De contra-expertise van de Nederlandse OV-chipkaart moest absoluut onafhankelijk zijn. Nu roept een innige relatie tussen de security-onderzoekers van de Royal Holloway University of London (RHUL) en de OV-organisatie Transport for London (TfL), de organisatie achter de Londense OV-chipkaart Oyster Card, vragen op.

Het Ministerie van Verkeer en Waterstaat heeft altijd resoluut gesteld dat zij geen invloed op de omstreden resultaten van de RHUL heeft gehad en dat de contra-expertise volledig onafhankelijk is uitgevoerd.

Maar uit onderzoek van Webwereld blijkt dat het 'Smart Card Centre' van de Information Security Group van de Britse universiteit al jaren consultancywerk doet voor TfL en recentelijk zelfs een financiële injectie kreeg.

Financiële steun

Een maand na de oplevering van de contra-expertise kreeg de Royal Holloway University of London (RHUL) een investering voor drie jaar van Transport for London (TfL), het bedrijf achter de Britse OV-chipkaart.

Daarnaast is de onderzoeksinstelling al sinds 1996 betrokken bij onderzoek en consultancytrajecten voor TfL om de beveiliging van de Oyster Card op peil te houden, zo blijkt onder meer uit de brochure van de vakgroep Information Security. De werkzaamheden lijken daarbij sterk op de rol die TNO voor Trans Link Systems, het bedrijf dat de Nederlandse OV-chipkaart, uitvoerde.

Vergelijkbare belangen

De wending is curieus, omdat uit de stukken van het WOB-verzoek van Webwereld en Trouw blijkt dat het Ministerie echt getracht heeft onafhankelijkheid te garanderen. Het bureau dat de aanbesteding begeleidde eiste financiële, juridische en professionele onafhankelijkheid bij de gunning. Dit werd van de bedrijven zelfs zwart-op-wit geëist.

Ook mochten kanshebbers geen banden hebben met de bij de beveiligingsperikelen betrokken bedrijven: TNO, TLS, NXP, Thales, Viales en Accenture. Om die reden viel bijvoorbeeld de Universiteit van Leuven af. Deze onderzoekers hadden relaties met TNO. Er is niet gekeken naar belangen bij vergelijkbare bedrijven en systemen. De Londense Oyster Card maakt ook gebruik van de Mifare Classic chip van NXP.

Afkomstig van Philips

Het blijft onduidelijk hoeveel geld met de investering van TfL gemoeid is, omdat RHUL-directeur en onderzoeksleider van de contra-expertise Keith Mayes ondanks herhaalde verzoeken niet op de materie wenst in te gaan.

Wel weerlegt Mayes onduidelijkheden over zijn eigen rol, omdat hij zijn carrière begon bij een divisie van Philips die nu onderdeel uitmaakt van NXP. Hij werkte daar niet aan smartcards maar aan de ontwikkeling van televisietechnologie. Ook was hij al vertrokken bij het bedrijf, voordat de ontwikkeling van de gewraakte Mifare Classic Chip begon.

Het Ministerie van Verkeer en Waterstaat wijst erop dat juist de onafhankelijkheid heel belangrijk is geweest en benadrukt een verklaring van onafhankelijkheid van het onderzoekscentrum te hebben gevraagd. De voorlichter is behulpzaam bij de pogingen om opheldering te krijgen, maar vangt ook bot.

Oyster ook niet waterdicht

Gisteren werd bekend dat de Radboud Universiteit erin is geslaagd een succesvolle Denial-of-Service aanval op poortjes van de Britse OV-chipkaart uit te voeren. Ook slaagden studenten erin gratis te reizen op een Oyster Card. De onderzoekers presenteren in oktober de resultaten van hun onderzoek.