Jsou elektronické čipové karty současnosti bezpečné? Jak probíhalo navazování integrovaného dopravního systému na systém elektronických karet, proč dává jeho firma přednost otevřeným technologiím a jak se začínající firma až k obří zakázce Českých drah, odpovídá Ing. Martin Rejzl výkonný ředitel a předseda představenstva akciové společnosti XT-Card.
Jak dlouho jste na trhu a jak vás napadlo zaměřit se na tak specifický segment, jakým jsou bezkontaktní čipy pro platební a dopravní aplikace?
Na trhu jsme od roku 2005, máme 15 zaměstnanců a naším prvním projektem byla In-karta Českých drah, což byl dostatečně silný impuls k tomu, aby určil směr, kterým se bude dále firma profilovat.
To je přeci jen poněkud nezvyklé, jak se začínající společnost dostane k tak velké zakázce?
Společnost XT-Card se nevzala odnikud, ale byla založena poměrně velkými společnostmi, které na trhu působí již řadu let. Majoritními vlastníky je OLTIS Group, jež má na starosti informační systémy pro osobní i nákladní dopravu Českých drah a dceřiná společnost Českých drah – ČD Telematika.
Co vás vedlo zrovna k volbě standardů MIFARE DESFire a ne třeba dnes populárního NFC?
Vycházeli jsme ze zkušeností zemí, kde již s bezkontaktními technologiemi pro využití v dopravě do kontaktu přišli. Na trhu se za tu dobu již stačil vytvořit určitý standard, což jsou právě technologie z rodiny MIFARE, tedy systémy Standard a DESFire. Hlavně z důvodu budoucí snadné rozšiřitelnosti, kompatibility a hlavně bezpečnosti s okolním světem jsme proto zvolili tuto technologii. Do hry vstupují také faktory jako výhodný poměr ceny a výkonu.
Vámi zmíněná technologie NFC se objevila na trhu později a dodnes trpí určitými nemocemi: není na trhu dostatečně odzkoušena, neví se, jestli bude dostatečně stabilní či zda svou obchodní stránkou tedy poplatky za její využití zbytečně nezatíží uživatele. Technologii NFC samozřejmě sledujeme a když pro ni dozraje doba, tak se jí budeme zabývat i na realizační úrovni. Již v současné době máme nachystáno několik aplikací, které lze využít.
Je pro vás důležitá otevřenost technologií?
Otevřenost je pro nás a ostatně i pro naše klienty naprosto klíčovým prvkem. Ať již se jedná o In-kartu, karetní systém integrované dopravy Moravskoslezského kraje (ODIS), nebo kartový systém integrované dopravy Královéhradeckého a Pardubického kraje (IREDO), vzájemná kompatibilita a transparentnost systémů se brzy pro dopravce stane podmínkou dalšího působení na trhu.
Ve velice blízké době se podle zákona o veřejných zakázkách a zákona o veřejné dopravě začne soutěžit působení dopravců novým způsobem a každý, kdo bude chtít poskytovat dopravní výkony v rámci veřejné služby, bude muset mít dostatek informací, aby mohl podat jasnou nabídku. Pokud bude chtít zadavatel po dopravcích využít k odbavování cestujících ve svém regionu bezkontaktní čipovou kartu, kterou již používá jinde, bude muset zadavatel být schopný poskytnout k tomuto požadavku, respektive podmínce, dostatek jasně čitelných informací, aby mohl dopravce svůj stávající odbavovací systém upravit dle podmínek zadavatele. To naše systémy díky své otevřenosti umožňují.
Jaká je v reálu míra interoperability mezi produkty subjektů (dodavatelé systému, výrobci karet, dopravci), které se byznysu s bezkontaktními odbavovacími systémy pohybují?
Když se podíváme například na projekty krajské karty, jsou zde současní dodavatelé technologií našimi subdodavateli, takže si hlídáme, aby zde skutečně po stránce kompatibility nemohl nastat žádný problém. Je to ale de facto v zájmu všech, pokud by konsenzus nefungoval, celý ambiciózní projekt by se zhroutil, z čehož by ve finále netěžil nikdo. S hlavními dodavateli odbavovací techniky jako je společnost Mikroelektronika, EMTEST jsme dosáhli dohody, která spočívá v garanci interoperability našich technologií a dokonce se spolu s námi zasazují o standardizaci i na globálnější (celorepublikové) úrovni a prosazení standardizace také do zákona.
Co se týče administrativy, obchodní stránky věci a právních aspektů, tedy tam, kde figurují samotní dopravci, kteří objednávají technologie a získávají peníze z veřejných zdrojů od svých zákazníků, jimiž jsou kraje a obce, ti již několik let volají po tom, aby zde něco takového existovalo. Souvisí to se vznikem integrovaných dopravních systémů, kdy se za jednotnou cenu a na jeden dopravní jízdní doklad přepravíte do cílového bodu, ať již použijete jakoukoli kombinaci spojů libovolných dopravců integrovaných v systému. Na základě tohoto záměru vnikla řada smluv mezi dopravci a dohoda o podobě univerzální karty, která by umožnila konsenzus globální. Máme i zde tedy již vůli objednatelů dopravy a připravené podmínky na obou stranách. Teď jde jen o to, kdy to celé začne fungovat.
O integrovaném dopravním systému se hovoří již poměrně dlouho, proč tedy vázne jeho realizace, když je, jak říkáte, na všech stranách vůle k jeho nasazování?
Nemyslím si, že by jeho realizace vázla, na úrovni tradičních papírových jízdenek IDS funguje velice dobře například v Jihomoravském kraji, Moravskoslezském kraji a Královehradeckém a Pardubickém kraji. Co možná ale máte na mysli, je navázání IDS také na systém elektronických karet. Zde jako první začal kartový systém na úrovni celého kraje zavádět Moravskoslezský kraj, který systém od 1. ledna zavádí postupně u všech dopravců, od konce loňského roku probíhal pilotní provoz na Českých drahách, Veolii Transport Morava, TQM Opava a Dopravní podnik Ostrava, který testoval, zda li se karty správně odbavují u všech dopravců v rámci integrovaného tarifu. Stejně tak se bud v září tohoto roku překlápět do ostrého provozu jednotný systém elektronického odbavení cestujících v Pardubickém a Královehradeckém kraji.
Mohl byste vyjmenovat, jaké realizace kromě In-karty tedy máte vlastně dnes za sebou?
Začínali jsme s In-kartou, která funguje již déle, než 7 let, také máme za sebou některé integrační projekty různých městských a krajských karet, jako opencard, Plzeňská karta, Karta slovenské železniční dopravy a Liberecká opuscard. Všechny tyto kartové systémy jsme museli zaintegrovat do systému Českých drah a to nejen z hlediska technologie, což v tomto případě bylo to jednodušší, ale také z hlediska tarifního následného rozúčtování tržeb. Lidé samozřejmě nejsou loajální jednomu dopravci, ale různě přestupují a systém potřebuje informaci o tom, jak má mezi dopravce peníze spravedlivě rozdělit. Následně jsme začali pracovat na projektu krajských karet, ale než byl systém uveden do provozu, tak se nám podařilo vyprojektovat jednotnou platformu karty, použitelnou napříč kraji, k jejíž realizaci došlo zatím v Moravskoslezském a nyní probíhá integrace v Královehradeckém a Pardubickém kraji. Tento systém interoperabilní karty byl inspirován zahraničními zkušenostmi.
Kromě dopravních karet jsme realizovali také kartové systémy ve školství, konkrétně na České zemědělské univerzitě a ČVUT.
Tam je jejich funkce pouze identifikační, nebo toho umějí více?
Na České zemědělské univerzitě jsou karty zatím využívány na lokální mikroplatby a to zcela podle platné legislativy zákona o vydávání elektronických peněz a přitom zcela mimo bankovní sféru.
Technologicky je tento systém připraven i pro další využití, pokud by se například škola domluvila s dopravcem (typicky Českými dráhami), tak je možné na kartu nahrát stejnou dopravní aplikaci, která se nachází na In-kartě.
Když jste zmínil aplikace, jaké jsou vlastně dnes možnosti čipů na kartách?
Možnosti jsou poměrně veliké, limituje nás ale paměť čipu, takže je třeba rozumě volit. Často jsou využívány například různé kombinace dopravní aplikace, věrnostní aplikace a peněženky pro mikroplatby.
Jak funguje zabezpečení karet?
Zabezpečení je do značné míry stejné jako používají banky na platebních kartách. Zjednodušeně se systém skládá ze tří modulů: první rovinou jsou bezpečnostní prvky, které poskytuje konkrétní čip na kartě. Dále je zde SAM MODUL (Security Access Memory Module), který se dává v podobě SIM karty do čtecích zařízení, které naleznete např. v autobusech nebo na kontaktních místech a třetím prvkem jsou HSM servery, které jsou na nějakém bezpečném místě a tyto moduly spravují ty nejcitlivější klíče k jednotlivým kartám. Tento prvek se používá v online komunikaci s kartou pro např. kreditování elektronické peněženky nebo nahrávání aplikací na kartu přímo na přepážce.
Jak si stojí karty, co se týče ochrany před rušením a proti odposlechům komunikace? Nedají se z karet přečíst osobní data nositelů? Vzpomínám si, že se před více jak rokem se podařilo alespoň v laboratoři prolomit 3DES klíč právě RFID karet typu DESFire MF3ICD40 od výrobce Mifare.
V našich systémech používáme kartu DESFire EV1, která ještě prolomena nebyla, moderní čipy jsou chráněny proti analýze elektromagnetického vyzařování a podobným hackerským technikám. Ono to není zdaleka tak jednoduché, jak se někdy mylně v médiích uvádí. I kdyby měl hacker v ruce dostatečně silné zařízení na odposlech, což je poměrně nápadná záležitost na to, aby s ní například chodil po metru a snažil se odposlechnout komunikaci, odposlechne tímto způsobem maximálně komunikaci, která je zašifrována. V tomto případě je mu odposlech prakticky k ničemu. Rovněž proti modifikaci údajů na kartě jsou naše systémy chráněny digitálním podpisem. Další rovinou je, že po vzájemné dohodě s dopravci z bezpečnostních důvodů na karty osobní data vůbec nedáváme. To, že jednou došlo k úniku osobních dat u opencard, bylo zaviněno únikem z back office systému Městské knihovny a ne ze samotných karet.
Stalo se vám někdy, že za vámi přišel například dopravce, nebo kraj s požadavky, které byste nedokázali splnit?
Více méně ne, snažíme si sami klást na sebe po technické stránce požadavky natolik vysoké, aby sám zákazník na náš strop v průběhu realizace vůbec nenarazil. Naopak zadání bývají nejčastěji hluboko pod našimi skutečnými možnostmi. Jako příklad mohu uvést dopravce z Královéhradeckého a Pardubického kraje, kteří by sami měli požadavky na úrovni jejich současných systémů, takže řada z nich vůbec nepoužívala clearing (protože je k tomu nic nenutilo), někteří dopravci neměli ani dispečink, řada z nich používala také staré technologie karet s nízkou úrovní zabezpečení, které uměly pouze identifikovat držitele.
Námi aktuálně dodávaný nový systém tyto prvky přitom bude v celém IDS integrovat již v základu a organizátorovi IDS a všem objednatelům zajistí zpětná data o dopravních výkonech v systému. Pro cestující je to dobré například právě na úrovni dispečinku, kdy se řidič jednoho dopravce snadno dozví, že by měl ještě pět minut počkat jako navazující spoj na zpožděný autobus jiného dopravce v IDS a podobně. Online se hlídají všechna koncová zařízení, aby nedocházelo například k tomu, že si řidič odnese z autobusu bedničku domu a bude zde kreditovat karty svým příbuzným. Nad tím vším je clearingový systém pro rozúčtování plateb mezi dopravce a card management systém pro samotnou správu karet a jejich možností.
Jaké máte plány na letošní rok?
Ideální případ je dostat se z úrovně krajů na nadkrajovou úroveň, chtěli bychom pro začátek propojit Moravskoslezský kraj, Královehradecký a Pardubický kraj a Olomoucký kraj jako takový pilot, kde by se mohlo ukázat, že interoperabilní kartové řešení v nadregionálním měřítku může fungovat a přináší značný užitek cestujícím i objednatelům veřejné dopravy.
Co si myslíte o údajném několikanásobném přecenění projektu Opencard během její dodávky?
Pouze uvedu, že projekt „Modernizace odbavovacího systému integrované dopravy Královéhradeckého a Pardubického kraje“, obsahuje dodání vybavení 650 autobusů, zařízení 20 kontaktních míst, clearingové centrum pro rozúčtování elektronické peněženky a přepravných výkonů, card management, terminal management, dispečink, revizorský systém a zařízení, celý dodáváme za cca 50 milionů. Kč. Zkuste si obě zakázka porovnat.
Děkuji za rozhovor.
