Ondanks alle aandacht voor cyberveiligheid blijkt ten minste 78 procent van de Nederlandse gemeenten een onveilige gastwifi-variant te gebruiken. Hierbij kan het dataverkeer van burgers worden afgeluisterd en het gemeentelijke wifi-netwerk kan eenvoudig worden nagebootst. Op 24 juni jl. besloot het Forum Standaardisatie dat zij gaat onderzoeken of veiligere standaarden voor openbaar wifi bij de overheid verplicht gesteld moeten worden. Stichting Privacy First diende hiertoe eerder een voorstel in.

 

Slecht gesteld

Dat het slecht gesteld is met de veiligheid van de gemeentelijke gastwifi’s blijkt uit een recente inventarisatie van Paul Francissen van publicroam. Hij stuurde een persoonlijke mail aan alle 355 gemeenten met de vraag of er wifi is en hoe je erop kunt. Ruim 280 gemeenten gaven antwoord. Van hen gaf 43% aan dat zij gastwifi bieden zonder wachtwoordbeveiliging. Eenderde biedt toegang met een wachtwoord dat voor iedereen hetzelfde is en daarmee inherent onveilig. Een kleine groep (5%) biedt een robuuste beveiliging op basis van een persoonlijke gebruikersnaam en wachtwoord. Bijzonder was dat 25 gemeenten het wifi-wachtwoord ongevraagd per mail toestuurden.

Veiligheidsissues

De veiligheid van gastwifi is al jaren een punt van zorg. Gemeentelijke wifi-netwerken zonder wachtwoordbeveiliging of met een algemeen bekend wachtwoord, maken bezoekers kwetsbaar voor hackers. Het wifi-verkeer is dan niet versleuteld waardoor het afgeluisterd kan worden. Bovendien kan het gastwifi nagebootst worden, bijvoorbeeld op een terrasje. Je denkt dan dat je verbindt met het wifi van een gemeente, maar in werkelijkheid verbindt jouw apparaat met de hacker. Vaak vanzelf, zonder dat je het in de gaten hebt.

Verantwoordelijkheid

De huidige situatie bij veel gemeenten dwingt gebruikers van gastwifi om zélf veiligheidsmaatregelen te treffen. Dit is niet in lijn met het overheidsbeleid. In de Agenda Digitaal Beter hebben overheden gezamenlijk afgesproken om zorg te dragen voor veilige diensten aan alle burgers. De Nationale Ombudsman onderstreepte eerder al in haar Ombudsvisie dat die verantwoordelijkheid niet neergelegd kan worden bij de burger.

Oplossing

Inmiddels biedt een aantal gemeenten, zoals Amsterdam, Den Haag, Alkmaar en Heerlen, wel een veilige oplossing. Zij maken hiervoor gebruik van wifi-roaming. Dit geeft gebruikers met één persoonlijk account toegang tot vele wifi-netwerken. Voorbeelden in Nederland zijn; eduroam voor studenten, govroam voor ambtenaren en publicroam voor het publiek. Wifi-roaming biedt bovendien meer gebruiksgemak doordat apparaten automatisch verbinden. De recente adoptie van het OpenRoaming Framework door de Wireless Broadband Alliance (WBA) geeft wereldwijd een impuls aan wifi-roaming.

Verplichting

Het Forum Standaardisatie, overheids-adviescommissie open standaarden, heeft op 24 juni besloten dat zij komende maanden gaat onderzoeken of er een verplichting moet komen voor veilig overheidswifi voor burgers. Stichting Privacy First heeft hiertoe eerder een voorstel ingediend, samen met publicroam. Een dergelijke verplichting bestaat al voor de interne wifi-netwerken bij de overheid. Dit najaar start een formele procedure waarin het Forum experts zal consulteren.