Er was eens… een metrorit. En voor metroritten heb je tegenwoordig een MOBIB-kaart nodig. Dit deed me terugdenken aan het verhaal van de smartcards, en hoe we er veel te veel nodig hebben… Bij deze dan het lang beloofde derde deel van dat verhaal.

Over Metro- en Treinkaarten

Onlangs moest ik na lange tijd nog eens de metro nemen. Ik wist dat mijn papieren kaartje met magneetstrip ondertussen niet meer geldig zou zijn: de overschakeling naar MOBIB is nu volledig doorgevoerd. De MOBIB-kaart is RFID technologie, waardoor je ze kan gebruiken door ze gewoon tegen een kaartlezer tegen te houden (je hoeft ze nergens in te steken). Meer over deze technologie kan je terugvinden in één van onze techno’s: Het ABC van RFID.

Nu, ik heb reeds een treinabonnement, en ook dit staat op een MOBIB-kaart… van de NMBS. Ik moest er dus achter zien te komen of ik deze ook voor de metro kon gebruiken. Na wat zoekwerk, zag ik dat ik online een account kon aanmaken bij de MIVB en dat ik een bestaande MOBIB-kaart kon koppelen aan mijn account. Wanneer ik dit echter probeerde, wist het systeem mij te vertellen dat mijn kaart niet gekend was, maar dat dit wel het geval zou zijn indien ik deze eerst kon opladen via één van de GO-machines in de metrostations.

Zo gezegd zo gedaan, en – wonder boven wonder? – dit werkte inderdaad zoals aangegeven: ik kon mijn NMBS-kaart gebruiken als houder voor het saldo van mijn metroritten, en ik kon deze kaart daarna ook effectief koppelen aan mijn online profiel bij MIVB. (Eén mankement: het resterend saldo aan ritten is niet zichtbaar; maar misschien is dit ook voor de eigen kaarten van MIVB geen feature? – graag een comment indien iemand dit weet!)

Wat leren we nu uit dit verhaal?

• Ten eerste, de technologische mogelijkheden om het probleem van het teveel aan kaarten in mijn portefeuille op te lossen, zijn reeds duidelijk aanwezig, maar, gezien het aantal kaarten dat ik nog nodig heb, is er nog geen verregaande implementatie gebeurd (zo is mijn abonnement bij De Lijn, verkregen via NMBS, nog steeds een stukje papier, en een koppeling met bijvoorbeeld de Belgische eID is nog steeds beperkt tot de occasionele online aankoop van een treinticket). Conclusie: nog steeds geen one card to rule them all…
• Ten tweede: de netwerken van MIVB en NMBS zijn voorlopig nog onvoldoende geïntegreerd om reeds bij de aanmaak van een nieuwe kaart bij één firma, rechtstreeks ook de nodige gegevens te versturen aan de andere. Op zich is dit soort integratie misschien nogal veeleisend, maar in deze nieuwe wereld van de IT, met zijn Cloud, zijn microservices, en vooral, zijn API economy, zijn er toch wel een aantal architecturen te bedenken waarin dit geen probleem zou mogen zijn. Het “only once principe” is echter vaak meer een verhaal van politiek en economie, dan van technologie.

“Card Management as a Service”

Ik zou hier graag reeds even vooruitblikken op een toekomstige blog, waarin ik de voordelen van een gescheiden beheer van gegevensnetwerken versus er van gebruik makende toepassingen wil toelichten: Stel dat we één instelling hadden die het beheer van de kaarten en de ermee gepaard gaande gegevens, netwerken en basisdiensten op zich nam, en dat de andere bedrijven, zoals de vervoersmaatschappijen in kwestie, van deze diensten gebruik maakten. Dit zou ervoor zorgen dat alles wat met kaarten te maken had, efficiënter zou kunnen worden gemaakt wegens schaalvoordelen, én dat de vervoersmaatschappijen zelf deze verantwoordelijkheid niet meer hoefden te dragen. Dit is eigenlijk precies één van de belangrijke verwezenlijkingen van Cloud, en, meer in het bijzonder, het “as a Service” verhaal, maar dan toegepast op chipkaarten. Daarnaast kan men het ook bekijken in een microservices en API context (“you build it, you run it”).

Hierover dus later meer. Waar ik het nu verder over wil hebben is de toekomst…

De Nabije Toekomst?

Vandaag is het reeds mogelijk om met je smartphone vervoersbewijzen aan te kopen, betalingen te doen, ja, zelfs jezelf te identificeren voor gebruik van overheidstoepassingen. Een toekomst waarin we geen kaarten meer nodig hebben, maar waarin deze volledig zijn vervangen door de smartphone, is dus zeker technisch realiseerbaar, en op lange termijn misschien zelfs realistisch. Het belangrijkste probleem hierbij is er één dat slechts langzaamaan kan worden opgelost: de logistiek van het on-boarden van alles en iedereen die nu nog met kaarten werkt, en van alles en iedereen die nu nog geen smartphone heeft. In een nog verdere toekomst zullen we misschien zelfs de portefeuille in zijn geheel kunnen afschaffen, indien we dit ook met het systeem van cash geld zouden doen!

Science Fiction

Wat als we dan nog eens een paar decennia verder in de toekomst kijken? We zien reeds nu zaken opduiken als bio-authentication, waarbij we onze vingerafdrukken, stem, gezicht, of zelfs context gebruiken om te authenticeren. Daarnaast doet men ook gericht onderzoek naar nanotechnologie, robotica, artificiële intelligentie, Internet of Things, … Allemaal zaken die ervoor zorgen dat technologie en ons lichaam steeds dichter bij elkaar komen en uiteindelijk zelfs kunnen worden samengevoegd.

Uiteindelijk zou het dan mogelijk worden dat de smartphone wordt vervangen door een scherm op de huid van onze arm (zie filmpje hierboven voor wat binnenkort al kan!), met alle nodige technologie netjes verborgen aan de binnenkant van ons lichaam! Sterker nog: het scherm zou evengoed virtueel voor onze ogen kunnen worden getoverd, dankzij technologie rechtstreeks in onze ogen of hersenen. Op die manier hebben we niets meer nodig: al het nodige dragen we steeds met ons mee, zoals we dat met ons lichaam doen. En onszelf identificeren om ons vervoersbewijs te legitimiseren, doen we door eens te wuiven.

Op zich een groot gemak, maar uiteraard is hier ook een duistere zijde aan verbonden: het zou wel eens heel moeilijk kunnen worden om “off-the-grid”, of “offline” te gaan, of om zonder al deze technologische snufjes te kunnen. Sterker nog: we zouden Big Brother scenario’s kunnen krijgen, of een regelrecht doembeeld, zoals in de film “In Time“. Maar goed: wat er met een technologie gedaan wordt, staat los van de technologie zelf (ook met een eenvoudige hamer kan je zowel bouwen als verwonden).

Besluit

Er staan ons nog een aantal wonderlijke technologische evoluties te wachten, maar er blijft vooral nog veel werk aan de winkel wat betreft het vereenvoudigen van het leven van de gewone burger, met al zijn chipkaarten, zijn smartphone en zijn muntjes van twee eurocent, en van alle administratie die daarbij komt kijken. Samenwerking, integratie, en het zo breed mogelijk invoeren van het only once principe zijn de boodschap.

Intelligente dingen

We kennen intussen allemaal wel een smartphone en smart-TV, maar er zijn een hele resem aan andere toestellen, groot en klein, die van intelligentie en een netwerkverbinding worden voorzien. Dat gaat van koelkasten tot lampen, van stappentellers tot electriciteitsmeters en allerlei sensoren. Alle grote IT-spelers zijn hiermee bezig, met als recentste voorbeeld de overname van Nest (intelligente thermostaat en rookmelder) door Google.

Het doel van deze genetwerkte “dingen” is de mogelijkheid scheppen om informatie van onze omgeving te capteren, kunnen verwerken en terug aan te bieden ter consumptie. Dit kan zijn door de eindgebruiker zelf (hoeveel melk staat er nog in de koelkast?) maar ook door andere toestellen die deze info gebruiken (de wasmachine en vaatwas spreken af wie wanneer stroom verbruikt) tot dienstverleners die deze info gebruiken, zoals de bedoeling is van intelligente electriciteitsmeters om de elektriciteitsvoorziening te optimaliseren.

Al deze toestellen en sensoren moeten uiteraard kunnen communiceren met hun omgeving. Afhankelijk van het soort toestel, zijn er diverse protocollen die hiervoor gebruikt kunnen worden. Een Smart-TV zal zich meer als een computer gedragen met de klassieke communicatieprotocollen (HTTP/S), waarbij een temperatuursensor eerder zal gebruik maken van MQTT.

Maar wat met de veiligheid?

Een eerste observatie is dat de gebruikte protocollen en functies van bij de start moeten voorzien worden van de nodige veiligheidsmechanismen. Zonder enige vorm van authenticatie, autorisatie en gegevensbeveiling ziet het er niet goed uit met de veiligheid van de miljoenen en miljoenen toestelletjes die communiceren met hun omgeving. Een voorbeeld uit een gerelateerd domein is GPS. De communicatie met GPS-satellieten is van bij het begin opgezet zonder beveiliging. Dit heeft nu als resultaat dat met behulp van een GPS-zender een toestel kan overtuigd worden dat het op een andere lokatie is of in een andere richting beweegt dan werkelijk het geval is.

Maar zelfs indien de communicatiedragers voldoende beveiligd zijn is er echter nog een ander probleem. Het inbouwen van intelligentie vereist een technisch platform of besturingssysteem voor deze objecten. Zoals we dit kennen in de computerwereld zijn informatiesystemen gevoelig voor veiligheidslekken en zijn frekwente updates noodzakelijk om niet onbeschermd het internet op te gaan. Een eenvoudige sensor zal hier wel minder gevoelig aan zijn dan een intelligente televisie, gezien de lage complexiteit.

De laatste maanden zijn er redelijk wat vermeldingen geweest in de pers rond veiligheidslekken in allerlei toestellen zoals Samsung Smart TV’s, internet routers van diverse merken, Android en heel recent het WeMo “Home Automation” systeem van Belkin.

De intelligentie in die toestellen zit vervat in de firmware. Om veiligheidsissues op te lossen moet die firmware vernieuwd worden. Het probleem bij veel huishoudtoestellen en consumentenelektronica is dat de release cyclussen voor nieuwe modellen redelijk kort zijn. Elke 6 tot 12 maand is er wel een nieuw model of een verbeterde versie. De firmware van de oudere toestellen wordt echter door leveranciers slechts gedurende een beperkte tijd onderhouden. Kijken we maar naar onze smartphones waar Android updates, afhankelijk van de telefoonleverancier, slechts beschikbaar zijn voor 18 maand.

Dit is uiteraard ideaal voor leveranciers om gebruikers naar nieuwere toestellen te brengen maar zeg nu zelf, ga je na 2 jaar een nieuwe interactieve koelkast of wasmachine kopen omdat er een veiligheidsprobleem is in de firmware?

Safety first

Leveranciers zullen dus moeten leren omgaan met langere levensduur van intelligente toestellen en mogelijkheden om deze nog te kunnen voorzien van de nodige veiligheidspatches. Ze zullen ook moeten zorgen voor de meest veilige standaardinstellingen van hun toestellen zodat de consument à priori maximaal wordt beschermd.

De consument zal zich ook bewust moeten zijn van de risico’s die verbonden zijn aan deze nieuwe genetwerkte wereld. Maar het moet hem wel zo gemakkelijk mogelijk gemaakt worden om toestellen af te schermen voor onbevoegden of bepaalde extra veiligheidsmaatregelen te treffen zonder hiervoor een uitgebreide technische opleiding te genieten.

Derde partijen zullen zich uiteraard ook wel mengen in het ecosysteem en de nodige apps en toestellen voorzien om de beveiliging op zich te nemen, net zoals we nu virusscanners en firewalls hebben voor onze PC’s.

Kortom, het internet der dingen belooft ons te introduceren in interessante tijden. De kinderziekten die het nu ondervindt, moeten toelaten om deze voldoende gewapend tegemoet te treden zonder te veel veiligheidsrisico’s.