Med en global utvikling mot stadig flere smarte bygg og smarte byer hvor sensorer fanger opp hendelser og hvor identiteter og annen data samles inn, lagres og analyseres for å effektivisere drift og prosesser på ulike måter. Mulighetene er uendelige, men det er også sant at sårbarhetene øker etter hvert som IoT-fellesskapet utvides.
For kritisk infrastruktur er det spesielt alvorlig. Derfor har EU-landenes felles cybersikkerhetsbyrå Enisa lansert NIS, direktivet om sikkerhet i nettverk og informasjonssystemer, som stiller krav til sikkerhet i nettverk og informasjonssystemer. NIS-loven omfatter alle virksomheter som leverer samfunnsviktige tjenester og enkelte digitale tjenester omfattet av NIS-loven.
Forskjellen mellom GDPR og NIS
At NIS-samsvaret vil bli strammet inn via lovgivning bringer tankene til implementeringen av GDPR. Forskjellen er imidlertid at NIS er et EU-direktiv med mål om å øke Europas motstandskraft mot cyberangrep ved å beskytte IT-systemer og infrastruktur. Formålet med GDPR er å beskytte personopplysninger.
En annen forskjell er at GDPR er en EU-forordning som kan brukes direkte i medlemslandenes rettssystem, mens NIS er et direktiv som brukes av hvert medlemsland som innfører lokale lover i de lokale rettssystemene.
Viktig sikkerhetsproblem
I intervjuer og i debattartikler har Robert Jansson tatt opp viktigheten av at leverandører og brukere av systemer for ID-håndtering og adgangskontroll begynner å diskutere NIS. På den nylige sikkerhetsutstillingen i Stockholm – Skydd – deltok han i en paneldiskusjon om temaet.
– Sikkerhetsbransjens aktører innen adgangskontroll må starte reisen nå. Ikke-NIS-kompatible adgangskontrollsystemer er et viktig sikkerhetsspørsmål, ikke bare for industrien, men for samfunnet for øvrig, sier han.
– NIS-direktivet vil heve EU-landenes beskyttelsesnivå med hensyn til samfunnskritisk infrastruktur. Derfor blir direktivet lov i Sverige og andre EU-land i 2025, sier han videre.
Franskt initiativ bak NIS
Stid Securitys tunge engasjement i NIS har en historisk bakgrunn. Stid Security er en fransk produsent og utvikler av smarte identifiseringsløsninger og det var i Frankrike hvor arbeidet med å beskytte personlig identitet startet, ifølge Robert Jansson.
– Det fantes allerede nasjonal lovgivning om identitetsbeskyttelse, lenge før GDPR ble lov i EU-land. Det var også franske myndigheter som ønsket å lage en ordre som klargjorde hvordan ulike systemer blir GDPR-kompatible, sier Robert Jansson.
– Det franske cybersikkerhetsbyrået Agence Nationale de la Sécurité des Systèmes d'information (Anssi) fikk i oppdrag å lage en standard som beskriver i klare trinn hvordan man bygger systemer som sikrer beskyttelse av personlig identitet.
GDPR alene er ikke nok
Robert Jansson fremhever behovet for NIS-direktivet ved å gi et eksempel på et selskap som har en biometrisk løsning for adgangskontroll.
– Den biometriske signaturen er lagret i en maskinvare, et system eller i skyen. Leverandøren hevder at løsningen er trygg og godkjent da den er kryptert og ingen kan lese informasjonen som er lagret i et EU-land. I tillegg er produsenten eller leverandøren av løsningen et kjent selskap hjemmehørende i et EU-land. Det høres kanskje trygt ut, men det er det ikke, sier han.
– Det viktige er hvem som har tilgang til nøkkelen. Hvis løsningen selges til et selskap som er ganske uinteressert i den europeiske GDPR-lovgivningen, så har de tilgang til brukernes biometriske verdier, det vil si identiteten.
I verste fall kan folks biometriske data kjøpes av høystbydende og brukes på en måte som ikke er forenlig med europeisk lovgivning og etiske retningslinjer.
NIS komplementerer GDPR
NIS skal innføres i januar 2023 og alle land har da to år på seg til å implementere hva direktivet krever før NIS blir lov i 2025.
– NIS klargjør hvordan identiteter i et passersystem kan og må beskyttes. Eksemplet med den biometriske signaturen er bare en variant av hvordan identiteter i et passersystem kan fungere, sier Robert Jansson.
Dialog er viktig
I Sverige virker ikke leverandørene av adgangskontroll overdrevet interessert i å diskutere NIS offentlig. Jansson antyder hvorfor det kan være slik.
– Kanskje er det fordi du har utilstrekkelig kunnskap og at du er sent i prosessen. Jeg håper dette ikke er tilfelle. En åpen dialog mellom oss leverandører hvor vi diskuterer veien videre mot NIS-kompatible løsninger for systemer som håndterer ID og tilgangskontroll bør være en selvfølge, sier Rober Jansson, som mener at Stid Security har mye å tilby i en slik dialog.
– Vi har fulgt hele utviklingen av NIS-direktivet og gjort teknologien tilgjengelig gjennom den europeiske organisasjonen SPAC på SPACs nettside. Alt som kreves for teknisk å overholde loven og administrere alle flyter av identiteter og identitetsrelatert informasjon kan lastes ned gratis der.
SPAC-organisasjonen representerer europeisk teknologi og standarder og jobber for å sikre identitetsrelatert informasjon.