Trafikudvalget 2009-10
TRU Alm.del
Offentligt
796667_0001.png
796667_0002.png
796667_0003.png
Notat
Til
Transportministeriet
Rejsekort A/S
3. Februar 2010Kopi tilJournal: D13193
Redegørelse fra Rejsekort A/SUnder overskriften ” Elektroniske rejsekort er endnu en offentlig IT – skan-dale ”, bragte TV Avisen den 27. januar 2010 en række påstande, somhermed kommenteres.I indslaget i TV Avisen fremgik det, at man ved hjælp af en kortlæser ogprogrammer fra internettet nu kan hacke kortet og læse alt, hvad der stårpå kortet. Dette er ikke nyt, men har været kendt siden de første rapporterom hacking i Holland kom i efteråret 2007.Det bør dog bemærkes, at der på selve rejsekortet findes forholdsvis fåoplysninger, og at de oplysninger, som DR kunne ”hacke” sig til, i øvrigt kanfås i en Rejsekortautomat eller ved henvendelse på et betjent salgssted.Hacking synes dermed at være en ganske besværlig metode til at skaffesig de oplysninger fra rejsekortet, som DR redegjorde for i indslaget. Detskal endvidere bemærkes, at der på kortet alene fremgår billetoplysningerog kortets saldo. Personlige oplysninger, navn, cpr eller kontooplysninger,lagres ikke på kortet.I indslaget fremgik endvidere, at man også nemt kan ændre indholdet påkortet”, samt ”på den måde kan man fylde op med penge uden at betale enkr for det. Hertil bemærkes, at ændring af indholdet, herunder øgning afkortets saldo, er beskyttet af flere særlige mekanismer. Det er endnu ikkevist, at nogen har kunnet ændre på kortet eller øge kortets saldo korrekt.Det skal endvidere bemærkes, at den saldo der står på kortet, alene er enrepræsentation af kundens tilgodehavende af de forudbetalte penge (sal-do), der er registreret i det bagvedliggende Back-office system. En ændringaf kortets data/saldo vil medføre at kortet spærres inden for 24 timer, idetder i Back-office dagligt foretages en gennemgang og verifikation af kort-saldi og ændringer heri. I værste fald vil der kunne rejses i et meget korttidsrum, indtil spærringen er distribueret til alt udstyr. Der udbetales alenepenge tilbage til kunder på basis af oplysninger i back-office, ikke på bag-
grund af oplysninger på kortet.En hacker vil således ikke kunne skaffe sig rede penge – men i værste faldalene et begrænset antal gratisrejser - ved en hackning som beskrevet iDR’s indslag. Den økonomiske risiko herved bæres af Rejsekort A/S. Forden enkelte kunde er der ingen risiko, hvis man mister kortet, kan kundenspærre det, og kunden vil ikke komme til at hæfte for misbrug, der måttefølge af andres hacking.I indslaget blev nævnt, at Holland allerede i 2007 besluttede, at kortene varfor usikre. Direktør for Rejsekort i Holland Jeroen Kock siger ”Wehaveprepared to go to the next level with new cards and cardreaders”.I Holland,der var det første land, hvor problemet med hacking af kort til den kollektivetrafik blev aktualiseret, har man vedtaget en plan for, hvorledes sikkerhe-den i det Hollandske system kan højnes i løbet af de kommende 5 år veden successiv udskiftning af kort. Den hollandske beslutning om at øge sik-kerhedsniveauet skyldes en række forhold, og ikke alene den potentiellerisiko for hacking, som DR har beskrevet.I indslaget udtaler Professor Bart Jacobs, at”samme kode gør et svagtsystem endnu svagere. I Holland har hver kort sin kode, der skal du brydehvert kort. I Danmark har du brudt alle, når koden er brudt.”Sikkerhedssystemerne i Holland og Danmark er dog ikke ens.Sikkerhedsniveauet i det danske system er på niveau med, eller højere,end de fleste andre tilsvarende systemer i verden.I indslaget påpeges det, at det man er bange for er, at der laves et pro-gram, der på computer eller mobiltelefon automatisk kan tanke penge på..Bart Jacobs udtaler i den forbindelse:” If this happens in really, really largescale the system brakes down”.Det er endnu ikke vist, at nogen har kunnet ændre på kortet eller øge kor-tets saldo korrekt. En ændring af kortets data/saldo vil medføre, at kortetspærres. Systemet er dimensioneret til at kunne håndtere store mængderaf spærringer.Til indslagets spørgsmål om, hvorfor systemet ikke udskiftes nu, må frem-hæves, at den aktuelle debat er baseret på én ”hackers” demonstration afsine evner. Der er international enighed om, at der ikke er tegn på nogetfaktisk misbrug af de over 200 mio kort, der allerede er i omløb.Der er blandt trafikselskaber verden over stor enighed om, at den økono-miske risiko er minimal. Beslutningerne i andre lande om at højne sikker-heden tager udgangspunkt i imagemæssige eller andre argumenter, ogsådanne tiltag indføres successivt, i takt med en naturlig udskiftning af kort,
og over en længere årrække.I Rejsekort følges situationen internationalt og Rejsekort A/S deltager i flerefælles fora, hvor sikkerhedsforhold bliver behandlet. Afgørende elementerved valg af kort er forsyningssikkerheden, dvs. at kortet produceres af flereleverandører og anvendes i store kvantiteter på verdensplan, således at vikan være sikre på at kunne få kortet leveret i de næste mange år, og tilkonkurrencedygtige priser.Det kort, som Rejsekort benytter, er det så kaldte MiFare Classic. Dettekort er valgt, især da det er det af trafikselskaber verden over foretruknekort. Kortet produceres i store mængder af flere leverandører, og der erudstedt over 200 mio. Det faktum at vi har valgt det mest foretrukne kort(det er en hyldevare), gør naturligvis, at dette også er hackernes foretruk-ne.Der er ikke på nuværende tidspunkt et åbenlyst alternativ til det nu anvend-te kort (MiFare Classic), men der pågår internationalt overvejelser om,hvad der bliver den generelle afløser.Det er den aktuelle vurdering fra eksperter på området, at uanset situatio-nen, så er Mifare Classic meget bedre beskyttet mod snyd end de nuvæ-rende papirbaserede kort og billetter.Afslutningsvis skal der gøres særlig opmærksom på, at fremstilling af fal-ske kort og misbrug af kort vil medføre en politianmeldelse og deraf føl-gende alvorlige konsekvenser, der langt overgår de afgifter, der opkrævesved rejser uden gyldigt kort eller billet.