Stefan Eisses, Infosecurity 3 november 2010 jaarbeurs utrecht

Privacy en security bijRekeningrijden en Kilometerheffing

InfoSecurity 2010Stefan Eisses, Rapp Trans

Ruim 20 jaar betaald rijden in Nederland

1988-1991: Rekening Rijden I

1992-1994: Spitsbijdrage

1995-2001: Rekening Rijden II

1999-2002: Expresbanen

2001-2002: Kilometerheffing

2007-2010: Kilometerprijs

1 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

2

Waarom komt beprijzing steeds weer terug ?

1. Files worden gestaag erger (directe kosten van files ca. 3,5 miljard in 2009)

2. Er valt niet tegen op te bouwen

3. Goede alternatieven ontbreken:

• Accijns flink verhogen alleen haalbaar in EU-verband

• Mobiliteitsmanagement, telewerken, carpooling, intensivering OV doenwel iets, maar niet genoeg als er geen prijsprikkels zijn

4. Toenemende zorg over milieu-impact van wegverkeer

5. Steeds meer beprijzing in Europa

2 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

Beprijzen in Europa

Tol

Vrachtheffing

Plannen vrachtheffing

Congestieheffing

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses3

4

Lessons identified

1. Breed draagvlak nodig

2. ‘Anders betalen’, niet ‘meer betalen’

3. Betalen + in de file staan is moeilijk te verkopen

4. Besteed aandacht aan zorgen over privacy

5. Window of opportunity = 1 kabinetsperiode

4 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

Privacy

Europese privacyrichtlijn en WBP

• Persoonsgegevens: gegevens met betrekking tot een identificeerbarenatuurlijke persoon

• Doelbinding

• Proportionaliteit

• Subsidiariteit

Uitzondering

• Vrije, gelijkwaardige, expliciete en bewuste keus van de burger

Specifiek voor betaald rijden

• Geen voertuigvolgsysteem

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses5

Rekeningrijden – II

• Tolcordons rond de 4 grote steden

• 5 / 7 gulden per passage (‘in-bound’) in de ochtendspits

• Betalen op kenteken, of:

• Elektronisch betalen met Chipknip of Chipper

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses6

Rekeningrijden en privacy

Elektronisch betalen via Chipknip

• Merchant (Belastingdienst) weet niet wie er betaald

• Plaats van passage tolpoort niet bekend bij verwerker (toen: Interpay)

• Bank heeft geen inzicht in transacties

Offensief Telegraaf en ANWB (2000)

• Meer betalen (melkkoe)

• Privacy weggebruiker in gevaar ! Purse_ID kan door verwerker herleidworden tot een rekeninghouder.

Aanvullende maatregel:

• Pre-paid (anonieme) Chipknip

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses7

Detection

line

Gantry 1 Gantry 2 Gantry 3

Rear

Registration

Presentation

zone

Wake Up

zone

Verification

zone

Localisation

zone

Front

Registration

Debiting

Walkantsysteem voor Rekeningrijden

8 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

Systeemtest Rekeningrijden A12

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses9

Kilometerprijs

Betalen naar gebruik

• Per verreden kilometer

• Personenauto’s, vrachtwagens en bussen

• Alle wegen in Nederland, zelfs op eigen terrein

• Differentiatie naar tijd, plaats en rijrichting

• Tarief hangt af van milieukenmerken voertuig

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses10

Kilometerprijs artist impression

11 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

Thin versus thick client

• Kilometerprijs geldt overal, alle ritten zijn van belang

• Autonome On-Board Unit met GPS

• Gegevens worden draadloos naar backoffice gestuurd

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses12

A. Verplaatsings-

gegevens verzamelen

B.Afstand

berekenen en Tariefcategorie

bepalen

C. Opstellen

verbruiks-declaratie

D. Verrijken (houder, voertuig)

E.Opleggen

heffingThin OBE

A. Verplaatsings-

gegevens verzamelen

B.Afstand

berekenen en Tariefcategorie

bepalen

C. Opstellen

verbruiks-declaratie

D. Verrijken (houder, voertuig)

E.Opleggen

heffingSmart OBE

13

Kilometerheffing en privacy

CBP : centrale verwerkingvan verplaatsingsgegevens= niet proportioneel

Alleen totalenrapporteren, verplaatsingsgegevenswel beschikbaar voor de gebruiker

Tenzij: vrije en bewustekeuze van de gebruiker

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

Dilemma’s

Privacy versus rechtsbescherming

• Hoe kan je een rekening betwisten als onderliggende verplaatsingsgegevens niet bekend zijn ?

Privacy versus beveiliging/handhaafbaarheid

• Hoe kan je fraude constateren als OBU alleen totalen rapporteert ?

Resterende zorgen over privacy

• Hoe weet ik dat het kastje inderdaad niet meer rapporteert dan ze zeggen?

• ‘De overheid kan altijd de schakelaar omzetten en dan toch zien waar iedereen gereden heeft’

• ‘Politie en opsporingsdiensten kunnen het kastje vorderen en alle details bekijken’

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses14

Organisatiemodel Kilometerprijs

1. Hybride model, Hoofdspoor + Garantiespoor

2. Publieke Inningsorganisatie, op termijn ook privaat

Inningsbureau(CJIB)

‘Smart’OBE

SP OBE

Service ProviderBackoffice

BeheerderOBE

Garantiespoor

EETS

HS

GS

15 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

16

Security concept Smart OBE

GNSS

+ aanv

sensoren

Trusted

Element

Declaraties en Event Berichten

Positie, tijd, ...

Gegevens voor handhaving (getekend)

DSRC

comms

Long range

comms

Micro-declaraties,

DDA’s, Events…

User log (getekend)

Secure Processing

Secure Environ-ment

Non-Secure Proc

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

17

Registreren van gereden kilometers

Verplaatsings-gegevens

verzamelen

Afstand berekenen

Tariefcategorie bepalen

Afstand opslaan per

Tariefcategorie (cumulatief)

Microdeclaratie vastleggen

Dagelijkse afstands-

aggregatie creëren

Declaratie creëren en versturen

bijv. 1 x per seconde

bijv. 1 x per 60 s

1 x per dag b.v. 1 x per week

Secure processing

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses

Beveiligingsconcept Kilometerprijs

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses18

Verplaatsingsgegevens

wegkantcontrole

I

T0Digitale

Handtekening

Verplaatsings

declaratie T1

II

Digitale

Handtekening

Consolidatie

bericht T2

III

Digitale

Handtekening

Verbruiks

declaratie T3

secure/trusted omgeving auditeerbare omgeving

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses19

Beveiligingswaarborgen registratievoorziening

Common Criteria Certificatie vereist voor OBU (EAL 3)

Common Criteria Certificatie vereist voor TE (EAL 4+)

Protection Profile

1. Waarborg dat Microdeclaraties correct worden verwerkt in DDA’s

2. Secure counters

3. Secure channel met TE

4. Secure opslag van sleutels en crypto-bewerkingen

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses20

Functionaliteit voor handhaving (1)

Handhaving nodig om hoge mate van naleving te bereiken.

1. Controles op de weg via Handhavingsapparatuur

2. Controles in het backoffice

Opgevraagde gegevens door Handhavingsapparatuur (via DSRC):

1. Identificerende gegevens

2. Status OBE

3. Informatie van 2 recente Microdeclaraties

4. Digitaal ondertekend via TE (staat klaar)

Primaire Checks:

1. OBE werkt, Critical Event?

2. Registratie plausibel?

3. KMP Identiteit klopt met kenteken?

InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses21

Functionaliteit voor handhaving (2)

Registratie van Events

• OBE monitort status en registreert Events, b.v.:

• Communicatiefouten

• Langere perioden zonder GNSS fix

• Overgang naar andere mode

Event rapportage via Long Range

• Event rapportage ook voor Beheer

Dank voor uw aandacht

22 InfoSecurity 2010 - Privacy en security bij rekeningrijden - Stefan Eisses