OV chipkaart definitief gehacked

Wat TNO vorige week nog voor onmogelijk hield maar waar experts het al over eens waren is nu werkelijkheid: De OV chipkaart is definitief gehacked door Duitse experts. De huidige technologie van de OV-chipkaart is daarmee definitief afgeschreven en ongeschikt om ingezet te worden voor toepassingen die enige vorm van bescherming van de gegevens vereisen. Maar wat ik het meest interesante aan de hele sage blijf vinden is dat iedereen maar TNO vervolg opdrachten blijft geven terwijl dit instituut, om wat voor reden dan ook, keer op keer volkomen de plank misslaat.

Is TNO het soort advies club die altijd opschrijft wat de klant vraagt? Hoe incorrect en onrealistisch ook? En als dat zo is, zijn zij dan de ‘expert’ organisatie die we onderzoek willen laten doen naar cruciale zaken als de privacy van OV-chipkaarten en de intergiteit van stemcomputers? Als de overheid gewoon een geruststellend rapport wil kunnen we ook aan een secretaresse vragen een mooi plaatje van het Interwep uit te printen met de tekst ‘gaat u maar rustig slapen’. Da’s veel goedkoper dan het inhuren van een groot adviesbureau en kennelijk net zo valide. Ik denk dat je van een overheidsadviseur de integriteit (en het verstand) mag verwachten om tegen hun klant te zeggen: "wat u vraagt is technisch niet haalbaar en niet in lijn met de letter en geest van Nederlandse wetgeving, binnen de door u gestelde de kaders kunnen wij de opdracht niet uitvoeren".

Dat de overheid (regering en parlement!) toestaat dat aantoonbaar niet-competente organisaties de toon blijven zetten in dergelijke debatten is nog het meest zorgelijk. Het wachten is gewoon op de volgende spectaculaire mislukking (rekeningrijden?) door slecht ontwerp, slecht advies, slecht opdrachtgeverschap maar vooral, slecht toezicht van regering en parlement. Zie ook mijn eerdere blogpost over dit onderwerp. In een reactie op vragen van de SP zegt TLS (de leverancier van de kaart) het volgende:

TLS benadrukt dat reizigers geen risico lopen op financiële schade. De bedrijven in het openbaar vervoer kunnen wel de dupe worden als criminelen erin slagen om de kaart op grote schaal na te maken. Het is onduidelijk of zo’n scenario op korte termijn dreigt.

Da’s natuurlijk fijn maar gaat voorbij aan het feit dat schade aan vervoersbedrijven op een of andere manier natuurlijk altijd terug komen bij de klant en/of burger. Veel van deze bedrijven zijn immers in (mede)bezit van lokale overheden. Morgen is er in de Tweedekamer een overleg over dit onderwerp. De experts (zij die het vanaf dag 1 bij het rechte eind hadden) die hier voor waren uitgenodigd boycotten deze meeting omdat ze geen toegang kregen tot de ‘geheime’ paragraaf van het meest recente TNO rapport. In mijn optiek heel verstandig om niet nog meer ‘security-by-obscurity‘ denken te legitimeren.