Surfnet biedt gebruikers van zijn cloudplatform SurfConext vanaf augustus 2015 two-factor authenticatie aan. De leverancier van ict-oplossingen voor het onderwijs heeft de authenticatievorm zelf ontwikkeld. De keuze voor het verplicht stellen van de dubbele authenticatie ligt bij de leveranciers van clouddiensten of de instellingen. Surfnet reageert hiermee naar eigen zeggen op behoeften vanuit de onderwijs- en onderzoeksinstellingen.
In het najaar van 2012 begon Surfnet met een architectuurstudie naar een sterkere authenticatiemethode. De conclusie hiervan was dat er vanuit onderwijs- en onderzoeksinstellingen behoefte was aan een centrale oplossing voor sterke authenticatie. Nadat de ict-leverancier aan marktpartijen hadden gevraagd of zij dat konden faciliteren, kwam het bedrijf erachter dat het aanbod niet overeenkwam met de vraag vanuit onderwijs- en onderzoeksinstellingen. Projectleider Eefje van der Harst zegt hierover dat partijen uit de markt heel goed multi-factor authenticatie kunnen realiseren voor één enterprise, maar minder goed voor een groter ecosysteem. ‘En een dergelijk groter ecosysteem is wel waar onderwijsinstellingen mee te maken hebben.’
Om die reden besloot Surfnet om de two-factor authenticatie-oplossing zelf te ontwikkelen. ‘Vorig jaar april begonnen we met een werkend prototype’, zegt Van der Harst. ‘Na de pilot was iedereen erg tevreden over de werking. Er waren enkel wat kleine aanpassingen, zoals het user interface design.’ Hoewel het prototype goed werkte, was het nog niet klaar voor productie. Daarom bouwde Surfnet de uiteindelijke versie van de grond af op. Eind maart was de eerste bèta-release en per augustus is de authenticatiemethode voor alle klanten beschikbaar gesteld.
De optie van two-factor authenticatie kan vanuit twee kanten verplicht worden gesteld. Enerzijds kan de leverancier van de clouddiensten bepalen dat zijn diensten verplicht two-factor authenticatie nodig hebben. Anderzijds kan dit ook door de onderwijsinstelling zelf per dienst worden bepaald. Van der Harst verwacht dat de inzet van two-factor authenticatie eerder vanuit de onderwijsinstellingen zal komen dan vanuit de clouddienstleveranciers. ‘De onderwijsinstellingen hebben het grootste belang bij de veiligheid van de data die zij opslaan. Leveranciers zullen de drempel voor het gebruik van hun diensten zo laag mogelijk willen houden.’
Werking SurfConext authenticatie
Om de two-factor authenticatie te activeren moeten gebruikers van SurfConext (studenten, onderzoekers en medewerkers) hun token, zoals een mobiel of usb-sleutel, registreren op een registratieportal. Daarna moet hun identiteit worden gecontroleerd bij de servicedesk van de instelling. Na deze controle activeert de servicedesk de telefoon of usb-sleutel en kan er worden ingelogd op de beveiligde diensten.
Wanneer gebruikers inloggen op SurfConext kunnen zij in eerste instantie op de normale manier inloggen (met hun instellingsaccount en wachtwoord) om toegang te krijgen tot de diensten. Wanneer zij toegang willen krijgen tot een extra beveiligde dienst, moeten zij door middel van two-factor authenticatie inloggen, legt Van der Harst uit. Zij moeten dan een tweede maal authenticeren met sms, de usb-sleutel Yubikey of de app tiqr. Dit extra authenticatiemiddel is centraal geregeld, waardoor het toepasbaar is voor meerdere diensten. De nieuwe authenticatiemethode is beschikbaar voor alle cloudapplicaties die op basis van het SAML2.0-protocol zijn gekoppeld aan SurfConext.
Persoonlijke gegevens beveiligen
Volgens Surfnet-algemeen directeur Erwin Bleumink neemt het belang van goede security alsmaar toe bij onderwijs- en onderzoeksinstellingen, omdat er steeds meer data wordt opgeslagen in de cloud. ‘Sommige instellingen probeerden het zelf voor hun diensten te organiseren, maar dat is complex en zeer kostbaar. Daarom hebben wij de handschoen opgepakt.’ Extra beveiliging is bijvoorbeeld gewenst bij diensten waarbij de gevolgen van een beveiligingsincident groot zijn, zoals bij diensten als studentinformatiesystemen, applicaties met patentgevoelige onderzoeksdata en privacygevoelige patiëntinformatie.
Is het niet veel beter om echt te beveiligen zaken om te beginnen -NIET- in de cloud te zetten? En daarna pas als in het artikel beschreven.