2023-07-26

ID- och passerkontroll – Del 3 av 12

Kundkrav och lagstiftning driver på efterfrågan på ID-hantering

Pierre och Freddie  Parrman på Serilines  kontor i  Alvik.

Pierre och Freddie Parrman på Serilines kontor i Alvik.

I en tid där alltmer kopplas upp och sammankopplas har ID-hantering kommit att bli den kanske allra viktigaste enskilda faktorn i ett säkerhetssystem.

IoT förutsätter att människors och sakers identitet kan säkerställas och att den kan verifieras samt skyddas och säkert sammankopplas mellan olika system.

Det är mot den bakgrunden som Serilines roll i säkerhetsbranschen blivit allt starkare.

Passerkontroll är kanske den mest konservativa sektorn när det gäller segment på marknaden för fysisk säkerhetselektronik. Många av systemen designades från början i det sena nittiotalet eller i början av 2000-talet och är byggda som proprietära system.

– De är inte i grunden anpassade för IoT och rationell koppling till admin- eller HR-system, vilket försvårar när identiteter tas bort eller läggs till. Allt måste göras flera gånger manuellt, med risk för att identiteter som ska tas bort blir kvar i vissa system, säger Freddie Parrman som 2016, tillsammans med sin bror Pierre Parrman, förvärvade ID-hanteringsföretaget Seriline.

När Seriline förvärvades omsatte verksamheten 6 miljoner kronor. Numera har företaget intagit en ledande position när det gäller att leverera ett användargränssnitt som hanterar alla system där identiteter hanteras. 2022 var omsättningen över 100 miljoner kronor. Det säger lite om ID-hanteringens ökande betydelse och inte minst bröderna Parrmans entreprenörskap.

Fysisk säkerhet sys ihop med cybersäkerhet

Man kan säga att Seriline syr ihop fysisk säkerhet med cybersäkerhet samtidigt som deras lösningar ska möta företagens behov av hållbarhet, effektiva arbetsflöden och därigenom bidra till lönsamhet.

– Vårt mål är att hjälpa våra kunder höja säkerhetsnivån av den fysiska accessen och till deras tillträden, att förenkla administrationen och att uppfylla sin regelefterlevnad under hela livscykeln och därigenom undanröja identitetstvillingar i alla tillkopplade system, förklarar Freddie Parrman som är vd i Seriline.

Livscykelhantering

Pierre Parrman, CTO i Seriline, betonar att det är genom kopplingen till HR-system, AD eller andra källdatasystem som effektiv identitetshantering i organisationen kan skapas.

– Det handlar om att integrera de system som finns inom verksamheten och som hanterar identiteter och ger accesser. Till detta skapas processer och regelverk för att kunna automatisera så mycket av det administrativa arbetet som möjligt, säger han.

– På så sätt kan vi skapa en säker livscykelhantering där vi vet att endast rätt person får rätt tillträden, både för interna och externa resurser. Bara en sådan enkel sak som att ge en säker ”remote access” via tvåfaktorsinloggning för denna typ av hantering är en stor vinning för kunden.

Härdar passersystem

Att de flesta av de vanligast förekommande passersystemen inte är byggda för att vara internetuppkopplade har skapat stort utrymme för Serilines lösningar. Med plattformen Serix IAM har marknaden begåvats med ett överordnat system som kan härda passersystemen genom att spärra åtkomster som inte kommer rätt väg.

– I våra införande projekt lokaliserar vi ofta personer som lämnat organisationen för länge sedan, men trots detta har aktiva accesser. Sådana brister utgör inte bara säkerhetsrisker utan är även ett brott mot GDPR, kommenterar Freddie Parrman.

Lagstiftning driver efterfrågan

ID-hanteringens roll har blivit allt viktigare, inte bara ur ett tekniskt eller säkerhetsmässigt perspektiv, utan också ett juridiskt perspektiv.

GDPR som infördes som svensk lag 2018 för att skydda personliga data är ett exempel. Lagen och de stora sanktionsavgifter som kan följa om man inte lever upp till kraven, har väsentligen skärpt till identitetshanteringen.

NIS-direktivet – som handlar om att skydda tekniska system mot hot som kan drabba kritisk infrastruktur – är ett annat aktuellt exempel på EU-initiativ som driver på skärpt hantering av information och säkerhet i kommunikationen mellan passersystemets olika delar.

NIS2, som är ett komplement till ursprungliga NIS-direktivet, ska bli lag i Sverige 2025, vilket påskyndar åtgärder för berörda organisationer som exempelvis hanterar passersystem.

Och det är inte bara EU-drivna direktiv som driver på lagstiftningen.

– Det vi noterat på sistone är att Säkerhetsskyddslagen äntligen kommit upp på tapeten, den har ju varit gällande länge men nu äntligen börjar marknaden att vidta åtgärder för efterlevnaden. Och som ett led i detta arbete så gäller det att ha rätt verktyg på plats och där har Serix IAM sin tydliga roll.

Security by design

Freddie Parrman framhåller att marknadskraven har förändrats mycket genom åren och att Seriline har vunnit mycket på att inte ha ett teknikarv, utan har kunnat gå in och utveckla en modern plattform baserad på security by design, det vill säga en metod där man i mjukvaru- och hårdvaruutveckling strävar efter att göra system så fria från sårbarheter och ogenomträngliga för attacker som möjligt. Till stöd har man kontinuerliga tester, där man kontrollerar autentiseringsskydd och efterlevnad av bästa programmeringspraxis och så vidare.

– Det är otroligt viktigt att hänga med i utvecklingen och vi har haft och har förmånen att jobba med bluechip-kunder som verkligen testar oss och har högt ställda krav. Väldigt utvecklande, säger Freddie Parrman.

Automatiserade processer ökar säkerheten

Dagens kunder skiljer sig väsentligen från gårdagens när det gäller krav och förväntningar på ID-hanteringslösningar.

– Det räcker inte med att bara leverera en lösning som bara sätter säkerhetslayers, det krävs betydligt mer än så. Automatiserade processer och minskad administration är för kunderna den stora vinningen. Det, i sin tur, resulterar i en bättre identitetskontroll och därmed ökad säkerhet, säger Freddie Parrman.

Både fysiskt skydd och IT-säkerhet

Även om Serix IAM främst hanterar fysiska passersystem så handlar mycket om IT-säkerhet. Inte bara för att passersystemen och Serilines överordnade system ska vara skyddat mot cyberangrepp. Fysisk säkerhet handlar också om IT-säkerhet, menar Pierre Parrman.

– Ett av de största IT-säkerhetshoten är att man kan komma åt de fysiska ytorna. Att managera fysisk säkerhet handlar därför om att tryggar också IT-säkerheten. Det är där vi kompletterar hela ekosystemet, säger han.

Att du får kontroll på vilka identiteter som kan och kommer åt och har access till utrymmen som är känsliga ur ett IT-säkerhetsperspektiv är oerhört viktigt. Att via olika källdatasystem, typ HR- och AD-system kunna säkerställa att det exempelvis bara finns en individ med en viss identitet i systemet.

Serix IAM erbjuder ett användargränssnitt för ID- och accesshantering.
Serix IAM erbjuder ett användargränssnitt för ID- och accesshantering.

Så funkar Serix IAM

Serix IAM-plattformen – som administrerar identiteter från personer och saker i en organisation – lanserades 2019 och utsågs då till ”årets bästa IoT-produkt” av Detektor International i samband med Detektor International Award-prisceremonin på Sectech-mässan i Stockholm.

Genom att koppla attribut från källdatasystemet via Serix IAM till behörigheter i andra externa system säkerställs att alla behörigheter inom organisationen alltid är uppdaterade. Exempelvis genom att knyta en persons avdelningstillhörighet till rätt accessgrupper i passersystemet. Det betyder att om en person byter avdelning eller tjänst så uppdateras accessen i passersystemet. Vid avslutad anställning spärras personens alla behörigheter i alla anslutna system per automatik.

Även en persons tillhörigheter, exempelvis en dator, mobiltelefon eller andra saker som hör till anställningen, kan kopplas samman för att ge full kontroll. Tillfälliga lån av utrustning kan också inbegripas.

Med en självservicestation och en användarportal kan personer inom organisationen administrera uppgifter runt sin person, exempelvis byta pin-kod, ladda upp sitt fotografi, ansöka om mer behörigheter och så vidare.

Många användningsområden

Den senaste utvecklingen av plattformen är Serix ID där en identitet enkelt verifieras via en RFID-tagg i en nyckelbricka eller ett ID-kort i en smarttelefon, ungefär på samma sätt som vid en mobilbetalning i butik som öppnar en webbsida som bekräftar identiteten.

Lösningen kan användas för många olika ändamål, exempelvis för att hantera access för leverantörer av hushållsnära tjänster såsom hantverkare, städbolag eller en vårdgivare i hemmet. Men det kan också handla om att kontrollera och registrera närvaro vid en högskola, som exempelvis vid prov eller tentamen. Att kunna verifiera en persons utbildningsnivå för tillträde till olika typer av lokaler och/eller arbetsfordon är också ett exempel på vad Serix ID kan medverka till.

– Det roliga just nu är att det är så många olika typer av verksamheter som vi får möjligheten att jobba med nu, tidigare var det mycket fokus på kommuner och universitet men nu är det mycket försvarsföretag och industrier.

Molnet eller inte

Serix IAM är en molnlösning men kan också levereras onprem, det vill säga lokalt hos kunden. Även hybridvarianter erbjuds – att vissa tjänster görs lokalt och viss hantering sker i molnet.

Ofta är det beroende på vilken typ av kund det handlar om.

– Det är ungefär 50/50 mellan moln- och onpremlösningar och den höga andeln onprem-tillämpningar hänger samman med att vi har fått allt fler högsäkerhetskunder där man av princip inte vill använda molnlösningar, säger Pierre Parrman.

Exportsatsning – nästa steg

2021 förvärvades aktiemajoriteten i Seriline av FSN Capital, men Freddie och Pierre Parrman har fortfarande ett betydande aktieinnehav i bolaget och ser stora expansionsmöjligheter.

– Vi har hittills fokuserat mycket på Sverige med Serix IAM, men nu börjar vi även att titta utanför landets gränser. Vi är ju redan på marknaden i Europa med framför allt Cidron-läsarna och behovet av ID-hanteringslösningar är stort på alla marknader samt i alla personalintensiva branscher.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med SecurityUser.com.Leverantörer
Ändra marknad
Till toppen av sidan
Stäng