OV-chip

<webwereld column>

Je zal de komende dagen maar woordvoerder van Translink zijn. Echt balen. Maar eigenlijk zouden Translink en de verantwoordelijke bewindslieden Brenno et al heel dankbaar moeten zijn. Want door er op deze nette manier aandacht aan te geven is er in ieder geval een kans op het vermijden van heel veel toekomstige fraude. Een handvol journalisten met activistische insteek hebben wederom de rol van Hans Brinker gespeeld en hun vinger in de lekkende dijk gestopt om vervolgens heel hard te roepen 'Help! Er is een lek!'.

Na verloop van tijd (kan soms 3 jaar duren) komt er dan iemand om het gat in de dijk te pluggen met een oude theedoek en een schroevendraaier. De onderliggende problemen worden niet besproken en dus ook zeker niet opgelost. Na verloop van tijd is er weer een ander lek waar dan hopelijk weer iemand z'n vinger in steekt. Zo hobbelen we al zeker tien jaar van drama naar drama. C2000, Walvis, EPD, Stemcomputers, OV-chip, Kind-Dossier, GOUD, P-direkt, SPEER en vele, vele andere publieke succesnummers die trouwe Webwereld lezer wel zal herkennen.

We reizen bij Gendo veel met het openbaar vervoer. Sterker nog, voor een boel medewerkers is het zo’n beetje de enige manier waarop ze reizen. Nooit in de file, gewoon door kunnen werken in de trein met de laptop op schoot en vaak redelijk in de buurt van de klant uitkomen.

Sinds kort hebben we ook bij Gendo te maken met OV chipkaarten. Nou hielden we dat vanuit onze interesse in security natuurlijk al scherp in de gaten maar als eindgebruiker zijn we, los van de gaten in de beveiliging, ook helemaal niet enthousiast.

Wellicht is het handig om uit te leggen dat we bij Gendo met een team van circa een man of tien voor klanten door het hele land heen werken. Dat maakt het hebben van een abonnement voor een vast traject niet interessant. Verder is het ook niet zo dat we iedere dag in de trein zitten waardoor eenn OV jaarkaart financieel ook niet voordelig is. Verder reizen we graag anoniem, omdat we vinden dat het de vervoerders geen bal aan gaat wie van waar naar waar reist en omdat we niet geloven in het opslaan van reizigers- en reisgegevens voor een periode van zeven jaar.

Na mijn laatste column over de OV-chipkaart dacht ik dat er niets meer te zeggen zou zijn. Vele experts hadden het ding al naar de prullenbak verwezen en het was dus meer een kwestie van rustig afwachten tot het project zou afsterven (nadat er nog een paar miljoen gemeenschapsgeld over de balk gesmeten zou zijn – maar zo gaan die dingen nu eenmaal).

Zoals bij wel meer beleidsonderwerpen in Nederland hebben feiten en beleid echter steeds minder met elkaar te maken en gaat Staatssecretaris Huizinga voel goede moed verder met het uitrollen van een systeem waarvan iedere onafhankelijke expert al een jaar weet dat het onherstelbaar stuk is.

Een paar weken geleden schreef ik hier al over de OV-chip farce als 'een geloof in de platte Aarde'. De werkelijkheid is echter nog erger dan een 21ste-eeuwse staatssecretaris die Middeleeuwse denkbeelden aanhangt. De OV-chipkaart is net een zombie in een low-budget film. Iedere keer als je denkt dat hij nu écht dood is omdat het niet meer lachwekkender en ongeloofwaardiger kan, staat de bloederige vleesklomp toch weer op om grommend nog een wannabe-acteur te lijf te gaan.

Het is opvallend dat de afgelopen dagen vrijwel niemand heeft bericht over het verschijnen van een rapport (PDF) van Inno-V, een adviesbureau voor duurzame mobiliteit. Alleen Kassa en Webwereld besteedden er aandacht aan. Of zou het zijn dat werkelijk niemand deze 'gebakken lucht' nog serieus genoeg neemt? Of heeft de meerderheid zich inmiddels neergelegd bij de overwinning van de OV-zombies?

Het door Staatsecretaris Huizinga gevraagde contra-expertise rapport van het Royal Holloway Instituut University uit London is af en het liegt er niet om. Hoewel het document ten alle tijde vriendelijk blijft naar TNO kan de goede verstaander tussen de regels door duidelijk lezen dat deze instelling de huidige OV-chipkaart ongschikt vindt om in te voeren. Dit in tegenstelling tot TNO dat rapport na rapport bleef roepen dat het allemaal goed zou komen.

De kapotte beveiliging van de OV-chipkaart en de wijze waarop de verantwoordelijke bestuurders hiermee omgaan, neemt lachwekkende vormen aan. Desperaat blijft de staatssecretaris zelfs nu nog vasthouden aan het idee 'dat het allemaal wel meevalt' en dat bedachte deadlines in principe gewoon gehaald kunnen worden. Het is alsof beleidsmakers niet willen geloven dat de aarde rond is omdat er nu eenmaal diepteinvesteringen in landkaarten gedaan zijn die uitgaan van een platte aarde.

Toen in december het onderzoek naar de interne werking van de Mifare Classic chip gepresenteerd werd, was er niemand aanwezig van een ministerie of van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Vreemd, temeer omdat de inhoud van de presentatie al weken van te voren bekend was en het gebruik van de chip in toepassingen als toegangspassen niet bepaald een geheim is. Sinds die presentatie komen vanuit de overheid vooral ontkennende reacties. Onderbouwde opinies van onafhankelijke experts worden zorgvuldig genegeerd, ten gunste van dure onderzoeksrapporten. In iedere ronde stellen experts talloze problemen vast, maar het kabinet weigert keer op keer die visies te accepteren en laat wel rapporten schrijven die hun eigen politieke opinie rechtvaardigd.

Veel acuter dan de nog niet ingevoerde OV-chipkaart is de gekraakte beveiliging van 2 miljoen RFID deurpassen zo staat in het Parool en andere nieuwsbronnen Het idee dat de problemen met de Mifare Classic RFID chip zich zouden beperken tot het toepassingsgebied van de OV kaart, of tot het Nederlands grondgebied zijn een beetje naief. Alle toepassingen van de chip waar informatiebeveiliging een rol speelt staan op de helling.

Wat TNO vorige week nog voor onmogelijk hield maar waar experts het al over eens waren is nu werkelijkheid: De OV chipkaart is definitief gehacked door Duitse experts. De huidige technologie van de OV-chipkaart is daarmee definitief afgeschreven en ongeschikt om ingezet te worden voor toepassingen die enige vorm van bescherming van de gegevens vereisen. Maar wat ik het meest interesante aan de hele sage blijf vinden is dat iedereen maar TNO vervolg opdrachten blijft geven terwijl dit instituut, om wat voor reden dan ook, keer op keer volkomen de plank misslaat.

Volgens IT en andere media gaat de Staatssecretaris onder de vlag van een aanvalsplan door met de OV chipkaart. Dit ondanks de zorgen van diverse experts. De instelling die vorig jaar nog riep dat het prima zat met die kaart (TNO) heeft het nu nog een keer onderzocht en zegt eigelijk nog steeds dat het prima zit. Hoewel hun rapport start met een uitgebreide beschrijving van wat ze niet hebben onderzocht. Ook wekt de filenaam "TNO_ICT_-_Security_Analysis_OV-Chipkaart_-_public_report.pdf" de suggestie dat er ook nog een niet publieke versie is. Wat zou daar in staan?

Twee oud-collega's van Twynstra Gudde schreven een commentaar op een NRC artikel (zeer losjes gebaseerd op een open brief van 10 informatiebeveiligings experts) dat ging over de vraag of een meer open manier van werken de mislukking van het project had kunnen voorkomen. Ik was het niet eens met hun argumenten en conclusies en kon het niet nalaten een reactie te kloppen in de trein. Waarom open in beveiliging niet nieuw en niet moeilijk is: Open kennis delen, het oude wondermiddel .