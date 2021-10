Overheidsinstanties die een wifi-gastnetwerk aanbieden zijn niet verplicht om van WPA2 Enterprise gebruik te maken. Dat is de uitkomst van expertonderzoek, een publieke internetconsultatie en aanvullend onderzoek. Wanneer overheidsinstanties een wifi-netwerk aanbieden zijn ze verplicht om dit met WPA2 Enterprise te beveiligen. Deze standaard specificeert de beveiligingsmechanismen voor het tot stand brengen van toegang tot een wifi-netwerk.

Bij WPA2 Enterprise zijn drie partijen betrokken: de gebruiker, de identiteitsprovider en de serviceprovider. Wanneer een gebruiker verbinding maakt met het wifi-netwerk toetst de serviceprovider op basis van de inloggegevens bij de identiteitsprovider de identiteit van de gebruiker. De identiteitsprovider kan bijvoorbeeld de organisatie van de gebruiker zijn of een externe partij.

Daarnaast moet er bij het gebruik van WPA2 op de systemen van gebruikers die met het wifi-netwerk verbinding willen maken een certificaat worden geïnstalleerd. Elke gebruiker krijgt zo een eigen versleutelde verbinding. Er is geen gedeeld wifi-wachtwoord. Iets waarmee WPA2 Enterprise zich onderscheidt van WPA2 Personal, waarbij alle gebruikers wel hetzelfde wachtwoord gebruiken.

WPA2 Enterprise staat sinds 2016 op de 'pas toe of leg uit'-lijst van het Forum Standaardisatie. Deze lijst bevat de verplichte open standaarden voor de publieke sector. Op de lijst is WPA2 Enterprise als verplicht onderdeel van wifi-netwerken van Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector opgenomen. "Met uitzondering van openbare netwerken voor gastgebruik", zo laat de uitleg weten.

In mei 2020 dienden de Stichting Privacy First en Publicroam een verzoek in om de uitzondering voor gastnetwerken uit het functioneel toepassingsgebied te laten vallen. Daarop volgden een expertonderzoek, een publieke internetconsultatie en een vervolgonderzoek. Hieruit kwam naar voren dat er onvoldoende draagvlak bij de overheid is voor het verplichten van WPA2 Enterprise voor openbare gastnetwerken.

Bezwaar

Stichting Privacy First en Publicroam tekenden bezwaar aan tegen het uitgevoerde vervolgonderzoek en het negatieve conceptadvies van het Forum Standaardisatie. Ze vonden dat er een betere afweging moest worden gemaakt tussen de technische uitdagingen en het maatschappelijke belang van veilig wifi in openbare ruimten op basis van een open standaard. "Hierbij moet worden aangetekend dat Publicroam als aanbieder van Identity Provider diensten commercieel belang kan hebben bij het verplichten van WPA2 Enterprise voor gastnetwerken", aldus het Forum Standaardisatie in een notitie (pdf).

Dat adviseert inmiddels op de eigen website om ook openbare wifi-netwerken voor gastgebruik altijd op een veilige manier aan te bieden. "Denk bijvoorbeeld aan de openbare gastnetwerken bij de balie van rijksdiensten en gemeenten. Hoewel WPA2 Enterprise niet verplicht hoeft worden toegepast op openbare WiFi gastnetwerken, beveelt Forum Standaardisatie WPA2 Enterprise standaard ook voor deze toepassing aan."

Wel worden koepelorganisaties opgeroepen om duidelijke voorwaarden op te stellen waaraan leveranciers van authenticatiemechanismen voor wifi-netwerken met WPA2 Enterprise moeten voldoen. Het gaat met name om afspraken over privacy, leveranciersonafhankelijkheid en interoperabiliteit.