Royal Holloway, University of London: Information Security Group - Smart Card Centre
niet een erg aantrekkelijk (zakelijk) doelwit vormt voor crimineel misbruik. Ook wordt ervan uitgegaan dat de correctieve maatregelen en tegenmaatregelen die door TNO worden voorgesteld, uitvoerbaar blijken en zijn doorgevoerd binnen het systeem. Het "migratiegereed zijn" werd uitgelegd als de fase waarin alle OVB's de nieuwe lees-/terminalapparatuur op alle treinstations en in alle bussen in gebruik hebben genomen,waardoor de daaropvolgende migratie hoofdzakelijk zou bestaan uit de invoering van een nieuwe kaart.
Het CEB sluit zich aan bij de visie dat het systeem betrekkelijk oninteressant is voor criminelen omdat het systeem alleen geschikt is voor laaggeprijsde ritten en lage kaartsaldi (hoewel men meer openbare proof-of-concept-demonstraties zou verwachten). In dat geval zou het bestaande brede scala aan backoffice-detectie en responsmechanismen de bedreiging op de korte termijn kunnen compenseren. Deze compensatie kan echter wegvallen wanneer het systeem landelijk wordt ingevoerd, omdat het dan om grotere bedragen gaat voor zowel de ritprijzen als de kaartsaldi en het systeem dus een veel interessanter doelwit voor aanvallen wordt. De tegenmaatregelen die TNO heeft voorgesteld zouden bescherming kunnen bieden tegen sommige aanvalscenario's, maar de uitvoerbaarheid van die maatregelen is nog onvoldoende bewezen. Dit moet nu met urgentie worden onderzocht.
Migratiegereedheid volgens de definitie van TNO is een zeer belangrijke fase, omdat PTO's op dat moment een aantal cruciale planningsfases moeten hebben doorlopen en aanzienlijk hebben geïnvesteerd in apparatuur en personeel om de nieuwe infrastructuur te kunnen uitrollen. Op het moment beschikt het CEB niet over statistische gegevens of referenties waarmee op betrouwbare wijze de juistheid van de inschatting van TNO, dat het zo'n twee jaar zal duren voordat het stadium van migratiegereedheid is bereikt, kan worden geverifieerd of bestreden. Om dit nader te kunnen onderzoeken zijn er gedetailleerde migratieplannen nodig aan de hand waarvan mede kan worden bepaald of er voor het ingaan van zo'n migratie sprake moet zijn van een enkele doorslaggevende gebeurtenis ('trigger event') of dat er bij voorkeur sprake moet zijn van een stapsgewijze invoering naarmate er zich op bepaalde gebieden meer beveiligingsproblemen voordoen. In het TNO-rapport wordt de suggestie gewekt dat de technologie verder moet worden ontwikkeld voordat snelle en goedkope aanvalsmethoden binnen handbereik van criminelen komen. Deze factor kan hebben meegespeeld om tot de inschatting van de twee jaar te komen. Echter, recent onderzoek lijkt deze zienswijze te weerspreken.
Het CEB raadt met klem een eerdere, tussentijdse mijlpaal aan, de zogeheten Mijlpaal voor migratieplanning, die vastgezet is op januari 2009 om samen te vallen met de geplande voltooiing van de landelijke uitrol van het huidige systeem. Zo wordt gewaarborgd dat er vanaf de start van de landelijke invoering sprake is van gereedheid om te migreren naar een hoger niveau van kaartveiligheid. In dit migratieplan zouden alle noodzakelijke activiteiten, betrokken partijen, budgetten en technologie moeten staan beschreven. Van open communicatie over de vooruitgang in de richting van de mijlpaal kan eventueel een afschrikkende werking uitgaan naar aanvallers. Daarnaast zou een onafhankelijke beoordeling van de conceptversies van het plan het vertrouwen in het slagen van migratie versterken. Voordat de mijlpaal bereikt is, moet er veel werk worden verzet, zoals het uitvoeren van een gestructureerde risicoanalyse, het identificeren van de nieuwe kaarttechnologie, het definiëren van verbeteringen van de infrastructuur, het selecteren van leveranciers, het verkrijgen van budgetten en alle overige reguliere en logistieke werkzaamheden die komen kijken bij project- en planning. Met het nemen van deze maatregelen, die vergelijkbaar zijn met de maatregelen die door TNO zijn voorgesteld, is er nog geen sprake van fysieke invoering. De uiteindelijke beslissing om met de migratie van start te gaan zou op een later moment genomen kunnen worden, gebaseerd op afgesproken procesvoering en doorslaggevende factoren (‘triggers’) - zoals het gemeten fraudeniveau[1] - die zijn gedefinieerd in het migratieplan.
Het CEB erkent dat een migratieplan idealiter beschikbaar zou moeten zijn vóór de mijlpaal voor de migratieplanning, maar het werkprogramma zou zeer moeilijk zijn en de vervoersbedrijven zouden de tijd moeten nemen om advies in te winnen onder internationale deskundigen, zoals een aantal onderzoekers reeds met klem heeft geadviseerd. Het laatste waar nu behoefte aan is, is dat er met betrekking tot de migratietechnologie een overhaaste besluitvorming plaatsvindt op basis van onjuiste of onvolledige informatie, gevolgd door een invoering die slecht is gepland en slecht wordt uitgevoerd.
- ↑ Toegeschreven aan het probleem van de kaartbeveiliging.
