EU på vej med regler for RFID-sikkerhed

Inden for få år vil vores indkøb være markeret med RFID-chips, små chips med indbyggede radiosendere, i stedet for stregkoder, så butikken kan scanne varerne på afstand. Smart, bekvemt og hurtigt.

Men de ubeskyttede chips i indkøbsposen er stadig aktive, og det betyder, at fyren i bussen med sin billige RFID-scanner kan følge med i, om din weekend skal klares med nervepiller, snaps og pornofilm.

Forbrugerorganisationer både i Europa og resten af verden råber op om overgreb på privatlivets fred, og EU's øverste datasikkerhedsmyndighed har i sin seneste rapport kort før nytår meldt ud, at RFID (Radio Frequency IDentification) ventes at få en "overordentlig stor betydning" for vores datasikkerhed. Derfor er EU-Kommissionen på trapperne med retningslinjer for, hvor meget og hvornår RFID-chipsene må sladre.

I første omgang bliver der ikke tale om ny lovgivning men retningslinjer, forklarer Kenneth Ducatel, som er medlem af it-kommissærens kabinet i EU-Kommissionen og er ved at lægge sidste hånd på retningslinjerne.

»Vores arbejde handler om, hvorvidt vi skal kræve en mærkningsordning, så kunden kan se, om en vare er mærket med RFID-tags. Og så er der selvfølgelig debatten om, hvorvidt chippen skal forblive aktiv, efter at kunden er gået ud af butikken. Muligheden for den videre tracking udgør en stor del af vores overvejelser,« siger han til Ingeniøren. Ducatel vil dog ikke specificere, hvad vi kan vente os af bestemmelserne, og vil ikke komme datoen for offentliggørelsen nærmere, end at det bliver "inden for et par måneder".

Privacy frem for alt

Forbrugerrådet har gennem det sidste halvandet år lobbyet EU-Kommissionen for at få stillet krav til den trådløse teknologi, så vi som forbrugere ikke uforvarende slæber hundredvis af ukontrollerede sladrechips med inden for husets fire vægge, forklarer jurist Anette Høyrup.

»Vores hovedkrav er, at forbrugeren har hånd i hanke med, hvem der kan aflæse chippen - altså sætte den i en slags privacy mode. Men vi vil ikke kræve, at chippen "skal slås ihjel", for forbrugeren kan jo også få glæde af de muligheder, som sådan en chip giver.«

Forbrugerrådet ser dog noget lysere på de små radiosendere end de fleste andre forbrugerorganisationer. For samtidig med at RFID-chippen kan "lade køleskabet bestille mælk, når der mangler" (den ultimative fremtidsvision for hr. og fru Danmark) åbner teknologien også muligheder for masser af "mørke gerninger", påpeger skeptikerne. For eksempel at enhver med et snuptag kan scanne indholdet af naboens skraldespand uden at få beskidte fingre. Eller at RFID-scannere på offentlige steder kan bruges til regulær overvågning af enkeltpersoner, da RFID-chips (f.eks. placeret i nakken af en trøje) hver især indeholder en helt unik kode.

EU-Kommissionens retningslinjer er blevet til efter råd og vejledning fra den såkaldte RFID Expert Group, som er sammensat af ca. 30 repræsentanter fra det akademiske miljø, industrien og forskellige ngo'er.

En af dem er østrigske Andreas Krisch, som kæmper for europæernes ret til ikke at blive kigget over skulderen i den store europæiske privacy-organisation, European Digital Rights (EDRI).

»Hvis ikke forbrugeren ved kassen i supermarkedet eksplicit siger "jeg vil have en aktiv RFID-chip med hjem", så kræver vi, at den bliver deaktiveret. Sådan er det ikke i dag, men diskussionerne i ekspertgruppen har gennem de sidste måneder været lovende på dette punkt.«

Andreas Krisch vurderer desuden, at vi kan vente EU's retningslinjer offentliggjort inden for et par uger.

Sikker RFID-chip vandt pris

Stephan Engberg, en af Danmarks førende RFID-sikkerhedseksperter og indehaver af virksomheden Priway, tvivler dog på, at EUs krav vil være skrappe nok.

»Hvis ikke EU-Kommissionen beslutter, at hele kontrollen med chippen overdrages til brugeren, er retningslinjerne uden betydning. At dømme efter, hvordan de har ageret hidtil, vil det faktisk undre mig meget, hvis de stiller krav af betydning,« siger han.

Stephan Engberg er hjernen bag en krypteret RFID-chip, som kan indstilles til kun at give sig til kende over for "godkendte personer ", så uvedkommende ikke engang kan se, at den findes.

Den sikre RFID-chip vandt Ingeniørens Danish Product Award 2007 for it-produkter. Dermed kan man undgå at skulle deaktivere chippen, så forbrugeren på sikker vis kan lade "køleskabet bestille mælk".

»Men hvis ikke kontrollen med chippen følger med ejerskabet af produktet, så er vi på vej ud i en pseudo-samtykkemodel, hvor forbrugeren bliver presset til at acceptere RFID-chips uden sikkerhed. Enten fordi, det er for besværligt, eller fordi man bliver tvunget til at gå glip af nogle services, man nødigt vil undvære,« siger han.

Den mikroskopiske sladrehank

• RFID står for Radio Frequency IDentification. RFID-tags kan være aktive og passive. En aktiv tag har et batteri, mens en passiv tag bruger energien i RFID-scannerens forespørgselssignal til at sende signalet tilbage. Passive tags kan normalt aflæses op til et par meter væk afhængig af især antennens størrelse og signalets frekvens.
• RFID-tags kan være utrolig små. Hitachi præsenterede i 2007 en RFID-tag på kun 0,05 x 0,05 mm og så tynd, at den kan indlejres i et stykke papir. Antennen er dog mindst 80 gange så stor.