SecurityWorldMarket

2024-06-10

ID- & passerkontroll – Del 7 av 10

NIS2-krav på uppgraderbar säkerhet: "Vi måste gå mot öppna passersystem"

Robert Jansson (till vänster i bild) har i olika forum drivit på för att branschen ska gå mot öppna plattformar och att ta höjd för NIS2. Bilden är från Sectech i Oslo 2023, där han deltog i paneldiskussion om cybersäkerhet och passersystem.

Robert Jansson (till vänster i bild) har i olika forum drivit på för att branschen ska gå mot öppna plattformar och att ta höjd för NIS2. Bilden är från Sectech i Oslo 2023, där han deltog i paneldiskussion om cybersäkerhet och passersystem.

NIS2 för EU-direktiven NIS2 och CER, som ska blir nationell lag i alla EU-länder, kommer att ha en stor påverkan på marknaden för passersystem. Inte minst i Sverige där flertalet system är baserade på proprietärteknik, menar Robert Jansson, försäljningsdirektör för Stid i Norden.

– Proprietärteknik harmonierar inte med de nya kraven. NIS2 kräver öppna system eftersom de är den enda vägen för att systemen ska vara säkra över tid, säger han.

NIS-direktivet från 2016 blev implementerad i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster 2018. NIS2-direktivet och CER-direktivet ska ersätta det direktivet och skärpa kraven på säkerhet i nätverk och informationssystem. EU:s medlemsländer ska senast den 17 oktober 2024 anta de nationella bestämmelser som krävs för att följa direktivet.

NIS2 – en cybersäkerhetslag

Både NIS2- och CER-direktiven handlar om att skydda samhällsviktig verksamhet. De kompletterar varandra.

NIS står för The Directive on security of network and information systems och NIS2-direktivet handlar om att stärka cybersäkerheten och att hantera risker kopplade till cyberattacker.

CER står för Directive on the resilience of critical entities och fokuserar på att säkerställa motståndskraften av samhällsviktig verksamhet genom att förebygga och hantera störningar eller avbrott i verksamheten i händelse av olyckor, naturkatastrofer, pandemier eller hot såsom terroristbrott, brottslig infiltration eller sabotage.

Öppna system – ett krav

Från och med den 18 oktober 2024 träder NIS2 och CER i kraft i Sverige och övriga EU-länder. Robert Jansson övertygad att det öppnar upp för en helt ny marknad för passersystem.

– En av grundpelarna i NIS2 är att det ska vara open source-lösningar och det är klart att det kommer ha en särskilt stor påverkan på marknaden i Sverige där våra inhemska proprietära fabrikat dominerar marknaden. Lagen blir en vattendelare, säger han.

– Många system måste bytas ut för att möta kundernas behov av att leva upp till kraven som NIS2 ställer. Det ankommer därför på systemleverantörerna att leverera alternativa lösningar som baseras på öppen teknik som säkrar passersystemets utveckling över tid.

Robert Jansson menar att det här öppnar upp för internationella tillverkare som är baserade på öppna plattformar och som tidigare haft svårt att konkurrera på den svenska marknaden.

– Samtidigt stressas svenska och andra tillverkare som tillhandahåller proprietära lösningar för passerkontroll till anpassning, att tänka nytt och utveckla system som lever upp till NIS2-kraven.

Låser in kunden

Den svenska marknaden har alltid dominerats av svenska tillverkare och gjort det svårt för andra fabrikat att etablera sig. De har funnits långt före IP-tekniken och fortsatt att utveckla hårt proprietära lösningar långt efter att öppna system började bli efterfrågade.

– Har du ett Assa Arx-system kan du inte använda en RCO-läsare eller vice versa.

Den här dominansen av proprietära fabrikat har den svenska marknaden förhållit sig till under decennier. Konsulter har sålunda snarare föreskrivit varumärken än att specificera nivåer på funktioner och låta kunderna vara fria i sitt val av lösning, enligt Robert Jansson.

– På så sätt har kunderna ofta blivit inlåsta i system och få ta smällen om något gått fel, säger han.

Norge mer öppet än Sverige

För att belysa situationen lite tydligare framhåller Robert Jansson vårt västra grannland Norge.

– I Norge finns inga tillverkare av passersystem. I upphandlingarna efterfrågas specifika nivåer i funktionskraven, utifrån gällande normer och oavsett fabrikat. I Sverige är det snarare speciella systemvarumärken som efterfrågas, säger han.

– Följaktligen ser man fler mer eller mindre öppna och mixade lösningar för passerkontroll i Norge än i Sverige.

Robert Jansson tror att med NIS2-direktivens krav på öppna framtidsäkrade system kommer den svenska och norska marknaden. Kundens behov kommer – precis som i Norge – vara den avgörande faktorn vid val av passersystem, särskilt som behoven stöttas av NIS-kraven.

Krävs uppdateringar

På den svenska marknaden har slutkunder under många år uttryckt önskan om att slippa bli ”inlåsta” i ett proprietära system och därmed helt utelämnade till vad den specifika tillverkaren kan erbjuda när det gäller säkerhet, kvalitet och pris, enligt Robert Jansson.

– De inser att ett passersystem har lång livstid och kraven på det kommer förändras över tid. Att då bli helt beroende av en enda tillverkare som kontrollerar såväl pris som tillgänglighet är därför en situation man vill undvika, säger han.

Skäl att undvika proprietära system

Oavsett NIS2 bör det vara självklart att undvika proprietära system av flera skäl, menar Robert Jansson.

– Först och främst är det en ren säkerhetsfråga, det går ju inte att bibehålla säkerheten i ett proprietärt system. Utvecklingen går helt enkelt för fort. Det är också därför NIS2 kräver lösningar baserade på öppna källkoder.

– Med öppna system kan uppgraderingar göras för att anpassa systemet till nya krav och hotbilder som kanske inte fanns när man först lät installera systemet, kommenterar Robert Jansson, som också ser ett annat starkt skäl till att undvika proprietära system.

– Passersystemet innehåller dessutom en hel del hårdvara som är kostsam och som bör vara konkurrensutsatt. Med öppna system vidmakthålls helt enkelt en sundare konkurrens, säger han.

Opinionsbildare

Robert Jansson, nordisk försäljningsdirektör för franska kortteknologitillverkaren Stid, tror att NIS2 blir det definitiva genombrottet för passersystem baserade på öppen teknologi.
Robert Jansson, nordisk försäljningsdirektör för franska kortteknologitillverkaren Stid, tror att NIS2 blir det definitiva genombrottet för passersystem baserade på öppen teknologi.

Robert Jansson har på några år blivit en opinionsbildare när det gäller att driva branschen mot öppna plattformar och att ta höjd för NIS2. I debattartiklar, intervjuer och på seminariescener har han drivit frågan under flera år. I början var det få som tog NIS2 på allvar och Robert varnade redan 2022 för att NIS2 kan bli samma stresspåslag som införandet av GDPR blev 2018. Han har fått rätt i den frågan.

– Ja, många har kommit i gång sent och det finns en absolut stress hos många leverantörer som är relaterat till införandet av NIS2, säger han.

Mångårig erfarenhet

Att Robert Jansson drivit de här frågorna så engagerat är inte så märkligt. Han har lång erfarenhet inom branschen för ID-hantering och passerkontroll efter 25 års erfarenhet i bolag som exempelvis Assa Abloy, HID Global och Nexus. Han har sett hur passerkontrollbranschen kommit lite på efterkälken när det gäller utvecklingen mot öppna system.

– Titta på videoövervakningsbranschen som verkligen har jobbat för att underlätta integration mellan fabrikat, inte minst genom bildandet av organisationen Onvif, kommenterar Robert.

Öppen kortläsarteknik

Som försäljningsdirektör för franska Stid företräder Robert Jansson dessutom ett företag där öppenhet är grundpelaren. Stid är en av världens största tillverkare av beröringsfria kortläsarteknik för passerkontroll. Samtliga kortläsare som tillverkas av Stid baseras på öppen teknik.

– Det känns så rätt. Vi måste ju gå mot öppna passersystem, om inte annat för kraven på uppgraderbar säkerhet nu ökar. Med NIS2 tror jag att branschen kommer ta ett stort kliv framåt, även om den proprietära tekniken inte helt dör ut. Kunderna är de stora vinnarna, säger han.

Robert Janssons fyra råd:

Så säkrar du passersystemet

Stids försäljningsdirektör, Robert Jansson, ger fyra viktiga råd för den som vill ha ett säkert öppet passersystem för enkel uppgradering över tid.

  1. Använd aldrig användarnamn och lösenord för att logga in på ett säkerhetssystem. Använd multifaktor, precis som vid dörren.

  2. Framtidssäkra mjukvarusystemet genom att ställa krav på att det kan fungera med minst tre olika passersystemsfabrikat och helst samtidigt. Detta för att lagring, transport och hantering av data säkert utvecklas ständigt. Vid varje given tidpunkt bör man kunna använda det senaste och säkraste produktvalet.

  3. Se till att läsarna som ansluter till kontrollenheterna i passersystemet hålls öppna på ett säkert sätt exempelvis via OSDP (listat av SIA) eller SSCP (listat av SPAC) – två säkra protokoll med öppen källkod som idag används av de flesta tillverkarna.

    Protokollen tillhandahåller fjärruppdateringar som använder AES-kryptering, baserad på en öppen standard, för att skydda hela dataflödet från läsarna till kontrollenheterna.

  4. Skydda ”nycklarna” – det vill säga datan som används för att identifiera en individ och ge access. Följ kriterierna för EAL5 + när det gäller nyckellagring av kringutrustning, så som kortläsare. Ett alternativ är att använda så kallat “transparent mode” där inga nycklar lagras i läsarna, utan i stället kommunicerar kryptokortet via läsaren transparent med kontrollenheten.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med Securityworldmarket.com.



Leverantörer
Till toppen av sidan