Security wettelijk regelen

Minister Jan Kees de Jager kondigde vol trots in
de campagne voor het nieuwe pinnen aan dat het
allemaal veiliger is.  Niet meer de magneetstrip
er langs halen maar de kaart er in steken zodat
deze via een chip wordt gelezen.  Op zich klinkt
het als een goed idee: de magneetkaart is zonder
enige moeite te kopieren en een chip niet.

Op 1 april bracht EenVandaag een item waarin men
aangaf dat met de EMV-chip de pincode af te
luisteren was.  Op het moment dat men dit aan
Currence, de transactie afhandelaar, vertelde
waren kort erop met de problematische
POS-terminals flinke storingen.  Daardoor werkten
4000 van de 10000 POS-terminals die nu via
Internet communiceren 2 dagen niet.  Dat was op 31
maart en op 1 april.  Ten tijde van de uitzending
was de storing opgelost en het lek gedicht.

In tegenstelling tot wat sommigen dachten ging het
niet om een 1 april grap.  Het werkte aldus: in de
POS-terminals kun je een klein printplaatje laten
zakken met wat hardware en software erop.  Je
hoeft geen voeding te monteren want je gebruikt
die van de terminal.  Met het nieuwe pinnen zit er
dan tussen de EMV-chip en het uitleesmechanisme
een afluister mechaniekje.  Dat mechaniekje bevat
intelligentie.  Het maakt de EMV-chip wijs dat er
sprake is van een domme POS-terminal die alleen
onversleutelde pincodes kan begrijpen.

De EMV-chip geeft dan de pincode ongecrypt af aan
de terminal, via het printplaatje.  Met een
speciale chipkaart kun je dan eens in de zoveel
tijd het ingebrachte skimplaatje uitlezen en je
hebt de pincodes van de gebruikte pinpassen.  Bij
de magneetkaart krijg je de pas cadeau en steel je
de pincode, bij het nieuwe pinnen krijg je de
pincode cadeau en steel je de pas.  Dit is het
nieuwe skimmen in plaats van het nieuwe pinnen.

Het is tekenend dat nog tijdens de campagne voor
een veiliger betaalsysteem de zaak al weer
gecompromitteerd blijkt te zijn.  En ja, men heeft
het lek waarschijnlijk gedicht.  Maar is er ook
garantie dat het nu wel goed is?  Nee, die is er
niet.  Er is namelijk geen transparantie wat er in
die POS-terminals zit.  Er is geen garantie dat je
er geen andere software op kunt downloaden via
Internet.  Er is geen garantie dat er ook geen
ander lek is waardoor de pincode af te luisteren
valt.  Er is ook geen garantie dat het toetsenbord
van de POS-terminal niet af te luisteren valt.  Er
is geen garantie dat je via andere trucs niet
alsnog de pincode kunt afluisteren.  En er is ook
geen garantie dat de chip niet te kopieren valt.

Niemand vraagt zich af of bij het bouwen van een
eensgezinswoning de plaats van het toilet wel
voldoende privacy biedt.  Niemand vraagt zich af
of de brandveiligheid onvoldoende geborgd is bij
het neerzetten van een nieuw gebouw.  Dat komt
omdat dit soort zaken keurig is vastgelegd in wet-
en regelgeving.  En zonder bouwvergunning mag je
niet bouwen.

Binnenkort komt de Digitale Agenda in de Tweede
Kamer ter sprake.  Het zou goed zijn als de
overheid zich buigt over belangrijke
niet-functionele requirements die voor elk
IT-intensief systeem van een bepaald wettelijk
niveau moeten zijn.  Te denken valt dan aan
privacy en security.  Een algemene regel zou
kunnen zijn dat in Nederland geen IT-systemen zijn
toegestaan die zonder AES-256 versleuteling
privacygevoelige informatie versturen of opslaan.

Op die manier is een POS-terminal die plain text
pincodes de normaalste zaak van de wereld vindt,
hier gewoonweg verboden.  Gegevens op de aan de
straat gezette PC van Officier van Justitie
Tonino, zijn dan niet te lezen omdat er whole disk
encryption met een AES-256 crypto systeem toegepast
is.  Als dan vervolgens zijn zonnet account
gekraakt wordt, geeft dat niets, want alle mail is
gecrypt met iets als PGP (Pretty Good Privacy).
PCs met kreupele beveiliging mogen dan niet meer
worden verkocht wat vele consumenten ten goede
komt.

Nu was de Tweede Kamer indertijd verontwaardigd
door het PC-lek van Tonino.  Ik zou zeggen: eigen
schuld, dikke bult.  Zorg voor wet- en regelgeving
op dit soort punten en neem de handhaving uiterst
serieus.  De Digitale Agenda plus de continue
stroom van privacy en security ellende lijkt me
een prima aanleiding om daar een begin mee te
maken.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in AG II.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.