Andrew Yeomans, Infosecurity.nl, 3 november 2010, Jaarbeurs Utrecht
Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht
1. Privacy en security bij
Rekeningrijden en
Kilometerheffing
InfoSecurity 2010
Stefan Eisses, Rapp Trans
2. Ruim 20 jaar betaald rijden in Nederland
1988-1991: Rekening Rijden I
1992-1994: Spitsbijdrage
1995-2001: Rekening Rijden II
1999-2002: Expresbanen
2001-2002: Kilometerheffing
2007-2010: Kilometerprijs
1 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
3. 2
Waarom komt beprijzing steeds weer terug ?
1. Files worden gestaag erger (directe kosten van files ca. 3,5
miljard in 2009)
2. Er valt niet tegen op te bouwen
3. Goede alternatieven ontbreken:
• Accijns flink verhogen alleen haalbaar in EU-verband
• Mobiliteitsmanagement, telewerken, carpooling, intensivering OV doen
wel iets, maar niet genoeg als er geen prijsprikkels zijn
4. Toenemende zorg over milieu-impact van wegverkeer
5. Steeds meer beprijzing in Europa
2 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
5. 4
Lessons identified
1. Breed draagvlak nodig
2. ‘Anders betalen’, niet ‘meer betalen’
3. Betalen + in de file staan is moeilijk te verkopen
4. Besteed aandacht aan zorgen over privacy
5. Window of opportunity = 1 kabinetsperiode
4 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
6. Privacy
Europese privacyrichtlijn en WBP
• Persoonsgegevens: gegevens met betrekking tot een identificeerbare
natuurlijke persoon
• Doelbinding
• Proportionaliteit
• Subsidiariteit
Uitzondering
• Vrije, gelijkwaardige, expliciete en bewuste keus van de burger
Specifiek voor betaald rijden
• Geen voertuigvolgsysteem
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses5
7. Rekeningrijden – II
• Tolcordons rond de 4 grote steden
• 5 / 7 gulden per passage (‘in-bound’) in de ochtendspits
• Betalen op kenteken, of:
• Elektronisch betalen met Chipknip of Chipper
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses6
8. Rekeningrijden en privacy
Elektronisch betalen via Chipknip
• Merchant (Belastingdienst) weet niet wie er betaald
• Plaats van passage tolpoort niet bekend bij verwerker (toen: Interpay)
• Bank heeft geen inzicht in transacties
Offensief Telegraaf en ANWB (2000)
• Meer betalen (melkkoe)
• Privacy weggebruiker in gevaar ! Purse_ID kan door verwerker herleid
worden tot een rekeninghouder.
Aanvullende maatregel:
• Pre-paid (anonieme) Chipknip
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses7
9. Detection
line
Gantry 1 Gantry 2 Gantry 3
Rear
Registration
Presentation
zone
Wake Up
zone
Verification
zone
Localisation
zone
Front
Registration
Debiting
Walkantsysteem voor Rekeningrijden
8 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
11. Kilometerprijs
Betalen naar gebruik
• Per verreden kilometer
• Personenauto’s, vrachtwagens en bussen
• Alle wegen in Nederland, zelfs op eigen terrein
• Differentiatie naar tijd, plaats en rijrichting
• Tarief hangt af van milieukenmerken voertuig
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses10
13. Thin versus thick client
• Kilometerprijs geldt overal, alle ritten zijn van belang
• Autonome On-Board Unit met GPS
• Gegevens worden draadloos naar backoffice gestuurd
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses12
A.
Verplaatsings-
gegevens
verzamelen
B.
Afstand
berekenen en
Tariefcategorie
bepalen
C.
Opstellen
verbruiks-
declaratie
D.
Verrijken
(houder,
voertuig)
E.
Opleggen
heffing
Thin OBE
A.
Verplaatsings-
gegevens
verzamelen
B.
Afstand
berekenen en
Tariefcategorie
bepalen
C.
Opstellen
verbruiks-
declaratie
D.
Verrijken
(houder,
voertuig)
E.
Opleggen
heffing
Smart OBE
14. 13
Kilometerheffing en privacy
CBP : centrale verwerking
van verplaatsingsgegevens
= niet proportioneel
Alleen totalen
rapporteren,
verplaatsingsgegevens
wel beschikbaar voor de
gebruiker
Tenzij: vrije en bewuste
keuze van de gebruiker
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
15. Dilemma’s
Privacy versus rechtsbescherming
• Hoe kan je een rekening betwisten als onderliggende
verplaatsingsgegevens niet bekend zijn ?
Privacy versus beveiliging/handhaafbaarheid
• Hoe kan je fraude constateren als OBU alleen totalen rapporteert ?
Resterende zorgen over privacy
• Hoe weet ik dat het kastje inderdaad niet meer rapporteert dan ze
zeggen?
• ‘De overheid kan altijd de schakelaar omzetten en dan toch zien waar
iedereen gereden heeft’
• ‘Politie en opsporingsdiensten kunnen het kastje vorderen en alle details
bekijken’
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses14
16. Organisatiemodel Kilometerprijs
1. Hybride model, Hoofdspoor + Garantiespoor
2. Publieke Inningsorganisatie, op termijn ook privaat
Inningsbureau
(CJIB)
‘Smart’
OBE
SP
OBE
Service Provider
Backoffice
Beheerder
OBE
Garantiespoor
EETS
HS
GS
15 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
17. 16
Security concept Smart OBE
GNSS
+ aanv
sensoren
Trusted
Element
Declaraties en
Event Berichten
Positie, tijd, ...
Gegevens voor handhaving (getekend)
DSRC
comms
Long range
comms
Micro-
declaraties,
DDA’s,
Events…
User log
(getekend)
Secure Processing
Secure
Environ-
ment
Non-
Secure
Proc
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
18. 17
Registreren van gereden kilometers
Verplaatsings-
gegevens
verzamelen
Afstand
berekenen
Tariefcategori
e bepalen
Afstand
opslaan per
Tariefcategori
e (cumulatief)
Microdeclarati
e vastleggen
Dagelijkse
afstands-
aggregatie
creëren
Declaratie
creëren en
versturen
bijv. 1 x per seconde
bijv. 1 x per 60 s
1 x per dag b.v. 1 x per
week
Secure processing
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses
19. Beveiligingsconcept Kilometerprijs
InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses18
Verplaatsings
gegevens
wegkantcontrole
I
T0
Digitale
Handtekening
Verplaatsings
declaratie
T1
II
Digitale
Handtekening
Consolidatie
bericht
T2
III
Digitale
Handtekening
Verbruiks
declaratie
T3
secure/trusted omgeving auditeerbare omgeving
20. InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses19
Beveiligingswaarborgen registratievoorziening
Common Criteria Certificatie vereist voor OBU (EAL 3)
Common Criteria Certificatie vereist voor TE (EAL 4+)
Protection Profile
1. Waarborg dat Microdeclaraties correct worden verwerkt in DDA’s
2. Secure counters
3. Secure channel met TE
4. Secure opslag van sleutels en crypto-bewerkingen
21. InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses20
Functionaliteit voor handhaving (1)
Handhaving nodig om hoge mate van naleving te bereiken.
1. Controles op de weg via Handhavingsapparatuur
2. Controles in het backoffice
Opgevraagde gegevens door Handhavingsapparatuur (via DSRC):
1. Identificerende gegevens
2. Status OBE
3. Informatie van 2 recente Microdeclaraties
4. Digitaal ondertekend via TE (staat klaar)
Primaire Checks:
1. OBE werkt, Critical Event?
2. Registratie plausibel?
3. KMP Identiteit klopt met kenteken?
22. InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses21
Functionaliteit voor handhaving (2)
Registratie van Events
• OBE monitort status en registreert Events, b.v.:
• Communicatiefouten
• Langere perioden zonder GNSS fix
• Overgang naar andere mode
Event rapportage via Long Range
• Event rapportage ook voor Beheer
23. Dank voor uw aandacht
22 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses