RET

Geen direct risico voor de klant

Donderdag 17 januari
De OV-chipkaart staat de laatste week negatief in het nieuws. De OV-bedrijven en TLS hebben daarom een landelijke drukbezochte persconferentie belegd. Ook is er woensdag al een hoorzitting in de Tweede Kamer geweest, waar de RET namens alle bedrijven het woord voerde. Vanmiddag is er een debat in de Tweede Kamer.

Vlak voor de jaarwisseling maakten onderzoekers op een Berlijns computercongres bekend dat een deel van een chip is gekraakt. De OV-chipkaart maakt gebruik van die zogenaamde Mifare-chip wat een geheime beveiliging bevat. Deze wordt wereldwijd veel toegepast (al meer dan 1,3 miljard) en bestaat al acht jaar. Ook de OV-chip in Londen bijvoorbeeld gebruikt deze chip. In de tijd dat het RET OV-chipkaart project van start ging, was dit een beproefde technologie. Alle aanbieders gebruikten deze chip dan ook. In de OV-chipkaart zijn meerdere lagen van beveiliging aangebracht. Hackers hebben de eerste laag van beveiliging van de chip gekraakt, maar ze hebben daarmee niet de sleutel. TLS, de firma die de OV-chipkaart levert, heeft TNO direct opdracht gegeven voor een spoedonderzoek. Hieruit bleek dat er op dit moment geen risico voor de OV-chipkaart is. Iedere kaart heeft een individuele, unieke sleutel. Het kraken van één code betekent daarmee dus niet dat alle kaarten zijn gekraakt. Het gebruik van de OV-chipkaart en het saldo op de kaart zijn op dit moment dus veilig. Ook de persoonsgegevens zijn volledig veilig. Deze staan niet op deze chip. De hackers zelf bevestigen dit. Daarnaast onderzoekt TNO het effect van de kraak op het geheel van veiligheidsmaatregelen. Eind februari worden de resultaten van dit onderzoek verwacht. Op korte termijn dus geen risico voor de klant. Voor de langere termijn MOET het opgelost worden.

Maandagavond melde RTL4 dat de papieren wegwerp variant van de OV-chipkaart succesvol gekopieerd is door studenten van de Radboud-universiteit in Nijmegen. Deze wegwerpkaart heeft een andere beveiliging dan de anonieme en persoonlijke OV-chipkaart. De wegwerpkaart wordt gebruikt voor producten met een lage waarde, veelal voor eenmalig gebruik. Het mindere beveiligingsniveau maakt de kaart kwetsbaar voor vervalsen. Dit is al eerder gebeurd. Toen zijn extra maatregelen getroffen waarvan er nog een aantal in gebruik genomen moeten worden. Dit gaat TLS nu ook snel doen. Uit het oogpunt van gemak voor de reiziger die af en toe gebruik maakt van het openbaar vervoer blijft de wegwerpkaart in gebruik. Reizigers lopen bij deze kaart helemaal geen risico: er staat namelijk helemaal geen geld op.

Verder is de privacy van de klant ook in het nieuws. Het College bescherming persoonsgegevens (Cbp) heeft standpunten geformuleerd over de bescherming en het verwerken van de persoonsgegevens bij de invoering van de OV-chipkaart. Afgesproken is o.a. dat er door de OV-bedrijven geen persoonsgegevens worden verwerkt van OV-chipkaarten zonder product en dat de gegevens van de klant tot 2010 niet gebruikt worden voor marketingdoeleinden. Alle OV-bedrijven hanteren de normen die zijn afgestemd met het Cbp. RET heeft altijd aangegeven de richtlijnen het Cbp te zullen volgen. Deze richtlijnen zijn er nu. Nu is er voor ons duidelijkheid en voeren we deze uit.

Met staatssecretaris Huizinga hadden wij de afspraak in januari een aantal OV-chipkaart zaken op orde te hebben. Hier gaat het om het oplossen van het betalingsprobleem bij het opladen van de kaart en het oplossen van het tijdsynchronisatie probleem van de CiCo's. Het betalingsprobleem hebben wij opgelost door in de kaartautomaten eerst geld op de OV-chipkaart te laden en pas dan van de rekening af te schrijven. Verder is het probleem van het stilstaan van de klokken in de CiCo-kaartlezers opgelost. Dit voorkomt overstapproblemen van de klant. Hiermee voldoen wij aan de afspraken die de staatssecretaris voor januari met ons maakte. Vooralsnog wordt nu eerst gewacht op de uitkomsten van de lopende onderzoeken.

Onze lijn blijft zoals we steeds gedaan hebben: pas na een `go' van de staatsecretaris en wanneer we zelf tevreden zijn gaan de poortjes helemaal dicht en kan de strippenkaart uit de metro verdwijnen. We houden u op de hoogte. Voor alle duidelijkheid: de chipkaart blijft in Rotterdam gewoon in gebruik. RET en Stadsregio Rotterdam zijn het daar volledig mee eens, want er is nu geen risico dat de reizigers hun `saldo' op de kaart kunnen kwijtkraken. Ook de hackers bevestigen dit! En in het geval dat het toch zou gebeuren hebben reizigers de garantie dat zij dat geld terugkrijgen van TLS. Als reizigers de kaart ondanks deze garanties niet vertrouwen, kunnen ze natuurlijk ook de strippenkaart gebruiken.

Tot slot: wij hopen dat deze `kraak' snel wordt opgelost. Op de langere termijn is het namelijk wel een risico dat de sleutels gevonden worden. Dat is ernstig en moet - wereldwijd - worden opgelost. RET wil natuurlijk dat het voor het `reistegoed' van onze klant zo veilig mogelijk is.

Persoonlijk wil ik hier nog iets aan toevoegen: "De reiziger dient in het bezit te zijn van een geldig vervoerbewijs". Deze regel geldt al jaren. Iemand die een kaart vervalst en die gebruikt heeft gewoon gefraudeerd en is aan het zwartrijden. Het is de eigen verantwoordelijkheid van de klant dat hij betaalt. Soms lijkt het wel andersom te worden: als het mogelijk is om de kaart te vervalsen, een poortje open te trappen mag ik gratis reizen!? Nee, de chipkaart en de poortjes maken zwartrijden en fraude moeilijker. We doen als bedrijf ons best om het lastig mogelijk te maken, maar de klant blijft zelf verantwoordelijk. Als het een inbreker lukt om het slot van je huis open te breken mag hij dan je huis in? Als er 50 eurobiljetten zijn vervalst, mag ik daar dan mee betalen? Nee! "De klant dient in het bezit te zijn van een geldig vervoerbewijs." Dat is zo en dat blijft zo!

P.G. Peters

Algemeen Directeur

---