De verzamelde openbaarvervoerbedrijven en Trans Link Systems (TLS), de uitgever en beheerder van de ov-chipkaart, stellen dat de kaart nog steeds veilig kan worden gebruikt. Er is geen kans dat reizigers worden benadeeld, omdat het gekraakte veiligheidssysteem er een is in een hele keten.

Dat wil niet zeggen dat het probleem niet ernstig is, zo lieten de bedrijven en TLS dinsdag weten. Met het kraken van het geheime beveiligingsalgoritme van de chip is een eerste gat geschoten in de beveiliging. De werking van het systeem is nu onthuld, maar het is nog niet gelukt om de sleutels van individuele kaarten te kraken. Toch zal het slechts een kwestie van tijd zijn voordat ook dat gebeurt.

Berichten in de pers dat er uit kostenoverwegingen is gekozen voor een chip met een te laag encryptieniveau zijn onjuist, aldus TLS-directeur Jeroen Kok. 'Toen we indertijd voor deze chip kozen, was dat de best bewezen technologie, de prijs is daarbij geen argument geweest.' Dezelfde chip wordt overigens wereldwijd in ov-chipkaarten gebruikt, zodat vervoerbedrijven van Hongkong tot Helsinki nu met hetzelfde probleem zitten en maatregelen moeten nemen.

Wat die maatregelen zijn is nog niet duidelijk - TNO onderzoekt dat momenteel - maar Kok zei geen enkele optie uit te sluiten, waaronder misschien toch het gebruik van een 'zwaardere' chip. 'Maar ook de beveiliging van die chip wordt ooit gekraakt.' Een vergelijkbaar kat-en-muisspel speelt zich immers af bij bankpasjes en creditcards, die ook regelmatig een betere beveiliging nodig hebben.

Het risico voor de reizigers is hoe dan ook klein, bezweren de vervoerbedrijven. Zelfs op de gepersonaliseerde kaart staan alleen naam en geboortedatum (nodig voor korting aan bepaalde leeftijdsgroepen), maar geen adres- en bankgegevens. 'En degene wiens kaart onverhoopt gehackt wordt, wordt daarvoor gecompenseerd,' beloofde RET-directeur Pedro Peters.

Het kopiëren van de wegwerpchipkaart met een of twee ritten, zoals maandag getoond in het RTL Nieuws, staat hier los van. Bij die wegwerpkaarten wordt een veel eenvoudiger chipje gebruikt dat alleen nodig is om de toegangspoortjes op stations te openen. Dergelijke kaarten bevatten geen persoonsgegevens, de enige die er bij misbruik nadeel van ondervindt is het openbaarvervoerbedrijf.

Ook die chip zal echter verbeterd moeten worden om grootscheeps zwartrijden te voorkomen. 'Het goede nieuws is dat de hackers met ons samen aan verbetering zullen werken,' aldus Peters.

Staatssecretaris Huizinga van Verkeer heeft laten weten dat TLS primair aan zet is. Zij wil antwoord op drie vragen: zijn er op dit moment risico's voor gebruikers van de kaart? Zijn er in de (nabije) toekomst risico's voor gebruikers van de kaart? En als er onverantwoorde risico's zijn, hoe stelt TLS zich voor die dan op te lossen?

Dinsdag werd ook bekend dat het College Bescherming Persoonsgegevens van mening is dat de ov-bedrijven teveel persoonsgegeven bewaren en dat ze dat bovendien te lang doen. Alle bedrijven hebben toegezegd tot 2010 in ieder geval geen individuele gegevens meer te bewaren en de komende periode te gebruiken om uit te zoeken wat er wel en niet mag.

Bron: Staats Courant, 15-01-2008

Welcome to the real world...