De ov-chipkaart: goed genoeg is beter dan perfect

Ik was vorige week bij de officiële opening van een tentoonstelling, en kreeg bij de ingang een bonnetje in de hand gedrukt. „Goed voor een consumptie op 9 februari”, stond erop. Het was een eenvoudig papiertje dat zo uit de printer kwam. Iemand met kwaad in de zin had zo naar een kopieerwinkel kunnen lopen en er een heel pakket van kunnen laten bijdrukken. Is het gebeurd? Misschien, maar het is niet waarschijnlijk. En stel dat het wel was gebeurd, was dat dan erg geweest? Nou nee. Misschien zijn er tien, misschien wel vijftig mensen geweest die op die manier niet één maar drie glazen wijn of cola hebben bemachtigd. Een fraudebestending bonnetjessysteem had meer gekost.

De beveiliging van de ov-chipkaart blijkt te kraken te zijn. Nijmeegse studenten zijn erin geslaagd een dagkaart te kopiëren zodat zij daar onbeperkt mee konden reizen, en Duitse hackers demonstreerden op een congres in Berlijn hoe de beveiligingslagen van de chip zelf in elkaar zaten. Paniek alom. De overheid heeft intussen 130 miljoen euro in het project zitten, hoe is het dan mogelijk dat er nog geen perfect systeem uit gerold is? Staatssecretaris Huizinga moest in de Tweede Kamer komen opdraven en kwam niet verder dan een stoer klinkend maar timide verweer. Zij zal pas besluiten de huidige strippenkaart te vervangen als het alternatief „volkomen betrouwbaar” is. Intussen kwam het projectbureau TransLink Systems (TLS), verantwoordelijk voor de ontwikkeling van de chipkaart, met de verdediging dat de Duitse hackers wel een deel van de beveiliging wisten te kraken, maar dat de daadwerkelijke code nog niet in hun handen is.

Hoe komen we er eigenlijk bij dat een 100 procent veilig en inbraakbestendig systeem nuttig en nodig is? Als de staatssecretaris achter haar microfoon in de Tweede Kamer haar handtas had leeggeschud, had daar een hele berg fraudeermogelijkheden gelegen. Haar huissleutels zijn kopieerbaar. Al haar creditcards zijn door slimme slechteriken te lezen en te misbruiken. Het paspoort van het Koninkrijk der Nederlanden wordt nagemaakt en door onbevoegden gebruikt. De eurobiljetten zelf – ze worden vervalst, ondanks laag op laag van beveiligingstechnieken – hoe weet ze dat ze daar geen valse van bij zich had?

In elk systeem valt er gewoon te leven met een beetje valsheid en fraude. Sterker, een systeem dat overdreven veilig is, bezwijkt onder zijn eigen gewicht. Aan de theoretisch uiterste grens zou dat kunnen betekenen dat elke ov-gebruiker een persoonlijk diepte-interview moet ondergaan voordat hij de bus of de trein in mag. Dat is natuurlijk absurd. Het controlesysteem moet én redelijk snel, én redelijk veilig, én redelijk privacybeschermend zijn. Redelijk, niet absoluut. Absolute eisen zijn uit den boze. We stellen ook aan personenauto’s niet de eis van 100 procent veiligheid. Dan zouden ze niet sneller mogen kunnen dan 30 kilometer per uur en van binnen rondom opgeblazen airbags hebben. Het zouden gecapitonneerde tanks zijn, maar die zijn weer gevaarlijk voor voetgangers. Volledig veilige auto’s hebben vastgelaste wielen. Een absoluut fraudebestendige chipkaart laat niemand door.

De staatssecretaris, TLS, de pers en alle partijen eromheen zijn in een fuik gezwommen. Het is de fuik van onrealistische ambitie, en van de hoogmoedige aanname dat de rommelige werkelijkheid alleen voor onze ov-chipkaart een vrijplaats van perfectie zou willen inruimen. Als TLS defensief beweert dat de grondcode van de chipkaart nog niet is gekraakt, dan hoort de nadruk te liggen op ‘nog’. Dat kraken is een kwestie van wanneer, niet of. De claim verhoogt de trofeewaarde in de hackerswereld, dus vroeger of later wordt dat monument een keer onder gejuich omvergehaald. Uiteindelijk is iedere code te kraken. Zelfs de Schepper of het leven zelf moet, tandenknarsend of glimlachend, toezien hoe de DNA-code wordt ontrafeld. Het verschijnen van de eerste vervalsingen is een kwestie van tijd. Of misschien zijn ze er al maar nog niet ontdekt. Of misschien zijn we het zelf – maar dat is een ander verhaal.

Misschien kan de staatssecretaris nog achteruit haar fuik uit zwemmen. Dan complimenteert ze de code brekende hackers uit Nijmegen met hun vernuft, en voegt ze er met een lachje aan toe dat het toch wel meevalt met het niveau van het onderwijs in dit land. Dan licht ze verder toe dat er niet alleen in de chip beveiligingslagen zitten, maar ook in de kunststof van de kaart, de druktechniek en nog een stuk of wat andere dingen. Net als bij de eurobiljetten, daarvan is ook bekendgemaakt hoe je kunt zien dat ze echt zijn.

Verder zegt ze dan dat ze beseft dat er vervalsings- en kraakpogingen zullen komen, en dat de overheid daar discreet maar hardhandig mee zal omgaan. Net als bij de huidige strippen- en ov-jaarkaarten, die in dit hele verhaal zo nostalgisch maar ten onrechte veilig en heilig verklaard worden, maar waar natuurlijk ook mee geknoeid wordt. En als dat niet zo is, dan is dat omdat het niet de moeite waard is, net als met mijn consumptiebonnetjes. Waarom zou het dan wel interessant zijn de nieuwe ov-chipkaart te vervalsen?

Ik heb ooit een eenvoudige formule geleerd die aangeeft hoeveel geld je moet uitgeven om een kwaliteitsprobleem te voorkomen. Het voorkomen van de eerste fout is niet duur. De tweede kost al meer, enzovoort. Zodra het voorkomen meer kost dan de schade die de volgende fout oplevert, moet je ophouden met verbeteren. In dit geval betekent het dat er ergens een punt is waar we aanvaarden dat er een paar honderd of misschien wel duizend uitvreters en parasieten gratis met bus en trein reizen. Daar zetten we ter ontmoediging nog een aantal vliegende controlebrigades en zware boetes tegenaan, en de rest is jammer dan. Als lid van de ChristenUnie weet de staatssecretaris ongetwijfeld dat zelfs God fouten in zijn schepping laat zitten. Voor wie het wil nazoeken, hij laat het onkruid rustig met het koren mee groeien, omdat uitwieden goed gewas kost. Hij haalt het er achteraf wel uit. Het is onrealistisch en schadelijk als wij onze lat hoger willen leggen. Goed genoeg en haalbaar is beter dan onhaalbaar perfect.