Som salgsdirektør i kortleserteknologiselskapet Stid har Robert Jansson Europa som sitt forretningsområde. Han er overbevist om at EU-forordningen CRA blir en gamechanger for hele bransjen – fra produsenter til sluttkunder.
– Fra og med 2027 vil det i praksis ikke lenger være tillatt å bruke produkter som ikke allerede i designfasen er bygget med cybersikkerhet i kjernen. Organisasjoner som likevel gjør det, risikerer å bli rammet av enorme bøter, sier Robert Jansson.
Det stiller igjen nye krav i leverandørleddet, ikke minst til produsentene. For dem som ikke har påbegynt omstillingen, er det ingen tid å miste, ifølge Robert Jansson.
– De som ikke omstiller seg til security by design og zero trust-modeller, risikerer å bli irrelevante over natten.
Sluttkunden får hele ansvaret
En av de største endringene med CRA er hvordan ansvaret for sikkerheten fordeles. Tidligere har mange sluttkunder lent seg på konsulenter og leverandører i sikkerhetsspørsmål. Den tiden er over, mener Robert Jansson.
– Frem til oktober 2024 kunne sluttkunder støtte seg til tilbud fra konsulenter og leverandører uten eget straffeansvar. I dag er det tydelig at sluttkunden bærer hele ansvaret for sin sikkerhet – uten mulighet til å skyve det over på noen andre.
Det innebærer at hele kjeden i et adgangssystem må være sikker: fra kort og lesere til programvare, firmware og skytjenester.
– Hele identitetsflyten i et adgangssystem må være sikker. Ingen del er mer eller mindre viktig. Alle ledd i kjeden må henge sammen.
Cybersikkerhet fra første designskisse
CRA innebærer også at kravene til hvordan produkter utvikles, skjerpes kraftig. Sikkerheten må bygges inn fra start – ikke legges til i etterkant.
– Et ubønnhørlig krav er at produktet designes for både cybersikkerhetstrusler og fysiske trusler fra grunnen av. Hvis ikke vil produktet rett og slett ikke bli CE-godkjent.
I en overgangsperiode vil eldre produkter fortsatt kunne selges. Men ansvaret ligger fortsatt hos organisasjonen som bruker dem.
Livssyklushåndtering – en nøkkelfaktor
Samtidig øker kravene til livssyklushåndtering. Produkter må kunne oppdateres kontinuerlig for å håndtere nye sårbarheter.
– Akkurat som i IT-verdenen må sikkerheten kunne oppdateres automatisk. For at det skal fungere, kreves åpne standarder og et tett samarbeid mellom komponentprodusenter.
Han mener også at sluttkunder bør etterspørre løsninger der så få komponenter som mulig må oppdateres.
Transparent Mode
Her trekker han frem konseptet Transparent Mode, noe han selv lenge har argumentert for i debattartikler, intervjuer og paneldiskusjoner.
– Transparent Mode, eller High Assurance Access Control (HAAC), innebærer at krypteringsnøklene aldri lagres i leseren – noe som ellers er en vanlig og sårbar løsning.
– På alle steder der krypteringsnøkler lagres, vil man før eller siden bli utsatt for angrep. I Transparent Mode lagres nøklene i stedet i høysikkerhetskortet og i undercentralen.
Kortet kommuniserer da direkte med sentralen gjennom leseren.
– Leseren fungerer i prinsippet bare som en sikker kanal – en tunnel mellom kortet og hjertet i systemet. Det reduserer angrepsflaten dramatisk.
Misjonær i bransjespørsmål
Robert Jansson har i flere år vært en tydelig stemme for åpne standarder i bransjens teknologiplattformer. Hensikten er først og fremst å fremtidssikre adgangssystemer, lette integrasjonen med andre systemer og motvirke at kunder låses inne i proprietære løsninger.
– Med åpne systemer kan eiendommer skape et sammenhengende økosystem der alle komponenter samvirker. Det gjør det betydelig enklere å håndtere både drift og sikkerhet, sier Robert Jansson.
Hans engasjement for åpne standarder deles av Stid Security, hvis utvikling og produksjon av leserteknologi er basert på åpne standarder som OSDP, SSCP samt RFID/NFC. Teknologien kan enkelt integreres med andre systemer via API og SDK.
– Ved å dele teknologien vår med aktører som vil bruke den, kan sikkerhetsløsninger fortsette å utvikles i takt med tiden og kundenes voksende behov, sier Robert Jansson.
Cybersikkerhet
Stid Security er også engasjert i organisasjonen Smart Physical Access Control Alliance (SPAC Alliance), der ledende aktører innen fysisk og logisk sikkerhet arbeider for å styrke den europeiske infrastrukturen.
Organisasjonens sentrale mål er å fremme åpne, interoperable standarder og sertifisering innen adgangskontroll – for eksempel når det gjelder kryptering og biometriske metoder.
Dette samsvarer godt med Robert Janssons opinionsdannende arbeid, der han knytter sammen cybersikkerhetsspørsmål med kravet om åpne standarder og der han tidlig oppfordret bransjen til å ta høyde for for eksempel NIS2.
Da han begynte å løfte disse spørsmålene, ble han ofte møtt med skepsis.
– Mange mente at jeg skremte opp bransjen, sier han.
I dag tas spørsmålene langt mer på alvor. NIS2 er nå implementert i svensk lovgivning som cybersikkerhetsloven, og tusenvis av organisasjoner arbeider for fullt for å oppfylle kravene og unngå høye sanksjonsavgifter.
Bransjen er ikke forberedt
Cyber Resilience Act (CRA) er neste store regelverk, men ifølge Robert Jansson er ikke tilpasningstakten hos bransjeselskapene særlig høy.
– Med noen få unntak i Europa er bransjen overhodet ikke forberedt, sier han.
Samtidig mener Robert Jansson at det fortsatt finnes tid til å handle – dersom arbeidet starter nå.
– Jeg forutsetter at aktørene tar dette på største alvor, og at mye arbeid foregår bak lukkede dører.
Nye krav i anskaffelser
Robert Jansson forventer at anskaffelser og kravspesifikasjoner vil endres når CRA begynner å slå gjennom.
– Jeg håper det skjer store endringer. Kundene må forstå sitt ansvar. Til syvende og sist er det jo administrerende direktør og styret som er øverste ansvarlige.
Også konsulentleddet står overfor en nødvendig omstilling.
– Noen er godt i gang, men mange vil få en bratt oppoverbakke dersom de ikke allerede har begynt.
Samtidig kan nye aktører ta plass i markedet.
– Nye leverandører kan komme inn med ferdige løsninger som ikke nødvendigvis er utviklet i Sverige, men i land der man har kommet lenger innen cybersikkerhet.
Sverige ligger etter
Robert Jansson mener at flere europeiske land ligger langt foran Sverige i arbeidet med cybersikkerhet, for eksempel Frankrike, Nederland, Tsjekkia, Spania og Tyskland.
– Absolutt. I mange land har man allerede innført zero trust i spesifikasjonene sine, i stedet for å basere seg på tradisjonell godtroenhet i forretningsrelasjoner.
Det er også disse landene som i stor grad har vært med på å forme EUs regelverk, blant annet NIS2, CER og CRA.
– Sverige har vært utrolig passivt i disse spørsmålene.
Risikerer å bli irrelevante
For selskaper som venter for lenge med å tilpasse seg, ser Robert Jansson en tydelig risiko.
– De kommer til å bli irrelevante. Og det er den største risikoen et selskap kan ta.
Han sammenligner med teknologiselskaper som raskt mistet sin markedsposisjon.
– Vi har sett mange eksempler, både globalt og i Norden. Nokia, Commodore og Blackberry er klassiske tilfeller.
Samarbeid blir avgjørende
For at sikkerhetsbransjens selskaper skal kunne møte de nye kravene, kreves det også mer samarbeid.
– Å utvikle en kortleser, en undercentral og sikker programvare er tre helt ulike spesialiteter. Legg til utviklingen av sikre identifikasjonstoken, både fysiske og digitale.
Selskaper som forsøker å mestre alt selv, risikerer derfor å få det vanskelig.
– De som får størst oppoverbakke, er de som tror at de kan mestre alle disse disiplinene uten å samarbeide med spesialister.
Robert Jansson oppsummerer sitt syn med ett råd og ett sitat han har båret med seg siden han begynte sin karriere i sikkerhetsbransjen:
«You succeed together, but you fail alone.»
.jpeg?w=480&action=fill&sh=5cfc3 "Bildet er fra en seremoni i forbindelse med en sjefsinnsettelse til Forsvarets personell- og vernepliktssenter (FPVS) i 2024. Da ble daværende oberst Pål Svarstad takket av som sjef for FPVS. Nå er han ny nestkommanderende i Cyberforsvaret. På bildet står han sammen med forsvarssjef Eirik Kristoffersen (til venstre). Foto: Vanessa Andrea Vågstøl Hilland / Forsvaret")
Global
