Detektor har träffat Freddie Parrman och Pierre Parrman från identitets- och accesshanteringsföretaget Seriline för att diskutera ID-hantering i smarta byggnader.

Vilken nytta kan en effektiv ID-hantering ge när det gäller säkerheten i moderna byggnader?

Freddie: – Det viktigaste är att verifiera och validera användaridentiteten samt att säkerställa att samma identitet används konsekvent i samtliga system. Det är den största ”breachen” som vi har när man lägger upp en identitet i flera olika system: när personen slutar eller går hem så spärras det inte. Eller om en person gifter sig och byter efternamn, då hänger förändringen inte med i systemet. Därför är det största arbetet när vi implementerar våra lösningar att kvalitetssäkra och rensa data.

På vilket sätt kan smart ID-hantering bidra till ökad effektivitet i administrationen av byggnader?

Pierre: – Vi försöker automatisera processerna och bygga upp regelverken i systemet, till exempel får jag automatiskt en viss access om jag tillhör ett specifikt företag eller en avdelning. Byter jag avdelning ska den accessen automatiskt spärras och en ny upprättas, och det hanterar vi. Om jag behöver åtkomst till ett känsligt utrymme ska rätt person attestera den behörigheten. Det gör att vi ökar säkerheten, men bibehåller smidigheten. Det ska vara enkelt att göra rätt.

Freddie: – Ju närmare källan, desto klarare vatten. Nu är det avdelningschefer som får administrera sina medarbetare eller de som sitter på närmaste informationen. Ut med det så långt som möjligt – det är en stor trend.

Hur kan en digital ID-lösning påverka användarupplevelsen för besökare i en smart byggnad?

Freddie: – Det är viktigt att besökssystemet är integrerat med personalsystemet. Rätten att vara besöksmottagare till exempel, det styrs också centralt från ett och samma ställe. Det avgörande är att systemen ska vara integrerade och kommunicera med varandra.

Kan ID-lösningen göra vardagen enklare?

Pierre: – Ja, ta vår självserviceportal som exempel. Om jag ska åka till vårt Göteborgskontor så kan jag själv gå in i portalen och ansöka om att jag vill ha access till Göteborgskontoret. Då får en kollega ett mejl om att jag vill komma dit och varför. Då kan kollegan godkänna med ett enkelt knapptryck och på så sätt minimerar man att GDPR-uppgifter mejlas runt. När min kollega har godkänt min förfrågan, kickar min access i gång för den dag jag ska vara där - och den gäller endast under min vistelse. Därefter rensas informationen och behörigheten spärras.

Och hur brukar det i regel se ut?

Pierre: – Man skickar ett mejl till någon som lägger in en i systemet och tilldelar åtkomst, sedan spärras det aldrig efter att personen åkt hem. Det är absolut vanligast. När personen slutar en dag spärras accessen på det kontor där han/hon arbetade, men inte där personen gjort tillfälliga besök.

Vilka typer av ID-lösningar är mest relevanta i dag – exempelvis mobila ID, biometriska lösningar eller kortbaserade system?

Freddie: – Vi är fortfarande i brytpunkten, ”mobile” är superintressant. Men vi är rädda för en återgång till proprietära lösningar eftersom du får en app från varje företag. I dag kan du ha ett kort för alla system. Och här är frågan hur Apple agerar. Du har tidigare kunnat köpa ett kort för tre euro, nu ska du betala tre euro om året och du behöver kanske ha två eller tre olika appar. Är man beredd att ta den kostnaden? Det är frågan.

Vad finns det för alternativ?

Freddie: – När det kommer till kortteknologi så ser vi Desfire-trenden med krypterad teknologi. Vi dubblar försäljningen av Desfire varje kvartal. Sedan tror jag på QR-koder – eller att man ”tappar” vid dörren och öppnar den vägen för tillfälliga accesser eller när du inte har ditt kort med dig.

Pierre: – Att kunna hantera både kort och ”mobile” i samma system blir viktigare och viktigare och det ligger oss varmt om hjärtat. På vissa ställen kommer vi att använda mobile och på vissa ställen kommer det fortfarande att vara kort. Då gäller det att kunna hantera det, spärras du som person ska du spärras på samtliga ställen samtidigt.

Hur hanterar man balansen mellan säkerhet och integritet när det gäller digitala ID-system?

Pierre: – Integritet är väldigt viktigt och kan upprätthållas även med hög säkerhet. Det viktigaste är att regelbundet rensa behörigheter. Även om vi har många passersystem på flera kontor, ska varje person bara ha access där det verkligen behövs – inte i alla system, vilket tyvärr ofta är fallet.

Freddie: – Det går att välja att inte visa loggarna, så att den dagliga administratören inte har tillgång till dem. Med andra ord kan administratören inte följa hur jag som vd kommer och går, det är integritetshöjande.

Hur kan ni hjälpa kunden att undvika felsteg när det gäller GDPR?

Pierre: – Den frågan var väldigt vanlig för några år sen, då var alla oroliga. Nu har detta blivit en del av allas vardag. Det är från ”hire til retire”, från du blir anställd och hela livscykeln fram till att du slutar. Och då ska du plockas bort, men det är fortfarande upp till oss som leverantörer att ta ett stort ansvar i att hjälpa kunderna att rensa och anonymisera data som inte längre används för att leva upp till regelverket.

Freddie: – Vi byggde anonymiseringsfunktioner redan 2018.

Hur säkerställs att besökare inte finns kvar i systemet efteråt?

Freddie: – Där är det olika inställningar beroende på kund. Myndigheter ska spara i tio år, ett vanligt företag i tre månader. Där har vi en automatiserad anonymiseringsprocess.

Vilka är de vanligaste utmaningarna fastighetsägare eller byggbolag möter när de implementerar ID-hantering i sina smarta byggnader?

Pierre: – Att de sitter på ett arv av gammal teknik, så att städa befintliga gamla system skulle jag säga. Tekniskt är det att integrera passersystemen som finns på marknaden, det hanterar vi. Skulle vi däremot titta på en fastighets passersystem och säga: ”de här tusen människorna…vilka ska ha access?” Då blir det en ganska spännande övning och det handlar oftast om att man har lagt in alla manuellt, men inte plockat bort dem.

Hur ser ni på integrationen mellan ID-hantering och andra system i en smart byggnad – som passersystem, hissar eller bokningslösningar?

Freddie: – Vi ser att annat utanför säkerhetssystemen ökar mest, till exempel hisstyrningssystem och bokningssystem. Här är QR-koden vid dörren intressant, ”one time access”, till exempel om jag ska spela innebandy en lördag, då slipper jag åka hem till någon och hämta ett passerkort som är giltigt dygnet runt, året om. I stället får jag bara access under den tiden som jag har bokat sporthallen, det höjer integriteten och säkerheten på ett helt annat sätt.

Vilka krav ställs på skalbarhet och flexibilitet i ID-system när byggnader och användarbehov förändras över tid?

Freddie: – Det där är jätteviktigt, inte minst med integrationerna. Lagen om offentlig upphandling driver vår affär till viss del. När en kommun bygger en ny sporthall får en byggkoncern i uppdrag att installera ett nytt passersystem. Vi jackar bara på det systemet så det kommer med i samma flöde, i stället för att behöva förändra hela interna processen.

Pierre: – Det gör det mycket enklare för användaren, för du har samma gränssnitt. Du behöver inte utbilda någon i ett nytt passersystem.

Hur tror ni att ID-hanteringen kommer att se ut i smarta byggnader om fem år?

Pierre: – Det vi kallar överordnat tror jag kommer att vara standard. Alla behöver hantera sina identite-ter och jag tror att kombinationen att kunna erbjuda hantering av olika typer av identitetsbärare blir viktig.

Freddie: – ”Mobile” kommer att växa, men också vad är mobile? Är det QR-koden eller RFID-klistermärket bakom dörren? Då öppnar du åt andra hållet och skickar en signal genom systemet. Jag tror på mer hybrida lösningar. Det kommer inte att vara antingen ”on prem” eller cloud utan båda. Det gäller att vara dynamisk, annars kommer man inte vara kvar om fem år.