WPA2 Enterprise niet verplicht in openbare WiFi netwerken voor gastgebruik

Content

Forum Standaardisatie heeft op 9 juni 2021 besloten om de open standaard WPA2 Enterprise niet te verplichten voor door de overheid aangeboden openbare WiFi-gastnetwerken. In de toetsingsprocedure van de open standaard WPA2 enterprise bleek voor verplichting te weinig draagvlak. Bovendien is het marktaanbod van WPA2 Enterprise voor openbare WiFi-gastnetwerken onvoldoende ontwikkeld.

Forum Standaardisatie erkent de maatschappelijke waarde om ook WiFi-gastnetwerken te beveiligen, en roept op om ook gastnetwerken altijd veilig aan te bieden. Hoewel de open standaard WPA2 Enterprise daarvoor niet verplicht wordt, raadt Forum Standaardisatie wel aan om deze - of alternatieve oplossingen met een vergelijkbaar beveiligingsniveau - toe te passen in openbare WiFi-gastnetwerken.

WiFi-netwerken van de overheid moeten veilig zijn. De open standaard WPA2 Enterprise helpt om WiFi-netwerken op een veilige manier aan te bieden. WPA2 Enterprise staat sinds 2016 op de ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie en moet worden toegepast op besloten WiFi-netwerken die overheden bijvoorbeeld aan eigen medewerkers aanbieden.

Verzoek, toetsing en oordeel

Openbare Wifi-gastnetwerken zijn van de verplichting uitgezonderd. Medio 2020 deden stichting Privacy First en Publicroam B.V. een verzoek aan Forum Standaardisatie om die bestaande uitzondering te laten vervallen. Bij openbare WiFi-gastnetwerken gaat het bijvoorbeeld om het WiFi-netwerk voor het publiek aan de balie van een gemeente of Rijksdienst. Na een formele toetsing waarvan een expertonderzoek en openbare consultatie deel uitmaken, oordeelde het Forum Standaardisatie dat een overheids-brede verplichting van WPA2 Enterprise geen passend middel is voor openbare WiFi-gastnetwerken.

Twee punten waren doorslaggevend voor dit oordeel. De expertonderzoeken en de publieke consultatie gaven onvoldoende blijk van draagvlak onder overheden om WPA2 Enterprise te verplichten voor openbare WiFi gastnetwerken. Daarnaast kwam naar voren dat het marktaanbod om WPA2 Enterprise voor openbare WiFi-gastnetwerken op een interoperabele, leveranciersonafhankelijke, privacyvriendelijke manier te ondersteunen zich nog onvoldoende ontwikkeld heeft.

Vanuit het perspectief van interoperabiliteit en gebruiksgemak is een openbaar WiFi-gastnetwerk dat wordt aangeboden onder één WiFi-naam (SSID) aantrekkelijk. De gastgebruiker hoeft zich dan eenmalig te registreren en kan vervolgens bij alle aangesloten overheden gebruikmaken van het openbare WiFi-gastnetwerk. Een dergelijke roamingdienst stelt echter hoge eisen aan de leverancier of aan de federatie van leveranciers, omdat dit risico’s qua leveranciersafhankelijkheid en privacy met zich meebrengt.

Oproep tot gezamenlijk voorwaarden

Daarom roept Forum Standaardisatie de koepelorganisaties VNG (Realisatie), UvW, IPO en CIO Rijk op, om gezamenlijk voorwaarden te formuleren waaraan leveranciers van openbare WiFi-gastnetwerken met WPA2 Enterprise moeten voldoen. Het gaat met name om afspraken over interoperabiliteit, leveranciersonafhankelijkheid en privacy. Zulke afspraken bestaan nog niet maar zijn wel nodig voor een gezond marktaanbod.