Royal Holloway, University of London: Information Security Group - Smart Card Centre
Er was aanzienlijk veel aandacht voor operationele afhandeling van beveiligings- en fraude-incidenten, die een bestudering van de vele bestaande validaties en rapportageverwerkingsregels die door de back-endsystemen van TLS worden uitgevoerd, noodzakelijk maakte. Eveneens werden in de beschouwing betrokken de beschikbare mechanismen voor het onbruikbaar maken van ongeldige of verdachte kaarten. Hoewel dit hoofdstuk zeer informatief is, kan het niet als geheel volledig worden beschouwd, omdat niet precies is aangegeven hoeveel tijd benodigd is om op afzonderlijke gebeurtenissen te reageren. Dergelijke informatie is nodig om met nauwkeurigheid te kunnen bepalen hoe lang gekloonde kaarten of kaarten met frauduleuze wijzigingen kunnen worden gebruikt. Het was op basis van vraaggesprekken met TNO en TLS mogelijk om de standaardresponstijd die in het TNO-rapport wordt vermeld, te valideren, hoewel deze was gebaseerd op de huidige lichtbelaste situatie waarin sprake was van slechts een klein aantal af te handelen incidenten. TNO en het CEB zijn het er echter over eens dat er ruimte is voor TLS om de personeelsinzet, de geautomatiseerde systemen en de responssnelheid aan te passen mocht het aantal incidenten significant toenemen. Momenteel echter zijn er te weinig statistische gegevens beschikbaar om deze toename te kunnen helpen voorspellen of typeren.
Zoals eerder vermeld wordt de risicobeoordeling niet als geheel volledig beschouwd, omdat de effecten niet rechtstreeks werden gekoppeld aan financiële waarde en de frequentie van geslaagde aanvallen. Daarnaast werden het type en de technische/financiële mogelijkheden van de aanvaller(s) niet uitdrukkelijk vermeld. Bij vraaggesprekken
met TNO werd bevestigd dat de waarschijnlijkheid van incidenten meer was gebaseerd op criminele aanvallen dan op proof-of-concept-aanvallen door onderzoekers. Om de gevolgen van risico's te beperken werd een aantal zorgvuldig beredeneerde verbeteringen van de huidige systeemoplossing voorgesteld, hoewel de uitvoerbaarheid en doeltreffendheid van die maatregelen nog niet helemaal zijn bewezen.
Correspondentie tussen bevindingen en conclusies/aanbevelingen
In het algemeen zijn de gedetailleerde vraagstukken en aanvallen in het kader van het TNO-rapport op een logische en goed gefundeerde wijze onderzocht. Het gebruik van de bevindingen bij de totstandkoming van de conclusies en aanbevelingen werd niet enkel gebaseerd op beschikbaar feitenmateriaal, maar berustte mede op veronderstellingen
vanuit eerdere ervaringen van TNO.
Er is sprake van een heldere conclusie waarbij één boodschap als rode draad door het rapport heenloopt: de Mifare Classic-kaart zal moeten worden vervangen. Er worden enkele suggesties op hoog aggregatieniveau gedaan ten aanzien van de keuze van een opvolger waarnaartoe kan worden gemigreerd, hoewel de aanbevelingen geen rechtstreeks verband leggen met internationale normen, beveiligingsbeoordeling of beste praktijken op het gebied van cryptografie.
Hoewel de essentie van de conclusie juist was, werden enkele veronderstellingen ten aanzien van technologische barrières tegen aanvallen ondermijnd door het eerder genoemde ontbreken van aanvalscenario's en –technieken. Deze veronderstellingen zijn cruciaal voor het inschatten van de snelheid waarmee een aanval kan worden uitgevoerd en de daarvoor benodigde investering en kennis. Er werd geen duidelijk verband gelegd tussen de aantrekkelijkheid van het systeem als doelwit voor een aanval en de waarde van aanvallen of de implementatiefases van het systeem. Gekoppeld aan de technische veronderstellingen gaf dit de aanbevelingen voor de tijdsplanning een grote marge. Deze marge wordt nog groter als men bedenkt dat de plannen afhankelijk zijn van de uitvoering van aanvullende (thans onbewezen) tegenmaatregelen. Gezien de ruime marge is het onwaarschijnlijk dat de aanbeveling van TNO ten aanzien van de mijlpaal voor migratiegereedheid een zeer nauwkeurige schatting is voor de afronding van de complexe opeenvolging van werkzaamheden.
De conclusies en aanbevelingen zeggen weinig over hoe de publieke opinie, reputatieschade voor bedrijven en wijzigingen in het gedrag van de klanten van invloed kunnen zijn op de planning van de migratie. Verder lijken er geen expliciete aanbevelingen te worden gedaan in de richting van het toekomstbestendig maken van het gemigreerde systeem.
