziger, het verhogen van de kwaliteit van de kaarten en het voorkomen van tariefverhogingen. Daarnaast willen de decentrale overheden een betrouwbaar vervoersbewijs dat de strippenkaart vervangt, zonder negatieve gevolgen voor de reizigers. De NS neemt het initiatief en vraagt Jeroen Kok het project voor de OV-chipkaart te trekken. In overleg met Bas van Os besluit deze in 2001 een governance-structuur in te richten om de doelen van de betrokken partijen in een en dezelfde richting te leiden. De NS heeft dit advies ge1

“Fonds Eenmalige bijdrage NS” 1,6 miljard boekwinst van de verkoop van Telfort

8 van 55


volgd en de overige partijen uitgenodigd zich aan te sluiten. Het feit dat een aantal andere partijen achterover wilde leunen is daarbij geaccepteerd. De betrokken OV-bedrijven zijn van mening dat zij de implementatie moeten trekken, omdat zij in eerste instantie over het geld kunnen beschikken. De busmaatschappijen vragen zich af of zij mee moeten doen. Achteraf kan men stellen dat de rijksoverheid een verwarrende situatie heeft gecreëerd door te toe te staan dat een aantal partijen wel participeert en een aantal partijen zich afzijdig houdt. Het geld, en daarmee een fors stuk van de invloed, ligt bij ProRail als een verzelfstandigd onderdeel van de NS. Dit is een hele bijzondere situatie. Er zijn vele gemengde gevoelens over de levensvatbaarheid van het project, maar ook opluchting dat er in ieder geval een governance-structuur, in de vorm van Trans Link Systems (TLS) is opgezet en een bedrag beschikbaar is gesteld. Trans Link Systems zal de ontwikkeling en de implementatie van de nieuwe OV-chipkaart voor de OV-bedrijven gaan coördineren. TLS wordt in eerste instantie geleid door Jeroen van Kok als directeur, met als ondersteuning een ingehuurde secretaresse en ingeleend personeel van de OVbedrijven. Het speelveld waarin TLS zich ten tijde van de ontwikkeling en implementatie van de architectuur voor de OV-chipkaart bevindt, ziet er als volgt uit:

Stakeholders

2

TLS begint als een kleine organisatie waarbij het takenpakket, het personeelsbestand en de mate van expertise groeit gedurende de implementatie. Vandaag de dag vervullen ze de rol van scheme provider, back office beheerder en kaartissuer. De rol van kaartissuer was in eerste instantie belegd bij de OV-bedrijven die later besloten gezamenlijk deze taak bij TLS te beleggen. TLS vervult een bemiddelende en sturende rol als scheme provider. Zij zijn de centrale organisatie die randvoorwaarden schept en regels stelt ter bevordering van de integriteit, interoperabiliteit en uniformiteit van het OV-chipkaartsysteem, evenals de herkenbaarheid en het vertrou-

2

Bron: Presentatie van Gerben Nelemans, Directeur TLS, 20 maart 2008.

9 van 55


wen bij reizigers in de OV-chipkaart en het OV-chipkaartsysteem en vertrouwelijkheid van bedrijfs- en persoonsgegevens garandeert en privacy waarborgt. De taakverdeling tussen TLS en de OV-bedrijven is als volgt: Taakverdeling TLS en OV-bedrijven Trans Link Systems

OV-bedrijven

Scheme provider • Opstellen en bewaken van standaarden en spelregels • Aansluiten van OV-bedrijven (certificering, etc.)

Co-brander • Kaart positioneren en aanbieden

Back office beheerder •Verwerken transacties + administratieve zaken Kaartuitgever •Verantwoordelijkheid voor uitgifte van kaarten •Produceren van kaarten •Beheren tegoeden op de kaart •Beheren callcenter en website

Product eigenaar • Producten positioneren en aanbieden Dienstverlener • Vervoeren • Relatie met gekende klanten onderhouden Verkoper • Opladen e-purse (m.u.v. automatisch opladen) • Verkopen producten

De volgende stap in het ontwikkelproces is het ontwikkelen van een architectuur voor de toekomstige OV-chipkaart. Er zijn tal van partijen en niemand weet eigenlijk wie het project zou moeten trekken om tot een nationaal vervoersbewijs te komen. De rijksoverheid heeft geen enkele intentie hierbij het initiatief te nemen, mede omdat zij geen ervaring heeft met het rechtstreeks aansturen van het OV. Dit is altijd een zaak geweest voor de gemeentes en provincies. De gehele materie blijkt zeer ingewikkeld te zijn qua besluitvorming. In collectief verband is de keuze gemaakt de wensen van de betrokken partijen in kaart te brengen en vanuit de markt aan te laten geven welke bewezen systemen hieraan voldoen en waar aanpassingen nodig zijn.

2.2. Het ontwikkeltraject TLS heeft tijdens de ontwikkelfase de rol van betrokken partijen beperkt gehouden. Als men namelijk alle betrokken partijen eisen laat stellen ontstaan er discrepanties met betrekking tot de specifieke eisen en wensen. TLS heeft wel terdege rekening gehouden met de 13 voornoemde eisen, gesteld door de decentrale overheden. In de contractfase vraagt TLS potentiële leveranciers een voorstel te doen voor het ontwikkelen van een infrastructuur voor de OV-chipkaart. De functionele eisen zijn niet aan de marktpartijen voorgedragen, omdat deze dan ook hadden dienen te worden afgetekend. Het is andersom gegaan. TLS vraagt aan de marktpartijen wat ze kunnen aanbieden dat voldoet aan alle eisen voor elektronisch geld, gebruik makend van bewezen technologie en functioneel gebruik makend van het op dat moment bestaande aanbod van tariefmogelijkheden en abonnementen. Indien geen enkel systeem zou voldoen, dienden de leveranciers dit duidelijk maken. TLS stelt geen absolute

10 van 55


eisen, maar communiceerde de intenties. Men wil voorkomen dat een systeem wordt gekozen dat vervolgens op allerlei punten zou moeten worden aangepast. Zoiets kan in veel gevallen leiden tot vage beloften, hogere kosten en implementatieproblemen achteraf. Om deze voorziene problemen te voorkomen vraagt TLS de markt een voorstel te formuleren voor een systeem dat de eisen het beste kan invullen. Dit is de marktdialoog. Aan de hand van de terugkoppelingen van de leveranciers komt TLS tot de conclusie dat de leveranciers een overeenkomstig beeld hebben van de te ontwikkelen architectuur. Ze adviseren deze in 5 lagen op te bouwen, namelijk Level 0 tot 4. Dit is een concept, dat is beproefd bij andere vergelijkbare realisaties in andere landen. De door de marktpartijen voorgestelde ideeën en plannen zijn geanalyseerd door TLS, de OV-bedrijven en de door hen ingezette specialisten. Tevens is hierbij geïnventariseerd welke partijen zijn betrokken, de kansen, de bedreigingen en de “lessons learned” tot zover. Vervolgens hebben TLS en de betrokken OV-bedrijven aan de hand van de door hen verzamelde informatie en hun eigen ervaring en inzicht een high level requirement document opgesteld, met daarin de functionele eisen. In april 2002 schrijft TLS een Europese tender uit voor de ontwikkeling van een systeem voor een geïntegreerd OV-chipkaart aan de hand van het eerder opgestelde High Level Design (HLD). De winnaar van de aanbesteding is het consortium East West, geleid door Accenture, MTRCL, Thales en Viales. Dit consortium brengt de al werkende oplossing van MTR Corporation uit Hong Kong in. Zij krijgen de opdracht om de centrale back-office van TLS te leveren inclusief de softwareontwikkeling, evenals het leveren van alle (rand)apparatuur. East West krijgt opdracht het systeem te ontwikkelen met een open architectuur, zodat andere leveranciers ook zouden kunnen aansluiten in de toekomst. Door de open architectuur voldoet het systeem aan een reeks breed geaccepteerde, technische standaardprotocollen. Hierbij zijn de OVbedrijven vrij om zelf aansluitbare deelsystemen en onderdelen van het systeem te kiezen die het beste bij hen passen, zoals de poortjes, de OV-chipkaarten, de verkoopapparatuur etc. De volgende stap voor ondertekening en gunning is het opstellen van de business rules. Accenture heeft verschillende sessies geformuleerd, waarbij de OV-bedrijven gezamenlijk het business voor de rules document hebben vastgesteld. Het consortium heeft op basis van dit document en het beschikbare budget aangegeven wat mogelijk zou zijn. Hierbij is rekening gehouden met de wensen van alle participerende partijen. Veel van de eisen van de 35 decentrale overheden zijn ingevuld, maar niet allemaal. Zo is het als groep reizen met één kaart niet ingevuld. Het business document is in feite de basis voor het implementeren van het systeem. Aan de hand van de business rules heeft het consortium East West een HLD opgesteld. Na afronding en voorlegging aan de betrokken OV-bedrijven stemde de NS niet in met dit ontwerp. Het consortium heeft veel moeite gedaan het HLD aan te passen om de NS alsnog te overtuigen akkoord te gaan. Naarmate verder in de ontwikkelfase ging het East West consortium steeds meer individueel voor de betrokkenen programmeren om zo aan hun wensen tegemoet te komen. Dit heeft geleid tot een situatie waarbij de software van de betrokken OV-bedrijven onderling verschilt. Hierdoor was het later doorvoeren van generieke updates of veranderingen in de software ingewikkelder dan oorspronkelijk de doelstelling was. De keuze voor de Mifare Classic chip

11 van 55


De keuze voor het type OV-chipkaart is genomen aan de hand van voorstellen van leveranciers, experts en andere betrokken partijen. Daarbij is gekeken naar de mogelijkheden van de verschillende kaarten. Bij de contractering (keuze) spelen prijs, de kwaliteit en de risico´s een rol. Het merendeel van de fabrikanten adviseert de kaart Mifare Classic. Uiteindelijk is voor deze kaart gekozen door de vrijwel unanieme adviezen van de betrokken partijen. Op dat moment zijn de alternatieven nog minder beproefd. TLS wil geen risico nemen en kiest voor een beproefd en aanbevolen concept. De producten van de OV-bedrijven zouden blijven bestaan, maar worden gefaciliteerd door de te ontwikkelen elektronische kaart. In 2004 zijn de eerste testen met de OV-chipkaart gehouden, waarna de OV-chipkaart aan het einde van 2005 in Rotterdam is geïntroduceerd. Mifare is het handelsmerk van NXP Semiconductors en is momenteel de meest gebruikte contactloze chipkaart ter wereld. De techniek wordt gebruikt in meer dan 1 miljard chipkaarten en 10 miljoen lezers3. Mifare staat voor MIkron (naar de ontwikkelaar) en FARE (vervoersprijs).

De Mifare Classic kaart is feitelijk slechts een opslagmedium, waarbij het geheugen is verdeeld in sectoren en blokken die versleuteld worden door een simpele beveiligingstechniek. Dankzij de lage kosten wordt dit type kaart veel gebruikt in het voor openbaar vervoer. 2.3. De OV-chipkaartarchitectuur TLS heeft het East West consortium opdracht gegeven tot het ontwikkelen van een open architectuur waarop andere partijen kunnen aansluiten. Hiervoor is een System Development Open Architecture (SDOA) opgesteld. Aan de hand van de SDOA kunnen fabrikanten apparatuur ontwikkelen die aangesloten kan worden op de OV-chipkaartarchitectuur. Er is gekozen voor een vierlagen structuur voor de infrastructuur. Elke laag beschikt over eigen beveiligingsmethoden en maatregelen. Het niveau van beveiliging wordt steeds sterker naarmate men van de OV-chipkaart naar de centrale back-office van TLS gaat. De door East West consortium gerealiseerde architectuur ziet er als volgt uit:

3

www.mifare.net

12 van 55


Architecture e-Ticketing system LEVEL

4 3

2

TLS Centrale Back Office Systeem Nationale Spoorwegen Centrale data verwerkings systeem Station A Computer

1 Poortje

Pos

Gemeentelijk Transport Centrale data verwerkings systeem

Station B Computer

Poortje

0

Depot A Computer

Pos

Bus

Pos

Depot B Computer

Poortje

Pos

OV-chipkaarten Pos = Point of Sale equipment

Level 0: De OV-chipkaart (persoonlijke-, anonieme en wegwerp-chipkaart) De OV-chipkaart is het elektronisch betaalmiddel waarop saldo en reisproducten kunnen worden geladen waarmee gereisd kan worden. Door het in- en uitchecken met de OV-chipkaart bij kaartpoortjes tijdens reizen worden de transacties (datum, tijd en chip-id (uniek nummer van de chip) in de systemen van de OV-bedrijven vastgelegd, en worden de kosten van de reis berekend en van het saldo afgeschreven. Er is gekozen om drie typen OV-chipkaart te ontwikkelen. Afhankelijk van het beoogde gebruik en keuze van de reiziger zou deze een van de opties kunnen selecteren:  Persoonlijke chipkaart. Dit is een kaart die slechts door één persoon kan worden gebruikt. De kaart is voorzien van naam, geboortedatum en pasfoto van de houder. Op de kaart kunnen reisproducten worden opgeladen, waaronder ook abonnementen. Het is mogelijk om de kaart aan een bankrekening te koppelen zodat het saldo automatisch wordt opgeladen als het onder een bepaald bedrag komt;  Anonieme chipkaart. Deze kaart is niet persoonsgebonden en kan door ieder willekeurig persoon worden opgeladen. Het is mogelijk om er reisproducten op te laden, zij het slechts een beperkt aantal, zoals abonnementen met een geldigheidsduur tot 96 uur;  Wegwerpchipkaart. Dit is een OV-chipkaart van karton, die net als de anonieme OVchipkaart niet op naam staat. De kaart heeft een vooraf ingestelde geldigheid bij één vervoerder, bijvoorbeeld een rit zonder overstappen, een vast aantal uren of dagen of een vast aantal netkaarten van elk een vast aantal uren. De Mifare UltraLight-kaarten hebben slechts 64 bytes, zonder beveiliging. Dit type kaart is dusdanig goedkoop dat het dikwijls wordt gebruikt bij wegwerpkaarten, zoals voetbaltickets 4. TLS biedt geen ondersteuning voor de

4

www.Mifare,net

13 van 55


wegwerpchipkaart als gevolg van een te zwakker beveiliging. Wegwerpchipkaarten kunnen daarom alleen bij het OV-bedrijf worden gebruikt die ze gedistribueerd heeft. Level 1: Verkoopapparatuur, gebruiksapparatuur en kaartproductiesystemen Dit betreft de apparatuur van de dienstverlener ter ondersteuning van de primaire functie van het OV-chipkaartsysteem, hieronder vallen inchecken, uitchecken, inspectie, opwaarderen klasse en verstrekken van kaartgegevens. Deze apparatuur is globaal in te delen in de volgende categorieen: 

  

De voertuigen (tram/bus) of stations (metro/trein) zijn uitgerust met in/uitcheck apparatuur. Deze apparatuur is verbonden met een centrale processor in het voertuig waar de gegevens worden beheerd. De voertuigen moeten terug in de remise zijn voordat de gegevens worden doorgestuurd naar de bedrijfscentrale; Grote stations zijn uitgerust met verkoopapparatuur. Deze apparatuur is bedoeld ter ondersteuning van Service & Verkoop. Hieronder vallen: verkoop, deblokkering, restitutie en beëindiging van respectievelijk kaart, saldo en/of product; Stations, supermarkten etc. zijn uitgerust met oplaadapparatuur waar de OV-chipkaart kan worden opgewaardeerd; De kaartproductiesystemen staan bij kaartproducenten en hebben als primaire functie het produceren van OV-chipkaarten.

Level 2: Stationscomputer en depotcomputer Deze zijn geplaatst op de grotere metrostations en de busdepots. Verschillende kleinere stations zijn gekoppeld aan één stationscomputer. Deze computers verzamelen van de op L1-niveau geregistreerde transacties en sturen deze op regelmatige intervallen naar het centrale systeem van het desbetreffende OV-bedrijf. Level 3: Het centrale verwerkingssysteem van een OV-bedrijf Hierin worden alle via L1 en L2 geregistreerde transacties verzameld. De centrale computers van de OV-bedrijven zijn gekoppeld aan het Centrale Back Office systeem (CBO) van Trans Link Systems. Dagelijks worden de transacties doorgestuurd naar het CBO. Level 4: Centrale Back Office-systeem (CBO) Dit systeem rekent reizigerstransacties uit, beheert de OV-chipkaarten en verzorgt de verrekeningen tussen de OV-bedrijven. TLS zorgt na uitvoering van diverse validaties voor clearing en settlement van de transacties en zorgt ervoor dat de OV-bedrijven haar opbrengsten krijgen. Van al deze acties worden operationele en financiële rapportages naar de OV-bedrijven verstuurd. Hieronder een schematische afbeelding van dit proces:

14 van 55


Architectuur Clearing Operator OV-bedrijven (Transactie Data)

Uitgifte / Verkoop (Kaart/Product/ePurse)

Clearing Operator (Verwerken & Valideren) Central Clearing House System (CCHS)

OV-bedrijven (Settlement Rapportage + Uitzonderingen Rapportage)

Opladen (ePurse) Gebruik (Product/ePurse) Restitutie (Kaart/Product/ePurse)

Settlement Opdracht

Banken

Het is TLS primaire taak het netwerk optimaal, veilig en betrouwbaar te laten functioneren. Voor meer informatie omtrent de opbouw van het central back office systeem verwijzen wij naar Bijlage 2: De opbouw van het back-office systeem van TLS.

2.4. De beoogde functionaliteit De OV-chipkaart is het nieuwe elektronische vervoersbewijs in Nederland. De OV-chipkaart is ontwikkeld als elektronisch betaalmiddel waarmee een reiziger van A naar B kan reizen. In beschouwing lijkt dit een eenvoudig proces, de realiteit leert anders. Doordat er binnen Nederland verschillende OV-bedrijven actief zijn komt het regelmatig voor dat een reiziger tijdens de reis gebruik maakt van verschillende aanbieders. Om de complexiteit van de keten te verduidelijken wordt de volgende situatie als voorbeeld beschreven. Paul wil van zijn huis aan de Javalaan in Zoetermeer naar Amsterdam Duivendrecht reizen: 1. Hij zal van station Javalaan met de Randstadrail (HTM) naar Centrum West in Zoetermeer reizen; 2. Vervolgens reist hij met de bus (Connexxion) naar Leiden Centraal; 3. Vandaar reist hij met de stoptrein (NS) verder naar Amsterdam Duivendrecht. Voor deze reis heeft Paul gebruik gemaakt van drie vervoersmiddelen van drie verschillende OV-bedrijven. Voor het reizen dient Paul te beschikken over een OV-chipkaart met voldoende saldo. Telkens als Paul gebruik maakt van een vervoersmiddel dient hij zich in te checken bij een zogenoemde kaartlezer. Hiervoor dient de OV-chipkaart tegen de kaartlezer aan te worden gehouden, op dit moment wordt de start van de reis geregistreerd en wordt gecontroleerd op geldige reisproduc-

15 van 55


ten en reistegoed. Er wordt een basistarief als onderpand in rekening gebracht. Op het moment dat Paul uitstapt dient hij, bij een zelfde kaartlezer zich uit te checken. Op dit moment vindt verrekening plaats. Het systeem zal uitrekenen welke afstand is afgelegd en welke kosten hiervoor in rekening moeten worden gebracht. Paul verwacht dat alleen de vastgelegde tarieven op zijn kaart worden afgeschreven niet meer of minder. Tevens verwacht hij dat er vertrouwelijk met zijn reisgegevens en persoonsgegevens wordt omgegaan. Paul heeft hierbij vertrouwen in de keten. Hij veronderstelt dat voor de gehele keten wordt voldaan aan de CIAA-kwaliteitsaspecten. CIAA klanten  Confidentiality (vertrouwelijkheid). Klanten willen niet dat een ongeautoriseerd persoon kennis neemt van de opgeslagen vervoers- en persoonsgegevens. Deze overboeking is privé;  Integrity (integriteit). Klanten willen dat ten hoogste het juiste bedrag wordt afgeschreven van het saldo;  Availability (beschikbaarheid). Klanten verwachten dat de transactie bij de kaartleesapparatuur wordt uitgevoerd met de gebruikelijke snelheid en doorlooptijd. De klant wil geen hinder bij het reisgedrag;  Audability (controleerbaarheid). Mocht de transactie onverhoopt onjuist verlopen, dan verwachten klanten dat de rittenadministratie en het afgeschreven bedrag traceerbaar zijn en dat de fout kan worden hersteld. Reizigers vinden het fijn als zij hun reisgegevens op een website kunnen lezen. CIAA OV-bedrijf  Confidentiality (vertrouwelijkheid). OV-bedrijven willen dat de transactie- en geldstromen vertrouwelijk zijn. Ongeautoriseerde personen of partijen dienen hier geen inzicht in te hebben;  Integrity (integriteit). OV-bedrijven willen dat ten minste het juiste bedrag voor een reis wordt afgeschreven;  Availability (beschikbaarheid). OV-bedrijven willen dat het openbaar vervoer volgens schema rijdt en dat reizigers naar de gewenste locatie worden vervoerd;  Audability (controleerbaarheid). OV-bedrijven willen van TLS de juiste vergoeding ontvangen voor de geleverde diensten. Dit moet inzichtelijk kunnen worden gemaakt. Het gemeenschappelijke aspect in bovenstaande casus is het woord “vertrouwen”. Op het moment dat een reiziger vertrouwen heeft in de OV-chipkaart zal deze van het middel gebruik maken. Vertrouwen is volgens Luhman gebaseerd op eigen kennis en ervaring of reputatie via anderen vernomen5. De wijze waarop de OV-chipkaart in de media komt, kan dus een belangrijke impact hebben op de acceptatie van de OV-chipkaart. Tijdens het onderzoek werd duidelijk hoe belangrijk vertrouwen is voor het doorvoeren van een dergelijk groot ICT project als de OVchipkaart.

2.5. De opslag van privacy gevoelige informatie Een belangrijke maatschappelijke discussie is de opslag van privacy gevoelige gegevens op de OV-chipkaart en in de databases van de OV-bedrijven en TLS. Burgers hebben geen inzicht in welke gegevens exact worden opgeslagen en voor hoelang. 5

(Luhmann 1979)

16 van 55


TLS registreert de NAW (Naam, Adres, Woonplaats) gegevens van geregistreerde klanten in bezit van een persoonlijke OV-chipkaart of een studenten OV-chipkaart. Op het moment dat een klant een abonnement heeft bij een van de OV-bedrijven registreert deze ook de NAW gegevens. De volgende informatie wordt door de betrokken partijen opgeslagen: 1. Identificatiegegevens van de kaart: 14-cijferig kaartnummer, geldigheidsperiode en uitgevende instantie. Blokkering J/N. De persoonlijke OV-chipkaart bevat hiernaast ook de geboortedatum van de klant; 2. Transactiegegevens: Financieel saldo, tijdstip van de transactie, soort transactie, bedrag van de transactie, code van de apparatuur die de transactie uitvoert, halte- of stationcode, lijnnummer en ritnummer bij het voertuig, vervoersbedrijf; 3. Reisproducten: Ieder OV-bedrijf kan een eigen geheugengebied op de kaart claimen om er reisproductgegevens te plaatsen. Dit product is niet toegankelijk voor de andere bedrijven en het OV-bedrijf kan zelf bepalen hoe die gegevens worden ingericht. Er vindt geen registratie plaats van reizigers gegevens die gebruik maken van de anonieme en wegwerp OV-chipkaart. Deze kaarten zijn in principe anoniem. Het zou echter theoretisch mogelijk zijn om als de OV-chipkaart elektronisch is aangeschaft de betalingsgegevens te koppelen aan het unieke kaartnummer. Hiervoor zou wel de betreffende bank moeten meewerken. Er zijn nog geen gevallen bekend waarbij dit is gebeurd. De OV-bedrijven zagen in de OV-chipkaart een mogelijkheid tot het optimaliseren van het openbaar vervoer op basis van vervoersgegevens. Wanneer reizigers nu met de OV-chipkaart reizen dan worden hun vervoersbewegingen vastgelegd en in de back-office systemen van de vervoerders en TLS opgeslagen. Met behulp van deze gegevens kan men kijken welke lijnen een te hoge of te lage bezettingsgraad hebben en hier actie opnemen waardoor een zo optimaal geconditioneerd vervoersnet ontstaat. Tevens had het opslaan en bewaren van persoon- en vervoersmiddelen nog andere mogelijke doeleinden zoals marketing. Deze zijn echter nooit officieel benoemd. Ook overheidsinstanties zijn geïnteresseerd in de gegevens zo kan de politie met behulp van de gegevens misdaden oplossen en criminelen opsporen. De verantwoording voor de informatiebeveiliging van privacy gevoelige informatie ligt bij de individuele bedrijven die persoonsgegevens opslaan. Het auditen of de privacy wordt gewaarborgd gebeurd door het College Bescherming Persoonsgegevens (CPB). TLS heeft als handvat voor OV-bedrijven een passage informatiebeveiliging in het Handboek Regels en Procedures (HRP) opgenomen wat als richtlijn geldt voor de OV-bedrijven. De OV-bedrijven hebben aangegeven CBP-maatregelen binnen hun organisaties te implementeren en tot 2010 geen OV-chipkaart–reisgegevens te gebruiken voor direct-marketingdoeleinden. Tevens laten de OV-bedrijven onafhankelijke privacy-audits uitvoeren, waarvan zij de uitkomsten gebruiken voor verdere verbetering van de al bestaande maatregelen.

17 van 55


3. Het stelsel van maatregelen om misbruik en fraude tegen te gaan TLS heeft getracht een goed stelsel van maatregelen in te voeren om fraude en misbruik te voorkomen. Echter diende men rekening te houden met eerder beschreven spanningsvelden. Hierdoor is 100% beveiliging tegen misbruik en fraude niet mogelijk. Door risico afwegingen is men gekomen tot het huidig stelsel van maatregelen.

3.1. Het stelsel van preventieve en detectieve maatregelen 3.1.1.

Security OV-chipkaart (Laag 0)

De OV-chipkaart is het opslagmedium voor reizigersproducten, saldo en bevat een kortstondige geschiedenis van de afgelegde reizen. De beveiliging van de in gebruik zijnde kaarten is gebaseerd op de MIFARE classic (anonieme en persoonsgebonden kaart) en MIFARE ultralight (wegwerpchipkaart). De beveiliging van MIFARE classic chip is gebaseerd op basis van geheimhouding van het cryptografische algoritme “CRYPTO1”. Daarnaast worden de afzonderlijke gegevens, zoals details over gemaakte reizen en het saldo op de kaart, op aparte ’sectoren’ opgeslagen die met afzonderlijke sleutels zijn beveiligd. De beveiliging van de MIFARE ultralight is een variant van de MIFARE classic zonder crypto en daarmee zwakker. Vanwege de geringe beveiliging van de MIFARE ultralight ondersteunt TLS deze kaart niet. TLS heeft voor de MIFARE chip gekozen op basis van technologie dat zich heeft bewezen in de praktijk. De chip werd ten tijde van de selectieperiode zowel nationaal als internationaal op grote schaal gebruikt. Wereldwijd waren er meer dan 1 miljard van in omloop. De RFID-chip wordt voor diverse toepassingen gebruikt waaronder het openbaar vervoer. Alternatieven voor de MIFARE RFID-chip, die beter en veiliger zouden zijn, waren destijds minder beproefd 6. Tevens is er voor de MIFARE chip gekozen omdat deze voldeed aan een van de belangrijkste functionele eisen van TLS namelijk de transactietijd. Dit is de tijd benodigd om een transactie tussen OV-chipkaart en kaartlezer af ronden. TLS heeft een maximale transactietijd van 400 milliseconden vastgesteld. Indien hieraan niet werd voldaan bestond het risico dat reizigers voor het afronden van hun transactie hun pas al hebben verwijderd, met als gevolg een foutieve transactie. Een ander risico is rijen wachtende reizigers als gevolg van de lange transactie tijd. De beveiliging van de OV-chipkaart is gebaseerd op het principe security through obsecurity. Deze vorm van beveiliging is gebaseerd op het geheimhouden van de beveiligingsmaatregelen en. Achterliggende gedachte is dat het niet mogelijk is om de beveiliging van een systeem te doorbreken als je niet weet hoe een systeem in elkaar zit. Hierdoor zullen kwetsbaarheden die binnen het mechanisme bestaan niet misbruikt kunnen worden. Een grote groep wetenschappers waaronder Auguste Kerchoffs en Shannon’s Maxim beweren dat deze methode van beveiliging ontoereikend is. Het gevaar is dat als een ‘kwaadwillende’ inzicht krijgt in de beveiligingsmethode of kwetsbaarheden deze benut kunnen worden voor het kraken van de beveiliging. Zodra deze informatie openbaar wordt is het een kwestie van tijd voordat de beveiliging (volkomen) waardeloos is.

6

Persbericht Veiligheid op dit moment geen risico, 15 januari 2008

18 van 55


3.1.2.

Security kaartleesapparatuur / stationscomputers (Laag 1 en 2)

Stations, vervoersmiddelen en bevoegd personeel zijn uitgerust met kaartleesapparatuur. Onder kaartleesapparatuur verstaan we onder andere de OV-chipkaart uitgifte apparatuur, oplaadapparatuur, OV-chipkaart poortjes en handscanners. Deze apparatuur is de link tussen de OVchipkaarten en de achterliggende systemen. De communicatie tussen kaartleesapparaat en OVchipkaart dient veilig, snel en betrouwbaar te verlopen om reizigerstransacties te verwerken. Elk kaartleesapparaat is voorzien van een unieke PKI7 SAM (dit is te vergelijken met een SIM kaart in een telefoon). Deze PKI SAM zorgt voor versleuteling en authenticiteit van de gegenereerde transacties. Hierdoor is er sprake van een versleutelde transactie tussen de OV-chipkaart, kaartleesapparatuur en de achterliggende centrale verwerkingssystemen van de OV-bedrijven. Om de versleuteling te waarborgen dient het beheer (uitgeven, plaatsen en administreren) van de PKI SAMs in de apparaten zorgvuldig te gebeuren8. 80% van de kaartleesapparatuur heeft een online verbinding waardoor de OV-bedrijven kunnen controleren of een apparaat naar behoren functioneert. In het geval een kaartleesapparaat ontbreekt en na onderzoek blijkt dat deze gestolen is kan met behulp van het unieke device nummer van de SAM het betreffende apparaat op een black list worden geplaatst. Kaarten die vanaf het moment van detectie met dit apparaat worden opgewaardeerd kunnen hierdoor worden geblokkeerd. Voor kaartleesapparatuur zonder online verbinding kan dezelfde procedure worden gehanteerd al duurt het wellicht iets langer voordat wordt gedetecteerd dat een apparaat is ontvreemd. Aanvullend is er nog een extra maatregel geïmplementeerd om misbruik na ontvreemding te minimaliseren. In de SAM zit een sealing reload server die een maximum aan transacties toelaat. Na ontvreemding kunnen hierdoor een maximaal aantal kaarten worden opgewaardeerd. 3.1.3.

Security back-offices OV-bedrijven (Laag 3)

De back-office systemen van de OV-bedrijven verzamelen alle via Level 1 en 2 geregistreerde transacties en sturen deze door naar de back-office van TLS. Dagelijks worden tienduizenden berichten over het netwerk verzonden. Het betreft veelal reisinformatie, persoonsgegevens en financiële transacties. Deze gegevensuitwisseling bracht nieuwe risico’s met zich mee voor de vervoersbedrijven en TLS, met als gevolg dat (informatie) beveiliging een noodzakelijkheid werd. Het grootste risico is dat kwaadwillenden proberen voor financieel gewin, de eer of met andere redenen deze computersystemen of aanverwante systemen proberen te kraken. Voor de komst van de OV-chipkaart was het niveau van (informatie) beveiliging bij de aangesloten OV-bedrijven divers. Deze varieerde van geen tot een volwaardig niveau. Veelal vond het management van de OV-bedrijven voor de komst van de OV-chipkaart investeren in informatiemanagement niet nodig vanwege de kosten en van in hun ogen geringe toegevoegde waarde. De reden hiertoe was dat de systemen geen kritische functionaliteiten ondersteunden en men geen privacygevoelige data opsloeg. Hun kerntaak was het faciliteren van openbaar vervoer em de administratie hieromheen was van ondergeschikt belang.

7

PKI (Public Key Infrastructure is een verzamelnaam voor technische en organisatorische voorzieningen om versleuteling en digitale handtekening toe te passen. SAM (Secure Access Module). 8 OV-chipkaart en informatiebeveiliging, de IT-Auditor nummer 2 WELK JAAR????

19 van 55


Door de komst van de OV-chipkaart zijn de centrale verwerkingssystemen van de OV-bedrijven aangesloten op de back-office van TLS. Een voorwaarde voor aansluiting was dat de OVbedrijven verplicht waren om hun IT en randapparatuur te laten certificeren door TLS om ervoor te zorgen dat de systemen inter-operabel zijn9. Tevens dienden ze een afdoend niveau van informatiebeveiliging te hebben geïmplementeerd. Leveranciers die apparatuur wilden leveren aan de OV-bedrijven of daaraan verwante organisaties dienden te voldoen aan een kwalificatie- en certificatietraject opgezet door TLS. Hierdoor heeft TLS gewaarborgd dat alle apparatuur binnen de OV-chipkaartarchitectuur aan de opgestelde normen en voorwaarden voldoet. 3.1.4.

Security centrale back-office TLS (Laag 4)

De back-office van TLS verzamelt en verwerkt informatie van de aangesloten OV-bedrijven. Hiervoor hebben ze een online verbinding met de onderliggende centrale verwerkingssystemen van de OV-bedrijven. Volgens Trans Link Systems voldoen de systemen in de back-office aan de vereisten van de Wet Bescherming Persoonsgegevens (WBP). 3.1.5.

Security privacy gevoelige informatie

Bescherming van persoonsgegevens is vandaag de dag een belangrijk topic in de maatschappelijke discussies. Regelmatig komen persoonlijke gegevens onbedoeld in kwaadwillende handen door het hacken van systemen of als gevolg van onzorgvuldig beheer. De imago schade en financiële schade hierop volgend kan substantieel zijn. Vanwege het belang op bescherming van deze gegevens staan persoonsgegevens van reizigers van de OV-chipkaart alleen op een centrale database van TLS. Daarnaast bewaren de OVbedrijven de gegevens van hun abonnees maar deze zijn niet verbonden aan de vervoersgegevens. TLS heeft haar back-office volgens de vereisten van het WBP ingericht. Hierdoor kan met enige mate van zekerheid worden geconcludeerd dat ze afdoende maatregelen hebben genomen om de persoonsgegevens van reizigers te beveiligen. Het niveau van informatiebeveiliging bij de OVbedrijven in 2008 was erg divers. Sommigen hadden een volwassen niveau terwijl anderen als gevolg van de implementatie van de OV-chipkaart nog maar pas waren begonnen met het opzetten van informatiebeveiliging. Om er zorg voor te dragen dat er ten tijde van de implementatie van de OV-chipkaart een afdoende niveau van informatiebeveiliging zou zijn heeft TLS aangegeven dat zij de OV-bedrijven zouden uitsluiten tot Level 4 apparatuur indien hun beveiliging niet op orde was. Daar dit niet is gebeurd kan worden geconcludeerd dat de OV-bedrijven afdoende maatregelen hebben ingevoerd.

3.2. De kwetsbaarheid van het stelsel van maatregelen De beveiliging van de OV-chipkaart werd begin 2008 door Karsten Nohl e.a op de proef gesteld. Zij slaagden door middel van reversed engineering erin om het beveiligingsmechanisme van de Mifare Classic 4K chip te doorgronden. 9

Front-end equipment for electronic ticketing in Dutch public transport

20 van 55


Hun onderzoek richtte zich op het authenticatieproces tussen de MIFARE chip en kaartlezer. Door het fysiek open maken van de chip en deze vervolgens bestuderen met een microscoop hebben ze bepaalde poorten (Gates) en connecties achterhaald. Met behulp van deze informatie kon het autorisatie algoritme tussen de MIFARE chip en kaartlezer met gemiddelde inspanning worden achterhaald. Het creëren van de challenge, de code tussen kaart en kaartlezer kwam tot stand op basis van tijdsintervallen. Karsten e.a. slaagden erin om dit proces na te bootsen en op basis van een terugkerend tijdsinterval dezelfde response te creëren. Dit maakte het mogelijk om misbruik te plegen met de RFID chip. Geschrokken over de berichtgeving van het kraken van de Mifare chip de onderliggende beveiliging van de OV-chipkaart heeft TLS, TNO gevraagd om de resultaten en methode van kraken te onderzoeken. Hun conclusie was dat de Mifare classic kaart nog twee jaar veilig zou zijn, op basis van het feit dat er voor het kraken van de OV-chipkaart relatief dure apparatuur nodig is ($ 9.000,-). Tevens zou het kraken van de MIFARE chip veel tijd in beslag neemt. Dit zorgt ervoor dat deze methode niet geschikt is voor het kraken van de OV-chipkaart omdat “Iedere kaart een eigen individuele, unieke sleutel heeft. Het kraken van één kaart betekent daarmee dus niet dat alle kaarten zijn gekraakt. Naar aanleiding van dit onderzoek werd geconstateerd dat de OV-chipkaart op dat moment veilig was aldus Jeroen Kok, voormalig directeur van TLS. Karsten Nohl weersprak dit bericht en gaf aan dat het kraken van de RFID chip op een gemiddelde desktop kan worden uitgevoerd en dat het een kwestie van minuten is. Tijdens een presentatie op 1 januari 2008 gaven ze beperkt inzicht in de werking van het beveiligingsmechanisme. Voordat ze volledig inzicht zouden geven boden ze fabrikanten en gebruikers de tijd om mitigerende maatregelen te nemen. 3.2.1.

Het kraken van de OV-chipkaart

Enkele dagen na de presentatie wordt in de Nederlandse media bekend gemaakt dat de te introduceren OV-chipkaart van de Mifare RFID chip gebruikt maakt. Op 14 januari melden Nijmeegse studenten (Professor Bart Jacobs e.a.) erin geslaagd te zijn om de papieren wegwerpkaart te kopiëren. Als reactie geeft TLS aan: “Op dit moment geen direct risico voor OVchipkaart. De in Nijmegen gekopieerde wegwerpkaart heeft een andere beveiliging dan de Mifare classic chip waarmee de persoonlijke en anonieme OV-chipkaart zijn uitgerust”. Het onderzoek van Bart Jacobs e.a. richtte zich op de communicatie tussen kaart en de kaartlezer. Zij achterhaalden dat de communicatie tussen deze kaarten en de kaartlezers in plaintext gebeurd. Hierdoor is het mogelijk om met behulp van afluisterapparatuur deze communicatie te onderscheppen. Door een zelf ontwikkeld afluisterapparaat genaamd “Ghost” slaagden ze erin om berichten te onderscheppen en om wegwerp OV-chipkaarten te emuleren of klonen. Het emulatie proces werkte als volgt: 1. 2. 3. 4. 5.

Aanschaf van een wegwerp OV-chipkaart waarmee een retourtrip kan worden gemaakt; Het lezen van de identificatiecode met een kaartlezer; Het uitlezen van het geheugen met een kaartlezer; Met behulp van de verkregen gegevens Ghost configureren als emulator; Hierna kan met Ghost in het openbaar vervoer worden gereisd. Na elke reis is het mogelijk om het geheugen terug te zetten waardoor de emulator steeds opnieuw gebruikt kan worden.

21 van 55


Na dit succes richtten Professor Bart Jacobs e.a. zich op de Mifare Classic Chip waarmee de persoonlijke en anonieme OV-chipkaart was uitgerust. Door middel van reversed engineering onderzochten ze de werking en eventuele kwetsbaarheden. Zij hebben de beveiligingsmechanismen: het authentificatie protocol, symmetric cipher en het initiatie mechanisme, onderzocht. Ze slaagden erin om informatie betreffende het beveiligingsalgoritme te achterhalen waardoor het mogelijk was om de gegevens op een kaart te lezen, een kaart te klonen, of de reisgegevens op een kaart te manipuleren. Deze methode werkt snel en het afluisteren van een enkele transactie levert voldoende informatie om alle geheime sleutels van een kaart binnen seconden mee uit te rekenen10. De belangrijkste oorzaak dat het binnen afzienbare tijd mogelijk was om de Mifare chip te kraken is volgens Professor Bart Jacobs de gekozen beveiligingsmethodiek security through obscurity. Ook heeft onvoldoende toezicht van de Nederlandse Overheid en het uitblijven van richtlijnen hieraan bijgedragen. Volgens Professor Bart Jacobs heeft “het ministerie van Verkeer en Waterstaat geen duidelijke specificaties voor de beveiligingseisen van de OV-chipkaart opgegeven”. Hadden ze dit wel gedaan dan was de beveiliging wellicht sterker geweest11. Na het kraken van de Mifare Classic chip was de beveiliging op de OV-chipkaart officieel gekraakt. Het door TNO voorspelde tijdstraject naar aanleiding van het kraken van de MIFARE chip bleek aanmerkelijk korter dan de voorspelde twee jaar. 3.2.2.

De methoden van hacking, het eerste kwartaal 2011

Het kraken van de Mifare Classic chip leidde niet tot op grote schaal frauderen. Dit is verklaarbaar omdat deze wijze van frauderen nog ver weg stond van de gewone burger. Echter in de maanden hierop volgend kwamen er steeds meer innovatieve manieren van frauderen die ook door de gewone burger toegepast konden worden. Hieronder staan de bekendste bekende vormen van fraude: 1. Zelf inchecken: Met behulp van software beschikbaar op het internet en een kaartlezer kan in theorie elke burger met een thuiscomputer zelf in- en uitchecken. Op deze wijze wordt er niet meer bij de kaartleesapparatuur ingecheckt waardoor de reis voor de back-office systemen onopgemerkt blijft. Bij controles door conducteurs lijkt het alsof er normaal is ingecheckt. Als tegenmaatregel worden bij controles door conducteurs de gegevens in hun apparatuur opgeslagen die aan het einde van de dienst naar de back-office van TLS worden geladen. Na controle van de gegevens van de uitgelezen kaart en de eigen vervoersgegevens kan worden vastgesteld of fraude is gepleegd. Indien fraude is gedetecteerd wordt de OVchipkaart geblokkeerd; 2. Verhogen van het saldo: Met behulp van software is het mogelijk om het saldo op de OVchipkaart aan te passen. Als tegenmaatregel controleert TLS de vervoersgegevens van de kaart met de gegevens verkregen van de kaartleesapparatuur. Indien afwijkingen worden geconstateerd kan dit terug te herleiden zijn tot fraude; 3. Producten en data aanpassen; Het is mogelijk om producten op kaarten aan te passen. Zo kunnen kortingsproducten worden toegevoegd of kan de geldigheidsduur worden verlengd. Omdat een deel van deze producten op persoonsgebonden kaarten staan en TLS constant bezig is om tegenmaatregelen te ontdekken is het niet raadzaam om de aanpassingen met ei10

Radboud Cloning OV-chip Verdult 2007 http://www.computable.nl/artikel/ict_topics/overheid/2708157/1277202/overheid-hadovchipkaartproject-meer-moeten-sturen.html 11

22 van 55


gen producten te doen. Ook hier geldt dat TLS als tegenmaatregel de gegevens van de kaart kan wegzetten tot de gegevens in de back-office; 4. Back-up en restore: Bij deze wijze van frauderen wordt de informatie van een OV-chipkaart opgeslagen als back-up. Wanneer men vervolgens met de kaart gaat reizen worden de kosten van het saldo in mindering gebracht. Het is mogelijk om de oude gegevens van de back-up terug op de kaart te zetten waardoor het afgeschreven saldo weer terug is. Deze methode is tevens door TLS in de back-office te detecteren. TLS geeft aan bovenstaande vormen van fraude binnen 24 uur fraude te detecteren. Uit praktijkvoorbeelden is duidelijk geworden dat OV-chipkaarten waarmee is gefraudeerd niet altijd binnen deze gestelde termijn werden geblokkeerd. TLS geeft hiervoor als reden dat nader onderzoek nodig was, men twijfelde of er sprake was van fraude of omdat men aangifte had gedaan en men de fraudeur wilde opsporen. In hoeverre deze redenen valide zijn is niet bekend. Wel is bekend dat eerder een fraudeur door de politie is opgespoord, zij het met enige moeite. 3.2.3.

Het kraken van privacy gevoelige informatie

Persoonsgegevens waren ondanks het kraken van de RFID chip en de OV-chipkaart nog steeds ‘veilig’. Doordat alleen de geboortedatum van een abonneehouder digitaal op de OV-chipkaart staat opgeslagen was het risico beperkt. Waar TLS en de OV-bedrijven geen rekening mee hadden gehouden was dat er ook persoonsgegevens op de website ErvaarhetOV.nl stonden opgeslagen. Deze website in extern beheer die mensen aanmoedigt tot het nemen van een OV-chipkaart bleek bij aanmelding persoonsgegevens op te slaan. In mei 2010 slaagde de kraker ins3ct3d erin om de beveiliging van de website te kraken en de gegevens van reizigers te bemachtigen. Dit gebeurde op een onvoorziene manier. Doormiddel van een SQL-injectie slaagde de kraker erin om zich toegang te verlenen12. Persoonsgegevens van 168.000 reizigers waren gestolen. Het was een waarschuwing voor de onveilige systemen van de overheid. De angst bij reizigers dat hun reisgegevens in combinatie met hun persoonsgegevens worden misbruikt, heeft gezorgd voor verscherpte aandacht voor de OV-chipkaart van het College Bescherming Persoonsgegevens. Voor de openbaar vervoerbedrijven betekent het dat ook vanuit het aspect ‘beveiliging van persoonsgegevens’ voeding wordt gegeven aan het onderwerp informatiebeveiliging13. 3.2.4.

De beeldvorming rond de OV-chipkaart

Naar aanleiding van het kraken van de OV-chipkaart besteedde de media veel aandacht aan de mogelijke consequenties. In eerste instantie reageerde TLS laconiek, de gevolgen van het kraken van de beveiliging vielen mee. Het kraken van de OV-chipkaart zou voor de gewone burger niet mogelijk zijn gezien de kosten voor de benodigde apparatuur en de benodigde tijd. Echter na korte tijd bleek dit niet meer te kloppen en moest TLS bekennen dat het kraken van de OVchipkaart niet meer alleen was voorbehouden aan experts. Door de steeds slimmere en snellere methoden van het kraken van de OV-chipkaart kwam TLS nog een aantal keren negatief in de media waarbij zij niet het vertrouwen van de overheid en de burger konden terugwinnen met betrekking tot de veiligheid van de OV-chipkaart. 12 13

http://www.security.nl/artikel/33333/OV-site_lekt_priv%C3%A9gegevens_168.000_reizigers.html OV-chipkaart en informatiebeveiligings, de IT-Auditor nummer 2

23 van 55


3.3. De repressieve mitigerende maatregelen Dat de OV-chipkaart te ‘kraken’ te zou zijn, was een risico waarvan TLS op de hoogte was en in de systemen was hier ook rekening mee gehouden (denk aan controle op level 4 van transacties). Er bestond toen, en nu nog steeds geen elektronische beveiliging die als onfeilbaar kan worden beschouwd. Na het kraken hebben TLS en de OV-bedrijven de economische business case bestudeerd net zoals banken doen met skimfraude. Zolang de financiële en reputatie schade beperkt is wordt het risico geaccepteerd. Wel probeert men de gevolgen zoveel mogelijk te beperken door het invoeren van mitigerende maatregelen. Naar aanleiding van het kraken van de RFID chip heeft TLS TNO opdracht gegeven voor een onderzoek naar de mogelijke impact en gevolgen voor de OV-chipkaart. De belangrijkste conclusies waren dat de Mifare Classic chip waarmee de OV-chipkaart is uitgerust op den duur moet worden vervangen. Het migreren is echter op dat moment niet dringend, het maken van aanpassingen in de OV-chipkaart infrastructuur moet voldoende waarborgen bieden om nog enkele jaren gebruik te maken van de bestaande OV-chipkaart. Tevens wordt geadviseerd voorlopig alleen te richten op het voorbereiden van een migratie en deze nog niet daadwerkelijk uit te voeren. De belangrijkste reden voor deze aanpak is dat niet blijkt dat het systeem systematisch kan worden uitgebuit en dat de reiziger zeer beperkt risico loopt om geconfronteerd te worden met misbruik. De identiteit van de reiziger wordt niet op de chip bewaard waardoor de persoonsgegevens door het uitlezen van de RFID chip niet bekend worden. De verwachting is dat het gebruikte algoritme van de Mifare classic chip naar aanleiding van het kraken door Karsten Nohl op korte termijn bekend zullen worden. Echter voor het kraken van de chip heeft men dure apparatuur nodig, en het zal enkele uren duren voordat een kaart gekraakt is. Hierdoor verwacht TNO dat de impact op fraude en misbruik beperkt zal blijven. Een contra expertise onderzoek van de Royal Hollway Institute onderschrijft de belangrijkste conclusies van het TNO onderzoek. Naar aanleiding van de conclusies en adviezen uit de onderzoeken wordt een migratieplan en een fraudebeheersingsplan door TLS opgesteld. Het migratieplan bestaat uit een stappenplan wat geïnitieerd kan worden op het moment dat fraude en misbruik van de OV-chipkaart boven acceptabele niveaus stijgt. Het fraudebeheersingsplan beschrijft stappen om fraude en misbruik tegen te gaan en op te sporen. De belangrijkste maatregel om fraude en misbruik tegen te gaan is het inrichten van de back-office van TLS om fraude en misbruik automatisch te detecteren, waarna besloten kan worden om kaarten te blokkeren. Toch werd begin 2010 het besluit genomen om een nieuwe veilige OV-chipkaart te ontwikkelen. Vanuit de overheid is politieke druk uitgeoefend richting de OV-bedrijven om een veilige OVchipkaart te realiseren. De OV-bedrijven stonden in eerste instantie niet achter dit initiatief maar hebben na overleg besloten om toch vanuit SOT ontwikkelproject te starten. 3.3.1.

Het fraudebeheersingsplan

Naar aanleiding van het kraken van de OV-chipkaart is een fraudebeheersingsplan opgesteld14. De belangrijkste maatregel uit dit plan is het aanbrengen van een derde beveiligingslaag in de back-office. De centrale systemen van de OV-bedrijven en TLS zijn ingericht om vreemde en afwijkende transacties te herkennen door vooraf ingestelde protocollen (35 zogeheten validatie14

http://www.ov-chipkaart.nl/nieuws/nieuwsoverzicht/verklaringrettlsfraude

24 van 55


regels). Van deze afwijkingen worden rapporten gegenereerd die door de back-office worden gecontroleerd. Indien fraude of misbruik wordt gedetecteerd, is het mogelijk om de betreffende kaart of kaarten te blokkeren15. Het detectiemechanisme wordt regelmatig door TLS gecontroleerd. Dit gebeurd door regelmatige testen met gemanipuleerde kaarten. Het proces om transacties te verwerken en controleren is als volgt opgezet. Transacties gedaan in OV-vervoersmiddelen en op stations en bus depots worden ge-upload naar de centrale backoffice systemen van de OV-bedrijven. Vanuit deze systemen worden de transacties vervolgens één op één doorgezet naar TLS. De transacties worden in de back-office van TLS geanalyseerd via het volgende proces: 1. Door middel van validatieregels worden transacties gecontroleerd en worden afwijkingen gesignaleerd en geflagt; 2. Indien een transactie met een afwijkend patroon wordt gesignaleerd wordt er vanuit de afdeling clearing and settlement gecontroleerd of er sprake is van een foutieve signalering of daadwerkelijke fraude. Mogelijke oorzaken van foutieve signalering zijn het repareren van voertuigen waardoor ze hun gegevens niet op de remise hebben kunnen opladen, het incidenteel verloren gaan van een voertuig of de daar aanwezige centrale opslag etc. Er wordt zeven dagen gewacht omdat gegevens soms na enkele dagen nog binnen komen. Na deze periode wordt gekeken naar de historie van de kaart. Indien er geen frauduleuze handelingen worden gedetecteerd zal er bij de OV-bedrijven navraag worden gedaan of zij een idee hebben waardoor bepaalde transacties niet zijn ge-upload. Dit dient in feite al standaard door de OV-bedrijven zelf te worden gemeld. Door deze handelingen zouden het merendeel van de afwijkingen verklaard moeten worden. Eventuele resterende afwijkingen zijn een geaccepteerd risico zolang deze niet boven geaccepteerde aantallen komen. Andere controles die plaatsvinden zijn controles op dubbele transacties, controles op niet bestaande producten of kaarthouders of controles op transacties die afkomstig zijn van apparaten die niet bekend zijn, niet via de PKI SAM4-procedure zijn aangemeld of als gestolen bekend staan; 3. Indien fraude wordt vastgesteld wordt de kaart op een blacklist geplaatst. Bij eervolgend gebruik van de desbetreffende kaart zal de OV-chipkaart worden geblokkeerd. Deze lijst wordt gevoed uit de gegevens van de back-office van TLS maar ook op basis van de gegevens verkregen uit de systemen van de OV-bedrijven; 4. De blacklist zet TLS elke nacht op haar website waarvandaan de OV-bedrijven deze vervolgens dezelfde nacht volgens afspraak dienen te downloaden; 5. Vervolgens wordt de lijst door de OV-bedrijven gedownload naar hun level 1 apparatuur. Dit proces zorgt ervoor dat de dag na het blacklisten van een kaart deze wordt geblokkeerd op het moment dat de kaart aan kaartleesapparatuur wordt aangeboden. De validatieregels zijn continue aan verandering onderhevig omdat er nieuwe manieren worden bedacht om fraude te plegen. Door het testen van fraudescenario’s en het uitvoeren van analyses worden aanvullende validatieregels ontwikkeld en getest. Op deze wijze optimaliseert TLS de fraude detectie aanpak in de back-office. Gerben Nelemans geeft aan: “We zullen in de backoffice nog extra maatregelen nemen om eventuele fraude nog beter op te sporen. We zullen op softwaregebied nog extra beveiligingsmaatregelen nemen. Ook gaan we ons oriënteren op de vraag wat een opvolger zou kunnen zijn voor de bestaande chip. Maar een eventuele vervanging is pas aan de orde als de OV-chipkaart landelijk is ingevoerd én als er daadwerkelijk sprake zou 15

http://www.verkeerenwaterstaat.nl/Images/20084944%20bijlage%201_tcm195-233501.pdf

25 van 55


zijn van grootschalige fraude. Het is echt onzinnig om een nieuwe chip in te voeren, terwijl er niet of nauwelijks fraude is”. 3.3.2.

De migratie naar een veilige OV-chipkaart architectuur

Het migratieplan is naar aanleiding van het kraken van de OV-chipkaart opgesteld. Hoofdgedachte van het plan was om fraude zoveel mogelijk te beperken en te werken aan de migratie naar een ‘ veilige’ OV-chipkaart. In dit programma staan drie hoofdprojecten beschreven: 1. Fraudebeheersing en continue verbetering daarvan; 2. Korte termijn maatregelen binnen het huidige systeem die het risico van misbruik met de Mifare classic chip sterk verminderen; 3. Eventualiteitenplan (contingency-plan) om te migreren naar een andere chip indien dit noodzakelijk blijkt te zijn16. In aanvulling hierop dient er rekening te worden gehouden met het volgende: 4. Life Cycle Management; 5. Card-Reader solution; hierbij dient er te worden gekeken naar een lange termijn visie met betrekking tot deze interface vanuit het beveiligingsperspectief. 6. Security Management Organization; behalve aandacht te besteden aan de beveiliging van de OV-chipkaart dient er ook met de andere in gebruik zijnde systemen rekening te worden gehouden. Naar aanleiding van bovenstaande mitigerende stappen werd het besluit genomen om verder te gaan met de uitrol van de OV-chipkaart. Tevens zou er onderzoek worden gedaan naar een eventuele ‘veilige’ opvolger van de OV-chipkaart. Het onderzoeken en voorbereiden van een eventuele migratie is in 2009 tot op heden (juni 2010) uitgevoerd. Tevens is een Fraudebeheersingsplan opgesteld om fraude en misbruik zoveel mogelijk tegen te gaan. 3.3.3.

Betere beveiliging van privacy gevoelige gegevens

Het opslaan van privacy gevoelige informatie op RFID toepassingen is mede door de invoering van de OV-chipkaart een maatschappelijke discussie geworden. In het geval van de OV-chipkaart beperkt het privacy risico zich tot de persoonsgegevens opgeslagen in de back office systemen van TLS en de OV-bedrijven. Het beveiligingsprobleem van de chip levert geen risico’s op voor de gegevens van de reizigers zoals naam, adres en woonplaats, omdat deze informatie niet op de chip staat. Naar aanleiding van het kraken van de website www.ervaarhetov.nl en het verkrijgen van toegang tot de persoonlijke informatie van 168.000 reizigers kreeg TLS deels de schuld toebedeeld. Wat veelal niet werd gerealiseerd was dat het een externe website betrof die werd beheerd door de gemeente Gelderland waarover TLS geen zeggenschap had. Het kraken van de website resulteerde in imago schade voor TLS. Dit was aanleiding voor TLS om deze websites voorafgaand aan het “live” zetten te beoordelen door hun chief hacker (security expert). Het was niet mogelijk om vooraf dit soort regels op te leggen omdat de partijen dan

16

http://www.verkeerenwaterstaat.nl/Images/20084944%20bijlage%201_tcm195-233501.pdf

26 van 55


van mening zijn dat TLS hierover niets heeft te zeggen. Door een gebeurtenis als dit zien andere partijen in dat TLS een leidende rol heeft om dit soort gevolgen tegen te gaan.

3.4. De evaluatie van de mitigerende maatregelen Het OV-chipkaart systeem komt er zeker, ondanks alles. In 2009 tot heden wordt het overal in Nederland ingevoerd. Maar een aantal problemen had voorkomen kunnen worden. Ondanks de mitigerende maatregelen is de OV-chipkaart nog verschillende keren negatief in de media gekomen en is de gekraakte Mifare chipkaart in mei 2011 nog steeds in productie. Dit heeft er toe geleid dat de algemene opinie van de OV-chipkaart niet is verbeterd. Het uitblijven van zichtbare verbeteringen en het verbeteren van de publieke opinie over de OV-chipkaart heeft er toe geleid dat op 13 mei 2011 de vervoersbedrijven Connexxion, Arriva, Veolia en Synthus bekend maken dat ze de resultaten van TLS met betrekking tot het verhogen van de veiligheid van de chipkaart vinden tegenvallen. Indien TLS geen verantwoordelijkheid neemt dient een externe marktpartij de taken eventueel over te nemen17.

17

“Vervoerders willen af van bedrijf achter OV-chipkaart”, NRC, 13 mei 2011

27 van 55


4. Dreigingenanalyse Bij ieder groot ICT-project, zoals de OV-chipkaart, worden vooraf diverse dreigingenanalyses uitgevoerd om na te gaan waar rekening mee moet worden gehouden tijdens het ontwerp. Vaak komt uit dergelijke analyses naar voren dat verschillende belangen, dreigingen en oplossingen tegenstrijdig zijn aan elkaar. Concessies zijn nodig om de medewerking te kunnen verkrijgen van alle betrokken partijen en daarbij tegelijkertijd rekening te houden met de limitaties van de beschikbare technische oplossingen. Bij de implementatie van de OV-chipkaart diende men rekening te houden met de doelen, belangen en wensen van de meewerkende OV-bedrijven, de politiek en de reizigersorganisaties, wilde men de OV-chipkaart zonder al te veel protest en commotie kunnen invoeren. Tevens moest men bij het ontwerpen rekening houden met de op dat moment geldende technische beperkingen van de OV-chipkaart, de randapparatuur en de back-office systemen. De ideale wereld bestaat nu eenmaal niet en men kan een goedkope chip voor algemeen gebruik niet beschermen als Fort Knox. Dit hoofdstuk bevat een dreigingenanalyse die door middel van reversed engineering tot stand is gekomen. Aan de hand van de dreigingen en tegenstrijdigheden in belangen willen wij aantonen welke keuzes TLS moest nemen en wat de gevolgen hiervan waren. Tevens willen wij aan de hand van meningen van experts duidelijk maken dat er veel verschillende zienswijzen zijn waarvan op voorhand vaak het moeilijk is in te schatten of er achter de adviezen geen nieuwe onbekende dreigingen schuilen. De onderstaande dreigingenanalyse is door ons zelf opgesteld, zonder gebruik te maken van interne informatie van Trans Link Systems. De door hen opgebouwde Risk Registers zien wij als concurrentiegevoelig materiaal en de inhoud daarvan kan misschien politiek gevoelig liggen. Om deze reden hebben wij als buitenstaander, uitgaande van datgene wat uit publieke bronnen bekend is, de dreigingen in kaart gebracht en verder uitgewerkt.

4.1. Financiële dreigingen Er zijn een aantal bedreigingen die tot financiële gevolgen kunnen leiden voor de betrokken partijen. In het kader van deze scriptie bespreken wij vijf risico’s, genummerd F-1 tot en met F-5. Risico F-1. Reizigers willen niet dat meer geld voor een reis wordt afgeschreven dan terecht is, terwijl de OV-bedrijven ten minste de vereiste reiskosten willen ontvangen. Iedere afwijking levert voor de ene partij een voordeel op, en voor de andere partij een nadeel. De kans van optreden is “midden”. Bij de aanvang van een reis wordt altijd een basistarief van het saldo op de OV-chipkaart afgehaald. Aan het einde van de reis wordt het verschuldigde tarief berekend op basis van het beginpunt versus het eindpunt van de rit, namelijk het punt waar een reiziger is ingecheckt en het punt waar wordt uitgecheckt. Aan de hand van deze gegevens controleert het systeem welk tarief in rekening dient te worden gebracht en of er sprake is van een korting omdat de reiziger hiervoor

28 van 55


een reisproduct op de OV-chipkaart heeft geladen. Het nieuwe saldo wordt teruggeschreven op de OV-chipkaart. Indien een reiziger echter niet goed in- of uitcheckt, kan het systeem de kosten voor de reis niet berekenen. In dit geval wordt het basistarief in rekening gebracht, wat in het merendeel van de gevallen hoger is dan het daadwerkelijk verschuldigde bedrag. Tevens bestaat de kans op controle op vervoersbewijzen in het openbaar vervoer. Hierbij zou worden geconcludeerd dat de reiziger zwart rijdt, waarvoor een boete wordt opgelegd. Als een reiziger niet uitcheckt, kan deze door middel van een document bezwaar maken tegen het in rekening gebrachte basistarief. Hier zijn limieten aan gesteld. Reizigers zien dit als ongemak omdat bij het oude systeem het niet nodig was om achteraf uit te checken. Reizigers laten gemiddeld 30 euro liggen aan ongeclaimde te veel betaalde reiskosten door slordig uitchecken of door vertragingen. Dat meldt www.claimer.nl. In september 2009 berekende het Financiele Dagblad dat jaarlijks 6 miljoen euro bij de OV-bedrijven bleef hangen doordat reizigers vergeten uit te checken. Dat bedrag moet, naar de mening van sommige kritische personen, met de explosieve toename van het aantal gebruikers fors zijn gestegen. Kamerlid Bashir (SP) ging in mei 2011 uit van tientallen miljoenen euro, maar volgens www.claimer.nl ligt dat bedrag nog vele malen hoger. De Tweede Kamer wil dat het niet geclaimde geld weer aan het OV wordt besteed18. Evaluatie van risico F-1 De vervoersbedrijven willen ten minste het bedrag verschuldigd voor de reis ontvangen en hebben gekozen voor een systeem waarbij de reiziger moet in- en uitchecken. Bij de aanvang van de reis wordt veelal een afdoend bedrag van de kaart afgehaald om de kosten van de reis ruim te dekken. Op deze wijze zijn de vervoerders relatief zeker de werkelijke reiskosten volledig te ontvangen. De reizigers lopen echter het risico om meer te moeten betalen, ten opzichte van het systeem met de strippenkaart. Het risico F-1 is eenzijdig afgedekt, door de belangen van de vervoerders voorop te zetten. Als er iets fout gaat, hebben zij in ieder geval hun geld. Risico F-2. OV-bedrijven willen stations en busdepots afsluiten door middel van toegangspoortjes om zwart te rijden en vandalisme tegen te gaan. Gemeenten zijn tegen dit plan omdat stations en busdepots soms als doorgaande route worden gebruikt door burgers. Afsluiten kan een belemmering zijn voor de toegankelijkheid van de omgeving. Kans van optreden: “hoog”. De OV-bedrijven willen zwartrijden tegengaan door stations af te sluiten. Als stations alleen nog maar toegankelijk zijn via poortjes wordt zo iedereen geforceerd om een geldig vervoersbewijs te gebruiken en zo te betalen voor echt gebruik van het OV. Echter, de gemeenten verzetten zich tegen het afsluiten van de stations. Zij zijn van mening dat de poortjes de vrije doorgang van burgers door de stations heen naar andere bestemmingen onmogelijk maakt. Vaak vormen stations de overgang van het ene gedeelte van een stad naar het andere. Zij oefenen daarom druk uit op de OV-bedrijven om de poortjes niet te installeren. Een 18

“Reiziger schiet er 30 euro bij in”, Spits, 27 april 2011

29 van 55


voorbeeld is het centraal station in Leiden. Vanuit de binnenstad loopt men via het station naar het universiteitsterrein daarachter, waar onder andere het Leids Universitair Medisch Centrum staat. Als deze doorgang wordt afgesloten, moeten bezoekers en patiënten bijna een kilometer omlopen. Evaluatie van risico F-2 Veel grote stations liggen op centrale locaties en zijn geïntegreerd in de vervoersstromen binnen de gemeenten. Men heeft de toegangen opzettelijk zo ontworpen dat alles gemakkelijk toegankelijk is. Het domweg afsluiten van de toegangen, alleen om zwartrijden tegen te gaan, vormt een belemmering voor de goedwillende burgers. Hiermee worden veel mensen het slachtoffer van het wangedrag van een enkeling. Naar onze mening stellen gemeenten zich terecht hard op, in het belang van hun inwoners en bezoekers. Bij dit risico is sprake van tegenstrijdige belangen. Enerzijds de vervoerders die proberen het zwartrijden tegen te gaan, anderzijds de gemeenten die moeten zorgen voor goede toegankelijkheid van de steden en opkomen voor de belangen van de burgers. Risico F-3. Hackers proberen de beveiliging van de OV-chipkaart te kraken om zo te kunnen zwartrijden. OV-bedrijven lopen daardoor inkomsten mis. De kans van optreden is “hoog”, maar de materiële omvang van deze fraude is beheersbaar. Zwartrijden leidt tot minder inkomsten voor de vervoerders. Men tracht dit risico te minimaliseren door het implementeren van allerlei soorten van beveiligingsmaatregelen, waarvan de OVchipkaart er een is. Hackers zien echter dit hightech middel als een leuke uitdaging. Vanuit verschillende intenties willen zij graag kraken, bijvoorbeeld vanuit een maatschappelijk belang of domweg vanuit een winstoogmerk. Evaluatie van risico F-3 Geen enkele technische beveiliging is perfect. Als IT-auditors en informatiebeveiligers weten wij dat barrières kunnen worden verhoogd. Het beveiligen is mensenwerk, en mensen kunnen alles kraken wat anderen bouwen. Van belang is met het bouwen van de barrières de krakers net een stap voor te blijven, en te zorgen dat fraude kleinschalig blijft. Bij de deskundigen is altijd bekend geweest dat de OV-chipkaart ooit zou worden gekraakt. Men wist alleen niet wanneer deze dreiging manifest zou worden. Dat het al zo snel zou gebeuren, was een onaangename verrassing. De vervoerders hadden gehoopt dat de krakers daar meer tijd voor nodig hadden gehad. Sommige van de critici lijken zich wat naïef op te stellen. Enerzijds willen zij de barrières niet te hoog hebben en anderzijds vinden zij dat een hightech maatregel perfect moet zijn. Dit zijn strijdige eisen, waaraan geen enkel beveiligingsmiddel aan kan voldoen. Risico F-4. Als de paal of het poortje niet werkt, ontregelt dat de dienstregeling en mist de vervoerder inkomsten. De kans van optreden is “laag”.

30 van 55


Defecte poortjes kunnen ertoe leiden dat reizigers besluiten om zwart te rijden of dat de dienstregeling wordt ontregeld door groepen wachtende reizigers. Daarom worden over het algemeen meerdere toegangspoortjes opgesteld, zodat men over redundantie beschikt. Als een van de poortjes defect is, vermindert de capaciteit om reizigers toe te laten, maar men zorgt zo wel dat de stroom aan reizigers in beweging blijft. Hierbij dient de kanttekening te worden geplaatst dat een defect poortje hinderlijk is voor reizigers. Bij sommige stations of busdepots is de infrastructuur verwarrend. Reizigers die daar minder bekend zijn moeten dan zoeken naar een werkende toegangsmogelijkheid. Evaluatie van risico F-4 De inkomsten zijn van vitaal belang voor vervoerder. Iedere onderbreking in de inkomsten heeft effect op hun bedrijfsvoering. Daarom investeren zij in enige mate van redundantie. Door meerdere poorten neer te zetten zal een technisch falend poortje de dienstregeling minder snel ontregelen. Daarnaast proberen zij betrouwbare techniek te gebruiken in de poortjes, om de Mean Time Between Failure (MTBF) zo hoog mogelijk te krijgen. De MTBF is een belangrijk criterium bij de selectie van een leverancier voor de poortjes. Risico F-5. Als rijden met de OV-chipkaart te omslachtig is, maken minder reizigers gebruik van het openbaar vervoer en mist de vervoerder inkomsten. De kans van optreden is “laag”. Op het moment dat reizigers, en in het bijzonder de ouderen, niet begrijpen hoe zij moeten omgaan met de OV-chipkaart kan dit er toe leiden dat zij er geen gebruik van maken. Dit heeft als effect dat de vervoerders de inkomsten misloopt van deze groep reizigers. Er is sprake van een gewenningsfase tijdens de implementatie. Bij de uitrol van nieuwe techniek is het altijd van belang veel aandacht te besteden aan het begeleiden van de reizigers. Bij het omschakelen van de RET naar de OV-chipkaart zijn bijvoorbeeld grote aantallen medewerkers van RET en TLS ingezet om reizigers te adviseren en te coachen. Zo een actie is van groot belang om het draagvlak te verhogen. Evaluatie van risico F-5 Ten tijde van de implementatie was er veel ophef over de onduidelijkheid en problemen met het reizen van de OV-chipkaart. Dit leidde tot negatieve berichtgeving. Gaandeweg de uitrol verdwijnen deze geluiden. Een grote groep reizigers is afhankelijk van het openbaar vervoer en zal daarom, ondanks eventuele initiële problemen, toch de OV-chipkaart gaan gebruiken. Door het uitfaseren van de strippenkaart is er voor hen geen alternatief. In het begin wordt er wat gemopperd, maar dat lijt weg en op een bepaald moment is men geheel gewend. Daarna volgen zelfs positieve geluiden, op het moment dat hen blijkt dat de OV-chipkaart het reizen met verschillende OV-vervoermiddelen zelfs eenvoudiger maakt. Er blijft natuurlijk altijd een groep reizigers die slechts sporadisch met het OV reist. Zij zullen de drempel om de OV-chipkaart aan te schaffen en te activeren in eerste instantie wellicht te groot vinden om snel over te stappen. Bij deze groep lopen de vervoerders omzet mis door de omschakeling naar de nieuwe techniek.

31 van 55


Expert mening met betrekking tot financiële dreigingen TNO heeft initieel gesteld dat de OV-chipkaart een relatief onaantrekkelijke doelwit is voor criminele organisaties, zolang er sprake is van beperkte kaarttegoeden en gebruiksmogelijkheden. Royal Holloway University of London (RHUL) heeft een second opinion gegeven en het standpunt van TNO bevestigd. Deze risico-inschatting kan echter veranderen bij een nationale uitrol. Overigens maakt RHUL de kanttekening dat kleinschalig misbruik van de kaart kan leiden tot overlast en reputatieschade voor de OV-bedrijven19. Volgens professor Ronald Leenes (Tilburg) bestaat er wel degelijk een gevaar op toenemend misbruik van de OV-chipkaart. Het is relatief eenvoudig om de kaarten na te maken. Men kan deze valse kaarten op de hoek van de straat te koop aanbieden. Reizen met openbaar vervoer is in Nederland prijzig, waardoor er sprake is van een persoonlijk gewin. Dit wordt versterkt waarneer bijvoorbeeld verenigingen deze vorm van misbruik gaan benutten voor hun leden. Fraude wordt weliswaar binnen 24 uur gedetecteerd, maar dit betekent wel dat je al geruime tijd van de OV-chipkaart gebruik hebt kunnen maken. Gerben Nelemans, Directeur TLS benadrukt dat men na het kraken van de OV-chipkaart een extra beveiligingslaag heeft ingericht in de back office. Hij stelt: ‘Hier worden alle transacties en kaartgegevens gecontroleerd op fraude en misbruik. Door deze controles heeft een fraudeur slechts gedurende een korte tijd profijt van het kraken van een OV-chipkaart. Een woordvoerster van TLS geeft aan: ‘Zodra blijkt dat er twee kaarten met hetzelfde nummer in omloop zijn, wordt dat meteen gesignaleerd. De kaarten worden dan geblokkeerd.’ Je kunt je dus afvragen hoe aantrekkelijk het voor criminelen is om de kaart te kraken en na te maken. Eerlijk gezegd denken wij niet dat criminelen zóveel inspanningen zullen doen voor zulke kleine bedragen. Onderzoeken bevestigen dit. De kaart wordt ook in Londen gebruikt door zo een 16 miljoen mensen en zijn er 10 miljoen transacties per dag. In Londen wordt geen fraude gesignaleerd. Daar snapt niemand iets van de discussie die in Nederland is losgebarsten over de risico’s van de OV-chipkaart. Daar vragen zij zich af waar wij ons hier druk over maken’, aldus Gerben. Professor Ronald Paans stelt dat de maffia niet op de hoek van de straat OV-chipkaarten zal gaan verkopen. Daarvoor is het gewin te klein. Zij zijn alleen geïnteresseerd in meer lucratieve activiteiten. Tevens reizen de meeste maffialeden niet per OV, zodat voor hen nagemaakte kaarten ook niet interessant zijn voor eigen gebruik. Professor Bart Jacobs beschreef op 18 september 2008 het kenmerkende dilemma van de OVchipkaart in relatie tot het Nederlandse financieringsmodel van OV. Stel dat de staatssecretaris nu zou zeggen: ‘vervang de Mifare Classic chip in de OV-chipkaart.’ De betrokken commerciële partijen zullen dan direct reageren met: ‘Beste staatssecretaris, u bepaalt nu dat wij honderden miljoenen moeten afschrijven. Betaalt u dat dan maar even.’ Hiermee beschrijft Bart het spanningsveld tussen overheid en de OV-bedrijven. De overheid streeft naar een veilig elektronisch betaalmiddel met een goed imago, terwijl de OV-bedrijven vooral kijken naar het minimaliseren van misbruik in de vorm van zwartrijden en naar de bedrijfseconomische gevolgen van bepaalde keuzen.

19

Het contra-expertise onderzoek op het TNO-onderzoek naar de beveiliging van de OV-chipkaart, april 2008.

32 van 55


Tegenstrijdige belangen, financiële investering versus beveiliging De OV-chipkaart is ontwikkeld en geïmplementeerd dankzij subsidies van de overheid en met investeringen van de OV-bedrijven. Bij het verstrekken van de financiering stelde de overheid als een van de randvoorwaarden dat de kosten voor de burger niet mogen toenemen ten op zichtte van de geldende tarieven. De OV-bedrijven namen in hun randvoorwaarde op dat er sprake moet zijn van een bedrijfseconomisch zinvolle investering die binnen enkele jaren kan worden terugverdiend en een toegevoegde waarde moet hebben voor de kwaliteit van het OV. Door te kiezen voor de relatief voordelige Mifare RFID-chip kon aan de randvoorwaarden worden voldaan. De kosten van de OV-chipkaart zouden hierdoor binnen acceptabele grenzen blijven. Nog hogere kosten voor het implementeren van een nog zwaardere beveiliging waren op het moment van de ontwikkeling niet te rechtvaardigen, mede omdat de Mifare Classic te boek stond als veilig en betrouwbaar. Althans, dat was de kennis op het moment van de beslissing.

33 van 55


4.2. Beveiligingsdreigingen Er zijn vele bedreigingen voor de OV-chipkaart. Hieruit hebben wij de vier in onze ogen meest typerende bedreigingen gekozen voor het geven van een toelichting en een korte evaluatie. Risico B-1. OV-bedrijven willen aan de ene kant een sterke beveiliging op de OV-chipkaart, waarbij transacties worden versleuteld. Reizigers en ook de OV-bedrijven willen aan de andere kant dat transacties snel verlopen om geen afhandelfouten en wachtrijen te veroorzaken. De kans van optreden is “laag”. De OV-bedrijven willen het manipuleren van de OV-chipkaart voorkomen. Dit is technisch gezien in feite alleen mogelijk indien meer beveiliging wordt opgenomen in de OV-chipkaart. Deze beveiliging is gerealiseerd doormiddel van cryptografie. Hierbij geldt dat hoe langer de cryptografische sleutel, hoe sterker de beveiliging. Een langere sleutel betekent echter ook dat de chip meer tijd nodig heeft om de communicatie en de transacties te valideren. TLS heeft een maximale transactietijd voor kaartleesapparatuur vastgesteld, namelijk 400 milliseconden. Binnen deze tijd moet de communicatie en de transactie volledig zijn afgerond. Zou dit niet gebeuren dan kan dit leiden tot foutieve transacties omdat reizigers voortijdig hun OVchipkaart hebben weggenomen van het leesapparaat. Tevens zou het kunnen leiden tot rijen wachtenden omdat de leesapparatuur de hoeveelheid reizigers niet snel genoeg kan verwerken. Evaluatie van Risico B-1 De huidige RFID-technologie kent beperkingen. Doordat in de kaart een passieve chip wordt gebruikt, heeft men slechts de beschikking over een beperkte rekencapaciteit. De ontwerpers moeten een afweging maken tussen de complexiteit van de rekenhandelingen versus de totale afhandeltijd van de transactie. Aangezien de afhandeltijd is overeengekomen met de vervoerders en een harde randvoorwaarde is, moeten de concessie worden gedaan aan de kant van de sleutellengte. De conclusie is dat met de huidige technologie een langere sleutellengte niet realistisch is. Risico B-2. Reizigers kunnen het station niet verlaten in het geval van een acute dreiging, zoals brand of paniek. De kans van optreden is “midden”. De vervoerders staan op het standpunt dat de veiligheid van mensen altijd belangrijker is dan het tegengaan van zwartrijden. Als er een acuut incident optreedt, moeten de mensen het station of een busdepot kunnen verlaten. Daarom worden de poortjes zo gebouwd dat zij met enige druk kunnen worden geopend. Dit is een fysieke maatregel, die verder losstaat van de OV-chipkaart. In de pers wordt deze maatregel echter wel eens gekoppeld aan de OV-chipkaart. Soms verschijnen er smalende artikelen op internet of in de krant dat men de poortjes gewoon open kan schoppen. Daarbij wordt vergeten dat dit een harde eis is in het kader van de veiligheid van de reiziger. Evaluatie van risico B-2

34 van 55


Levens gaan voor geld. Je moet er niet aan denken dat mensen kunnen overlijden doordat de poortjes niet opengaan bij paniek. Daarvan zijn diverse voorbeelden, zoals  http://nl.wikipedia.org/wiki/Heizeldrama met 39 doden en  http://www.nu.nl/buitenland/2299434/zeker-negentien-doden-bij-loveparade-duisburg.html. Als er bij een paniek op een station ernstige gevolgen zouden zijn, zal dezelfde pers die nu smalend schrijft over de zwakke poortjes, zich vernietigend uitlaten over de onacceptabele risico’s voor de veiligheid van mensen. Er zijn altijd mensen die minder sociaal optreden en deze beveiliging misbruiken door de poortjes open te schoppen om gratis te kunnen rijden. Zoiets irriteert de goedwillende burger, die zelf keurig betaalt voor de reis. Deze irritatie is iets waarmee men zal moeten leren te leven, aangezien er geen samenleving bestaat met alleen maar ideale mensen. Risico B-3. De RFID chip of de SAM kan worden besmet met een virus. Hackers of criminelen zouden gevalideerde RFID-chips om kunnen programmeren om kwaadaardige handelingen uit te voeren. De kans van optreden is ”laag”. Tot nu toe veronderstellen de meeste deskundigen dat een RFID-chip geen programmatuur kan overbrengen naar de leesapparatuur. Hierdoor is de chip zeker niet in staat de back-office software op een kwaadaardige manier te modificeren. In een onderzoek van Melanie Rieback20 is echter naar voren gekomen dat als er zwakheden aanwezig zijn in RFID-software, een hacker kwaadaardige code kan inbouwen in een RFIDchip. Zo een virus kan worden overgebracht naar het leesapparaat. Aangezien de ontwerpers van de programmatuur in het leesapparaat hier niet op zijn voorbereid, is er geen enkele vorm van bescherming opgenomen in het leesapparaat om deze bedreiging te detecteren, laat staan tegen te houden. Er is geen firewall of zo ingebouwd. Doordat de OV-chipkaart is gekraakt, is het nu in theorie mogelijk dat hackers naast foutieve betaal- en reisgegevens ook kwaadaardige programmatuur gaan doorgeven via gekraakte chips. Afhankelijk van het vernuft van de hackers kunnen virussen, Trojaanse paarden en frauduleuze transacties worden doorgegeven aan de programmatuur in back-office, of naar andere RFIDchips die contact maken met het leesstation. Hierdoor kunnen andere reizigers de besmetting verder doorgeven. Evaluatie van Risico B-3 Op dit moment zijn de technische mogelijkheden voor een virus nog beperkt, aangezien in het huidige protocol voor RFID-communicatie slechts een beperkt aantal bytes kan worden uitgewisseld. Daardoor kan de OV-chipkaart heel weinig instructies overbrengen naar het leesapparaat. Het bouwen van een virus dat past in deze beperkte ruimte zal een uitdaging zijn. Inmiddels heeft de ervaring geleerd dat hackers de OV-chipkaart zien als een intellectuele uitdaging en graag aantonen dat zij slimmer zijn dan de ontwerpers. Daarnaast weten wij dat “security by obscurity” altijd gedoemd is te falen. Wij kunnen er zeker van zijn dat er een virus gaat verschijnen, die zich via andere reizigers gaat verspreiden, alleen weet niemand wanneer dat zal 20

http://www.rfidvirus.org/

35 van 55


gebeuren. Dit is een van de ‘lessons learned’ van de OV-chipkaart zelf. Ook daarbij was bekend dat hij een keer zou worden gekraakt, maar was de datum onbekend. Risico B-4. Een SAM wordt gestolen en wordt aangepast om daar kwaadaardige handelingen mee uit te voeren. De kans van optreden is “laag”. Een poortje met een leesapparaat is te verkrijgen via een aantal leveranciers. De beveiliging is gespecificeerd als open source en bestaat uit een stukje hardware, de Secure Access Module (SAM), die door TLS wordt geleverd en in het leesapparaat wordt gestoken. Deze SAM bevat de secrets van TLS en wordt gebruikt tijdens de interactie tussen de OV-chipkaart en het leesapparaat. Indien een leesapparaat wordt ontvreemd of gestolen is het mogelijk dat de SAM wordt geanalyseerd door krakers. Zij kunnen proberen de secrets te achterhalen, of het apparaat ombouwen om kaarten te kunnen opwaarderen. Een gestolen SAM heeft geen connectie meer met het netwerk van TLS, waardoor de mogelijkheden voor misbruik zeer beperkt zijn. Nadat een diefstal is gemeld aan TLS, wordt actief bewaakt wanneer deze SAM weer zou opduiken in het netwerk. Zou de kraker de SAM opnieuw aansluiten op het netwerk, dan schakelt TLS deze definitief uit. TLS heeft nog een extra maatregel geïmplementeerd om de kans op misbruik na ontvreemding te minimaliseren. In de SAM zit een Sealing Reload Server die slechts een maximum aan financiële transacties toestaat. Dit houdt in dat na ontvreemding slechts een vooraf bepaald aantal kaarten kan worden opgewaardeerd. TLS kan achterhalen welke kaarten met deze SAM zijn opgewaardeerd en deze kaarten blokkeren. In de praktijk zal TLS hier echter niet snel toe besluiten, omdat er dan ook kaarten kunnen worden geblokkeerd die in het verleden op een legale wijze zijn opgewaardeerd. Evaluatie van Risico B-4 In het eerste kwartaal van 2011 is deze dreiging manifest geworden. Een leesapparaat is ontvreemd. Een kraker heeft deze gedemonteerd en de individuele componenten gefotografeerd. De foto’s zijn op internet geplaatst. TLS heeft de bovengenoemde preventieve maatregelen getroffen om opnieuw inhaken van deze SAM in haar netwerk te signaleren. Het is echter mogelijk dat de kraker nu gaat proberen de secrets te ontdekken in de SAM. Wat daaruit gaat komen is nog onvoorspelbaar. Expert meningen Wouter Teepe, voorheen werkzaam bij de Radboud Universiteit, geeft aan dat het wel mogelijk is om misbruik te plegen met een gestolen SAM. Zo kan er vlak bij een reguliere kaartlezer in het geniep een tweede lezer worden geplaatst die alle informatie van de aangeboden OVchipkaarten opvangt, decodeert en opslaat. Met de gestolen SAM kan men skimmen en zo de gegevens verzamelen van grote aantallen OV-chipkaarten. Met behulp van deze gegevens kunnen illegale kaarten worden gefabriceerd, waarmee gratis reizen mogelijk is. Wel zullen de gekloonde kaarten een kort leven hebben, zodra de back office deze fraude detecteert.

36 van 55


Karsten Nohl benoemt ook het risico van een massaal misbruik van de OV-chipkaart door klonen. Hij spreekt daarbij echter, in aanvulling op Wouter Teepe, over het risico voor de legitieme gebruikers. Indien de back office een fraude detecteert, zien zij twee identieke OV-chipkaarten in het systeem. Het is voor hen niet mogelijk om onderscheid te maken tussen de authentieke kaart en de kloon, aangezien beide hetzelfde nummer hebben. Indien zij op grote schaal legitieme gebruikers gaat blokkeren zal dit een negatief effect hebben op het vertrouwen van het publiek in de OV-chipkaart. Jeroen Kok, voormalig algemeen directeur TLS, geeft aan dat het verbeteren van de beveiliging en het voorkomen van fraude een continu proces is. Er bestaan geen systemen die 100% veilig zijn. Iedere technologie wordt op den duur gekraakt en dient qua beveiliging continu up-to-date te worden gehouden. Louis Roes, de voormalig projectleider implementatie Wbp Arriva, stelt ook dat 100% veiligheid niet bestaat. Deze bestaat niet bij de strippenkaart, niet bij de bankpas, niet bij de creditcard en ook niet bij de OV-chipkaart. Als er risico’s zijn, dan worden er zo snel mogelijk mitigerende maatregelen genomen. Van belang is dat men voortdurend blijft controleren en blijft toezien op een eerlijk gebruik. Professor Bart Jacobs, Radboud Universiteit, geeft aan dat binnen de nieuwe verdedigingslijn het back-office werkt als een soort firewall en virusscanner. De daar gehanteerde detectiemethoden werken aan de hand van bepaalde regels. Indien TLS wordt geconfronteerd met een nieuwe methode van fraude kan het zijn dat daar nog geen detectiemaatregel voor beschikbaar is. Hierdoor zou op grote schaal fraude kunnen worden gepleegd, alvorens TLS in staat is deze te detecteren en mitigerende maatregelen te treffen21. Volgens Walter Belgers, van het computerbeveiligingsbedrijf Madison Gurkha, is de beste beveiliging te realiseren door de specificaties van de beveiliging openbaar te maken, dus volgens het principe van open source. Hij stelt: ‘Natuurlijk helpt het als je een geheel veilig systeem ook nog geheim houdt. Maar cryptografie ontwikkelen is moeilijk. In een nieuw systeem zitten lekken en als je het algoritme geheim houdt, dan vind je die lekken niet gemakkelijk of pas als het te laat is. Aan de ontwikkeling van Advanced Encryption Standard (AES), de nieuwste standaard, heeft de héle wereld meegewerkt. Zoiets valt echter binnen één bedrijf niet te evenaren.22’ Tegenstrijdige belangen Veiligheid versus bestrijding fraude De overheid en de OV-bedrijven vinden veiligheid in het openbaar vervoer zeer belangrijk. Het ontruimen van stations moet dan ook binnen korte tijd realiseerbaar zijn. Om deze reden zijn toegangspoortjes zo ontworpen dat ze door een harde klap open gaan. Deze maatregel maakt het voor een potentiële zwartrijder echter ook mogelijk om zonder te betalen een station in en uit te gaan. Het dagblad Trouw schrijft hierover: ‘Sinds de 315 poortjes eind augustus 2009 het metrogebied afsloten, daalde het percentage zwartrijders van 13% naar 4%… Maar het zwartrijden dat over21 22

http://webwereld.nl/nieuws/54640/fraude-met-ov-chipkaart-niet-gedetecteerd---update.html# http://www.nrc.nl/wetenschap/article1880434.ece/Geheime_software_nekte_ov-chip

37 van 55


blijft, zorgt wel voor veel meer irritatie 23’. De toenemende mate van irritatie komt omdat zwartrijders te midden van andere wel betalende reizigers de poortjes met geweld open trappen. Klanttevredenheid en gebruiksgemak versus beveiliging De beveiliging van de OV-chipkaart is gebaseerd op cryptografie. De sterkte hiervan beïnvloedt de transactietijd tussen de chip en het leesapparaat. Hoe langer de sleutel is, hoe sterker de beveiliging en hoe langer een transactie duurt. TLS heeft in overleg met de vervoerders bepaald dat de maximale transactietijd 400 milliseconden mag duren, inclusief de communicatie tussen de chip en het leesapparaat. Deze maximale afhandeltijd is van belang om wachtrijen voor de poortjes te voorkomen en te zorgen dat reizigers hun chip niet voor het afronden van de transactie van het leesapparaat halen. Discussie Beveiliging is een wedloop tussen degene die de beveiliging ontwerpen en implementeren, en degene die de beveiliging proberen te doorbreken. Dit is een wedloop die al zo oud is als onze beschaving. Ook onze voorouders probeerden hun eigendommen te beschermen of te verstoppen, en slaagden daar soms wel en soms niet in. TLS moet zich realiseren dat de aanvallen voortdurend zullen blijven doorgaan en moet daarom zorgen voor een actief beleid van detectie, niet alleen binnen hun systemen maar ook ‘om de systemen heen’. Door eigen waarnemingen, verbandcontroles en andere controletechnische maatregelen moet TLS zorgen dat fraude snel wordt gedetecteerd. Zo zetten de vervoerders bijvoorbeeld controleurs in burger in, die in een bus of tram gaan zitten en alleen maar kijken hoe de OV-chipkaart wordt gebruikt door de andere passagiers. Op deze wijze meet de vervoerder het percentage zwartrijden. TLS zit als een spin in het web van informatie over het gebruik van OV en heeft daardoor veel mogelijkheden misbruik snel te signaleren. Bij het beveiligen werpt men barrières op. Zodra die te laag blijken, verhoogt men die door het implementeren van meer maatregelen. Deze wedloop zal doorgaan zolang er mensen op deze aarde rondlopen.

23

http://www.trouw.nl/nieuws/nederland/article3075985.ece/OV-poortje_doelwit_vandalisme_.html

38 van 55


4.3. Dreigingen voor de privacy Veel mensen in onze maatschappij maken zich zorgen over de 1984-wereld van George Orwell, met een overheid die alles van hen weet. Zij weten zich in Nederland echter beschermd door de Wet bescherming persoonsgegevens (Wbp) met het College voor de Bescherming van Persoonsgegevens (CBP) als toezichthouder. Gedurende het gehele traject van gedachtevorming, ontwerp en implementatie van de OV-chipkaart loopt er al een discussie over de dreigingen voor de privacy. Hieronder behandelen wij vier van deze discussieonderwerpen. Risico P-1. Een OV-chipkaart kan worden uitgelezen om zo persoonsgegevens van een reiziger en gegevens over het reisgedrag te kunnen bemachtigen. De kans van optreden is ”laag”. Het is technisch mogelijk een RFID-chip op afstand uit te lezen. Gezien het gebrek aan een eigen energiebron is de afstand echter zeer beperkt, zodat men dicht in de buurt moet komen van het slachtoffer. Indien het iemand lukt om een kaart van een andere persoon uit te lezen kan deze veertien gegevens bemachtigen, namelijk de geboortedatum, een chip-ID, het saldo op de OV-chipkaart, de code van het OV-product en de laatste tien transacties. Bij het reizen met de OV-chipkaart worden bij het in- en uitchecken onder andere de volgende gegevens uitgewisseld: chip-ID, device-ID, het soort abonnement, het product en de ingangsdatum, het soort transactie (check-in/out), de datum en tijd, het saldo voor en na de transactie, en de waarde van de transactie. Evaluatie van Risico P-1 Op de RFID-chip staat weinig informatie. Het enige gegeven over de persoon zelf is de geboortedatum. Een kwaadwillende die OV-chipkaarten scant heeft hier weinig aan, tenzij het op een grootschalige wijze zou gebeuren. Dan kan men reispatronen analyseren, maar weet men nog niet de namen en de adressen van de personen in kwestie. Wij concluderen dat het risico van het uitlezen van een OV-chipkaart voor een inbreuk op de privacy minimaal is. Risico P-2. Reizigers willen niet dat OV-bedrijven de historie van hun reizen kan achterhalen. De politie, scheidingsadvocaten en anderen zijn echter wel in deze informatie geïnteresseerd. De kans van optreden is ”midden”. CBP schrijft: “Uit het onderzoek blijkt dat het Amsterdamse vervoerbedrijf GVB, het Rotterdamse vervoerbedrijf RET en de kaartuitgever TLS reisgegevens bewaren in strijd met de wet. De bedrijven bewaren de reisgegevens te lang en beschikken niet over een verantwoord beleid voor bewaartermijnen. Er moeten voorzieningen worden getroffen om onnodige gegevensverwerkingen en misbruik te voorkomen, onder meer door gegevens te verwijderen zodra zij niet meer nodig zijn voor het gestelde doel”. Het is niet de eerste keer dat het CBP heeft gewezen op de wettelijke eisen met betrekking tot bewaartermijnen in het kader van de OV-chipkaart. Zo heeft het CBP al in 2005, dus vóórdat het OV-chipkaartsysteem in de lucht was, gewaarschuwd dat OV-bedrijven voorzieningen moeten

39 van 55


treffen om onnodige verwerkingen van persoonsgegevens en misbruik te voorkomen. Een van die voorzieningen bestaat eruit dat bedrijven ervoor zorgen dat gegevens worden vernietigd op het moment dat zij niet meer noodzakelijk zijn voor het gestelde doel 24. Evaluatie van Risico P-2 TLS en de OV-bedrijven beschikken over persoons- en vervoersgegevens. Op dit moment worden de persoonsgegevens naar eigen zeggen van de bedrijven niet gebruikt. Het is echter technisch heel eenvoudig om gedetailleerde gegevens uit de systemen te extraheren, indien de rechtelijke macht hierom vraagt of een fraudeonderzoek nodig blijkt. Wij zijn het eens met het CBP dat de houders van deze gegevensverzamelingen een privacyreglement moeten opstellen en redelijke bewaartermijnen moeten definiëren. Daarnaast moeten de gegevens alleen voor het gedefinieerde doel worden gebruikt. Maar wij zijn ook van mening dat men niet te krampachtig moet doen over de lengte van de bewaartermijnen. In de rapportage van CBP25 over TLS lezen wij een betoog over een bewaartermijn van 18 maanden, versus 24 maanden, versus 36 maanden. Enerzijds hebben TLS en de reiziger de informatie nodig vanuit fiscale aspecten en anderzijds vanwege serviceverlening en voor mogelijke fraudeonderzoeken. Zo vindt CBP in haar rapport dat het bewaren van informatie voor fraudeonderzoeken veel korter dan 36 maanden kan zijn, omdat dergelijke onderzoeken naar de mening van CBP sneller kunnen worden uitgevoerd. Wij vragen ons af of dit zo langzamerhand niet privacybescherming op de vierkante millimeter wordt, oftewel of de privacy nu niet wat wordt overdreven door CBP. Risico P-3. Het bevoegd gezag kan niet de reisbewegingen natrekken in geval van een vermist persoon of van een verdacht persoon. De kans van optreden is “laag”. Soms heeft de Politie, vooral Opsporing, informatie nodig over het gebruik van het OV, inclusief NAW-gegevens. Bijvoorbeeld als een kind is vermist en het vermoeden bestaat dat gebruik is gemaakt van het OV, of zoals in de Bafloo-zaak een moordenaar na het plegen van de moord gebruik wil maken van het OV. Als deze informatie wel in de systemen zit, maar niet beschikbaar komt voor Opsporing, levert dit feit ongenadige kritiek op vanuit het parlement en de pers. Dit is wat hypocriet omdat zij ook kritiek leveren op het feit dat reisbewegingen in relatie tot NAW-gegevens in het systeem van TLS zijn opgeslagen. Evaluatie van Risico P-3 Wat wil het parlement nu echt, openbare orde en veiligheid, of het afschermen van alles wat individuele personen doen? Laat het parlement een keuze maken en er niet iedere keer opnieuw op terug komen vanwege kiezersbelangen en het zoeken van gelegenheidspubliciteit. Risico P-4. Vervoerders kunnen reisgedrag in relatie brengen tot personen, en hen ongewenst bestoken met productaanbiedingen. De kans van optreden is “hoog”.

24 25

http://www.cbpweb.nl/Pages/pb_20101209_ov-chip.aspx http://www.cbpweb.nl/downloads_rapporten/rap_2010_ovchip_db_tls.pdf

40 van 55


Als bedrijven persoonsgebonden informatie in handen hebben, willen zij die graag gebruiken om hun omzet te verhogen. Op dit moment stellen de vervoerders en TLS dat de NAW-gegevens niet worden gebruikt voor doelgerichte reclameactiviteiten. In het CBP-rapport over TLS26 staat: ‘TLS heeft verklaard dat de persoonsgegevens niet verder worden verwerkt. Ook uit het onderzoek van het CBP is niet gebleken dat er sprake is van verdere verwerking. Derhalve is niet geconstateerd dat TLS in strijd handelt met artikel 9 Wbp.’ CBP zegt dat niet is aangetoond dat de vervoerders en TLS gebruik maken van persoonsgegevens voor andere doelen. Maar als economische afwegingen daartoe noodzaken, kan niets hen weerhouden wel van deze gegevens gebruik te maken. Evaluatie van Risico P-4 Het parlement heeft gekozen voor privatisering van het openbaar vervoer. Daarbij zijn de zelfstandige bedrijven genoodzaakt voor een rendabel werkproces te zorgen. Dit impliceert dat zij reclame moeten kunnen maken om voldoende passagiers te krijgen, zodat hun inkomsten hun uitgaven dekken. Vanuit bedrijfseconomisch standpunt is hier niets mis mee. Als het parlement niet wil dat vervoerders reclame maken, had het parlement voor publieke financiering van het openbaar vervoer moeten kiezen. Naar onze mening kan men niet een bedrijf ergens voor verantwoordelijk maken en dat bedrijf daarna gaan beknotten in de mogelijkheden daar een succes van te maken. De OV-bedrijven hebben formeel aangegeven de persoons- en vervoersgegevens niet voor commerciële doeleinden te gebruiken tot 2010. Deze periode is ondertussen voorbij en de vervoerders hebben nog geen indicatie gegeven of zij deze lijn in de toekomst continueren. Expert meningen TLS en de OV-bedrijven hebben de intentie om reisgegevens en persoonsgegevens bij te houden met als doel het optimaliseren van het openbaar vervoer. Binnen Nederland is echter sprake van een toenemende discussie over het opslaan van persoonsgegevens door de overheid en bedrijven. Het CBP heeft in 2010 vier onderzoeken uitgevoerd bij GVB, RET, NS en TLS. Er loopt een maatschappelijke discussie waarom OV-bedrijven persoonsgegevens zouden mogen opslaan en hoe lang. Volgens Roel Schouwenberg, een veiligheidsexpert van het antivirusbedrijf Kasperky, richten de slimste cybercriminelen zich niet meer op individuele Pc’s van particulieren. De echte professionals gaan thans voor de jackpot. Fraudeurs voeren gerichte aanvallen uit op de grote jongens zoals Sony, die enorme hoeveelheden persoonlijke gegevens bewaren. Hun doel is in een keer miljoenen gegevens buit te maken27. Eddy Willems, de veiligheidsevangelist van G Data, concludeert dat persoonsgegevens bijna nergens echt helemaal veilig zijn28.

26

Voor een IT-auditor is het altijd mooi een mededeling met de dubbele ontkenning te lezen, omdat die in het geheel niets zegt. Misschien wordt er wel van alles gedaan met persoonsgegevens, maar heeft het CBP dat niet opgemerkt. 27 “Persoongegevens nergens veilig” de telegraaf, donderdag 28 april 2011 28 “Persoongegevens nergens veilig” de telegraaf, donderdag 28 april 2011

41 van 55


Volgens professor Ronald Paans ziet men wereldwijd een kentering bij de aanpak van de privacyborging. Hij stelt: ‘De zorg voor privacy is in Nederland zover doorgeslagen, dat bij iedere opslag van persoonsgegevens een maatschappelijke discussie ontstaat en de pers uitgebreid schrijft over vermeend misbruik. Er zijn echter ook andere zorgen ontstaan in onze maatschappij, namelijk een toenemende dreiging van criminelen en terroristen. In dat kader wordt steeds meer geregistreerd om boeven te vangen en aanslagen te voorkomen. Je kunt aan een gezinnetje dat op de trein staat te wachten de vraag stellen: ‘wat vindt u erger, dat een ambtenaar weet dat u hier op het perron loopt of dat er een bom ontploft in de prullenbak naast u?’ Er is veel ophef over de privacy rondom de OV-chipkaart. Maar over de meeste mensen is al veel meer bekend, zeker als zij een mobiele telefoon of sommige andere moderne techniek in hun zak of hand hebben. Iedere beweging van hen wordt geregistreerd via GSM en GPS. Wat maakt het dan uit als ook nog het nummer van de trein bekend is waar zij in zitten, want dat zij in die trein zitten is al bekend in de computers van de telecomprovider.’

42 van 55


4.4. Dreigingen voor het imago Het OV tracht via een verbetering van haar imago meer reizigers aan zich te binden. Wij bespreken een tweetal risico’s hiervoor. Risico I-1. Het imago van het openbaar vervoer kan schade worden toegebracht door een doorlopend debat over vermeende problemen met de OV-chipkaart, de financiering van de kaart en poortjes, en het overdrijven van risico’s en incidenten. De kans van optreden is hoog. De regering en de Tweede Kamer worden door de burgers als verantwoordelijk gezien voor het functioneren van het OV. Zoals onder andere blijkt uit het rapport van Arie van der Zwan, en ook uit deze scriptie, heeft de rijksoverheid geen eenduidig beleid voor het OV en de OVchipkaart. Er wordt voortdurend getwijfeld tussen centrale aansturing versus decentrale aansturing, en men heeft een ingewikkelde structuur gecreëerd door de privatisering van de vervoerders. Het parlement en de pers overreageren op incidenten. Veel van de vragen in de Kamer en de persberichten zijn gericht op kortstondige publiciteit, die de burger geen warm gevoel geeft over wat speelt binnen de wereld van het OV. Evaluatie van Risico I-1 Gezwabber veroorzaakt verwarring. Als het parlement serieus het OV wil stimuleren, is naar onze mening centrale regie en aansturing nodig. Wij zien geen voordelen in de privatisering, noch in de decentralisatie. Juist het OV is iets wat centraal moet worden geregeld, wil men inderdaad alle gebieden ontsluiten, en een hoge beschikbaarheid en betrouwbaarheid moet hebben, wil men mensen laten overstappen van de auto naar het OV. De OV-chipkaart is een goed hulpmiddel om de drempel tot het OV te verlagen, doordat uniformiteit ontstaat bij het betalen van de reizen. Het is tevens een goed hulpmiddel om te kunnen meten en reispatronen vast te kunnen stellen, zodat routes en aansluitingen van de verschillende OV-vervoersmiddelen kunnen worden geoptimaliseerd. Naar onze mening liggen de oorzaken van de incidenten, Kamervragen en persberichten niet zozeer bij de OV-chipkaart of de operationele invulling van het OV, maar eerder bij het ontbreken van een centrale aansturing van dit OV. Risico I-2. Het imago van de OV-chipkaart en daarmee TLS kan schade worden toegebracht door voortdurende publicaties over de lekken en vermeende privacyproblemen. De kans van optreden is hoog. TLS is door het parlement en de vervoerders verantwoordelijk gemaakt voor een technische oplossing. Zoiets kan nooit 100% veilig zijn. Dit is een afweging van kosten, performance en de kans op kraken. Doordat bij de insiders bekend is dat de OV-chipkaart kraakbaar was en nog verder is, had men een communicatieplan kunnen opstellen waarmee de burger, ondanks negatief overkomende incidenten, vertrouwen had kunnen behouden in de kaart. Nu zien wij bij ieder

43 van 55


incident een reactie van veel van de betrokken partijen, die niet adequaat is. Op de burger komt dit stuntelig over. Wij hebben in deze scriptie al eerder gerefereerd aan het gebruik van de Mifare Classic chip in Londen, waar geen misbruik wordt gesignaleerd en het imago ongeschonden is, en waar men niets begrijpt van de commotie in Nederland. Misschien zijn daar dezelfde problemen als hier, maar wordt in Londen de publiciteit beter aangestuurd en is men daar wat realistischer? Hetzelfde geldt voor andere steden wereldwijd die de Mifare Classic gebruiken zonder deze typisch Nederlandse vorm van doorlopende commotie. Evaluatie van Risico I-2 Op het moment dat er problemen in de pers of internet opduiken over de OV-chipkaart, smullen de journalisten en critici. De burgers zitten met verbazing naar alle commotie te kijken en krijgen het gevoel dat belastinggeld wordt weggegooid en er van alles mis is. De overheid wordt dan als verantwoordelijke gezien om TLS en de vervoerders ‘nu maar eens fors’ te corrigeren en te zorgen dat er een goed werkend systeem komt voor de OV-chipkaart. Het parlement heeft nu eenmaal gekozen voor een technische oplossing en nog wel in de vorm van ‘hightech’. Daarbij dient het parlement tevens te accepteren dat hackers - of opscheppers – voortdurend proberen aan te tonen dat zij veel slimmer zijn dan de beveiligers. Dit is en blijft een doorlopende strijd. Zolang TLS samen met het bevoegd gezag kan zorgen dat de schade in materieel opzicht beperkt blijft, is dit ‘business as usual’ en geen enkele reden voor commotie. Als het parlement een volledig veilige oplossing zou willen, kost dat gewoon veel meer aan publieke of private middelen. Veiligheid kost geld en iemand zal dat moeten betalen, hetzij de belastingbetaler of de reiziger. Expert meningen Volgens Gerben Nelemans (TLS) was de hoeveelheid aandacht voor dit specifieke nieuws onevenredig. Het veelal negatieve nieuws heeft een deuk in het imago van de OV-chipkaart veroorzaakt. In materieel opzicht zijn de gevolgen van het kraken van de beveiliging echter heel beperkt, maar dat komt in de persberichten niet goed naar buiten. Louis Roes: Komt het weer goed? Zijn antwoord: ‘Tuurlijk. Hoe? Door te laten zien dat het werkt! Dat klinkt eenvoudig, maar zo is het wel. Nogmaals, in Londen en in Hong Kong reizen miljoenen mensen met de chipkaart. Daar klaagt niemand. Het is en blijft een snelle en slimmere manier om te reizen. Als dat besef ook in Nederland is, verstomt heel veel kritiek29.’ Meijers Research30 heeft een klantenacceptatieonderzoek uitgevoerd naar de mate van acceptatie in Rotterdam enige maanden na de ‘gewenning’ aan de OV-chipkaart. Een duidelijke meerderheid van de geïnterviewden ziet in dat de OV-chipkaart een verbetering vormt. Een kleine groep is en blijft negatief over bijna alles wat met de kaart te maken heeft, maar er is geen duidelijke verklaring voor hun negativisme. De mogelijke oorzaken zijn adoptieweerstanden tegen een nieuw product. Meijers Research constateert onder andere: “Hoe meer de reiziger veronderstelt 29 30

“De OV-chipkaart: een succesvol project?!”, Presentatie Louis Roes, 18 juni 2009 http://www.bigwobber.nl/wp-content/uploads/2009/07/20096659-rapportage-meting-rotterdam-1.pdf

44 van 55


dat het saldo en de persoonlijke gegevens in veilige handen zijn, des te meer is men geneigd de OV-Chipkaart te accepteren.’ Voor de OV-chipkaart zijn de vier belangrijkste zorgen: 1. De vrees dat het om iets ingewikkelds of moeilijks gaat, waarmee men moeite zal hebben; 2. De indruk dat het een vernieuwing betreft niet overeenkomt met wat men gewend is te doen; 3. De veronderstelling dat reizen met de OV-chipkaart duurder wordt; 4. De zorgen over veronderstelde risico’s voor persoonlijke gegevens en het eigen saldo. Professor Ronald Paans blijft nuchter bij alle persberichten. Hij stelt: “Een goede beveiliging vereist een stelsel van preventieve, detectieve en repressieve beheermaatregelen. Op dit moment is het stelsel rondom de OV-chipkaart op een volwassen wijze ingericht. Zolang men in materieel opzicht de schade weet te beperken en de fraudeurs snel en effectief confronteert met repressieve maatregelen, is er geen reden tot zorg.’

4.5. Conclusie over de dreigingenanalyse Veel van de hierboven besproken dreigingen overlappen. In Nederland ziet men een mogelijk overdreven aandacht voor privacy en een nog meer overdreven aandacht voor incidenten die in feite geen materieel effect hebben op de geldstromen binnen het OV. Iedere kraak wordt uitgebreid uitgemeten in de pers en leidt tot vragen in het parlement, terwijl de technisch en procedureel gerichte medewerkers van de kaarteigenaar op relatief eenvoudige en effectieve wijze tegenmaatregelen kunnen treffen. Oftewel, op een typisch Nederlandse wijze wordt van een mug een olifant gemaakt. Bij het hele gebeuren rondom de Mifare Classic-chip en de mogelijke inbraken past een beter communicatieplan, dat rust geeft. Zolang de reiziger het gevoel heeft dat de eigenaar van de OV-chipkaart ‘in charge is’ en daarmee ‘in control’, zijn er minder zorgen en is er een hoger acceptatieniveau voor de goede zaken die de OV-chipkaart met zich meebrengt. Mogelijk verklaart dit waarom in Londen niemand zicht druk maakt over de beveiliging van de Mifare Classic chip en die intensief gebruikt binnen het OV. Alles draait om perceptie. De reiziger vreest voor de 1984-wereld van George Orwell, namelijk de superieure overheid die alles weet van de burger. Bovendien vreest de reiziger voor zijn of haar centen, omdat er steeds maar nieuwe berichten komen dat de OV-chipkaart het reizen duurder maakt en de suggestie dat krakers mogelijk bij de centen van de reiziger kunnen komen. Zowel het parlement als de pers gaan bij hun berichtgeving uit van het falen van de OVchipkaart. Dit is in feite een oneerlijke beoordeling. Men zou deze moeten vergelijken met datgene wat er al was voor de invoering van de OV-chipkaart. Dat waren de strippenkaart en het treinkaartje, die gemakkelijk zijn te vervalsen of misbruiken, en waarbij een hoog percentage aan zwartrijden is geconstateerd. De OV-chipkaart maakt het vervalsen een heel stuk moeilijker en verlaagt substantieel het percentage aan zwartrijden. Zodra men een eerlijke vergelijking maakt, namelijk met de aloude strippenkaart en het kartonnen treinkaartje dat meer dan een eeuw geleden is ontwikkeld, blijkt dat de OV-chipkaart grote voordelen met zich meebrengt. Alleen, wie brengt die boodschap over aan de reiziger en de burger? De huidige communicatieaanpak van de rijksoverheid, de decentrale overheden, de vervoerders en TLS faalt hopeloos op dit moment op dit punt.

45 van 55


5. Lessons Learned Als een groot ICT-project veel commotie veroorzaakt, is het goed om terug te blikken in de tijd. Op het moment dat indertijd de vitale beslissingen werden genomen, deed men dat op basis van de op dat moment vigerende randvoorwaarden en politieke en technische mogelijkheden. Door terug te kijken, met de kennis van vandaag, kan men analyseren waar het traject misliep. Dergelijke conclusies kunnen waardevol zijn voor toekomstige ICT-projecten, waarbij men aan de hand van de “lessons learned’ kan proberen soortgelijke problemen te voorkomen. Anderzijds is het rigoureus volgen van “lessons learned” risicovol. Door andere beslissingen te nemen dan in het verleden komt men in nieuwe situaties, die andere risico’s kunnen impliceren. Dergelijke beslissingen kunnen weer tot andere ‘negatieve’ gevolgen leiden. De oplossing van het ene probleem is soms de initiëring van een ander probleem.

5.1. Het Besluitvormingsproces Een groot ICT-project vereist een duidelijk eigenaarschap en een helder beleid. In feite kan dit alleen met centrale sturing. Bij de ontwikkeling van de OV-chipkaart was er echter geen sprake van centrale sturing vanuit de rijksoverheid. De verantwoordelijkheid is belegd bij 35 decentrale overheden, die moeite hadden om in onderling overleg tot enige vorm van gerichte sturing te komen. Was dit een fout? Achteraf gezien mag men hier afkeurend over spreken, maar ten tijde van de implementatie was de rijksoverheid druk bezig met decentralisatie van verantwoordelijkheden en het privatiseren naar zelfstandige ondernemingen. Op dat moment was er geen enkele interesse voor enige vorm van een centrale aansturing inzake de OV-chipkaart en het nemen van de verantwoordelijkheid voor het tariefbeleid en de revenu risk. In de Tweede Kamer was hier geen meerderheid voor te vinden. Indien men op dat moment toch had gekozen voor centrale sturing, is het een open vraag of het traject beter was verlopen. De rijksoverheid heeft nog nooit zo een systeem gerealiseerd. Achteraf bezien is de keuze gerechtvaardigd om een decentrale aanpak te hanteren, aangezien dan direct de belanghebbende partijen bij de ontwikkeling worden betrokken Zij kunnen samen met de markt bepalen welke bewezen systemen voldoen aan hun wensen en waar de door hen vereiste aanpassingen moeten worden gemaakt. Bij een centrale aansturing zou TLS de aangewezen partij zijn geweest om de ontwikkeling en implementatie te begeleiden. TLS was echter ten tijde van de ontwikkeling nog een kleine partij, die pas was begonnen met zich te oriënteren op de markt van het openbaar vervoer. Het ontbrak TLS op dat moment nog aan de kennis om keuzen te maken over de vereiste architectuur en de eisen te formuleren voor het toekomstig vervoersbewijs. Pas in een later stadium had TLS deze rol kunnen invullen. Op het moment dat TLS over voldoende kennis en status beschikte, waren de essentiële beslissingen echter al genomen. Het is de vraag of in het krachtenveld wat er toentertijd was en waar beslissingen niet van de grond kwamen er een partij bij was die centraal had kunnen aansturen en waar de andere partijen naar geluisterd hadden. Je kunt je afvragen of een project wat zo moeilijk van de grond te krijgen is, wel had moeten worden geïmplementeerd.

46 van 55


5.2. De keuze voor de 4-lagen architectuur Er is bewust voor gekozen om marktpartijen te laten adviseren welk bestaand product het best aansluit bij de wensen. Specifiek zijn er geen functionele eisen opgesteld waar aan de hand van een systeem zou moeten worden gebouwd. Men was bang voor vage beloften van aanbieders die in de praktijk extra kosten en problemen met zich mee zouden brengen. TLS stuurde aan op een open architectuur, dus werd het consortium gevraagd systeemdocumentatie aan te leveren op basis waarvan andere leveranciers konden gaan bouwen. Naarmate de ontwikkelingfase vorderde ging de leverancier afstand nemen van zijn integrator rol en stelde per OV-bedrijf een (ontwikkel)team aan wat maximaal probeerde op de klant in te spelen. Dit resulteerde erin dat software per OV-bedrijf is ontwikkeld in plaats van een software release waarin op parameter niveau aanpassingen hadden kunnen worden doorgevoerd. In deze periode kwam de NS met de eis dat zij niet zomaar wilden dat je met de OV-chipkaart kon reizen maar dat je een product moest kopen en laden op de OV-chipkaart, om met de kaart te reizen. Deze eis is later bij de NS verlaten maar het gevolg is dat als je wilt reizen je eerst langs een NS loket moet om het product reizen op saldo erop te zetten. Toen de OV-bedrijven operationeel gingen, was er sprake van interpretatieverschillen en erger verschillen in de ontwerpen van het consortium ten op zicht van de systeemdocumentatie zoals die was opgeleverd. Hieruit kan worden afgeleid dat er niet via een ontwerpfilosofie is gewerkt maar dat documentatie achteraf is aangeleverd of aangevuld. Dit is wellicht veroorzaakt om te voldoen aan de eisen van de individuele OV-bedrijven. Het consortium moest hard doorwerken en in sommige gevallen zijn additionele functionaliteiten gemaakt, waarbij ze zich niet strikt hebben gehouden aan de ontwerpfilosofie. Hetgeen wat werd gemaakt, kon per geval afwijken. Hierdoor hebben ze veel werk gehad om hun eigen fabrikaten aan de SDOA te laten voldoen. Deze verschillen zijn na de implementatie aangepast maar dit heeft veel tijd gekost. Indien er bij de ontwikkeling software was ontwikkeld die voor alle partijen gelijk was en waar op parameter niveau aanpassingen mogelijk waren had dit het doorvoeren van veranderingen van de software eenvoudiger gemaakt. Door deze aanpak was het eenvoudiger geweest om na het kraken de software aan te passen. Ook zou het bij het doorvoeren van mogelijke updates en aanpassingen in de toekomst dit eenvoudiger hebben gemaakt.

5.3. De keuze voor de Mifare Classic RFID chip De besluitvorming van de OV-chipkaart is aan de marktpartijen over gelaten. Gezien de kennis bij de betrokken partijen in de aanloopfase beperkt was, kan deze keuze niet als onverstandig worden bestempeld. Indertijd zijn bij de keuze van de chip veel zaken zorgvuldig afgewogen en zijn er veel experts bij betrokken. Prijs was niet de doorslaggevende factor. Men heeft gekozen voor bewezen technologie. Achteraf blijkt dat de keuze verkeerd is uitgevallen. Als consultancy, experts en OV-bedrijven etc. op dat moment hadden gezegd “let op met die Mifare Classic kaart ga je straks problemen krijgen” was de besluitvorming anders verlopen. Op

47 van 55


het moment dat alle resterende aanbieders op die kaart zitten, heb je ook niet het idee dat de kaart het probleem gaat worden. TLS heeft voor deze chip gekozen op basis van beproefde technologie. Volgens Marc Witteman, (Chief Technology Officer, CTO) bij beveiligingsbedrijf Riscure, waren er wel alternatieven maar moest TLS een afweging maken tussen prijs en veiligheid31. Men heeft gekozen voor beproefde technologie die al (15) jaar niet gekraakt was. De gekozen Mifare chip werkt volgens het principe security by obsecurity. Dit principe wordt door een grote groep wetenschappers in twijfel getrokken. Deze groep geeft voorkeur aan open publicatie van de cryptografie waarna deze getest kan worden. Door te kiezen voor security by obsecurity is op het moment dat de wijze van beveiliging wordt doorzien de cryptografie niet veilig meer. Volgens het Kerchoffs’ principe uit 1883 zou de veiligheid van een beveiligingssysteem niet moeten afhangen van de gebruikte beveiligingsmethode, maar van de gebruikte beveiligingssleutel. Een cryptografisch systeem zou zo moeten zijn ontworpen dat alle onderdelen publiekelijk bekend zijn, behalve de sleutelinformatie en dat het systeem toch veilig is. Bij een open crypto toepassing is iedereen in de gelegenheid deze te valideren met als gevolg dat eventuele kwetsbaarheden of zwakheden tijdig verholpen kunnen worden. Had men gekozen voor een nieuwe vorm van cryptografie die beweert beter te zijn dan was dit nog niet uitgebreid in de praktijk getest. Indien een dergelijke cryptografisch product was gekozen voor de OV-chipkaart en hierover was gepubliceerd dan was het de vraag of er genoeg mensen de beveiliging zouden gaan testen. De Mifare kaart wordt wereldwijd gebruikt en is daardoor een interessant doelwit. Een nieuwe vorm van cryptografie zou in eerste instantie voor krakers veel minder interessant zijn. Antwoord geven op de vraag wat wijsheid is om te kiezen voor een ouder beproefd concept of voor een nieuw concept wat beoogd beter te zijn, is dan ook zeer moeilijk.

5.4. De opslag van persoonsgegevens (privacy discussie) Toen bij het publiek bekend werd dat hun persoons- en vervoersgegevens werden opgeslagen, leidde dit tot een maatschappelijke discussie van het nut en de noodzaak. Vanuit privacy oogpunt mag je maar beperkt persoonsgegevens opslaan en alleen als dit voor de geleverde dienst noodzakelijk is. Er wordt beoogd dat de gegevens veilig zijn en alleen voor het optimaliseren van openbaar vervoer worden gebruikt. TLS geeft aan niets met de gegevens te kunnen doen zonder additionele vervoersinformatie van de OV-bedrijven. Deze worden alleen gekoppeld voor het beschikbaar stellen van de gegevens voor de burger op de website http://www.ov-chipkaart.nl/mijnov/. De reiziger moet vertrouwen hebben in deze uitspraak want inzicht heeft hij/zij niet. Zolang de gegevens alleen voor optimalisatie van het openbaar vervoer worden gebruikt is er niks aan de hand. Achteraf hadden de OV-bedrijven dit beter met anonieme gegevens kunnen doen. Ook de onduidelijkheid over de duur van de opslag heeft veel aandacht gekregen terwijl voor optimalisatie een maximale bewaringsduur van 1 jaar afdoende zou moeten zijn.

31

http://www.nrc.nl/wetenschap/article1880434.ece/Geheime_software_nekte_ov-chip

48 van 55


5.5. Het fraudebeheersingsproces Naar aanleiding van het kraken is een fraudebeheersingsplan en migratieplan opgesteld. Hierin staan korte en lange termijnmaatregelen beschreven om fraude tegen te gaan. De korte termijn maatregelen betroffen onder andere het verbeteren van de fraudedetectie maatregelen in de back-office. Op lange termijn zou een nieuwe en ´veilige´OV-chipkaart worden ontwikkeld. Waar de overheid de burger in korte tijd een betrouwbaar en veilig OV-chipkaartsysteem ‘beloofd’ had, keken de OV-bedrijven naar het aantal fraudegevallen en de daaruit vloeiende kosten. Zolang de kosten beperkt zijn, zien de OV-bedrijven en TLS geen reden om in korte tijd te migreren naar een andere kaart. De kosten van een dergelijk traject zouden substantieel zijn. Wie eventueel voor deze kosten zou moeten opdraaien is niet bekend. De OV-bedrijven hebben al jaren met fraude te maken, de strippenkaart was een gewild doelwit van fraudeurs. Ten aanzien van de omvang van de fraude is deze na de introductie van de OVchipkaart gedaald. Vandaag de dag is de software voor het manipuleren van OV-chipkaart beschikbaar, maar er wordt niet grootschalig gebruik van gemaakt. Tevens vindt er gerichte opsporing naar fraudeurs plaats met strenge sancties wat voor veel burgers reden genoeg is om dit niet toe te passen. In de bankwereld zien we een vergelijkbare situatie. De bankkaart is al jaren geleden gekraakt en misbruik van de bankkaart vindt dagelijks plaats. Om dit probleem te adresseren is een nieuwe vorm van beveiliging ontwikkeld, er wordt omgeschakeld van de magneetstrip naar de EMVchip. Door middel van een langdurig ontwikkeltraject en gefaseerde uitrol over enkele jaren zijn voorbereidingen getroffen voor de overgang. In december 2011 gaat men massaal in Nederland over tot deze nieuwe beveiliging. Eind maart 2011 werd echter een groot gat in de beveiligingssoftware op nieuwe betaalkaarten van VISA, Eurocard en Mastercard ontdekt. Dit gat is in Nederland gedicht maar in het buitenland kunnen pincodes nog steeds worden uitgelezen met speciale apparatuur32.Ook bij deze betaalkaart zien wij dus een wedloop van beveiliging versus methoden om deze te kraken. De situatie van beide betaalmiddelen is vergelijkbaar toch is er in vergelijking tot de bankkaart veel meer ophef geweest over het kraken van de OV-chipkaart. Wat de reden hiervan is, is onbekend.

5.6. Voorlichting en communicatie richting de burger Na het kraken van de OV-chipkaart gaven experts van TLS aan dat de gevolgen beperkt waren. Fraude op grote schaal was voorlopig niet aan de orde. Hier was dure apparatuur voor nodig en veel tijd. Deze uitspraken hebben mogelijk als rode lap voor de hackers gewerkt. Niet lang daarna werd aangetoond dat het kraken van de OV-chipkaart met alledaagse apparatuur mogelijk is in een kwestie van seconden. De experts van TLS moesten verschillende keren schoorvoetend erkennen dat de aangetoonde hacks realiteit waren en dat het mogelijk is om op verschillende manieren met de OV-chipkaart te frauderen. Door het keer op keer negatief in de pers komen werd de overheid gedwongen zich er mee te bemoeien en de burger ‘beloftes’ te doen over een veilig vervoersbewijs. De overheid heeft formeel niet de macht om de OV-bedrijven te vertellen wat te doen. Echter nemen ze wel het be32

“Pinkaart is voer grens te kraken”, De Telegraaf, 19 mei 2011

49 van 55


sluit om het huidige wettelijk vervoersbewijs de strippenkaart uit te faseren en de OV-chipkaart hiervoor in de plaats te stellen. Zolang dit niet gebeurd, dienen de OV-bedrijven twee vervoerssystemen te onderhouden wat een hoop extra kosten met zich mee brengt. In 2010 en 2011 is de overgang van de strippenkaart naar de OV-chipkaart al diverse keren door de overheid tegengehouden. Dit gebeurde in veel gevallen na melding van de overheid dat ze een veilige en betrouwbare OV-chipkaart voor de burger willen. Achteraf gezien had TLS na de eerste keer dat de OV-chipkaart gekraakt was het boetekleed kunnen aantrekken en aangeven dat de gevolgen van het kraken van de OV-chipkaart gevolgen zou hebben, maar dat ze deze zouden moeten onderzoeken. Tevens zou er gewerkt worden aan oplossingen. Door deze wijze van voorlichting hadden ze wellicht meer tijd en begrip gekregen om het probleem te elimineren en mogelijke oplossingen te onderzoeken.

50 van 55


6. Conclusie Ten tijde van de implementatie ontbrak het aan een centrale autoriteit die leiding kon geven aan de betrokken partijen met genoeg mandaat om alle partijen aan boord te houden. De centrale overheid had in deze periode als beleid het privatiseren te bevorderen en het beleggen van verantwoordelijkheden bij decentrale overheden. Ten tijde van de aanbesteding van de OVchipkaartarchitectuur was TLS net opgericht en ontbrak het hen aan aanzien en organisatie om als centrale autoriteit te fungeren. De OV-bedrijven waren, met als uitzondering de NS, gevraagd om te participeren maar wilden het project niet zelf leiden. Door het gebrek aan centrale autoriteit moesten er op sommige momenten concessies worden gedaan. Met betrekking tot de keuze van de te kiezen architectuur en de OV-chipkaart had geen van de betrokken partijen de benodigde kennis van elektronische ticketing systems om op basis hiervan een rationele keuze te maken. Het besluit om deze keuze over te laten aan de marktpartijen die met hun kennis wel een gedegen advies konden geven, is daarom als rationeel te bestempelen. Op basis van de terugkoppelingen uit de markt zijn de verschillende mogelijkheden nader onderzocht. Hierbij waren consultants en experts betrokken die geen van allen hebben gewaarschuwd voor aantoonbare risico’s. De marktpartijen hebben een architectuur geadviseerd die grotendeels aan de functionele-, kwaliteits- en beveiligingseisen van de OV-bedrijven voldeed. Prijs was niet de doorslaggevende factor, men heeft gekozen voor bewezen technologie. Ditzelfde geldt voor de keuze van de Mifare Classic chip, er waren toentertijd alternatieven maar deze waren niet zo beproefd als de Mifare Classic chip die al 15 jaar gebruikt werd en in die tijd niet gekraakt was. Achteraf blijkt dat de keuze verkeerd is uitgevallen en werd de Mifare Classic chip veel sneller gekraakt dan men ooit had voorzien. Had dit voorkomen kunnen worden, nee want de overheid, OV-bedrijven en TLS hadden niet de benodigde kennis. Een hogere mate van expertise op het gebied van elektronic ticketing systems had wellicht ook niet geleid tot andere keuzen. In de praktijk is er geen sprake van volledig betrouwbare beveiliging. Veel meer is er sprake van tijdelijke waarborgen. Het is een wedren tussen beveiligers en krakers. Hackers bedenken steeds innovatievere methoden om beveiligingen te kraken en de middelen tot hun beschikking verbeteren in de loop van de tijd. Beveiligers spelen hier waar mogelijk op in maar lopen in sommige gevallen achter de feiten aan en kunnen dan alleen proberen de schade zoveel mogelijk te beperken. TLS heeft na het kraken van de OV-chipkaart verschillende repressieve maatregelen ingevoerd met als belangrijkste maatregel het intensiveren van de fraude detectie op de back-office. Dit heeft er toe geleid dat vandaag de dag het aantal fraudegevallen beperkt is en ten opzichte van de fraude met de strippenkaart lager. Het is dan ook de vraag of de mate van overdreven aandacht voor het kraken van de kaart nodig was gezien het beperkte materiële effect op de geldstromen binnen het OV en de impact ervan op de dienstverlening richting de reiziger. Na berichtgeving dat de Mifare Classic chip gekraakt is wordt in eerste instantie laconiek gereageerd door TLS. Deze wijze van communicatie richting de burger kan voor sommige kwaadwillenden wellicht een rode lap zijn geweest om aan te tonen dat de kaart failliet was. Hierna is de kaart nog verschillende keren negatief in het nieuws gekomen en werd duidelijk dat de gevolgen ernstiger waren dan TLS in eerste instantie had willen doen voorkomen. In al deze tijd was de wijze van voorlichting en communicatie richting de burger niet als sterk en overtuigend te be-

51 van 55


stempelen. Dit en gebruikersongemakken leiden ertoe dat er veel weerstand was ten opzichte van de OV-chipkaart. Frauderen met het vervoersbewijs is voor de OV-bedrijven niet nieuw. Dit gebeurde al jaren massaal met de strippenkaart. OV-bedrijven kijken vanuit bedrijfseconomisch oogpunt hiernaar, zolang de kosten beperkt blijven, wordt het ‘geaccepteerd’. Ditzelfde zien wij ook in de bankwereld waar de pinpas al jaren geleden is gekraakt. Als oplossing werken de banken al jaren aan een nieuwe vorm van beveiliging. Via een geleidelijk migratiepad zijn passen met een EMV chip onder de burgers verspreid en kaartleesapparatuur aangepast. Door dit geleidelijke traject blijven de kosten voor migratie relatief laag. Zolang de kosten voor fraude de migratiekosten niet overstijgen, heeft dit meestal de voorkeur. De EMV chip is echter in maart van dit jaar ook gekraakt nog voor de massale overgang gepland in december 2011. Ook hier is de wedren tussen beveiliger en kraker verloren en zal de beveiliging moeten worden aangescherpt. De aandacht voor dit probleem is tot op heden beperkt gebleven, dit in tegenstelling tot de aandacht voor het kraken van de OV-chipkaart. Door de hoge en merendeels negatieve media-aandacht is op basis van emotie een hoop geld uitgegeven, wat eigenlijk niet nodig was gezien de mate van fraude. Zolang de controleerbaarheid in stand wordt gehouden in de back-office zullen fraudes opvallen en kan er actie worden ondernomen. In het gehele traject zien we dat allerlei experts een zienswijze hebben hoe de OV-chipkaart ontwikkelt en ingevoerd had moeten worden. Sommige van deze ideeën zijn ingehaald door de tijd en bleken achteraf gezien niet effectief. Het blijft een wedloop tussen de beveiliger en de kwaadwillende, waarbij het vaak een kwestie van tijd is. Als we dus kijken naar de centrale onderzoeksvraag: Hebben de staat en TLS de juiste aanpak gekozen voor de selectie van de OVchipkaart, uitgaande van de dreigingen en de functionele, kwaliteits- en beveiligingseisen? Kunnen wij concluderen dat uitgaande van het ingewikkelde krachtenveld wat er was ten tijde van de besluitvorming over de OV-chipkaart en de tegenstrijdige belangen en eisen, de selectie van de OV-chipkaart en bijhorende architectuur verstandig is aangepakt. Men heeft de experts op het vakgebied laten adviseren wat naar hen idee het best kan worden gerealiseerd. Tot slot, hoe nu verder: De OV-chipkaart zal op het moment dat deze volledig is ingevoerd na een gewenningsperiode worden geaccepteerd door het publiek. De kans op fraude is beperkt en volgens TLS tot op heden aanzienlijk lager dan het geval was met de strippenkaart. De kans dat hackers bezig blijven, is aanwezig maar als de publiciteit rondom deze handelingen wegebt zal de aandacht van deze groep ogenschijnlijk ook afnemen. De wettelijke sancties die toegepast kunnen worden zijn zwaar. Het verkrijgen van een strafblad is voor veel mensen reden om niet over te gaan tot het kraken van de OV-chipkaart. Dat wil niet zeggen dat TLS niet alert moet blijven want er zal bij voortduring getracht worden nieuwe mogelijkheden te vinden om gratis te reizen. Het zal een kat en muis spel blijven tussen de beveiligers en kwaadwillenden.

52 van 55


Ook de technische mogelijkheden worden groter, smartphones waarop hacking applicaties of emulatie software staan, zijn in de toekomst niet uitgesloten. Deze zouden eventueel gekoppeld aan een kaartlezer het in- en uitchecken kunnen faciliteren. Het is dan ook zaak de fraudebeheersmaatregelen continue te blijven aanscherpen. Ook het voorbereiden van een eventuele migratie naar een nieuwe en (tijdelijk) ‘veilige’ OV-chipkaart is een verstandige maatregel. Op het moment dat fraude substantieel toeneemt, hebben de OV-bedrijven een troef achter de hand. Zoals Aad Veenman (toezichthouder SOT en voormalig President Directeur Nederlandse Spoorwegen) de geschiedenis van de OV-chipkaart kenmerkt: “Never a dull moment”.

53 van 55


7. Bijlage 1: Literatuurlijst 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20.

OV-chipkaart en informatiebeveiliging, De IT auditor NR 2, 2010 Toets rapportage TLS/vervoersbedrijven OV-chipkaart fraude, PWC, 24 februari 2011 Tijdlijn FENS-gelden, Brenno de Winter, 19 april 2010 Openbare versie rapport bevindingen, Onderzoek van het College bescherming persoonsgegevens (CBP) naar verwerking van persoonsgegevens ten behoeve van de studenten OVchipkaart bij Trans Link Systems B.V. De invoering van de OV-chipkaart in Nederland – reconstructie van het besluitvormingsproces, Dr. A. van der Zwan, 27 maart 2011 Aanvalsplan OV-chipkaart, staatssecretaris van Verkeer en Waterstaat, 29 februari 2008 Kwetsbaarheden Mifare Classic chips in toegangspassen, versie 1.11, 31 oktober 2008 Program Migration Planning Milestond (MPM), Wetenschapsforum, 12 juni 2008 Door OV-chipkaart minder zwartijders, OV-chipkaart.eu RET let po opentrappen poortjes, Ad.nl, 14 februari 2009 Go-besluit OV-Chipkaart, minister van Verkeer en Waterstaat Karla Peijs, 13 juni 2006 De OV-chipkaart: een succesvol project?!, Louis Roes, 18 juni 2009 Mifare Security, Karsten Nohl, Starburg, Henry Plotz, 3 januari 2008 Proof on concept, cloning the OV-Chip card, ing. R. Verdult, 14 januari 2008 Securit analysis of RFID tages, Roel Verdult, 25 juni 2008 In sneltreinvaart je privacy kwijt, Dr. W.G. Teepe, oktober 2008 Making the Best of Mifare Classic Update, Wouter Teepe, 11 december 2008 Rapportage Fraude met de OV-chipkaart, Gerben Nelemans, 23 februari 2010 Veiligheid op dit moment geen risico, Persbericht TLS, 15 januari 2008 Front-end equipment for electronic Ticketing in Dutch public transport, TLS, 31 december 2009

54 van 55


8. Bijlage 2: De opbouw van het back-office systeem van TLS De back-office van het OV-chipkaartscheme bestaat uit systemen van TLS, de OV-bedrijven en enkele systemen van derden. Het centrale back-office systeem (CBO) is aangesloten op de centrale verwerkingssystemen van de OV-bedrijven. Het systeem is opgebouwd uit deelsystemen met de volgende functies: Deelsysteem

Functie

Acquirer Receiver

Ontvangen transacties en standenregisters Ontvangen zwarte lijsten voor producten

Centrale Verwerkingssys- Controleren op integriteit transacties en standenregisters teem (CCHS) Verdelen van opbrengsten en vergoedingen Beschikbaar stellen verwerkingsinformatie aan deelnemers Consolideren en distribueren zwarte lijsten Banksysteem

Uitkeren van opbrengsten en vergoedingen

Certificate Authority

Generen, uitgeven en intrekken beveiligingssleutels en certificaten

Order Management Systeem

Beheren en beschikbaar stellen van de gegevens van OVchipkaarten gedurende de gehele levenscyclus van de OVchipkaart (van productie tot vernietiging). Beheren van gegevens van kaarthouders en rekeninghouders en het doen blokkeren van saldi op OV-chipkaarten of OV-chipkaarten.

NAL-manager

Ontvangen, beheren en beschikbaar stellen afhaalopdrachten gedurende de gehele levenscyclus van de afhaalopdracht. afhaaltransacties worden doorgegeven aan het centrale verwerkingssysteem.

Parameterbeheersysteem

Ontvangen en distribueren parameterinstellingen van deelnemers ten behoeve van de verrijking van kaartmastergegevens tot interpreteerbare informatie voor kaarthouders (via verstrekken kaartmastergegevens via verkoopapparaten en via verkoop-op-afstand systemen)

Rapportagesysteem

Creëren en verstrekken rapportages op verzoek

55 van 55

Gezien vanuit het besluitvormingsproces, het geïmplementeerde stelsel van maatregelen de dreigingen

Recommend Documents