Det skjer flere tydelige endringer i markedet for adgangskontroll. De trendene som Daniel Persson, Director Business Development – Cloud Solutions EMEA i Acre Security, mener er tydeligst i Europa, er mobile rettigheter og integrasjoner.

Integrasjon – et grunnkrav

At adgangssystemer kan integreres med andre systemer, som videoovervåking, identitetshåndtering og bygningsautomasjon, er avgjørende. Daniel Persson vurderer at nesten 90 prosent av forespørslene Acre får, gjelder en eller annen form for integrasjon, enten mot et innbruddsalarmanlegg eller mot en bestemt type video eller annet, for eksempel HR-systemer, AD-systemer, PSIM-systemer og heisstyring.

– Adgangskontroll handler i stadig større grad om identitetshåndtering, sier han.

ID-håndtering – en utfordring

Daniel Persson mener at når en ny person kommer inn i en organisasjon, skal vedkommende kunne tildeles en rolle som kobles til et rettighetsnivå, og som skal kunne merkes på ulike måter. Risikoen er at enkelte rettigheter blir hengende igjen når rollen endres.

– Dette er et svært stort sikkerhetsproblem, ikke minst når det gjelder store systemer med mange ulike lokasjoner eller områder med forskjellige sikkerhetsnivåer.

Han gir et eksempel på en kunde som arbeider med logistikk innen luftfart, og som har et adgangssystem fra leverandøren av HR-systemet sitt.

– De er ikke fornøyde i det hele tatt. Når de ansetter en person, vil de kunne merke vedkommende slik at personen får rettigheter til de riktige dørene. Og dersom personen får en annen stilling som ikke er «airside», skal vedkommende ikke lenger ha tilgang til de dørene. Dette ønsker selskapet skal fungere automatisert, og det er ofte der diskusjonene ender i dag.

Behovene leder til skyen

Et annet eksempel Daniel Persson nevner, er en stor kunde som nå bruker Acre Access Control og finnes på rundt 150 ulike lokasjoner.

– De har 20 ulike adgangssystemer. Det betyr at de ansatte kan finnes som ulike identiteter i de forskjellige adgangssystemene og kanskje med ulike navn. Dette blir en kjempejobb for dem, sier han, og fortsetter:

– Kunden har derfor innsett at det kreves en migrering til én og samme plattform, og har valgt en skybasert løsning der tilgang til en dør eller et sted kan settes opp tidsbegrenset for akkurat den perioden personen trenger tilgang.

Skjerpet kontroll med rettigheter

Et vanlig problem på arbeidsplassen som Daniel Persson trekker frem, er at selskaper ofte gir adgang til steder en ansatt kanskje bare besøker av og til. Men «zero trust» og «principle of least privilege» tar stadig mer over – personer får bare tilgang til det de faktisk må ha tilgang til.

– For å kunne ha god sporbarhet, audit trail og lignende. Dette henger også sammen med NIS2. Det går for eksempel ikke an å la ansatte som ikke jobber i IT-avdelingen, ha tilgang til serverrommet.

Konservativt marked

Daniel Persson mener at Europa bare så vidt har begynt når det gjelder skybasert adgangskontroll. USA ligger langt foran. Acre Security har flere og større skyprosjekter på gang i Norge og Finland enn i Sverige. Det svenske markedet er konservativt og tregt, ifølge Daniel Persson.

– De markedene som lykkes aller best med skyen, bortsett fra Nord-Amerika, er Benelux samt Storbritannia og Irland. De er early adopters.

– I Norden er det Finland og Norge som i stadig større grad går mot skyen, mens Danmark og særlig Sverige er svært tradisjonelle.

Daniel Persson mener at det svenske og danske markedet trenger mer informasjon om hva skyen er og hva den kan gjøre. Både sluttkunder, konsulenter og installatører må bearbeides i spørsmålet.

I Norge og Finland arbeider Acre med store systemintegratorer, og der er situasjonen annerledes.

– Så snart det dukker opp en kunde med et spesifikt behov, ender man nesten alltid i en skyløsning. Det skyldes at vi kan gjøre så utrolig mye mer der.

Detaljhandel og eiendom størst

Detaljhandel og kommersielle eiendommer er de to vertikalene Acre har identifisert der etterspørselen etter skybasert adgangskontroll er størst. Eiendomseiere har ofte mange ulike leietakere som først må kunne ta seg inn i selve bygget og deretter inn til sitt eget kontor – og det er ikke alltid det samme adgangssystemet.

– Her finnes det stor etterspørsel, og det skal som regel være mobile credentials for enkelt å kunne sende ut rettigheter og få det til å fungere.

Sky eller egen server

I SMB-segmentet, det vil si små og mellomstore bedrifter, er fordelene med skybasert adgangskontroll ofte tydelige. Ikke minst dersom virksomheten finnes på for eksempel 50 ulike steder med fem dører på hver lokasjon. Da blir det svært kostbart å sette opp en server på hvert sted – en skyløsning blir i stedet mer kostnadseffektiv.

Daniel Persson påpeker at spørsmålet egentlig ikke handler om sky eller ikke sky.

– Man kan selvsagt plassere en server sentralt, men da har man bygget sin egen private sky i stedet. Det man må velge, er om man mener at man gjør dette bedre selv, eller om man vil betale for tjenesten og slippe å ha maskinvaren. Er det bedre å eie serveren selv, eller å la et datasenter, der man har de tekniske ressursene og den spesialistkompetansen som kreves når det gjelder datahåndtering, inkludert vedlikehold, oppdateringer og sikkerhet, ta hånd om det?

Adgangskontroll som tjeneste

Adopsjonen av Access Control as a Service (ACaaS), det vil si adgangskontroll som tjeneste, går mer eller mindre hånd i hånd med skyløsninger. Enkelte steder går det tregt i Sverige.

– Jeg har vanskelig for å se om det faktisk er slik at man er motstander av skyen, eller om man er motstander av å begynne å betale for adgangskontroll som en tjeneste, sier Daniel Persson.

Han mener at de som trenger skyløsninger og burde betale for det som en tjeneste, ofte også er de mest skeptiske.

– I små og mellomstore selskaper mener man ofte at man allerede har betalt for systemet sitt, og stiller derfor spørsmål ved hvorfor man skal betale hver måned.

– De større selskapene, som bruker våre enterprise-løsninger, har ingen problemer med det, sier han.

KI på vei

En stor gamechanger i sikkerhetsmarkedet er selvsagt KI. Tradisjonell overvåking bygger ofte på at sikkerhetsteam analyserer logger og hendelser i etterkant.

– Problemet er at avvik – for eksempel doble innlogginger, feilaktig bruk av adgangskort eller adgang utenfor arbeidstid – som oftest oppdages etter at en hendelse har inntruffet. Her kan KI-basert analyse spille en avgjørende rolle, mener Daniel Persson, og avslører at Acre vil lansere en KI-chatbot i sin løsning Acre Access Control.

– Der kan brukeren få hjelp med rapporter, for eksempel å liste opp alle ugyldige passeringer de siste seks månedene.

Mer kommer, lover Daniel Persson.

– Det å kunne ha en KI-agent som er litt mer avansert, og som vil kunne overvåke aktiviteten i systemet og selv varsle ved unormal bruk. Vi er ikke der ennå, men kanskje om et år.

Mobilt ID

Stadig flere organisasjoner går over til mobile identiteter, der rettigheten lagres i brukerens telefon og beskyttes med biometrisk autentisering. Rettigheter kan da oppdateres eller trekkes tilbake umiddelbart. Men Daniel Persson synes at overgangen til mobil adgang går relativt langsomt i enkelte bransjer.

– Ikke alle ansatte har jobbtelefon. Da kan selskapet nøle med å «presse på» sine ansatte en mobil credential, fordi de ansatte da kan begynne å kreve at selskapet skal betale for telefonene deres, sier han.

Wallet i front

Acre opplyser at omtrent halvparten av alle deres prosjekter med skybaserte systemer etterspør en mobilløsning – enten med Bluetooth eller Wallet. For on prem-systemer anslås det at det er rundt 20 prosent som ønsker mobil adgang.

– Bluetooth er billigere, og det er større etterspørsel etter det. Men Wallet gir ikke bare fordelen av å ha det i telefonen, det legger også til et stort sikkerhetslag sammenlignet med et fysisk kort som du kan miste. Dessuten er det mange som ønsker en kombinasjon av mobil adgang og kode, avslutter Daniel Persson.