Medewerkers en bestuurders van waterschappen kunnen door ‘govroam’ - een samenstelling van ‘gov’ (government) en ‘roam’ (roaming) - op alle deelnemende locaties binnen de overheid veilig en probleemloos inloggen bij (WiFi)-netwerken.
Dat meldden het Waterschapshuis en Stichting Govroam onlangs via Computable. Govroam is een initiatief van en vóór de overheid. Met govroam kiest de bezoeker één keer uit de lijst van op govroam aangesloten wifi-netwerken, voert de gebruikersnaam en wachtwoord van de eigen overheidsorganisatie in en is voortaan automatisch online. Een belangrijke stap om veilige communicatie via digitale netwerken vorm te geven. In deze blog lichten we de veiligheidsmechanismen binnen ICT-netwerken toe, en hoe govroam daar op kan aansluiten.
Uitdagingen ICT-beveiliging
Iedereen wil eenvoudig, overal, met elk apparaat en op elke tijd communiceren over het beschikbare ICT-netwerk van de locatie waar hij/zij op dat moment aan het werk is. Voor medewerkers van de waterschappen is dat zelfs onontbeerlijk voor het goed en efficiënt kunnen uitvoeren van hun werk. Dit geeft meerdere uitdagingen voor de veiligheid van de communicatie over de netwerken van de waterschappen. Tot voorheen vond men gecontroleerde toegang aan de buitenkant van het netwerk en/of het gebouw al afdoende. Binnen die grens was alles mogelijk en was het ‘veilig’ om gebruik te maken van alle middelen. In de praktijk is echter gebleken dat meer dan 50% van de security-incidenten van binnen de organisatie komt. Hierdoor is ook de interne beveiliging veel belangrijker geworden. Dit betekent onder andere dat de interne ICT-infrastructuur ook veiliger gemaakt moeten worden. Zeker omdat organisaties vaak meerdere netwerken gebruiken die niet los van elkaar staan.
Autorisatie en authenticatie
Een gangbare methode om ICT-infrastructuren veiliger te maken is door de ICT-communicatie te controleren op autorisatie (wat mag) en authenticatie (wie). Met autorisatie wordt zorggedragen dat iemand alleen bij zijn relevante, afgebakende informatie en ICT-middelen kan en mag. Denk aan de scheiding tussen een bepaalde afdeling en de trainingsomgeving en wel of geen toegang tot internet, servers, productienetwerk en bestanden. Authenticatie gaat over de persoonscontrole. Op veel werkplekken loggen medewerkers in door middel van een usernaam en wachtwoord op een centrale server (bijvoorbeeld een Microsoft server) binnen de eigen organisatie.
Meerdere log-ins om netwerken veiliger te maken
Het inzetten van autorisatie en authenticatie is echter alleen afdoende voor het scheiden van toegang tot bestanden en programma’s (software). Het onderliggende ICT-netwerk (LAN, WAN, etcetera) is daarmee nog niet beveiligd. Daarvoor zijn andere maatregelen nodig. In de praktijk blijkt dat deze niet altijd even goed zijn toegepast. Soms is namelijk een cascade aan log-ins ingesteld, wat niet erg gebruiksvriendelijk is. Zo komt het nogal eens voor dat medewerkers eerst moeten inloggen op Wifi, dan op de firewall en dan in Microsoft. Ook zie je wel eens dat alle servers een eigen login vereisen. En herhaaldelijk moeten inloggen, kost medewerkers onnodig veel tijd. Zeker wanneer ze, ook vanuit veiligheidsoogpunt, steeds verschillende wachtwoorden moeten gebruiken. En niet alle medewerkers weten die zich altijd even goed te herinneren…
Veilig en gebruiksvriendelijk inloggen met single sign-on
Dit kan ook anders worden opgelost. Met een centrale authenticatieserver kan door één enkele inlogactie toegang worden gegeven aan alle onderliggende ICT-middelen. Dit staat bekend als ‘single sign-on’. Hiervoor is een server nodig die samenwerkt met alle verschillende ICT-middelen zoals LAN, Wifi, firewall, diverse verschillende servers en eventueel ook de communicatiemogelijkheden naar buiten (wel of geen internet, of eventueel met beperkingen). Omdat er nog maar op één plaats gebruikersbeheer nodig is, is zo’n ICT-omgeving eenvoudig beheersbaar voor de ICT-organisatie.
Single sign-on op de eigen werkplek met govroam
Met vele diensten op het gebied van Wireless LAN, security, werkplek en cloudgebaseerde diensten, sluit KPN aan op de single sign-on mogelijkheden van uw Radius-server. Govroam sluit hier ook op aan. Zo wordt het zeer eenvoudig om op een veilige manier de authenticatie en autorisatie af te handelen met de ‘eigen’ Radius-omgeving van de eindgebruiker, vanaf elke aangesloten (semi-)overheidslocatie. De eindgebruiker hoeft nog maar 1 keer in te loggen om toegang te krijgen tot de lokale ICT-middelen.
Nu ook makkelijk en veilig inloggen op andere locaties
Maar hoe werkt dit dan buiten de eigen werkomgeving? Een eindgebruiker die op locatie werkt bij een andere, op govroam aangesloten overheidsinstelling, sluit zijn ICT-device aan op het Local Area Network (LAN). Dit lokale netwerk brengt (draadloos of bedraad) de benodigde verbindingen tot stand. De moderne LAN-netwerken die KPN kan leveren, ondersteunen de 802.1x methodiek die veilige toegang en autorisatie naadloos, en voor de eindgebruiker niet merkbaar, integreert. Zo heeft een eindgebruiker geen toegang tot het netwerk van de gastlocatie voordat de autorisatie en authenticatie heeft plaatsgevonden door de centrale server van de eigen organisatie waar de eindgebruiker in dienst is. Als de medewerker succesvol is ingelogd, kunnen ook meteen de benodigde onderliggende scheidingen en instellingen in de ICT-omgeving voor die eindgebruiker automatisch worden opgezet.
Conclusie: met govroam en KPN wordt werken makkelijker
Voor de medewerkers van op govroam aangesloten overheidsorganisaties kost inloggen om te kunnen werken voortaan minder moeite en frustratie. KPN sluit daar met al haar kennis van ICT en de overheid waaronder waterschappen, naadloos op aan met haar dienstverlening en oplossingen. Met govroam en KPN wordt werken dus veel makkelijker.
Meer weten
Meer informatie over govroam en wat KPN hierin voor u kan betekenen?
Neem contact met mij op
