What’s next @ SURFconext: buzzwords, vergezichten en praktische bezwaren

SURFconext is altijd in ontwikkeling. Het jaarlijkse seminar ‘What’s Next @ SURFconext‘ gaat over de stand van zaken en de toekomstplannen rondom SURFconext, maar vooral biedt het instellingen de mogelijkheid om hun wensen en verwachtingen ten opzichte van SURFconext uit te spreken.

Huidige ontwikkelingen

What’s Next @ SURFconext vindt plaats op woensdag 2 november bij SURFnet. Het volle ochtendprogramma, op video vastgelegd, biedt een overzicht van alle ontwikkelingen rondom SURFconext. De bezoekers luisteren met gespitste oren om woorden op de buzzword bingo-kaart af te kunnen strepen.

Het gaat goed met SURFconext. Sinds januari 2016 zijn er al 53 miljoen logins geweest, waarmee het record van vorig jaar al is verbroken. Een nieuwe infrastructuur maakt SURFconext minder kwetsbaar voor storingen. Een handvol instellingen maakt al intensief gebruik van Sterke Authenticatie. De ambitie voor 2017 is om dit aantal flink uit te breiden. De nieuwe Autorisatieregels, die ervoor zorgen dat instelling zelf fijnmaziger diensten beschikbaar kunnen stellen aan een bepaalde gebruikersgroep, zijn in werking getreden. Op het gebied van contracten, afspraken en samenwerking wordt hard gewerkt, om te voorkomen dat instellingen de deur dichthouden en gebruikers voor alternatieve oplossingen kiezen, zoals logins via Facebook.

Vergezicht

Inspirerend is het vergezicht dat SURFnet-CTO Erik Huizer schetst. Momenteel zitten studenten en medewerkers vast aan de instelling, die hun digitale identiteit uitgeeft en voorziet van attributen (kenmerken van een gebruiker, bijvoorbeeld ‘student’ of ‘medewerker’, waarmee onder andere iemands toegangsrechten tot diensten kunnen worden bepaald). Dat is niet altijd even handig in een tijd van internationale samenwerkingen en een leven lang leren. SURFnet wil toe naar één veilige identiteit, die de gebruiker zelf kan beheren en overal kan gebruiken, bijvoorbeeld bij het volgen van losse vakken aan andere instellingen. Met hetzelfde ID moet het mogelijk zijn om verschillende rechten te krijgen, afhankelijk van de rol van de gebruiker (‘student aan instelling X/ onderzoeker bij instelling Y’). Instellingen zouden dan alleen nog attributen aanleveren. Om dit mogelijk te maken, moet iedereen zo snel mogelijk aan de sterke authenticatie, waarschuwt Huizer. Voor de privacy van de gebruiker kan meer gebruik gemaakt worden van nieuwe technieken als polymorfe encryptie en pseudonimisering. Heeft er al iemand bingo?

Surfconext bingo

Behoeften van de instellingen

Het middagprogramma draait om de wensen en verwachtingen van de instellingen. De bezoekers dragen zelf een deel van onderwerpen aan. Populair is een sessie die nader ingaat op het toekomstbeeld van Huizer. Om een leven lang leren te ondersteunen, is er behoefte aan een overdraagbaar onderwijspseudoniem. Hiermee zouden gegevens met behoud van privacy van de ene instelling naar de andere kunnen worden doorgegeven, met mogelijk een rol voor SURFconext om het vertrouwen te vergroten in de attributen van de ander. SURFnet heeft onderzoek gedaan naar reeds bestaande nummers die momenteel van burgers in omloop zijn en naar het wettelijke kader. Je kunt dergelijke nummers natuurlijk niet zomaar voor een ander doel inzetten. De uitdaging is om een onderwijspseudoniem te ontwerpen dat breed bruikbaar is, dat door meerdere Service Providers op dezelfde manier wordt geïnterpreteerd en dat privacy-vriendelijk is.

De technieken om de gebruiker zelf eigenaar te maken van zijn digitale identiteit staan op de radar van SURFnet. Dat een student hier in de praktijk nog weinig te zeggen heeft, hangt samen met de manier waarop het Nederlandse onderwijs wordt bekostigd. Zolang instellingen geld krijgen aan de hand van het aantal afgestudeerde studenten, is niemand bereid om het identiteitsbeheer van de studenten los te laten. Eigenlijk moet alles op de schop, concludeert de groep, om tegelijk vast te stellen dat het niet de ambitie moet zijn om álle problemen in het Nederlandse onderwijssysteem op te lossen. Eerst maar eens kijken naar concrete use cases van onderwijsinstellingen die intensief samenwerken en de problemen waar zij tegenaan lopen.

Vragen over sterke authenticatie

Ook de sessie over SURFconext sterke authenticatie trekt veel nieuwsgierigen. Bij sterke authenticatie, of tweefactor authenticatie, is er naast de instellingsgegevens (bijv. gebruikersnaam en wachtwoord) een extra authenticatiemiddel nodig, zoals een sms op een vooraf geregistreerde telefoon. Er leven nog veel vragen. Kan er bijvoorbeeld een onderscheid worden gemaakt tussen gebruikers uit het eigen netwerk en daarbuiten? Op dit moment gebeurt de risico-afweging of sterke authenticatie vereist is op basis van de data die de gebruiker probeert te benaderen, niet op basis van zijn locatie.

En wat als meerdere samenwerkende instellingen van dezelfde dienst gebruikmaken? Het kan best zo zijn dat gebruikers van de ene instelling met een gebruikersnaam en wachtwoord gebruikmaken van de dienst, terwijl gebruikers van de andere instelling eerst een token moeten laten registreren voordat ze binnen komen.

De eerste best practices gaan over beperkte groepen medewerkers, niet over complete instituten. De eerste instellingen gebruiken SURFconext Sterke Authenticatie nu voor beperkte groepen medewerkers, nog niet voor hun complete instelling. Maar dat gaat veranderen. Binnenkort moeten alle medewerkers van een van de onderwijsinstellingen gebruikmaken van SURFconext sterke authenticatie om hun loonstrookje in te kunnen zien.

Eén identiteit?

In de grote zaal hangen zeven stellingen. Ze zijn afkomstig uit het visiedocument over IAA (identificatie, authenticatie, autorisatie) dat in de maak is. Met behulp van onvermijdelijke post-its kunnen bezoekers commentaar toevoegen. Eén stelling gaat al snel schuil onder een woud van gekleurde papiertjes. Er is nog net te lezen dat gebruikers in toenemende mate hun eigen identiteit naar het onderwijs en onderzoek zullen meenemen. Dat levert de nodige discussie op. Wanneer is een externe identiteit betrouwbaar genoeg? Heeft SURFnet The Circle van Dave Eggers wel gelezen? Wat is de verantwoordelijkheid van de ICT-afdeling als het gaat om het opvoeden van luie gebruikers, die het liefst overal hun Facebook-account voor gebruiken? De conclusie van de dag zou best kunnen luiden: ondanks de vele uitdagingen is het onvermijdelijk dat de gebruiker op den duur eigenaar wordt van zijn eigen digitale identiteit. Aan SURFnet de taak om te zorgen dat dit veilig, betrouwbaar en met behoud van privacy gebeurt.

Author

Comments

Dit artikel heeft 0 reacties