Beveiliging rfid ondergeschoven kind

Te veel aandacht voor privacy aspecten van nieuwe techniek

Net als in de eerste dagen van de opkomst van internet is beveiliging een aspect dat over het hoofd wordt gezien bij de ontwikkeling van rfid, stelt Burt Kalinski, chief scientist bij RSA Security.

Er zijn het laatste jaar veel problemen geweest met bedrijven die verzuimden hun draadloze netwerken te beveiligen. Gaat het zelfde gebeuren met rfid?
"Stel je een typische rfid-implementatie voor in bijvoorbeeld een magazijn. Je zou dan ongeveer honderd scanners hebben, opgesteld op verschillende locaties: op de laadperrons, in de stellingen, op de schappen, in een vorkheftruck, et cetera. Deze scanners zouden met elkaar verbonden zijn via een draadloos netwerk. Dus de eerste stap moet al zijn dit netwerk te beveiligen."
"Wat gebeurt er als een heftruck een scanner beschadigt? Je zult de scanner snel moeten vervangen, want de hele productie ligt op dat moment stil. De technicus die de scanner vervangt moet de beveiligingsaspecten in één moeite mee kunnen nemen. Dat zou lukken als de bedrijven geconfigureerde reserve scanners hebben liggen - maar zo zal het vaak niet zijn. En wat gebeurt er als een concurrent binnen sluipt en een eigen scanner tegen de muur plakt? Het lijkt misschien onwaarschijnlijk op dit moment, maar als we werken aan een infrastructuur die tien of twintig jaar moet draaien, dan moeten we niet met een systeem werken dat al op de eerste dag corrupt is."
"Een ander probleem is dat sommige scanners alle tags tonen die ze zien. Het protocol dat het makkelijk maakt een groot aantal tags op het zelfde moment te lezen geeft tevens gelegenheid voor industriële spionage."
 
Tags tonen slechts een productcode, terwijl de informatie over het product in een database zit. Dus vanwaar uw angst voor risico's.
"Vergelijk het met barcodes. De elektronische productcode op de tags toont de fabrikant, de productcode en een serienummer. Het verschil met barcodes is echter dat ze ongemerkt, en van een afstand kunnen worden gelezen. Stel nou eens dat een werkgever een scanner plaatst bij de ingang van het bedrijf om te controleren welke medicijnverpakkingen medewerkers bij zich dragen."
 
Ik vind dat een redelijk vergezocht voorbeeld, eerlijk gezegd.
"Klopt, maar de beslissingen die we vandaag nemen beïnvloeden wat er gaat gebeuren in de toekomst. Ik denk dat de mensen die bang zijn voor het verlies aan privacy zich nog geen zorgen maken over het gevaar te worden bespioneerd. Toch moeten we daar nu al aan denken. De standaard wordt immers op dit moment gevestigd. Het zal bijzonder lastig worden daar over vijf of tien jaar nog veranderingen in te krijgen."
"De scanners worden veel goedkopen in de toekomst en worden wellicht ingebouwd in mobiele telefoons. Als het zo goedkoop wordt, zal het erg eenvoudig zijn voor concurrenten hun scanners in het systeem te plaatsen."
 
Kijken grote ondernemingen die rfid testen al op die manier naar de techniek?
"Ze worden zich er in toenemende mate van bewust. De discussie over privacy heeft velen al nerveus gemaakt. De focus lag in eerste instantie te veel bij het ontwerpen van rfid-systemen die werken, en daarnaast bij het zo laag mogelijk houden van de kosten die met rfid gemoeid zijn. Ik hoop dat de privacy- en beveiligingsaspecten nu meer aandacht gaan krijgen."
 
Die aandacht moet nog komen, volgens mij, het is zeker niet het belangrijkste onderwerp op dit moment.
"Het veiligheidsaspect dreigt over het hoofd gezien te worden in de huidige discussie, waarbij het slechts gaat over het bewaren van de privacy van de koper. Het probleem is dat beveiliging geld kost. We moeten ons echter realiseren dat het nog veel meer geld kost als we in een later stadium trachten alsnog de beveiliging toe te voegen. We kunnen het beter meteen goed doen."
"De huidige oplossing voor het privacyprobleem is het simpelweg deactiveren van de tag aan de kassa. Ik denk echter dat je daarmee juist een van de voordelen van de techniek uitschakelt. Rifd slaat immers een brug tussen de fysieke en de virtuele wereld. Het deactiveren van de tag maakt het onmogelijk te profiteren van de voordelen van de techniek na de verkoop van het artikel. Wat we nodig hebben is een tussen status waarbij een tag op slot gedaan kan worden, zodat deze onleesbaar is buiten de winkel, maar onmiddellijk weer wordt opgenomen in het systeem bij het terugbrengen naar de winkel. Je zou de tag dan kunnen deactiveren op het moment dat het nodig is, maar je zou niet meteen alle voordelen verliezen van de techniek."< BR>
 
James Watson