Er zijn forse wijzigingen aangebracht in het rapport over de contra-expertise naar de OV-chipkaart, een onderzoek dat de Royal Holloway University of London uitvoerde naar de beveiliging van de openbaar vervoerspas. Dat blijkt uit stukken die Webwereld samen met dagblad Trouw in handen heeft gekregen via een beroep op de Wet Openbaarheid Bestuur.

Het onderzoek van de universiteit leidde tot verder uitstel van de invoering van de chipkaart. Daarnaast uitten de Engelse onderzoekers zware kritiek op een eerder rapport van TNO, dat de beveiligingsproblemen had weggewuifd als een beperkt risico.

Versie 1.0 naar 1.00

De versie van de universiteit wordt omschreven als versie 1.0. Nadat wijzigingen zijn aangebracht, is deze omgedoopt tot versie 1.00, die vervolgens is gepubliceerd. Het commentaar is onder meer geleverd door Trans Link Systems, de onderneming die verantwoordelijk is voor de invoering van de chipkaart. De firma weigerde antwoord te geven op de vraag welke wijzigingen het heeft aangebracht.

Het afzwakken van de conclusies vormt een van de meest prominente wijzigingen. De Engelsen adviseren om uit te wijken naar een alternatieve beveiliging: "de moeite om ze (de kaarten, red.) te introduceren kan beter worden gericht op een betere kaarttechnologie". Maar in de definitieve versie luidt de conclusie dat de inspanningen urgent onderzocht moeten worden.

De onderzoekers wisten in versie 1.0 nog te melden dat met behulp van "low cost card printers" goede klonen van de kaarten te maken zijn, terwijl in het uiteindelijke rapport slechts de conclusie wordt getrokken dat vervalsingen "relatief eenvoudig" zijn.

Ook adviseren de Engelsen "prompte actie" om het vertrouwen van het publiek in de kaart te herstellen. Die conclusie verdwijnt volledig uit het rapport. Vervolgens besluiten de vervoersbedrijven, Trans Link en het ministerie van Verkeer en Waterstaat weliswaar om de invoering van de kaart uit te stellen, maar geven aan dat de technologie in eerste instantie niet gewijzigd zal worden.

Eerder TNO-onderzoek

Uit de stukken blijkt verder dat TNO al in 2004 een quick scan heeft uitgevoerd naar de veiligheid van de kaart en de chip . Wat precies wel onder de loep is genomen is niet duidelijk. Verder blijft het vaag waarom bij een onderzoek "op hoofdlijnen" niet is gevallen over het gesloten karakter van het CRYPTO-1 algoritme, hoewel dat ook destijds al omstreden was.

Trans Link Systems hult zich hierover in stilzwijgen, maar geeft wel aan dat bekend worden van dat rapport ernstige gevolgen kan hebben. "De quick scan rapportage van TNO waaraan jij refereert is een niet-openbaar en vertrouwelijk rapport", laat Gerben Nelemans, financieel directeur van de kaartuitgever weten. "We doen daar verder geen mededelingen over, onder andere omdat dit op korte termijn afbreuk zou kunnen doen aan de totale beveiliging van het systeem."

Vage beveiligingsstatus

De gang van zaken roept veel vragen op rond de beveiliging van de systemen door Trans Link Systems. Al in oktober 2007 stelde Webwereld vragen of het bedrijf met succes een EDP-audit heeft laten uitvoeren. Hierdoor kan de wereld zien dat de onderneming voldoet aan de Code voor Informatiebeveiliging. Het bedrijf zegt een maand later wel zo'n onderzoek te hebben gehad, maar duidt dit niet verder.

Gaande het onderzoek van Webwereld naar de chipkaart heeft Trans Link het contact zonder verdere uitleg verbroken. "Los van het feit dat je vraagstelling omtrent de EDP-audit onduidelijk is, wil ik je hierbij aangeven dat wij geen verdere vragen meer beantwoorden en geen verdere mededelingen doen," besloot Nelemans eerder deze week het laatste email-contact met de redactie.

Het Ministerie van Verkeer en Waterstaat zegt niet te weten waarom het rapport dergelijke grote wijzigingen heeft ondergaan en verwijst door naar de Londense onderzoekers. In een reactie zegt onderzoeker Keith Mayes dat noch TNO noch Trans Link Systems invloed op het rapport hebben uitgeoefend. De onderzoekers gaan niet in op een vraag naar de reden voor de wijzigingen.