Robert Jansson tar alla chanser att kritisera passerkontrollbranschen för att vara allt för konservativ. Han tycker att det är kunderna som får betala priset.
– Mellan passersystemleverantören och slutkunden finns i många fall en konsult som saknar kunskap och snarare föreskriver varumärken än att specificera nivåer och låta kunderna vara fria i sitt val av lösning. Istället blir de ofta inlåsta i system och får ta smällen om något går fel, säger han.
Stid – en drivande kraft
Öppenhet och att ta höjd för cybersäkerhet är två viktiga fokuspunkter för Stid Security, en ledande och globalt verksam fransk utvecklare av läsare för passersystem. Att jobba för standards och regelverk för ökad säkerhet och innovation ligger i Stid Securitys dna, menar Robert Jansson.
– Stid är en av flera drivande krafter i den oberoende organisationen SPAC, vars syfte är att driva på för standardisering och innovation inom fysisk och digital säkerhet.
Stids drivande roll är naturlig, då företaget är en oberoende globalt verksam tillverkare av läsare, men också för att bolaget är europeiskt och har erfarenheter av att jobba med standards och normer nationellt.
– Frankrike är på många sätt ett föregångsland när det gäller normer och lagstiftning. Redan tio år innan GDPR initierade franska cybersäkerhetsmyndigheten Annsi ett regelverk med normer för att säkra flödet av identiteter eller identitetsrelaterad information i system. Just passersystemen identifierades som en stor risk för identitetsstöld, berättar Robert Jansson.
Ny lag 2025
EU:s organ för cybersäkerhet Enisa arbetar nu med NIS-lagen som handlar om informationssäkerhet för samhällsviktiga och digitala tjänster. Lagen, som ställer krav på säkerhet i nätverk och informationssystem, har hämtat mycket av sitt innehåll från Annsi-normerna i Frankrike, enligt Robert Jansson.
– Syftet är att kritisk infrastruktur ska säkras upp på ett certifierings- och standardmässigt sätt. Tekniken och processerna ska sålunda både vara GDPRsäkrade och därutöver ha hög säkerhet mot cyberattacker.
Lagen börjar implementeras i januari 2023 i EU-länderna. Varje land har två år på sig att anpassa sig till kraven i den. 2025 gäller lagen skarpt.
– Jag tror det kommer bli en game changer för hela passerkontrollbranschen, säger Robert Jansson.
Öppenhet och säkerhet
SPAC är en naturlig part till Enisa när det gäller hur man transporterar identitet eller identitetsrelaterad information i system.
– SPAC representerar europeisk teknologi och standard som arbetar rätt in i hjärtat på EU:s arbete för att säkra identiteter och identitetsrelaterad information. Det bästa är att det övergripande handlar om att skapa både öppenhet och hög säkerhet, kommenterar Robert Jansson.
Då den europeiska lagen har hämtat mycket av innehållet från Frankrike och Annsi så är Stid Security väl rustat.
– Vi är till hundra procent compliant med den kommande lagen eftersom vi genom SPAC var delaktiga i förarbetet till Annsi-normerna och har följt hela utvecklingen av NIS-direktivet. Och för att fler ska kunna komma ombord så fort som möjligt finns teknologin tillgänglig på SPAC:s webbsida. Allt som krävs för att uppfylla lagen och hantera alla flöden av identiteter och identitetsrelaterad information kan nedladdas där. Helt kostnadsfritt.
Säkerhet hela vägen
Den nya lagen handlar i korthet om att säkerhetsmässigt ha en tät lina hela vägen.
– I vår värld, som utvecklare av läsare, handlar det om att man krypterar informationen från kortet eller annan identitetsbärare till läsaren och sedan in i systemet. Eller allra helst, preferred level som det heter, att man inte har nycklar i perifera enheter som läsare. Istället pratar man transparent med systemen bakom skyddade gränser, säger Robert Jansson.
– Men sedan ska informationen vidare till undercentralen och systemet där inloggningen ska hanteras. Där duger det inte med enfaktorsautentisering med password. Använd kort och kod, alltid tvåfaktor eller trefaktor. Det har tidigare inte funnits några regelverk att slå i huvudet på företagen. Nu kommer det.
Historien kan upprepa sig
Robert Jansson ser fram mot att slippa upphandlingar som efterfrågar speciella kortteknologier, utan istället efterfrågar en viss nivå utifrån en norm. Men hur förberedd är egentligen säkerhetsbranschens leverantörer och kunder?
– Inte alls förberedda skulle jag vilja säga, men nu har vi möjligheten att starta en diskussion. Det här är något som slutanvändarna kommer att tjäna på, eller så får de problem för att de inte brytt sig. För lagen kommer att gälla från och med 2025 vare sig man vill eller inte.
Med GDPR visste man långt i förväg att regelverket skulle bli lag den 25 maj 2018. Men när datumet kom blev var det närmast panik. Hur blir det med det denna gång?
– Finns risk att historien upprepar sig, men jag märker ändå att allt fler tillverkare börjar intressera sig för att påbörja arbetet. Det är i alla fall positivt.
Global
