Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 31 maart 2009
In de brief van 19 februari 2009 (Kamerstuk 31 466, nr. 50) naar aanleiding van de wetsbehandeling elektronisch patiëntendossier is gemeld dat er maatregelen worden getroffen om een onlangs in een laboratoriumomgeving geconstateerde kwetsbaarheid in het rekenmechanisme van de chip op de UZI-pas te ondervangen.
De smartcards die te maken hebben met deze kwetsbaarheid worden breed (internationaal) toegepast, zowel in de publieke als de private sector. In Nederland betreft het in de publieke sector de UZI-pas en de Defensiepas. Ook het ministerie van Verkeer en Waterstaat maakt gebruik hiervan gebruik in de Digitale Tacho-graaf en heeft ze voorzien voor de Boordcomputer Taxi.
De geconstateerde kwetsbaarheid betreft de toepassing van het Chinese Remainder Theorem (CRT) om het uitvoeren van bepaalde berekeningen te versnellen. In een laboratoriumsituatie zijn experts in staat gebleken om de private sleutel van een chip te achterhalen. Om een private sleutel te achterhalen is het telkens weer nodig om te beschikken over de smartcard én bijbehorende pincode, grote deskundigheid en gespecialiseerde apparatuur. Hiermee kan een private sleutel van een chip worden verkregen. Deze is overigens dan alleen te gebruiken zolang de originele smartcard niet ingetrokken is door de rechtmatige eigenaar.
Na contact met leveranciers is door VWS vastgesteld dat de kwetsbaarheid een zeer gering operationeel risico vormt voor het gebruik van de UZI-passen voor de toegang tot het EPD. Dit mede gezien het feit dat de UZI-pas niet de enige beveiligingsmaatregel vormt. Een zorgaanbieder moet bijvoorbeeld vóór aansluiting op het landelijk schakelpunt voldoen aan de eisen voor een Goed Beheerd Zorgsysteem (GBZ). Het gaat dan om waarborgen omtrent een juiste en zorgvuldige registratie, verwerking en verstrekking van gegevens. Voor toegang tot het EPD kan de UZI-pas alleen worden gebruikt binnen een GBZ waarbinnen de betreffende pas geautoriseerd is. Bovendien wordt in het landelijk schakelpunt en in de GBZ permanent vastgelegd wie wanneer welke gegevens inziet, de zogenaamde loggegevens.
Wel is het belangrijk de kwetsbaarheid op korte termijn weg te nemen. Voor de UZI-pas is deze overgang naar een modernere chip (zonder de geconstateerde kwetsbaarheid) voorzien voor medio derde kwartaal 2009. Vanaf dat moment zal elke nieuwe UZI-pas zijn voorzien van de nieuwe chip.
In de communicatie naar de huidige gebruikers van de UZI-pas zal extra worden benadrukt dat de pas en pincode gescheiden moeten worden gehouden en zorgvuldig moeten worden beheerd. Bij verlies of diefstal van de pas dient de pas direct ingetrokken te worden. Dit kan 24 uur per dag via de website van het UZI-register.
De geldigheid van UZI-passen is drie jaar. Vanaf het moment dat de nieuwe chip beschikbaar is, zullen de al verstrekte passen niet na drie jaar, maar na twee jaar worden vervangen. Indien een gebruiker dit wenst, kan eerder omwisseling plaatsvinden.
Voor Defensie is de kwetsbaarheid op dit moment niet relevant, omdat de private sleutel nog niet wordt gebruikt. Defensie heeft maatregelen getroffen om de kwetsbaarheid in het rekenmechanisme weg te nemen voordat de private sleutel in gebruik wordt genomen.
Gevolgen voor Boordcomputer taxi-pas
Vanwege de geconstateerde kwetsbaarheid in de smartcards heeft de leverancier van de beoogde smartcards van de boorcomputer mij laten weten dat hij deze niet kan leveren per 1 november. Hierdoor zal de invoering van de boordcomputer met drie tot vijf maanden verschuiven. Verkeer en Waterstaat volgt de ontwikkeling op de voet, samen met de leverancier. Dit heeft geen gevolgen voor de geplande publicatie van de regelgeving in juli 2009.
Gevolgen voor Digitale Tachograaf-pas
In welke mate de ontdekte kwetsbaarheid een probleem is voor de passen van de digitale tachograaf, is op dit moment onderwerp van overleg met collega-ministeries van Verkeer en de Europese Commissie. Zodra daarover meer bekend is, wordt u nader geïnformeerd.