I sine løsninger støtter Seriline integrasjon med IoT-systemer og skybaserte plattformer. Derfor kan produktene deres brukes til for eksempel å koble sammen ulike bygningsautomasjonssystemer med sikkerhetsløsninger. På denne måten oppnås både energioptimalisering og sikkerhet, som er sentralt for å skape funksjonelle og trygge smartbyer.
Freddie Parrman har vært en del av IAM-markedet gjennom 2000-tallet og hans perspektiv på utviklingen er derfor et godt utgangspunkt for intervjuet.
Hvorfor har viktigheten av ID-håndtering økt så dramatisk de siste årene?
– Etter hvert som flere enheter og systemer er koblet sammen, har ID-håndtering blitt den kanskje viktigste faktoren i et sikkerhetssystem. IoT krever at identiteten til både mennesker og ting kan verifiseres og beskyttes, noe som krever et system som sikkert kan koble sammen ulike systemer. Det er her vi i Seriline kommer inn og spiller en stadig større rolle i sikkerhetsbransjen.
Hvordan har kundenes forventninger til ID-håndteringsløsninger endret seg?
– I dag forventer kundene mye mer enn bare å få et sikkerhetssystem. Automatiserte prosesser og redusert administrasjon er noe som våre kunder setter høyt. I tillegg til sikkerhet handler ID-håndtering om å effektivisere driften. Ved å automatisere identitetskontrollen skaper vi bedre sikkerhet og forenkler deres daglige arbeid.
Eldre adgangssystemer er ikke tilpasset dagens krav. Hvordan takler Seriline denne utfordringen?
– Mange adgangssystemer som brukes i dag ble designet på 90-tallet eller begynnelsen av 2000-tallet og er ofte bygget som proprietære systemer. Disse systemene er ikke designet for å håndtere moderne krav som kryptering eller integrasjon med andre systemer eller HR-data. Det betyr at det vil være vanskelig å oppfylle kravene til å anonymisere eller fjerne identiteter.
Det høres utrygt ut, bør de vrakes?
– Nei, det vil jeg ikke si. Gjennom våre løsninger kan vi legge til sikkerhet med Serix IAM, hvor vi bruker prosesser for å sikre adgangssystemer og sørge for at all adgang håndteres sikkert. I den andre enden kan vi legge til sikker kortteknologi og kryptering, men mellom disse skal adgangssystemet oppfylle dagens krav.
Kan man si at Serix IAM kombinerer fysisk sikkerhet og IT-sikkerhet?
– Serix IAM håndterer hovedsakelig fysiske adgangssystemer, men IT-sikkerhet er en stor del av vårt arbeid. Hvis noen får tilgang til sensitive fysiske rom, kan det også kompromittere IT-sikkerheten. Ved å sikre at de riktige personene har adgang til de rette stedene, bidrar vi til å beskytte både den fysiske og digitale infrastrukturen. Det er viktig å ha kontroll over alle identiteter som har tilgang til disse sensitive områdene.
Hvordan fungerer Serix IAM når det gjelder identitetshåndtering?
– Serix IAM kobler sammen attributter fra kildesystemer, som HR eller AD, med riktige adgangsnivåer i ulike systemer. Dette betyr at dersom en ansatt bytter avdeling, oppdateres tilgangen deres automatisk. Dersom noen slutter, blokkeres alle deres autorisasjoner i alle systemer, i tillegg sammenligner vi attributter og tilganger mot normalen for å finne avvik og på den måten automatiserer vi oversikten over sikkerhet. Vi har også selvbetjeningsstasjoner og portaler der brukere kan administrere noen av sine egne data, noe som gjør det enkelt og praktisk for både ansatte og administratorer.
Det snakkes mye om «security by design». Hva betyr dette for Seriline?
– Security by design handler om å bygge systemer som er designet fra grunnen av for å være sikre. Det betyr at vi utvikler både programvare og maskinvare med sikkerhet i fokus.
Vi tester kontinuerlig systemene våre for å sikre at vi unngår sårbarheter og følger beste praksis for autentisering og datasikkerhet. Å jobbe med blue-chip-kunder som stiller høye krav til oss hjelper oss også å holde produktene våre i topp stand.
IAM er en raskt voksende sektor. Er det noe spesielt som driver etterspørselen etter løsninger for ID-administrasjon?
– At vi har sett en enorm økning i etterspørselen etter ID-håndtering de siste årene skyldes blant annet nye lover, som GDPR og NIS-direktivene. For eksempel har GDPR skjerpet kravene til hvordan personopplysninger håndteres, noe som har tvunget bedrifter til å forbedre sine identitetsløsninger for å unngå bøter.
– NIS2, som snart blir lov, stiller også strenge krav til hvordan adgangssystemer og tekniske systemer sikres mot trusler. Dette driver etterspørselen og gjør at virksomheter må iverksette tiltak for å følge regelverket.
Hvorfor er spesielt ID-håndtering så påvirket av ny sikkerhetslovgivning?
– Fordi identitets- og adgangsstyring er kjernen i dagens sikkerhetsinfrastruktur. Uansett om det gjelder en person eller en enhet, er identitet alltid sentralt for sikkerheten. En stjålet eller falsk identitet utgjør en stor risiko, så IAM-løsninger spiller en kritisk rolle i organisasjoners sikkerhetssystemer. Derfor er Seriline i det absolutte sentrum av sikkerhetsmarkedet, hvor vi hele tiden er klare til å tilpasse oss nye sikkerhetskrav, som NIS2-direktivet.
Hvordan påvirker NIS2 sikkerhetsarbeidet i praksis?
– NIS2 er virkelig en game changer. Det flytter sikkerhetsspørsmål fra å være et teknisk ansvar til å bli et ledelsesproblem. Med straffegebyrer som truer for manglende overholdelse, må bedrifter ta sikkerhet på alvor. Det krever risikoanalyser og skjerpede sikkerhetstiltak for å beskytte kritisk infrastruktur. For oss i Seriline betyr dette at vi må utvikle oss og hjelpe våre kunder med å forbli compliant.
Hvis NIS2 er en game changer, hvordan hjelper dere kundene deres med å tilpasse seg disse kravene?
– For oss handler NIS2 om overlevelse. Vi investerer betydelige ressurser for å holde oss oppdatert og hjelpe kundene våre med å forstå og følge regelverket. Vi deler vår kunnskap gjennom seminarer og webinarer, både selv og i samarbeid med andre. Som leverandør har vi en forpliktelse til å hjelpe våre kunder med å oppfylle NIS2-kravene, og vi ser det som en del av vår rolle å dele den kunnskapen.
Hva er de største utfordringene med å gjøre adgangssystemene NIS2-kompatible?
– Den største utfordringen er å sikre kommunikasjonen. Adgangssystemer må ha kryptert kommunikasjon mellom kort og lesere og mellom lesere og sentralenheter. Systemet vårt, Serix IAM, kan løse noen av disse problemene, men vi har ikke alle svarene. Vi må veilede kundene våre gjennom hva de må vurdere for å bli kompatible med NIS2.
Hvordan holder deres Cidron-lesere stand?
– Våre Cidron-lesere er et godt eksempel på hvordan vi kan hjelpe kundene med å nærme seg compliance. Leserne støtter allerede kryptering, OSDP og transparente moduser, noe som gjør det enkelt for kundene å aktivere disse funksjonene og sikre at deres adgangssystem oppfyller NIS2-kravene. Dette sammen med at vi støtter de fleste krypterte formater for sikker kortlesing.
Mange kunder ønsker å oppgradere systemene sine trinnvis. Hvordan støtter dere dette?
– Det stemmer. Å bytte ut hele adgangssystemet på en gang kan være kostbart og kanskje praktisk talt umulig, så mange velger å oppgradere i etapper. Ved hjelp av vårt Serix IAM-system kan vi for eksempel sørge for at kort og tagger er kryptert, noe som gjør at kundene gradvis kommer nærmere full compliance.
Hvordan vil NIS2 endre sikkerhetsmarkedet?
– Jeg tror NIS2 vil skille klinten fra hveten. De selskapene som ikke kan tilpasse seg og oppfylle kravene vil ikke kunne levere utstyr til kritisk infrastruktur. På denne måten vil NIS2 definere hvilke aktører som fortsatt skal være aktuelle i markedet.
Har opplevelsen av GDPR-implementeringen vært en vekker for Seriline når det gjelder å håndtere NIS2?
– GDPR var en stor oppvåkning for oss. Da den trådte i kraft i 2018, investerte vi mye ressurser i å utvikle løsninger for å støtte regelverket. Vi jobbet med anonymisering, skrev white papers og utviklet støtte for implementering av GDPR i systemene våre. Den erfaringen forberedte oss virkelig til å håndtere NIS2, siden vi allerede hadde bygget et solid grunnlag for å møte nye forskrifter.
Når vi snakker om GDPR, hvor sikre er dataene til skytjenestebrukerne dine?
– Sikkerhet er alltid høyeste prioritet for oss. Serix ID-skytjenesten er basert på NFC-teknologi og kryptert kommunikasjon, som sikrer at hver identifikasjon er unik og ikke kan kopieres. Vi bruker også Microsoft Azure til å lagre data i henhold til PCI DSS-standarder, som betyr det samme sikkerhetsnivået som brukes i banksektoren. Dette gjør våre løsninger kompatible med GDPR og andre databeskyttelseslover.
Apropos skyen, hvordan er interessen for skybasert blant kundene dine?
– Tilnærmingen til skyen er veldig avhengig av hvilken type kunde det er snakk om. Hos oss er det omtrent 50/50 mellom skyløsninger og on-prem-løsninger. Den høye andelen on-prem-applikasjoner henger sammen med at vi har fått flere og flere høysikkerhetskunder der de i utgangspunktet ikke ønsker å bruke skyløsninger.
Så SaaS-modellen gjelder for halvparten av kundene dine?
– Nei, vi bruker Software as a Service med et månedlig abonnement uavhengig av om leveransen er på stedet eller i skyen. Våre kundeavtaler er basert på partnerskap over tid og at vi har ansvar for hele tiden å holde løsningen relevant.
Til slutt Sveriges NATO-medlemskap. Hvordan påvirker det arbeidet deres?
– Vi ser økt etterspørsel fra kunder som er berørt av Sveriges NATO-medlemskap. Nye sikkerhetskrav kommer til, for eksempel for besøksstyringssystemer, og sammen med NIS2 betyr dette mye jobb for oss. Men det åpner også for nye muligheter for å støtte våre kunder i deres sikkerhetsarbeid.
Så mer kunnskapsdeling?
– Ja, det er veldig viktig. Vi har en viktig rolle å spille i å dele vår ekspertise og hjelpe våre kunder med å forstå og navigere i nye regelverk som NIS2, DORA og GDPR samt andre kommende krav.
Global
