Waar gaan we naartoe?

De informatie- en communicatietechnologie heeft veel vooruitgang gebracht – en ook veel ellende. Minister Ter Horst (Binnenlandse Zaken, PvdA) maakte gisteren bekend dat de chip in zo’n twee miljoen toegangspassen van (semi)overheids- en bedrijfsgebouwen relatief eenvoudig te kraken is. Reden genoeg voor groot alarm. Vergelijk het met een situatie waarin een inbreker twee miljoen sleutels weet te bemachtigen om in even zoveel gebouwen binnen te wandelen. Wereldwijd gaat het zelfs om één miljard toegangspassen waarin de klaarblijkelijk te kraken Mifare Classic-chip is verwerkt. Met aanvullende lagen in de chip moet de beveiliging nu worden verbeterd.

Het lek in de beveiliging van de chipkaarten is ditmaal ontdekt door de onderzoeksgroep Digital Security van de Radboud Universiteit Nijmegen. Die is bezig met een beveiligingsonderzoek naar de ov-chipkaart, waarmee het zoals bekend ook nog niet pluis is. De Mifare Classic-chip is eveneens verwerkt in de ov-chipkaart en trouwens ook in de toegangskaarten voor de metro in Londen en Hongkong.

Nu mag worden aangenomen dat aan de Radboud Universiteit keurige onderzoekers werken, die hun bevindingen inderdaad netjes aan de autoriteiten hebben doorgegeven. De dag zal niettemin komen dat dergelijke gevoelige informatie in verkeerde handen valt.

Van dat besef heeft minister Ter Horst blijk gegeven in een brief die zij naar de Tweede Kamer heeft gestuurd. „Er moet vanuit worden gegaan dat vanaf het moment dat de details van het onderzoek van de universiteit openbaar worden, de mogelijkheid tot misbruik zodanig laagdrempelig is, dat aanvullende maatregelen nodig zijn om het beveiligingsniveau te handhaven”, aldus de minister.

Om de ernst van de situatie te onderstrepen: ze heeft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) ingeschakeld, ook met het oog op een nog in te voeren Rijkspas.

De problemen met de toegangspassen en de ov-chipkaart lijken symptomatisch voor een te groot vertrouwen in wat de ICT-sector vermag. Niet alleen bij de overheid, ook bij het bedrijfsleven. Eén flinke computerstoring en het treinverkeer in Nederland komt tot stilstand. Wie gebruikmaakt van pinautomaten van banken, loopt het risico dat zijn code wordt gekopieerd en zijn geld gestolen. Deze opsomming van tekortschietende technologie is makkelijk uit te breiden.

Afdelingen bouw- en woningtoezicht van gemeenten zien erop toe dat er deugdelijk wordt gebouwd. Bedrijven laten, als ze verstandig zijn, hun daken geregeld op mogelijke lekkages inspecteren. Maar hoe zit het met het ICT-toezicht? In elk geval zou de overheid de expertise in huis moeten hebben om zowel preventief als via controles te vermijden dat bijvoorbeeld toegangspassen onbevoegden vrij entree verschaffen. Zolang het nog niet zover is, moet het vertrouwen wellicht maar worden gesteld, of hersteld, in het menselijk oog en oor. Zo gek was het nog niet, de situatie met een portier die luid kon vragen: „Wáár gaan we naartoe?”