RFID: risico’s en beveiligingsmaatregelen

Juli 2008 - Radio Frequency IDentification (kortweg RFID) is van oorsprong de vervanger van de welbekende barcode. De informatie die een bepaald product identificeert, wordt met deze technologie op een chip geplaatst. Deze chip is voorzien van antennes, zodat wanneer er een uitleesapparaat in de buurt komt, de chip z’n informatie gaat uitstralen. Met de RFID-technologie zijn organisaties in staat om op afstand informatie van hun producten op te slaan en uit te lezen, ideaal voor logistieke processen bijvoorbeeld. Inmiddels rukt de technologie steeds verder op en wordt het ook toegepast in de OV-chipkaart, het paspoort, toegangspasjes, de chip waarmee uw huisdier gemerkt is en allerhande consumentenproducten.

Figuur 1: de barcode

Enkele voorbeelden van organisaties die succesvolle implementaties van RFID hebben gedaan, zijn; het Centraal Boekhuis in samenwerking met BGN/Selexyz in Nederland, Wal-Mart en het Ministerie van Defensie in de Verenigde Staten, maar ook een kledingmerk als American Apparel.

Hoewel RFID grote voordelen kan hebben voor organisaties geldt dat de RFID-technologie een complexe technologie is die, net als alle andere technologieën, risico’s met zich meebrengt. In dit artikel bespreken we de risico’s van RFID-technologie en mogelijke maatregelen om deze risico's beter te beheersen.

Figuur 2: voorbeeld van een RFID tag

Risico’s van RFID

Een viertal risico categorieën worden onderscheiden, namelijk:

1. risico’s met betrekking tot bedrijfsprocessen;
2. risico’s met betrekking tot bedrijfsinformatie;
3. risico’s met betrekking tot privacy;
4. risico’s met betrekking tot gerelateerde informatie systemen.

Risico’s met betrekking tot bedrijfsprocessen

Organisaties die afhankelijk zijn van het RFID-systeem lopen risico’s met betrekking tot de bedrijfsprocessen. Het uitvallen van het RFID-systeem betekent het (gedeeltelijk) uitvallen van het bedrijfsproces dat hiermee wordt ondersteund. Directe aanvallen op het RFID-systeem kunnen negatieve invloed hebben op de bedrijfsprocessen van de organisatie.

Figuur 3: voorbeeld van een RFID systeem

Denk bijvoorbeeld aan een logistiek proces waarbij de RFID-systemen niet goed werken. De producten kunnen niet gescand worden en het proces loopt vast. Er is geen zicht meer op de voorraden of de (verkeerde) producten worden tegen een verkeerde prijs geleverd.

De hele keten van systemen moet goed draaien om het proces efficiënt en effectief te laten verlopen. Een storing in een deel van het systeem beïnvloedt de hele keten van systemen.

Risico’s met betrekking tot bedrijfsinformatie

Ongeautoriseerde toegang tot de informatie op de chip of op de communicatie tussen de chip en de reader, kan informatie verschaffen over het product en de logistieke informatie.

Inmiddels is er veel te doen over het kraken van de OV-Chipkaart. De Nijmeegse Radboud Universiteit is er in geslaagd om de encryptie te kraken en zo gratis met het openbaar vervoer te reizen. Ook zijn de toegangspassen van veel bedrijven inmiddels gekraakt waardoor het mogelijk is om ongeautoriseerd toegang tot de gebouwen te krijgen.

Figuur 4: voorbeeld van een RFID reader

Wanneer een concurrent de informatie kan onderscheppen dan kan dit veel informatie opleveren. Hij kan een profiel opbouwen van de organisatie, de leveringen, de afnemers en de producten die worden geleverd. De concurrent doet hier zijn voordeel mee en kan zijn bedrijfsprocessen en/of producten hierop aanpassen zodat het concurrentievoordeel vergroot wordt.

Risico’s met betrekking tot privacy

Wanneer er persoonsgegevens op worden geslagen op de chip dan kan dit privacy risico’s met zich meebrengen. Een ander aspect dat invloed heeft op de privacy van de persoon kan zijn, dat met behulp van de verschillende chips die iemand bij zich draagt, een profiel kan worden opgemaakt van deze persoon.

Het Amerikaanse kledingconcern American Apparel voorziet haar kleding van een RFID-chip, waardoor hackers de mogelijkheid kunnen krijgen om te ontdekken wat voor kleren gedragen worden. Alle kleren in de winkels zijn voorzien van RFID-chips, die iedereen met een RFID-lezer kan uitlezen.

Figuur 5: RFID in kleding

Meer en meer producten worden van chips voorzien, producten waarvan we het niet weten of waar we helemaal niet bij stil staan. Als we de verschillende chips combineren dan kunnen we een aardig profiel opbouwen van mensen.

Risico’s met betrekking tot gerelateerde informatie systemen

RFID-systemen maken onderdeel uit van de infrastructuur van de organisatie en zijn aangesloten op het netwerk en daarmee op de overige informatiesystemen. De RFID-systemen, of de zwakheden in deze systemen, kunnen een risico vormen voor de overige informatiesystemen. Zo kan een exploit in een RFID-systeem gebruikt worden om toegang te krijgen tot andere, bedrijfskritische, systemen van de organisatie.

 
Figurr 6: RFID in pacemaker

Een ander risico hierbij is de elektromagnetische straling die de chips uitstralen. Deze straling kan invloed hebben op andere systemen. In het nieuws zijn er berichten over RFID-chips die medische apparatuur kunnen beïnvloeden.

Beveiligingsmaatregelen

Gelukkig zijn al deze risico’s te ondervangen, maar omdat de inrichting van RFID-systemen bedrijfs- en situatieafhankelijk is, kan niet zonder meer een eenduidige set aan beveiligingsmaatregelen worden voorgeschreven.

Een risicoanalyse en maatregelen-selectie per RFID-systeem is noodzakelijk om alle onderkende risico’s tot een acceptabel niveau terug te brengen. Bij het afdekken van de risico’s en het implementeren van de maatregelen, moeten de wet- en regelgeving, de kans en de impact van het risico, de kosten en de invloed op de effectiviteit en efficiency in ogenschouw worden genomen.

De beveiligingsmaatregelen vallen uiteen in drie categorieën:

1. strategisch;
2. operationeel;
3. technisch.

Strategisch

De maatregelen op managerial niveau zijn gerelateerd aan de overkoepelende risico’s, denk hierbij aan inventarisatie van de risico’s, project management bij de implementatie en aanschaf van de systemen.

Ook moet hierbij worden gedacht aan het opstellen van het beleid rondom RFID. In dit beleid moet het gebruik van RFID worden vastgelegd (wat is toegestaan en wat is niet toegestaan), maar moeten ook de beveiligingsuitgangspunten worden opgenomen. Belangrijke aspecten hierbij zijn de belegging van taken, bevoegdheden en verantwoordelijkheden.

Als het RFID-systeem persoonsgegevens verwerkt dan is dit ook de plaats om de relaties tussen RFID, persoonsgegevens en privacy te beschrijven.

Op managerial niveau worden vervolgens de contracten met leveranciers en afnemers, in Service Level Agreements, vastgelegd. Dit niet alleen voor de omgang met en de beveiliging van de hardware, maar zeker ook voor de informatie die op de chips wordt opgeslagen en die met de RFID-systemen wordt verwerkt.

Operationeel

Op operationeel niveau wordt vastgelegd hoe om te gaan met het RFID-systeem. Hierbij wordt het beleid vertaald naar procedures en werkinstructies om de werking van het systeem te borgen.

Fysieke en logische toegang tot het systeem wordt hierbij nader uitgewerkt; waar worden de systemen gebruikt, wie heeft er toegang tot de systemen en de informatie en op welke wijze wordt deze toegang verkregen, zijn typische onderwerpen waar over moet worden nagedacht.

Ook de plaats waar de readers en de chips worden gesitueerd zijn hierin beschreven en uitgewerkt. Dit om ervoor te zorgen dat de elektromagnetische straling zo min mogelijk negatieve invloed heeft op andere systemen of mensen. De montage van de chips op het product moet voldoende stevig zijn om te voorkomen dat de chips tijdens transport verloren gaan (en hiermee het systeem voor dat product niet kan worden gebruikt). Na gebruik worden de chips vernietigd of hergebruikt. Een keuze moet worden gemaakt en de te nemen maatregelen moeten daarop zijn afgestemd.

Het fallback scenario wordt op operationeel niveau uitgewerkt. Hierin is beschreven hoe om wordt gegaan met het systeem als het systeem onbruikbaar is gedurende een bepaalde tijd. De bedrijfsprocessen moeten immers doorgaan.

Technisch

De belangrijkste technische maatregelen hebben betrekking op de authenticiteit en integriteit van de RFID-systemen en transacties, de communicatie tussen de reader en de chip en de bescherming van de gegevens op de chip zelf.

• Authenticiteit en integriteit
  De belangrijkste authenticatie methodes voor RFID-systemen zijn bescherming met wachtwoorden, Keyed-hash message authentication codes (HMAC) en digitale handtekeningen. Deze beschermingsmiddelen kunnen gebruikt worden om ongeautoriseerd beschrijven of lezen (integriteit) van de informatie te voorkomen, maar kunnen ook gebruikt worden om kopiëren van de informatie te bemoeilijken of te detecteren.
• Communicatie tussen de reader en de chip
  De communicatie tussen de chip en de reader moet beschermd worden om ongeautoriseerd meelezen of afvangen te voorkomen. Als de informatie op de chip niet versleuteld is opgeslagen kan de informatie die de chip naar de reader stuurt worden versleuteld.
• Bescherming van de gegevens
  De gegevens op de chip kunnen beschermd worden door ze te beveiligen met een wachtwoord. Hierdoor kunnen de chips niet meer beschreven of gelezen worden als het wachtwoord niet is ingegeven. Daarnaast kan de informatie op de chip door encryptie worden beschermd. De gegevens worden dan versleuteld voordat ze op de chip worden opgeslagen waardoor ze beschermd zijn.

Daarnaast is ook de keuze voor het type tag belangrijk. Er zijn verschillende soorten tags die uiteenvallen in groepen passieve tags en actieve tags. Een passieve tag straalt zelf geen energie uit, maar krijgt z’n stroom door middel van elektromagnetische straling die door een reader wordt uitgezonden en door de antennes op de tag worden opgevangen. Een actieve tag heeft een eigen stroomvoorziening in zich. Passieve tags zijn hierdoor moeilijker afleesbaar op afstand en dus makkelijker te beveiligen tegen meelezen of interferentie. Actieve tags hebben als mogelijk voordeel dat ze een beperkte levensduur hebben. Als de batterij leeg is, is ook de informatie in de tag weg.

Conclusie

Organisaties moeten er voor zorgen dat ze de risico’s van RFID in kaart brengen en de juiste set maatregelen implementeren om het systeem, bestaande uit de chips, de reader en de achterliggende systemen te beschermen tegen diefstal, ongeautoriseerde toegang en om wijziging van de gegevens te voorkomen. Van belang is het bedrijfsproces dat ondersteund wordt door het RFID-systeem, maar ook de informatie in het systeem, de privacy en de gerelateerde systemen mogen niet uit het oog worden verloren.

Op die manier staat niets een veilige en robuuste implementatie van RFID binnen een organisatie in de weg.

Bronnen en links:

• www.security.nl/article/18993/1/RFID_in_ziekenhuizen_serieus_gezondheidsrisico.html;
• Guidelines for Securing Radio Frequency Identification (RFID) Systems, National Institute of Standards and Technology (NIST), Special Publication 800-98
• www.epcglobalinc.org (organisatie die technische standaarden voor RFID bedenkt en vastlegt);
• www.rfidnederland.nl (website met veel informatie over RFID in Nederland).

Over de auteurs
Thimo Keizer is Senior consultant bij Northwave en houdt zich bezig met integrale beveiliging op strategisch en tactisch niveau. Hij legt de koppeling tussen informatiebeveiliging en fysieke beveiliging redenerend vanuit de risico’s die de bedrijfsvoering in gevaar kunnen brengen.

Michel van Zoest is Oracle consultant bij Whitehorses en heeft ruim 7 jaar ervaring in de IT. Hij houdt zich bezig met PL/SQL en Forms/Designer ontwikkeling en heeft zich ook gericht op integratietrajecten en Javaprojecten met ADF. Michel is tevens één van de Kapow specialisten binnen Whitehorses.
De afgelopen twee jaar heeft hij meegewerkt aan de RFID verwerking van het Centraal Boekhuis in Culemborg. In die hoedanigheid heeft hij kunnen bouwen aan en adviseren over de eerste grote RFID implementatie voor een ‘retail supply chain’ in Nederland.