Niet zeker dat gastwifi betere beveiliging krijgt

Nederlandse gemeenten gaan voor hun draadloze gastnetwerken niet per sé overstappen op de betere beveiliging van WPA2-Enterprise. Toepassing daarvan is vorige maand wel toegevoegd aan de formele verplichting voor veilige gemeentewifi, maar dan slechts als advies. De VNG lijkt niet optimistisch over omarming.

Afweging

'Gemeenten moeten de risico’s afwegen tegen bijvoorbeeld de gebruiksvriendelijkheid. We willen niet dat inwoners zich moeten registreren om wifi te kunnen gebruiken', laat de woordvoerder van de Vereniging van Nederlandse Gemeenten weten. Hij antwoordt op vragen van AG Connect over het formele advies van het Forum Standaardisatie om WPA2-Enterprise-versleuteling ook toe te passen op openbare wifi-netwerken bij overheden.

Onveilige wifi

Het advies om óók voor open gast-wifi de beveiliging van WPA2-Enterprise te gebruiken, geldt voor alle publieke en semipublieke instellingen in Nederland. Privacy First stelt dat dit impact heeft op duizenden wifi-netwerken. Publicroam spreekt van een soort afronding van het onderwerp van onveilige wifi bij gemeenten, waar AG Connect in juni vorig jaar al over schreef.

Onderscheppen
Toen bleek namelijk uit een inventarisatie die door Publicroam was uitgevoerd onder 281 gemeenten dat het slecht gesteld is met de beveiliging van draadloze netwerken. Bijna 80 procent van de Nederlandse gemeenten biedt bezoekers een onveilige wifi-verbinding aan. Gemeentelijke wifi-netwerken zijn na te bootsen en dataverkeer kan worden onderschept.

Pas toe of leg uit
Het Forum Standaardisatie heeft in reactie hierop een onderzoek in gang gezet. Dat heeft vorige maand het formele eindadvies opgeleverd dat WPA2-Enterprise niet alleen nodig is voor interne wifi-netwerken maar ook voor extern gerichte. Intern gebruik van de betere wifi-beveiliging is een vereiste; het staat als verplicht item op de lijst van open standaarden voor overheidsorganisaties. Zij moeten het dan toepassen, óf een goede uitleg geven waarom ze dat niet doen. WPA2-Enterprise voor gast-wifi is als aanvulling daar nu aan toegevoegd, alleen dus niet als verplichting maar als advies.

Niet altijd opgevolgd
Paul Francissen van Publicroam is in een reactie aan AG Connect positief hierover. Hij erkent dat het slechts om een advies gaat, maar merkt op dat verplichtingen van het Forum Standaardisatie ook niet altijd worden opgevolgd. Hij noemt als voorbeelden IPv6 en toegankelijkheid - waarbij dat laatste kan slaan op websites van overheden maar ook op apps voor burgers.

Call to action
Aan die nuancering voegt Francissen toe dat het hier om een uniek advies gaat. Het Forum heeft volgens hem namelijk goed gekeken naar veelgebruikte technische oplossingen voor publiekswifi bij de overheid. 'Nooit eerder heeft een gerenommeerde commissie een dergelijk advies gegeven. En het is ook niet zomaar een advies. Overheidsorganisaties zijn zelfstandig verantwoordelijk voor ict-veiligheid. Met dit advies weten ze dat de veelgebruikte oplossingen (open wifi, gedeeld wachtwoord) niet veilig zijn en dat je beter een andere oplossing kunt kiezen. Dus het is een "call to action".'

Niet verplicht
Van een afronding zoals Publicroam het stelt, lijkt vooralsnog echter geen sprake te zijn. De VNG merkt in de reactie aan AG Connect terecht op dat gebruik van WPA2-Enterprise niet verplicht is. 'Voor gemeenten geldt dat gastennetwerken op een andere manier gebruikt worden dan bijvoorbeeld een ministerie.' De woordvoerder haalt daarbij dus ook de gebruiksvriendelijkheid richting burgers aan.

'Niet zinvol'
Bovendien lijkt het erop dat een verplichting - in plaats van een advies - voor betere wifi-beveiliging ook niet zomaar voor omarming zorgt. 'Een verplichting zou bij gemeenten tot heel veel 'leg-uit' leiden, en weinig 'pas-toe'', verklaart de woordvoerder. 'Gemeenten vonden het daarom niet zinvol om de verplichting voor WPA-2 Enterprise uit te breiden naar gastennetwerken.'

Veiligheid borgen
Of en wanneer gemeenten het advies gaan opvolgen, hangt dus nog in de lucht. Het is ook aan iedere gemeente voor zich om dit wel of niet te doen. In antwoord op vragen of de VNG hierin het voortouw gaat nemen, volgt een indirecte afwijzing. 'Gemeenten moeten vooral op andere manieren [dan met gebruikersregistratie, zoals via WPA2-Enterprise - red.] de veiligheid van hun gastennetwerk borgen. Hoe ze dat doen, is aan de individuele gemeente. We hebben geen signalen dat daar problemen bij ontstaan.'

Update: verduidelijkt dat het in de laatste alinea bij 'op andere manieren' gaat om registratie van gasten voor wifinetwerken.

Dit bericht komt van AG Connect