Gezien vanuit het besluitvormingsproces, het geïmplementeerde stelsel van maatregelen de dreigingen.

Rijndijk 209-B 2394 CC Hazerswoude-Rijndijk Tel. +31 71 3416911 www.noordbeek.com De ontwikkeling en implementatie van de OVchipkaart, een succes of falen? Gezien vanuit het besluitvormingsproces, het geïmplementeerde stelsel van maatregelen de dreigingen. Versie 1.00 Auteurs P. Niemantsverdriet Student nr. 1325108 Email Paul@noordbeek.com Status Definitief Datum 7 juni 2011 Werkgever Noordbeek B.V. Filenaam De ontwikkeling en implementatie van de OV-chipkaart

Voorwoord Het hier beschreven afstudeeronderzoek is bedoeld om het derde jaar van de Postgraduate IT Audit Opleiding aan de Vrije Universiteit te Amsterdam af te sluiten en om een opbouwende boodschap over te brengen aan ons vakgebied. Het uitvoeren van dit onderzoek en het schrijven van de scriptie is een reflectie op de opgedane kennis aan de Opleiding en de inmiddels breed opgebouwde ervaring binnen ons werkveld. Ik wil Robin Knip RE, prof.dr.ir. Ronald Paans RE, dr. Bas van Os en vele anderen binnen Trans Links Systems, de Stichting Open Ticketing en de Vrije Universiteit graag bedanken voor hun pogingen tot het overdragen van hun kennis en ervaring, de door hen getoonde aandacht, hun geduld en behulpzaamheid, hun visies en opbouwende kritiek. Mijn familie wil ik bedanken voor hun tijd en geduld bij het aanhoren van mijn bevindingen en analyses als gevolg van het vele spitwerk en het analyseren van datgene wat ik heb waargenomen, waarbij mijn aandacht vooral lag bij het formuleren van adviezen aan mijn vakgenoten, indien zij met soortgelijke uitdagingen worden geconfronteerd. Hazerswoude, 31 mei 2011 2 van 55

Inhoud 1. Inleiding...4 1.1. Aanleiding van het afstudeeronderzoek...4 1.2. Doelstelling en vraagstelling...5 1.3. Onderzoeksaanpak...6 1.4. Wetenschappelijk belang...6 1.5. Opbouw van de scriptie...7 2. Het besluitvormingsproces rond de totstandkoming van de OV-chipkaart...8 2.1. De betrokken partijen...8 2.2. Het ontwikkeltraject...10 2.3. De OV-chipkaartarchitectuur...12 2.4. De beoogde functionaliteit...15 2.5. De opslag van privacy gevoelige informatie...16 3. Het stelsel van maatregelen om misbruik en fraude tegen te gaan...18 3.1. Het stelsel van preventieve en detectieve maatregelen...18 3.1.1. Security OV-chipkaart (Laag 0)...18 3.1.2. Security kaartleesapparatuur / stationscomputers (Laag 1 en 2)...19 3.1.3. Security back-offices OV-bedrijven (Laag 3)...19 3.1.4. Security centrale back-office TLS (Laag 4)...20 3.1.5. Security privacy gevoelige informatie...20 3.2. De kwetsbaarheid van het stelsel van maatregelen...20 3.2.1. Het kraken van de OV-chipkaart...21 3.2.2. De methoden van hacking, het eerste kwartaal 2011...22 3.2.3. Het kraken van privacy gevoelige informatie...23 3.2.4. De beeldvorming rond de OV-chipkaart...23 3.3. De repressieve mitigerende maatregelen...24 3.3.1. Het fraudebeheersingsplan...25 3.3.2. De migratie naar een veilige OV-chipkaart architectuur...26 3.3.3. Betere beveiliging van privacy gevoelige gegevens...26 3.4. De evaluatie van de mitigerende maatregelen...27 4. Dreigingenanalyse...28 4.1. Financiële dreigingen...28 4.2. Beveiligingsdreigingen...34 4.3. Dreigingen voor de privacy...39 4.4. Dreigingen voor het imago...43 4.5. Conclusie over de dreigingenanalyse...45 5. Lessons Learned...46 5.1. Het Besluitvormingsproces...46 5.2. De keuze voor de 4-lagen architectuur...47 5.3. De keuze voor de Mifare Classic RFID chip...47 5.4. De opslag van persoonsgegevens (privacy discussie)...48 5.5. Het fraudebeheersingsproces...49 5.6. Voorlichting en communicatie richting de burger...49 6. Conclusie...51 7. Bijlage 1: Literatuurlijst...54 8. Bijlage 2: De opbouw van het back-office systeem van TLS...55 3 van 55

1. Inleiding Sinds het einde van de twintigste eeuw wil de politiek en overheid het gebruik van het openbaar vervoer stimuleren. Hiervoor heeft men een aantal redenen, zoals het voorkomen dat heel Nederland moet worden geasfalteerd, het tegengaan van milieuvervuiling door een overschot aan auto s, het verminderen van de afhankelijkheid van fossiele brandstoffen etc. Een van de mogelijkheden is het eenvoudiger toegankelijk maken van bussen, metro s, trams en treinen, onder andere door het standaardiseren van het vervoersbewijs. Men heeft een collectief en ongrijpbaar gevoel dat een uniform betaalmiddel de automobilist zal stimuleren over te stappen van het individueel naar het collectief vervoer. De uniformering is gestart met het invoeren van de landelijke strippenkaart. Deze is opgevolgd door de OV-chipkaart, die is bedoeld om het vervoersbewijs van de toekomst te worden. Als argumenten voor de invoering zijn genoemd het vereenvoudigen en goedkoper maken van het openbaar vervoer voor de klant, het beter afstemmen van het aanbod op de vraag, het tegengaan van zwartrijden, het verhogen van het veiligheidgevoel op stations, het vereenvoudigen van het verrekenen tussen vervoerders etc. Het gebruik van nieuwe technologie vraagt betrokkenheid van en acceptatie door de burger. Over het algemeen is de burger minder gecharmeerd van innovatieve middelen als die het bestaande levenspatroon veranderen. Men is huiverig voor verandering. Dit treedt ook op bij de OV-chipkaart. Men is in het begin ontevreden over het gebruikersgemak en heeft zorgen over de veiligheid, oftewel is het geld wel veilig op zo een modern ding? Plus men maakt zich zorgen over de privacy. De burgers waarderen het minder als al hun bewegingen door anderen kunnen worden gevolgd of gereconstrueerd. In 2008 is het een tweetal partijen gelukt technisch in te breken in de OV-chipkaart. Dit veroorzaakte een schokgolf binnen de politiek en werd breeduit uitgemeten in de media. Men maakte zich zorgen over de mogelijke gevolgen. Zijn die materieel? Oftewel, kan nu iedereen zomaar geld creëren op de chips of privacygevoelige informatie kopiëren? In deze scriptie gaan wij na hoe de governance van de ontwikkeling en implementatie van de OV-chipkaartarchitectuur tot stand is gekomen. Daarbij beschouwen wij de ontwikkeling van de eisen voor de functionaliteit, de kwaliteit en de beveiliging. Een kernpunt hierbij is de vraag hoe het mogelijk is dat de OV-chipkaart in een ogenschijnlijk zo korte termijn kan worden gekraakt. Op basis van een dreigingenanalyse en de meningen van experts plaatsen wij het ontwikkel- en implementatietraject in een perspectief en analyseren wij of er principiële fouten zijn gemaakt, of dat beter andere routes hadden kunnen worden genomen. 1.1. Aanleiding van het afstudeeronderzoek Doordat de OV-chipkaart in 2008 is gekraakt en de daardoor veroorzaakte aandacht van de pers en het publiek, is het Wetenschapsforum voor de OV-chipkaart opgesteld. Dit forum bestaat uit hoogleraren en wetenschappers vanuit verschillende universiteiten en disciplines. De doelstelling van dit forum is het onderzoeken van de inzet van e-ticketing voor het Openbaar Vervoer (OV) op de langere termijn. Ik treed op als secretaris voor het Wetenschapsforum. In deze hoedanigheid heb ik zicht op de doelstellingen en uitgangspunten van Trans Link Systems (TLS), die verantwoordelijk is voor de introductie van de OV-chipkaart, en de activiteiten van twee van de wetenschappers die betrokken waren bij het kraken van de OV-chipkaart, professor Bart Jacobs en Dr. Wouter Teepe. 4 van 55

Gedurende de bijeenkomsten van het Wetenschapsforum is mij duidelijk geworden dat beide partijen, ondanks hun verschillende zienswijze en uitgangspunten, eenzelfde doel nastreven, namelijk het realiseren van een veilig openbaar vervoersbewijs in Nederland. 1.2. Doelstelling en vraagstelling Het Parlement is de initiatiefnemer bij de invoering van de OV-chipkaart. De politiek heeft de OV-bedrijven overtuigd tot het invoeren van deze kaart. Elektronische toegangskaarten kunnen alleen bestaan als de participerende partijen vertrouwen hebben in elkaar en in de ketens, en de overtuiging hebben dat aan alle relevante functionele, kwaliteits- en beveiligingseisen is voldaan. Het kraken van de beveiliging van de OV-chipkaart heeft ervoor gezorgd dat de kaart negatief in de media is gekomen, waardoor twijfels zijn ontstaan over de bruikbaarheid en veiligheid van OV-chipkaart. Tevens hebben veel veranderingen ten opzichte van de vertrouwde strippenkaart er toe geleid dat de acceptatie van de OVchipkaart moeizaam verliep. Op een zeker moment kwam de vraag of men door moest gaan met de invoering van de OVchipkaart en hoe het zover had kunnen komen. Had het kraken achteraf voorkomen kunnen worden of waren er meerdere dreigingen waarop geparticipeerd moest worden waardoor het kraken van de kaart vooraf niet te voorspellen was? Op deze vraag willen wij in deze scriptie antwoord geven. Voor dit onderzoek is de volgende vraagstelling opgesteld: Hebben de staat, TLS en de OV-bedrijven de juiste aanpak gekozen voor de selectie van de OV-chipkaart, uitgaande van de dreigingen en de functionele, kwaliteits- en beveiligingseisen? Om antwoord te geven hebben wij ons onderzoek aan de hand van de volgende deelvragen opgebouwd: 1. Welk stelsel van maatregelen is geïmplementeerd rondom de huidige OV-chipkaart om misbruik en fraude tegen te gaan? Het onderzoeksobject is het stelsel van maatregelen rond de OV-chipkaart en de werking ervan. Aan de hand van ontwikkelplannen en interviews met het management van TLS geven wij aan hoe het stelsel tot stand is gekomen en welke functionele, kwaliteits- en beveiligingseisen van invloed waren tijdens het ontwikkeltraject. De mate van robuustheid van het stelsel onderzoeken wij door te kijken hoe de OV-chipkaart is gekraakt en met welke andere dreigingen rekening diende te worden gehouden. Voor deze fase van het onderzoek worden de presentaties en rapporten van het kraken van de kaart geanalyseerd en interviews afgenomen met de wetenschappers die betrokken waren bij het kraken van de kaart en het management van TLS. 2. Wat zijn de dreigingen voor de OV-chip en hoe moeten het parlement, TLS en de vervoerders daarmee omgaan? Na het kraken van de RFID chip heeft TLS mitigerende maatregelen doorgevoerd. Deze zijn bedoeld om het stelsel van maatregelen te versterken, nadat dit door het kraken van de beveiliging van de OV-chipkaart is verzwakt. De communicatie in de richting van de overheid, burgers en belangenorganisatie speelt op dat moment een belangrijke rol, omdat het vertrouwen in de OV-chipkaart afneemt. 5 van 55

3. Hoe wordt er met de kennis van nu terug gekeken op de gemaakte afwegingen in relatie tot de dreigingen? In eerste instantie wordt door TLS aangegeven dat de consequenties van het kraken van de OVchipkaart beperkt zijn. In de loop van de tijd komt de OV-chipkaart echter nog verschillende keren negatief in de media, door nieuwe en innovatieve manieren van het kraken. Het gaat zo ver dat er binnen e politiek wordt geroepen te stoppen de implementatie. Dit is niet gebeurd en men is verder gegaan met de implementatie. Het is een open vraag of als er nu wordt teruggekeken, er andere keuzen of stappen hadden kunnen worden ondernomen. 1.3. Onderzoeksaanpak Het onderzoek is uitgevoerd via interviews met het management en medewerkers van TLS en de Stichting Open Ticketing (SOT). Tevens zijn wetenschappers betrokken bij het kraken van de OV-chipkaart geinterviewd en is informatie uit publiekelijk toegankelijke bronnen geanalyseerd. Het onderzoek is aan de hand van de volgende stappen uitgevoerd: 1. De onderzoeksvraag is opgesteld in januari 2010, naar aanleiding van ons participeren in het Wetenschapsforum voor de OV-chipkaart van 2008 tot heden. Deze vraag is in april 2011 bijgesteld naar aanleiding van nieuwe ontwikkelingen bij het kraken van de OV-chipkaart; 2. Via een voorstudie zijn de beoogde doelen van de OV-chipkaart, de architectuur en het stelsel van maatregelen in kaart gebracht. Deze voorstudie is afgerond in februari 2011; 3. Via bronnenonderzoek, interviews en interne beschouwingen is in 2010 en 2011 getracht inzicht te verkrijgen in de dreigingen en de wijze waarop de OV-chipkaart in Nederland is geïmplementeerd; 4. Via interviews zijn in mei 2011 de lessons learned in kaart gebracht; 5. Het empirisch onderzoek is afgerond in mei 2011. De uitkomsten zijn vastgelegd in deze scriptie. 1.4. Wetenschappelijk belang Bij het ontwerp van de OV-chipkaart heeft de politiek in Nederland geen heldere keuzes durven te maken. De politici willen iets dat niet al te duur is, breed kan worden gebruikt, doeltreffend en doelmatig is, en volkomen veilig is. Deze eisen zijn strijdig. De kosten heeft men weten te beperken door gebruik te maken van security by obscurity. Zoals in de tachtiger jaren al door prof.dr. I.S. Herschberg van de Technische Universiteit Delft is aangetoond, is dit vragen om problemen. Dit daagt wetenschappers uit de obscurity te doorgronden en vooral om die te doorbreken. Helaas voor de ontwerpers van de OV-chipkaart is dit ook herhaaldelijk zo gebeurd. Men heeft hiervan geleerd en verkent nu de weg naar het gebruik van open standaarden, waarbij veel meer over het mechaniek kan worden bekendgemaakt. In de toekomst zit de beveiliging vooral in het juiste gebruik van echte secrets. De vraag die open blijft staan is of de keuze voor open standaarden ook de gewenste zekerheid biedt? Of kan deze falen als gevolg van de divergentie van de doelstellingen van de betrokken partijen en de aanwezige en zich steeds verder ontwikkelende dreigingen? 6 van 55

Wij hopen dat deze scriptie bijdraagt aan meer discussie over de besluitvorming, of juist het gebrek aan centrale en uniforme besluitvorming, binnen de overheid en de door haar aangestuurde partijen. In deze scriptie zijn dat de OV-bedrijven. 1.5. Opbouw van de scriptie Deze scriptie is als volgt opgebouwd: Hoofdstuk 2 beschrijft het besluitvormingsproces rond de ontwikkeling en de implementatie van de OV-chipkaart. Dit is een beschrijvend hoofdstuk, vooral gericht op de geschiedenis. In hoofdstuk 2.4 wordt het huidige stelsel van beheermaatregelen rondom de OV-chipkaart beschreven. Dit stelsel is iteratief ontwikkeld, weliswaar initieel met een heldere strategie, maar steeds meer verschuivend naar het reageren op actuele ontwikkelingen en het manifest worden van nieuwe bedreigingen. In dit hoofdstuk wordt antwoord gegeven op deelvraag 1: Welk stelsel van maatregelen is geïmplementeerd rondom de huidige OV-chipkaart om misbruik en fraude tegen te gaan? In hoofdstuk 4 beschouwen wij de bedreigingen voor de OV-chipkaart. Dit is een beperkte risicoanalyse met een schets van de belangen van de betrokken partijen. Wij hebben een aantal experts hun mening gevraagd, die hierin per bedreiging is opgenomen. In dit hoofdstuk wordt antwoord gegeven op deelvraag 2: Wat zijn de dreigingen voor de OV-chip en hoe moeten het parlement, TLS en de vervoerders daarmee omgaan? In hoofdstuk 5 blikken wij terug en proberen wij de lessons learned te omschrijven. Deze worden afgeleid uit de geschiedenis, op basis van onze kennis nu. Dit is een advies voor soortgelijke ICT-projecten in de toekomst, om keuzes beter te kunnen motiveren. Hiermee wordt antwoord gegeven op deelvraag 3: Hoe wordt met de kennis van nu terug gekeken op de gemaakte afwegingen in relatie tot de dreigingen? Hoofdstuk 6 bevat de conclusie van het onderzoek, namelijk de beantwoording van de centrale onderzoeksvraag. 7 van 55

2. Het besluitvormingsproces rond de totstandkoming van de OV-chipkaart Midden in de tachtiger jaren ontstaat een discussie welk toekomstig hightech middel de strippenkaart op den duur zou kunnen vervangen. Er zijn verschillende individuele initiatieven, maar geen hiervan krijgt in die tijd voldoende steun om tot een nationale implementatie te kunnen leiden. Pas toen de centrale overheid besloot tot toewijzing van de FENS gelden 1, leidt dit tot het starten van de ontwikkeling van een nationaal vervoersbewijs. NS en Prorail mogen daarbij 500 miljoen euro van de FENS-gelden besteden aan het plaatsen van OV-chippoortjes op stations en het ontwikkelen van de OV-chipkaart. Daarbij geeft de rijksoverheid aan dat deze activiteiten uiteindelijk moeten leiden tot een nationaal betaalsysteem voor het openbaar vervoer. Door het benutten van de FENS gelden, heeft de overheid het initiatief hierbij in feite belegd bij de NS en de net daarvan afgesplitste ProRail. 2.1. De betrokken partijen Na de initiële opstartfase besluit de centrale overheid de verantwoordelijkheid voor de implementatie van de OV-chipkaart te beleggen bij 35 decentrale overheden. De decentrale overheden hebben 13 functionele eisen opgesteld waaraan het te ontwikkelen vervoerssysteem zou moeten voldoen. Deze worden aan de OV-bedrijven voorgelegd. In 1993 kondigen Connexxion, GVB, HTM, NS en RET aan gezamenlijk verder te gaan met de ontwikkeling van een elektronisch vervoersbewijs voor hun deel van het OV. De OV-bedrijven hopen met de komst van een nieuw elektronisch systeem de verdeling van OV-gelden eerlijker te laten verlopen. Met het nieuwe systeem zou er worden afgerekend op basis van de werkelijke reisgegevens, in plaats van op basis van inventarisaties en schattingen achteraf. Tevens willen OV-bedrijven het reizen per OV aantrekkelijker maken. Voorheen is het OV gezien als een reismiddel voor burgers die zich onderaan de ladder van de beroepsbevolking bevinden Via het nieuwe systeem is het de bedoeling dat het OV wordt geprofileerd als een comfortabele alternatieve wijze, waarmee van A naar B kan worden gereisd, zonder rekening te hoeven houden met de file- en parkeerproblematiek. Deze strategische aanpak wordt ondersteund door het op elkaar laten aansluiten van vervoersbewijzen. Het invoeren van de OV-chipkaart zou ook moeten resulteren in het terugdringen van fraude en zwartrijden binnen het OV en daarmee tot het verbeteren van het rendement. Bij het ontwikkelen en implementeren van de OV-chipkaartarchitectuur zijn verschillende partijen betrokken. Elke partij heeft haar eigen belangen en doelstellingen Zo richten de OVbedrijven zich op de omzetverhogende mogelijkheden van het te bouwen systeem, zoals een eerlijkere verdeling van de OV-inkomsten en meer maatregelen tegen fraude en zwartrijden. De belangenbehartigers van reizigers bepleiten voornamelijk meer gebruiksvriendelijkheid van het te bouwen systeem, het borgen van de privacy van de reiziger, het verhogen van de kwaliteit van de kaarten en het voorkomen van tariefverhogingen. Daarnaast willen de decentrale overheden een betrouwbaar vervoersbewijs dat de strippenkaart vervangt, zonder negatieve gevolgen voor de reizigers. De NS neemt het initiatief en vraagt Jeroen Kok het project voor de OV-chipkaart te trekken. In overleg met Bas van Os besluit deze in 2001 een governance-structuur in te richten om de doelen van de betrokken partijen in een en dezelfde richting te leiden. De NS heeft dit advies ge- 1 Fonds Eenmalige bijdrage NS 1,6 miljard boekwinst van de verkoop van Telfort 8 van 55

volgd en de overige partijen uitgenodigd zich aan te sluiten. Het feit dat een aantal andere partijen achterover wilde leunen is daarbij geaccepteerd. De betrokken OV-bedrijven zijn van mening dat zij de implementatie moeten trekken, omdat zij in eerste instantie over het geld kunnen beschikken. De busmaatschappijen vragen zich af of zij mee moeten doen. Achteraf kan men stellen dat de rijksoverheid een verwarrende situatie heeft gecreëerd door te toe te staan dat een aantal partijen wel participeert en een aantal partijen zich afzijdig houdt. Het geld, en daarmee een fors stuk van de invloed, ligt bij ProRail als een verzelfstandigd onderdeel van de NS. Dit is een hele bijzondere situatie. Er zijn vele gemengde gevoelens over de levensvatbaarheid van het project, maar ook opluchting dat er in ieder geval een governance-structuur, in de vorm van Trans Link Systems (TLS) is opgezet en een bedrag beschikbaar is gesteld. Trans Link Systems zal de ontwikkeling en de implementatie van de nieuwe OV-chipkaart voor de OV-bedrijven gaan coördineren. TLS wordt in eerste instantie geleid door Jeroen van Kok als directeur, met als ondersteuning een ingehuurde secretaresse en ingeleend personeel van de OVbedrijven. Het speelveld waarin TLS zich ten tijde van de ontwikkeling en implementatie van de architectuur voor de OV-chipkaart bevindt, ziet er als volgt uit: Stakeholders 2 TLS begint als een kleine organisatie waarbij het takenpakket, het personeelsbestand en de mate van expertise groeit gedurende de implementatie. Vandaag de dag vervullen ze de rol van scheme provider, back office beheerder en kaartissuer. De rol van kaartissuer was in eerste instantie belegd bij de OV-bedrijven die later besloten gezamenlijk deze taak bij TLS te beleggen. TLS vervult een bemiddelende en sturende rol als scheme provider. Zij zijn de centrale organisatie die randvoorwaarden schept en regels stelt ter bevordering van de integriteit, interoperabiliteit en uniformiteit van het OV-chipkaartsysteem, evenals de herkenbaarheid en het vertrou- 2 Bron: Presentatie van Gerben Nelemans, Directeur TLS, 20 maart 2008. 9 van 55

wen bij reizigers in de OV-chipkaart en het OV-chipkaartsysteem en vertrouwelijkheid van bedrijfs- en persoonsgegevens garandeert en privacy waarborgt. De taakverdeling tussen TLS en de OV-bedrijven is als volgt: Taakverdeling TLS en OV-bedrijven Trans Link Systems Scheme provider Opstellen en bewaken van standaarden en spelregels Aansluiten van OV-bedrijven (certificering, etc.) Back office beheerder Verwerken transacties + administratieve zaken Kaartuitgever Verantwoordelijkheid voor uitgifte van kaarten Produceren van kaarten Beheren tegoeden op de kaart Beheren callcenter en website OV-bedrijven Co-brander Kaart positioneren en aanbieden Product eigenaar Producten positioneren en aanbieden Dienstverlener Vervoeren Relatie met gekende klanten onderhouden Verkoper Opladen e-purse (m.u.v. automatisch opladen) Verkopen producten De volgende stap in het ontwikkelproces is het ontwikkelen van een architectuur voor de toekomstige OV-chipkaart. Er zijn tal van partijen en niemand weet eigenlijk wie het project zou moeten trekken om tot een nationaal vervoersbewijs te komen. De rijksoverheid heeft geen enkele intentie hierbij het initiatief te nemen, mede omdat zij geen ervaring heeft met het rechtstreeks aansturen van het OV. Dit is altijd een zaak geweest voor de gemeentes en provincies. De gehele materie blijkt zeer ingewikkeld te zijn qua besluitvorming. In collectief verband is de keuze gemaakt de wensen van de betrokken partijen in kaart te brengen en vanuit de markt aan te laten geven welke bewezen systemen hieraan voldoen en waar aanpassingen nodig zijn. 2.2. Het ontwikkeltraject TLS heeft tijdens de ontwikkelfase de rol van betrokken partijen beperkt gehouden. Als men namelijk alle betrokken partijen eisen laat stellen ontstaan er discrepanties met betrekking tot de specifieke eisen en wensen. TLS heeft wel terdege rekening gehouden met de 13 voornoemde eisen, gesteld door de decentrale overheden. In de contractfase vraagt TLS potentiële leveranciers een voorstel te doen voor het ontwikkelen van een infrastructuur voor de OV-chipkaart. De functionele eisen zijn niet aan de marktpartijen voorgedragen, omdat deze dan ook hadden dienen te worden afgetekend. Het is andersom gegaan. TLS vraagt aan de marktpartijen wat ze kunnen aanbieden dat voldoet aan alle eisen voor elektronisch geld, gebruik makend van bewezen technologie en functioneel gebruik makend van het op dat moment bestaande aanbod van tariefmogelijkheden en abonnementen. Indien geen enkel systeem zou voldoen, dienden de leveranciers dit duidelijk maken. TLS stelt geen absolute 10 van 55

eisen, maar communiceerde de intenties. Men wil voorkomen dat een systeem wordt gekozen dat vervolgens op allerlei punten zou moeten worden aangepast. Zoiets kan in veel gevallen leiden tot vage beloften, hogere kosten en implementatieproblemen achteraf. Om deze voorziene problemen te voorkomen vraagt TLS de markt een voorstel te formuleren voor een systeem dat de eisen het beste kan invullen. Dit is de marktdialoog. Aan de hand van de terugkoppelingen van de leveranciers komt TLS tot de conclusie dat de leveranciers een overeenkomstig beeld hebben van de te ontwikkelen architectuur. Ze adviseren deze in 5 lagen op te bouwen, namelijk Level 0 tot 4. Dit is een concept, dat is beproefd bij andere vergelijkbare realisaties in andere landen. De door de marktpartijen voorgestelde ideeën en plannen zijn geanalyseerd door TLS, de OV-bedrijven en de door hen ingezette specialisten. Tevens is hierbij geïnventariseerd welke partijen zijn betrokken, de kansen, de bedreigingen en de lessons learned tot zover. Vervolgens hebben TLS en de betrokken OV-bedrijven aan de hand van de door hen verzamelde informatie en hun eigen ervaring en inzicht een high level requirement document opgesteld, met daarin de functionele eisen. In april 2002 schrijft TLS een Europese tender uit voor de ontwikkeling van een systeem voor een geïntegreerd OV-chipkaart aan de hand van het eerder opgestelde High Level Design (HLD). De winnaar van de aanbesteding is het consortium East West, geleid door Accenture, MTRCL, Thales en Viales. Dit consortium brengt de al werkende oplossing van MTR Corporation uit Hong Kong in. Zij krijgen de opdracht om de centrale back-office van TLS te leveren inclusief de softwareontwikkeling, evenals het leveren van alle (rand)apparatuur. East West krijgt opdracht het systeem te ontwikkelen met een open architectuur, zodat andere leveranciers ook zouden kunnen aansluiten in de toekomst. Door de open architectuur voldoet het systeem aan een reeks breed geaccepteerde, technische standaardprotocollen. Hierbij zijn de OVbedrijven vrij om zelf aansluitbare deelsystemen en onderdelen van het systeem te kiezen die het beste bij hen passen, zoals de poortjes, de OV-chipkaarten, de verkoopapparatuur etc. De volgende stap voor ondertekening en gunning is het opstellen van de business rules. Accenture heeft verschillende sessies geformuleerd, waarbij de OV-bedrijven gezamenlijk het business voor de rules document hebben vastgesteld. Het consortium heeft op basis van dit document en het beschikbare budget aangegeven wat mogelijk zou zijn. Hierbij is rekening gehouden met de wensen van alle participerende partijen. Veel van de eisen van de 35 decentrale overheden zijn ingevuld, maar niet allemaal. Zo is het als groep reizen met één kaart niet ingevuld. Het business document is in feite de basis voor het implementeren van het systeem. Aan de hand van de business rules heeft het consortium East West een HLD opgesteld. Na afronding en voorlegging aan de betrokken OV-bedrijven stemde de NS niet in met dit ontwerp. Het consortium heeft veel moeite gedaan het HLD aan te passen om de NS alsnog te overtuigen akkoord te gaan. Naarmate verder in de ontwikkelfase ging het East West consortium steeds meer individueel voor de betrokkenen programmeren om zo aan hun wensen tegemoet te komen. Dit heeft geleid tot een situatie waarbij de software van de betrokken OV-bedrijven onderling verschilt. Hierdoor was het later doorvoeren van generieke updates of veranderingen in de software ingewikkelder dan oorspronkelijk de doelstelling was. De keuze voor de Mifare Classic chip 11 van 55

De keuze voor het type OV-chipkaart is genomen aan de hand van voorstellen van leveranciers, experts en andere betrokken partijen. Daarbij is gekeken naar de mogelijkheden van de verschillende kaarten. Bij de contractering (keuze) spelen prijs, de kwaliteit en de risico s een rol. Het merendeel van de fabrikanten adviseert de kaart Mifare Classic. Uiteindelijk is voor deze kaart gekozen door de vrijwel unanieme adviezen van de betrokken partijen. Op dat moment zijn de alternatieven nog minder beproefd. TLS wil geen risico nemen en kiest voor een beproefd en aanbevolen concept. De producten van de OV-bedrijven zouden blijven bestaan, maar worden gefaciliteerd door de te ontwikkelen elektronische kaart. In 2004 zijn de eerste testen met de OV-chipkaart gehouden, waarna de OV-chipkaart aan het einde van 2005 in Rotterdam is geïntroduceerd. Mifare is het handelsmerk van NXP Semiconductors en is momenteel de meest gebruikte contactloze chipkaart ter wereld. De techniek wordt gebruikt in meer dan 1 miljard chipkaarten en 10 miljoen lezers 3. Mifare staat voor MIkron (naar de ontwikkelaar) en FARE (vervoersprijs). De Mifare Classic kaart is feitelijk slechts een opslagmedium, waarbij het geheugen is verdeeld in sectoren en blokken die versleuteld worden door een simpele beveiligingstechniek. Dankzij de lage kosten wordt dit type kaart veel gebruikt in het voor openbaar vervoer. 2.3. De OV-chipkaartarchitectuur TLS heeft het East West consortium opdracht gegeven tot het ontwikkelen van een open architectuur waarop andere partijen kunnen aansluiten. Hiervoor is een System Development Open Architecture (SDOA) opgesteld. Aan de hand van de SDOA kunnen fabrikanten apparatuur ontwikkelen die aangesloten kan worden op de OV-chipkaartarchitectuur. Er is gekozen voor een vierlagen structuur voor de infrastructuur. Elke laag beschikt over eigen beveiligingsmethoden en maatregelen. Het niveau van beveiliging wordt steeds sterker naarmate men van de OV-chipkaart naar de centrale back-office van TLS gaat. De door East West consortium gerealiseerde architectuur ziet er als volgt uit: 3 www.mifare.net 12 van 55

Architecture e-ticketing system LEVEL 4 TLS Centrale Back Office Systeem 3 Nationale Spoorwegen Centrale data verwerkings systeem Gemeentelijk Transport Centrale data verwerkings systeem 2 Station A Computer Station B Computer Depot A Computer Depot B Computer 1 Poortje Pos Poortje Pos Bus Pos Poortje Pos 0 OV-chipkaarten Pos = Point of Sale equipment Level 0: De OV-chipkaart (persoonlijke-, anonieme en wegwerp-chipkaart) De OV-chipkaart is het elektronisch betaalmiddel waarop saldo en reisproducten kunnen worden geladen waarmee gereisd kan worden. Door het in- en uitchecken met de OV-chipkaart bij kaartpoortjes tijdens reizen worden de transacties (datum, tijd en chip-id (uniek nummer van de chip) in de systemen van de OV-bedrijven vastgelegd, en worden de kosten van de reis berekend en van het saldo afgeschreven. Er is gekozen om drie typen OV-chipkaart te ontwikkelen. Afhankelijk van het beoogde gebruik en keuze van de reiziger zou deze een van de opties kunnen selecteren: Persoonlijke chipkaart. Dit is een kaart die slechts door één persoon kan worden gebruikt. De kaart is voorzien van naam, geboortedatum en pasfoto van de houder. Op de kaart kunnen reisproducten worden opgeladen, waaronder ook abonnementen. Het is mogelijk om de kaart aan een bankrekening te koppelen zodat het saldo automatisch wordt opgeladen als het onder een bepaald bedrag komt; Anonieme chipkaart. Deze kaart is niet persoonsgebonden en kan door ieder willekeurig persoon worden opgeladen. Het is mogelijk om er reisproducten op te laden, zij het slechts een beperkt aantal, zoals abonnementen met een geldigheidsduur tot 96 uur; Wegwerpchipkaart. Dit is een OV-chipkaart van karton, die net als de anonieme OVchipkaart niet op naam staat. De kaart heeft een vooraf ingestelde geldigheid bij één vervoerder, bijvoorbeeld een rit zonder overstappen, een vast aantal uren of dagen of een vast aantal netkaarten van elk een vast aantal uren. De Mifare UltraLight-kaarten hebben slechts 64 bytes, zonder beveiliging. Dit type kaart is dusdanig goedkoop dat het dikwijls wordt gebruikt bij wegwerpkaarten, zoals voetbaltickets 4. TLS biedt geen ondersteuning voor de 4 www.mifare,net 13 van 55

wegwerpchipkaart als gevolg van een te zwakker beveiliging. Wegwerpchipkaarten kunnen daarom alleen bij het OV-bedrijf worden gebruikt die ze gedistribueerd heeft. Level 1: Verkoopapparatuur, gebruiksapparatuur en kaartproductiesystemen Dit betreft de apparatuur van de dienstverlener ter ondersteuning van de primaire functie van het OV-chipkaartsysteem, hieronder vallen inchecken, uitchecken, inspectie, opwaarderen klasse en verstrekken van kaartgegevens. Deze apparatuur is globaal in te delen in de volgende categorieen: De voertuigen (tram/bus) of stations (metro/trein) zijn uitgerust met in/uitcheck apparatuur. Deze apparatuur is verbonden met een centrale processor in het voertuig waar de gegevens worden beheerd. De voertuigen moeten terug in de remise zijn voordat de gegevens worden doorgestuurd naar de bedrijfscentrale; Grote stations zijn uitgerust met verkoopapparatuur. Deze apparatuur is bedoeld ter ondersteuning van Service & Verkoop. Hieronder vallen: verkoop, deblokkering, restitutie en beëindiging van respectievelijk kaart, saldo en/of product; Stations, supermarkten etc. zijn uitgerust met oplaadapparatuur waar de OV-chipkaart kan worden opgewaardeerd; De kaartproductiesystemen staan bij kaartproducenten en hebben als primaire functie het produceren van OV-chipkaarten. Level 2: Stationscomputer en depotcomputer Deze zijn geplaatst op de grotere metrostations en de busdepots. Verschillende kleinere stations zijn gekoppeld aan één stationscomputer. Deze computers verzamelen van de op L1-niveau geregistreerde transacties en sturen deze op regelmatige intervallen naar het centrale systeem van het desbetreffende OV-bedrijf. Level 3: Het centrale verwerkingssysteem van een OV-bedrijf Hierin worden alle via L1 en L2 geregistreerde transacties verzameld. De centrale computers van de OV-bedrijven zijn gekoppeld aan het Centrale Back Office systeem (CBO) van Trans Link Systems. Dagelijks worden de transacties doorgestuurd naar het CBO. Level 4: Centrale Back Office-systeem (CBO) Dit systeem rekent reizigerstransacties uit, beheert de OV-chipkaarten en verzorgt de verrekeningen tussen de OV-bedrijven. TLS zorgt na uitvoering van diverse validaties voor clearing en settlement van de transacties en zorgt ervoor dat de OV-bedrijven haar opbrengsten krijgen. Van al deze acties worden operationele en financiële rapportages naar de OV-bedrijven verstuurd. Hieronder een schematische afbeelding van dit proces: 14 van 55

Architectuur Clearing Operator OV-bedrijven (Transactie Data) Uitgifte / Verkoop (Kaart/Product/ePurse) Opladen (epurse) Gebruik (Product/ePurse) Restitutie (Kaart/Product/ePurse) Clearing Operator (Verwerken & Valideren) Central Clearing House System (CCHS) Settlement Opdracht OV-bedrijven (Settlement Rapportage + Uitzonderingen Rapportage) Banken Het is TLS primaire taak het netwerk optimaal, veilig en betrouwbaar te laten functioneren. Voor meer informatie omtrent de opbouw van het central back office systeem verwijzen wij naar Bijlage 2: De opbouw van het back-office systeem van TLS. 2.4. De beoogde functionaliteit De OV-chipkaart is het nieuwe elektronische vervoersbewijs in Nederland. De OV-chipkaart is ontwikkeld als elektronisch betaalmiddel waarmee een reiziger van A naar B kan reizen. In beschouwing lijkt dit een eenvoudig proces, de realiteit leert anders. Doordat er binnen Nederland verschillende OV-bedrijven actief zijn komt het regelmatig voor dat een reiziger tijdens de reis gebruik maakt van verschillende aanbieders. Om de complexiteit van de keten te verduidelijken wordt de volgende situatie als voorbeeld beschreven. Paul wil van zijn huis aan de Javalaan in Zoetermeer naar Amsterdam Duivendrecht reizen: 1. Hij zal van station Javalaan met de Randstadrail (HTM) naar Centrum West in Zoetermeer reizen; 2. Vervolgens reist hij met de bus (Connexxion) naar Leiden Centraal; 3. Vandaar reist hij met de stoptrein (NS) verder naar Amsterdam Duivendrecht. Voor deze reis heeft Paul gebruik gemaakt van drie vervoersmiddelen van drie verschillende OV-bedrijven. Voor het reizen dient Paul te beschikken over een OV-chipkaart met voldoende saldo. Telkens als Paul gebruik maakt van een vervoersmiddel dient hij zich in te checken bij een zogenoemde kaartlezer. Hiervoor dient de OV-chipkaart tegen de kaartlezer aan te worden gehouden, op dit moment wordt de start van de reis geregistreerd en wordt gecontroleerd op geldige reisproduc- 15 van 55

ten en reistegoed. Er wordt een basistarief als onderpand in rekening gebracht. Op het moment dat Paul uitstapt dient hij, bij een zelfde kaartlezer zich uit te checken. Op dit moment vindt verrekening plaats. Het systeem zal uitrekenen welke afstand is afgelegd en welke kosten hiervoor in rekening moeten worden gebracht. Paul verwacht dat alleen de vastgelegde tarieven op zijn kaart worden afgeschreven niet meer of minder. Tevens verwacht hij dat er vertrouwelijk met zijn reisgegevens en persoonsgegevens wordt omgegaan. Paul heeft hierbij vertrouwen in de keten. Hij veronderstelt dat voor de gehele keten wordt voldaan aan de CIAA-kwaliteitsaspecten. CIAA klanten Confidentiality (vertrouwelijkheid). Klanten willen niet dat een ongeautoriseerd persoon kennis neemt van de opgeslagen vervoers- en persoonsgegevens. Deze overboeking is privé; Integrity (integriteit). Klanten willen dat ten hoogste het juiste bedrag wordt afgeschreven van het saldo; Availability (beschikbaarheid). Klanten verwachten dat de transactie bij de kaartleesapparatuur wordt uitgevoerd met de gebruikelijke snelheid en doorlooptijd. De klant wil geen hinder bij het reisgedrag; Audability (controleerbaarheid). Mocht de transactie onverhoopt onjuist verlopen, dan verwachten klanten dat de rittenadministratie en het afgeschreven bedrag traceerbaar zijn en dat de fout kan worden hersteld. Reizigers vinden het fijn als zij hun reisgegevens op een website kunnen lezen. CIAA OV-bedrijf Confidentiality (vertrouwelijkheid). OV-bedrijven willen dat de transactie- en geldstromen vertrouwelijk zijn. Ongeautoriseerde personen of partijen dienen hier geen inzicht in te hebben; Integrity (integriteit). OV-bedrijven willen dat ten minste het juiste bedrag voor een reis wordt afgeschreven; Availability (beschikbaarheid). OV-bedrijven willen dat het openbaar vervoer volgens schema rijdt en dat reizigers naar de gewenste locatie worden vervoerd; Audability (controleerbaarheid). OV-bedrijven willen van TLS de juiste vergoeding ontvangen voor de geleverde diensten. Dit moet inzichtelijk kunnen worden gemaakt. Het gemeenschappelijke aspect in bovenstaande casus is het woord vertrouwen. Op het moment dat een reiziger vertrouwen heeft in de OV-chipkaart zal deze van het middel gebruik maken. Vertrouwen is volgens Luhman gebaseerd op eigen kennis en ervaring of reputatie via anderen vernomen 5. De wijze waarop de OV-chipkaart in de media komt, kan dus een belangrijke impact hebben op de acceptatie van de OV-chipkaart. Tijdens het onderzoek werd duidelijk hoe belangrijk vertrouwen is voor het doorvoeren van een dergelijk groot ICT project als de OVchipkaart. 2.5. De opslag van privacy gevoelige informatie Een belangrijke maatschappelijke discussie is de opslag van privacy gevoelige gegevens op de OV-chipkaart en in de databases van de OV-bedrijven en TLS. Burgers hebben geen inzicht in welke gegevens exact worden opgeslagen en voor hoelang. 5 (Luhmann 1979) 16 van 55

TLS registreert de NAW (Naam, Adres, Woonplaats) gegevens van geregistreerde klanten in bezit van een persoonlijke OV-chipkaart of een studenten OV-chipkaart. Op het moment dat een klant een abonnement heeft bij een van de OV-bedrijven registreert deze ook de NAW gegevens. De volgende informatie wordt door de betrokken partijen opgeslagen: 1. Identificatiegegevens van de kaart: 14-cijferig kaartnummer, geldigheidsperiode en uitgevende instantie. Blokkering J/N. De persoonlijke OV-chipkaart bevat hiernaast ook de geboortedatum van de klant; 2. Transactiegegevens: Financieel saldo, tijdstip van de transactie, soort transactie, bedrag van de transactie, code van de apparatuur die de transactie uitvoert, halte- of stationcode, lijnnummer en ritnummer bij het voertuig, vervoersbedrijf; 3. Reisproducten: Ieder OV-bedrijf kan een eigen geheugengebied op de kaart claimen om er reisproductgegevens te plaatsen. Dit product is niet toegankelijk voor de andere bedrijven en het OV-bedrijf kan zelf bepalen hoe die gegevens worden ingericht. Er vindt geen registratie plaats van reizigers gegevens die gebruik maken van de anonieme en wegwerp OV-chipkaart. Deze kaarten zijn in principe anoniem. Het zou echter theoretisch mogelijk zijn om als de OV-chipkaart elektronisch is aangeschaft de betalingsgegevens te koppelen aan het unieke kaartnummer. Hiervoor zou wel de betreffende bank moeten meewerken. Er zijn nog geen gevallen bekend waarbij dit is gebeurd. De OV-bedrijven zagen in de OV-chipkaart een mogelijkheid tot het optimaliseren van het openbaar vervoer op basis van vervoersgegevens. Wanneer reizigers nu met de OV-chipkaart reizen dan worden hun vervoersbewegingen vastgelegd en in de back-office systemen van de vervoerders en TLS opgeslagen. Met behulp van deze gegevens kan men kijken welke lijnen een te hoge of te lage bezettingsgraad hebben en hier actie opnemen waardoor een zo optimaal geconditioneerd vervoersnet ontstaat. Tevens had het opslaan en bewaren van persoon- en vervoersmiddelen nog andere mogelijke doeleinden zoals marketing. Deze zijn echter nooit officieel benoemd. Ook overheidsinstanties zijn geïnteresseerd in de gegevens zo kan de politie met behulp van de gegevens misdaden oplossen en criminelen opsporen. De verantwoording voor de informatiebeveiliging van privacy gevoelige informatie ligt bij de individuele bedrijven die persoonsgegevens opslaan. Het auditen of de privacy wordt gewaarborgd gebeurd door het College Bescherming Persoonsgegevens (CPB). TLS heeft als handvat voor OV-bedrijven een passage informatiebeveiliging in het Handboek Regels en Procedures (HRP) opgenomen wat als richtlijn geldt voor de OV-bedrijven. De OV-bedrijven hebben aangegeven CBP-maatregelen binnen hun organisaties te implementeren en tot 2010 geen OV-chipkaart reisgegevens te gebruiken voor direct-marketingdoeleinden. Tevens laten de OV-bedrijven onafhankelijke privacy-audits uitvoeren, waarvan zij de uitkomsten gebruiken voor verdere verbetering van de al bestaande maatregelen. 17 van 55

3. Het stelsel van maatregelen om misbruik en fraude tegen te gaan TLS heeft getracht een goed stelsel van maatregelen in te voeren om fraude en misbruik te voorkomen. Echter diende men rekening te houden met eerder beschreven spanningsvelden. Hierdoor is 100% beveiliging tegen misbruik en fraude niet mogelijk. Door risico afwegingen is men gekomen tot het huidig stelsel van maatregelen. 3.1. Het stelsel van preventieve en detectieve maatregelen 3.1.1. Security OV-chipkaart (Laag 0) De OV-chipkaart is het opslagmedium voor reizigersproducten, saldo en bevat een kortstondige geschiedenis van de afgelegde reizen. De beveiliging van de in gebruik zijnde kaarten is gebaseerd op de MIFARE classic (anonieme en persoonsgebonden kaart) en MIFARE ultralight (wegwerpchipkaart). De beveiliging van MIFARE classic chip is gebaseerd op basis van geheimhouding van het cryptografische algoritme CRYPTO1. Daarnaast worden de afzonderlijke gegevens, zoals details over gemaakte reizen en het saldo op de kaart, op aparte sectoren opgeslagen die met afzonderlijke sleutels zijn beveiligd. De beveiliging van de MIFARE ultralight is een variant van de MIFARE classic zonder crypto en daarmee zwakker. Vanwege de geringe beveiliging van de MIFARE ultralight ondersteunt TLS deze kaart niet. TLS heeft voor de MIFARE chip gekozen op basis van technologie dat zich heeft bewezen in de praktijk. De chip werd ten tijde van de selectieperiode zowel nationaal als internationaal op grote schaal gebruikt. Wereldwijd waren er meer dan 1 miljard van in omloop. De RFID-chip wordt voor diverse toepassingen gebruikt waaronder het openbaar vervoer. Alternatieven voor de MIFARE RFID-chip, die beter en veiliger zouden zijn, waren destijds minder beproefd 6. Tevens is er voor de MIFARE chip gekozen omdat deze voldeed aan een van de belangrijkste functionele eisen van TLS namelijk de transactietijd. Dit is de tijd benodigd om een transactie tussen OV-chipkaart en kaartlezer af ronden. TLS heeft een maximale transactietijd van 400 milliseconden vastgesteld. Indien hieraan niet werd voldaan bestond het risico dat reizigers voor het afronden van hun transactie hun pas al hebben verwijderd, met als gevolg een foutieve transactie. Een ander risico is rijen wachtende reizigers als gevolg van de lange transactie tijd. De beveiliging van de OV-chipkaart is gebaseerd op het principe security through obsecurity. Deze vorm van beveiliging is gebaseerd op het geheimhouden van de beveiligingsmaatregelen en. Achterliggende gedachte is dat het niet mogelijk is om de beveiliging van een systeem te doorbreken als je niet weet hoe een systeem in elkaar zit. Hierdoor zullen kwetsbaarheden die binnen het mechanisme bestaan niet misbruikt kunnen worden. Een grote groep wetenschappers waaronder Auguste Kerchoffs en Shannon s Maxim beweren dat deze methode van beveiliging ontoereikend is. Het gevaar is dat als een kwaadwillende inzicht krijgt in de beveiligingsmethode of kwetsbaarheden deze benut kunnen worden voor het kraken van de beveiliging. Zodra deze informatie openbaar wordt is het een kwestie van tijd voordat de beveiliging (volkomen) waardeloos is. 6 Persbericht Veiligheid op dit moment geen risico, 15 januari 2008 18 van 55

3.1.2. Security kaartleesapparatuur / stationscomputers (Laag 1 en 2) Stations, vervoersmiddelen en bevoegd personeel zijn uitgerust met kaartleesapparatuur. Onder kaartleesapparatuur verstaan we onder andere de OV-chipkaart uitgifte apparatuur, oplaadapparatuur, OV-chipkaart poortjes en handscanners. Deze apparatuur is de link tussen de OVchipkaarten en de achterliggende systemen. De communicatie tussen kaartleesapparaat en OVchipkaart dient veilig, snel en betrouwbaar te verlopen om reizigerstransacties te verwerken. Elk kaartleesapparaat is voorzien van een unieke PKI 7 SAM (dit is te vergelijken met een SIM kaart in een telefoon). Deze PKI SAM zorgt voor versleuteling en authenticiteit van de gegenereerde transacties. Hierdoor is er sprake van een versleutelde transactie tussen de OV-chipkaart, kaartleesapparatuur en de achterliggende centrale verwerkingssystemen van de OV-bedrijven. Om de versleuteling te waarborgen dient het beheer (uitgeven, plaatsen en administreren) van de PKI SAMs in de apparaten zorgvuldig te gebeuren 8. 80% van de kaartleesapparatuur heeft een online verbinding waardoor de OV-bedrijven kunnen controleren of een apparaat naar behoren functioneert. In het geval een kaartleesapparaat ontbreekt en na onderzoek blijkt dat deze gestolen is kan met behulp van het unieke device nummer van de SAM het betreffende apparaat op een black list worden geplaatst. Kaarten die vanaf het moment van detectie met dit apparaat worden opgewaardeerd kunnen hierdoor worden geblokkeerd. Voor kaartleesapparatuur zonder online verbinding kan dezelfde procedure worden gehanteerd al duurt het wellicht iets langer voordat wordt gedetecteerd dat een apparaat is ontvreemd. Aanvullend is er nog een extra maatregel geïmplementeerd om misbruik na ontvreemding te minimaliseren. In de SAM zit een sealing reload server die een maximum aan transacties toelaat. Na ontvreemding kunnen hierdoor een maximaal aantal kaarten worden opgewaardeerd. 3.1.3. Security back-offices OV-bedrijven (Laag 3) De back-office systemen van de OV-bedrijven verzamelen alle via Level 1 en 2 geregistreerde transacties en sturen deze door naar de back-office van TLS. Dagelijks worden tienduizenden berichten over het netwerk verzonden. Het betreft veelal reisinformatie, persoonsgegevens en financiële transacties. Deze gegevensuitwisseling bracht nieuwe risico s met zich mee voor de vervoersbedrijven en TLS, met als gevolg dat (informatie) beveiliging een noodzakelijkheid werd. Het grootste risico is dat kwaadwillenden proberen voor financieel gewin, de eer of met andere redenen deze computersystemen of aanverwante systemen proberen te kraken. Voor de komst van de OV-chipkaart was het niveau van (informatie) beveiliging bij de aangesloten OV-bedrijven divers. Deze varieerde van geen tot een volwaardig niveau. Veelal vond het management van de OV-bedrijven voor de komst van de OV-chipkaart investeren in informatiemanagement niet nodig vanwege de kosten en van in hun ogen geringe toegevoegde waarde. De reden hiertoe was dat de systemen geen kritische functionaliteiten ondersteunden en men geen privacygevoelige data opsloeg. Hun kerntaak was het faciliteren van openbaar vervoer em de administratie hieromheen was van ondergeschikt belang. 7 PKI (Public Key Infrastructure is een verzamelnaam voor technische en organisatorische voorzieningen om versleuteling en digitale handtekening toe te passen. SAM (Secure Access Module). 8 OV-chipkaart en informatiebeveiliging, de IT-Auditor nummer 2 WELK JAAR???? 19 van 55

Door de komst van de OV-chipkaart zijn de centrale verwerkingssystemen van de OV-bedrijven aangesloten op de back-office van TLS. Een voorwaarde voor aansluiting was dat de OVbedrijven verplicht waren om hun IT en randapparatuur te laten certificeren door TLS om ervoor te zorgen dat de systemen inter-operabel zijn 9. Tevens dienden ze een afdoend niveau van informatiebeveiliging te hebben geïmplementeerd. Leveranciers die apparatuur wilden leveren aan de OV-bedrijven of daaraan verwante organisaties dienden te voldoen aan een kwalificatie- en certificatietraject opgezet door TLS. Hierdoor heeft TLS gewaarborgd dat alle apparatuur binnen de OV-chipkaartarchitectuur aan de opgestelde normen en voorwaarden voldoet. 3.1.4. Security centrale back-office TLS (Laag 4) De back-office van TLS verzamelt en verwerkt informatie van de aangesloten OV-bedrijven. Hiervoor hebben ze een online verbinding met de onderliggende centrale verwerkingssystemen van de OV-bedrijven. Volgens Trans Link Systems voldoen de systemen in de back-office aan de vereisten van de Wet Bescherming Persoonsgegevens (WBP). 3.1.5. Security privacy gevoelige informatie Bescherming van persoonsgegevens is vandaag de dag een belangrijk topic in de maatschappelijke discussies. Regelmatig komen persoonlijke gegevens onbedoeld in kwaadwillende handen door het hacken van systemen of als gevolg van onzorgvuldig beheer. De imago schade en financiële schade hierop volgend kan substantieel zijn. Vanwege het belang op bescherming van deze gegevens staan persoonsgegevens van reizigers van de OV-chipkaart alleen op een centrale database van TLS. Daarnaast bewaren de OVbedrijven de gegevens van hun abonnees maar deze zijn niet verbonden aan de vervoersgegevens. TLS heeft haar back-office volgens de vereisten van het WBP ingericht. Hierdoor kan met enige mate van zekerheid worden geconcludeerd dat ze afdoende maatregelen hebben genomen om de persoonsgegevens van reizigers te beveiligen. Het niveau van informatiebeveiliging bij de OVbedrijven in 2008 was erg divers. Sommigen hadden een volwassen niveau terwijl anderen als gevolg van de implementatie van de OV-chipkaart nog maar pas waren begonnen met het opzetten van informatiebeveiliging. Om er zorg voor te dragen dat er ten tijde van de implementatie van de OV-chipkaart een afdoende niveau van informatiebeveiliging zou zijn heeft TLS aangegeven dat zij de OV-bedrijven zouden uitsluiten tot Level 4 apparatuur indien hun beveiliging niet op orde was. Daar dit niet is gebeurd kan worden geconcludeerd dat de OV-bedrijven afdoende maatregelen hebben ingevoerd. 3.2. De kwetsbaarheid van het stelsel van maatregelen De beveiliging van de OV-chipkaart werd begin 2008 door Karsten Nohl e.a op de proef gesteld. Zij slaagden door middel van reversed engineering erin om het beveiligingsmechanisme van de Mifare Classic 4K chip te doorgronden. 9 Front-end equipment for electronic ticketing in Dutch public transport 20 van 55