Het Forum legt het dringend verzoek van de Stichting Privacy First en Publicroam (de commerciële dienst voor veilig en gebruiksvriendelijk gast-wifi) naast zich neer om die veilige standaard voor toegang tot gast-wifi te verplichten. Paul Korremans, voorzitter van Privacy First, is teleurgesteld dat het adviesorgaan van de overheid afziet van verplichtstelling. Volgens hem was het beter geweest als gemeenten en andere overheden een stok achter de deur hadden gehad. Nu kan elke organisatie zelf bepalen of en wanneer maatregelen worden genomen. Volgens Korremans zijn de openbare wifi-netwerken in sommige bibliotheken en andere openbare gebouwen zo lek als een mandje.
Positief is dat er nu een duidelijk advies ligt. Het Forum Standaardisatie heeft zijn voorkeur uitgesproken voor het gebruik van de standaard wpa2-enterprise. Deze standaard is verplicht voor wifi-toegang voor ambtenaren. Ook in het bedrijfsleven en het onderwijs wordt deze al veel toegepast.
Alternatief
Volgens Paul Francissen, oprichter van Publicroam, heeft het Forum lang getwijfeld over het al dan niet verplichten van wpa2. Een van de redenen om hiervan af te zien, is het bestaan van de alternatieve oplossing ppsk (personal private security key). Bij de entree van sommige openbare gebouwen staan zuiltjes waar gasten een uniek wachtwoord kunnen halen voor eenmalig gebruik.
Ppsk is echter geen open standaard. Bovendien is het volgens Francissen geen goedkope oplossing. Wpa2, waarop Publicroam is gebaseerd, werkt anders. Als de gebruiker eenmaal een gebruikersnaam en wachtwoord op een apparaat heeft ingevoerd, kan die via elk aangesloten publiek netwerk online gaan. Het apparaat controleert vervolgens of het netwerk waarmee verbinding wordt gezocht, veilig is. Francissen wuift bezwaren van het Forum weg dat deze methode voor veel bezoekers te ingewikkeld is. Zelf heeft Publicroam een app ontwikkeld die op het toestel het juiste wifi-profiel installeert.
Niet duur
Toch is Francissen wel blij met het advies van het Forum. ‘Overheden krijgen duidelijk de boodschap dat ze verantwoordelijk zijn voor het bieden van veilige toegang tot openbare wifi-netwerken. Onderstreept wordt dat dit helemaal niet zo moeilijk is dit te regelen. Bovendien zijn de oplossingen niet duur.’
Volgens Francissen zet het Forum wel een beweging op gang. Hij verwacht dat dit advies doorsijpelt naar de Security Baselines. Alle overheden werken met basisrichtlijnen voor de inrichting van een veilig netwerk. Bij de eerstvolgende inkoopronde wordt dan de wifi-leverancier al gauw gevraagd om te zorgen voor een beveiligd gastnetwerk’, aldus Francissen. Hij ziet op den duur dan ook gunstige effecten.
Reacties
Het staat een beetje verstopt op de website van Publicroam, maar ondanks de suggestieve naam is dit geen liefdadigheidsinstelling: "Wij zijn Publicroam B.V., gevestigd in Zeist aan de Driebergseweg 2 en ingeschreven bij de Kamer van Koophandel op nummer 70318433."
Publicroam had de aanbieders van alternatieve oplossingen natuurlijk graag buitenspel gezet met een verplichting van WPA2 Enterprise. Hun roamingdienst is een aantrekkelijke oplossing voor het identity&accessmanagement;-probleem dat ontstaat door een keuze voor WPA2 Enterprise voor incidentele gebruikers.
Eerste alinea, tweede regel en tussen haakjes staat al dat Publicroam een commerciële dienst is. Of ze, zoals John stelt, andere (alternatieve) aanbieders van roaming diensten proberen uit te sluiten weet ik niet maar wat betreft de privacy zou de Stichting Privacy First zich beter druk kunnen maken over wat er met de profielen gedaan wordt die via de WiFi-netwerken verkregen worden. Want als de alternatieve oplossing van Personal Private Security Key aanzienlijk minder impact heeft op de privacy dan lijkt mij dat een valide argument om hiervoor te kiezen. Want wat verzameld de app van Publicroam uiteindelijk allemaal aan informatie?
Bij wifi-roaming is privacy zeker een punt van aandacht. Op de site staat dit https://publicroam.nl/privacystatement/. Als er niks wordt gedaan met je data, dan zie ik geen problemen.
Je moet altijd kijken naar het verdienmodel van een commercieel bedrijf. Vragen ze geen geld van jou, en krijgen ze geen subsidie van een overheid omdat ze een nutsvoorziening aanbieden, dan kun je er van op aan dat ze geld verdienen met jouw data / online gedrag. Net zoals Google.
Ik schrijf dit terwijl ik op een gratis WiFi verbinding zit want ik zit eens een keertje in de kantine in plaats van in de jury. De exploitant is een sportbedrijf BV maar draait dus op gemeentelijke subsidie en ik zou er geen probleem mee hebben dat ik eenmalige code met beperkte gebruiksduur (ppsk) bij een kop koffie met appelgebak krijg. Ik heb meer moeite met het laten zien van mijn QR-code. Een security basesline voor netwerken is leuk maar het gaat erom welke gasten je toelaat.
Verdienmodellen waar iets van weinig waarde gekoppeld wordt is commercieel interessant. Middenstand zou bijvoorbeeld ook reclame kunnen maken op een landingsportaal. Hoeveel van de wachtende ouders die graag even wat anders gaan doen?