Deelnemende organisaties vragen ons soms of het is toegestaan beperkende maatregelen in te voeren voor gebruikers van govroam. Denk aan het presenteren van een webpagina na inloggen of het beperken van toegang tot clouddiensten. Het idee achter govroam, zoals ook vastgelegd in de overeenkomst met de aangesloten organisaties, is dat eindgebruikers na inloggen toegang krijgen tot ‘internet’. En omdat ‘internet’ nogal een breed begrip is, is het begrijpelijk dat elke organisatie dit anders interpreteert. Met andere woorden: wat verstaan we onder ‘het bieden van internet’ na de govroam-login?
Het bestuur van govroam definieert dit als volgt:
“Stichting govroam streeft naar het bieden van een confederatieve authenticatie-infrastructuur die veilige en open toegang tot internet biedt. Dat houdt in dat eindgebruikers in staat zijn om ongehinderd van alle diensten op internet gebruik te kunnen maken, met gebruikmaking van alle gangbare en toekomstige technieken. Daarbij wordt rekening gehouden met compatibiliteit. Toezicht op de toegang gebeurt uitsluitend op zodanige wijze dat aan Nederlandse wetgeving voldaan wordt.”
Open is niet altijd veilig
In deze definitie staan de begrippen ‘open’ en ‘veilig’ centraal. Omdat govroam voortkomt uit eduroam, en in de academische gemeenschap van eduroam het begrip ‘open’ hoog in het vaandel staat, is het uitgangspunt zo ongehinderd mogelijk toegang tot internet te bieden. Dat garandeert ook maximale compatibiliteit en voorspelbaarheid. Tegelijkertijd opereert govroam in een overheidsomgeving waar doorgaans primair naar risico’s gekeken wordt en dus al snel naar maatregelen wordt gezocht om deze in te perken.
Het risico op beperking van de eindgebruiker is dan groot. De kunst is om de mitigerende maatregelen zoals ‘slimme’ firewalls, webproxies en dergelijke zodanig in te zetten dat de eindgebruiker nog steeds toegang heeft tot legitieme diensten. Een actueel voorbeeld: audio- en videoverbindingen (MS Teams, Webex) komen soms niet tot stand omdat alleen webverkeer is toegestaan. Een ernstige beperking van de gebruiker die niet begrijpt waarom deze goedgekeurde diensten niet werken.
Met de opkomst van hybride werken zullen wifi-netwerken nog intensiever gebruikt worden en dus hogere bandbreedtes per gebruiker claimen. Wat govroam betreft ligt de oplossing niet in het beperken van internettoegang, maar het vormen van gedegen beleid en realistische dimensionering van wifi. Voor de eigen medewerkers, maar ook voor de govroamende collega’s elders. Volgens het federatieve principe verwachten uw medewerkers (vanzelfsprekend) dezelfde roaming kwaliteit binnen als buiten hun eigen organisatie.
Splash banner?
Een andere optie, een ‘splash banner’ of ‘captive portal’ presenteren na de govroam-authenticatie, is ook moeilijk te verenigen met het concept van open internet. Een eindgebruiker veronderstelt na authenticatie toegang tot internet te krijgen. En verwacht geen ‘splash banner’ zoals bij (onveilige) hotspots. Dit doet afbreuk aan de verwachting van betrouwbaarheid, een essentieel element binnen de keten van vertrouwen van govroam met haar deelnemers. De ‘captive’ pagina dwingt de eindgebruiker de gebruikersvoorwaarden goed te keuren. Maar deze goedkeuring is door alle aangesloten organisaties al geregeld in de acceptatie van de dienstverlening door hun medewerkers. Daarnaast kan de gebruikerservaring van de eindgebruiker in het gedrang komen als deze is geauthenticeerd via govroam, maar toch nog niet meteen gebruik kan maken van diensten zoals Teams en Webex. Vaak is dit pas mogelijk na een extra handeling, of is zelfs niet onmiddellijk duidelijk dat een extra handeling gevraagd wordt.
Voor en door overheid
Het is onmogelijk om een actuele lijst van ‘do’s en don’ts’ bij te houden, en Stichting govroam wil ook niet op de stoel van de uitvoerende organisaties gaan zitten. Daarom zullen we een algemene definitie van ‘open en veilig’ blijven hanteren. In de overtuiging dat deze op een zo gebruikersvriendelijke manier wordt geïnterpreteerd door de bouwers van de wifi-netwerken. Laten we samen werken aan veilig internet voor en door overheidsmedewerkers.
