I sina lösningar har Seriline stöd för integration med IoT-system och molnbaserade plattformar. Därför kan deras produkter användas för att exempelvis koppla samman olika byggnadsautomationssystem med säkerhetslösningar. På så sätt uppnås både energioptimering och säkerhet, vilket är centralt för att skapa funktionella och säkra smarta städer.
Freddie Parrman har varit en del av IAM-marknaden under hela 2000-talet och hans perspektiv på utvecklingen är därför en bra startpunkt på intervjun.
Varför har ID-hanteringens betydelse ökat så dramatiskt på senare år?
– I takt med att fler enheter och system kopplas upp och sammankopplas, har ID-hantering blivit den kanske viktigaste faktorn i ett säkerhetssystem. IoT förutsätter att både människors och sakers identiteter kan verifieras och skyddas, vilket kräver ett system som säkert kan koppla samman olika system. Det är här vi på Seriline kommer in och spelar en allt större roll inom säkerhetsbranschen.
Hur har kundernas förväntningar på ID-hanteringslösningar förändrats?
– Idag förväntar sig kunderna mycket mer än att bara få ett säkerhetssystem. Automatiserade processer och minskad administration är något som våra kunder värdesätter högt. Förutom säkerhet handlar ID-hantering om att effektivisera verksamheten. Genom att automatisera identitetskontrollen skapar vi bättre säkerhet och förenklar deras dagliga arbete.
Äldre passersystem är inte anpassade för dagens krav. Hur hanterar Seriline denna utmaning?
– Många passersystem som används idag designades på 90-talet eller tidigt 2000-tal och är ofta byggda som proprietära system. Dessa system är inte utformade för att hantera moderna krav som kryptering eller integration med andra system eller HR-data. Det innebär att det blir svårt att uppfylla kraven att anonymisera eller ta bort identiteter.
Det låter osäkert, bör de skrotas?
– Nej, det vill jag inte säga. Genom våra lösningar kan vi addera säkerhet med Serix IAM, där vi med processer säkrar passersystem och säkerställer att all access hanteras på ett säkert sätt. I andra ändan kan vi lägga till säker kort teknologi och kryptering men däremellan måste ju passersystemet uppfylla dagens krav.
Kan man säga att Serix IAM kombinerar fysisk säkerhet och IT-säkerhet?
– Serix IAM hanterar främst fysiska passersystem, men IT-säkerhet är en stor del av vårt arbete. Om någon kan komma åt känsliga fysiska utrymmen, kan det också äventyra IT-säkerheten. Genom att säkerställa att rätt personer har tillträde till rätt utrymmen bidrar vi till att skydda både den fysiska och digitala infrastrukturen. Det är viktigt att ha kontroll över alla identiteter som har access till dessa känsliga områden.
Hur fungerar Serix IAM när det gäller administration av identiteter?
– Serix IAM kopplar ihop attribut från källsystem, som HR eller AD, med rätt accessnivåer i olika system. Det betyder att om en anställd byter avdelning, uppdateras deras accesser automatiskt. Om någon slutar, spärras alla deras behörigheter i samtliga system, dessutom jämför vi attribut och accesser mot det normala för att finna avvikelser och på det sättet automatiserar vi överblicken av säkerhet. Vi har också självservicestationer och portaler där användare kan administrera en del av sina egna uppgifter, vilket gör det enkelt och smidigt för både anställda och administratörer.
Det pratas mycket om “security by design”. Vad innebär det för Seriline?
– Security by design handlar om att bygga system som från grunden är utformade för att vara säkra. Det innebär att vi utvecklar både mjukvara och hårdvara med säkerhet i fokus.
Vi testar kontinuerligt våra system för att säkerställa att vi undviker sårbarheter och följer bästa praxis för autentisering och datasäkerhet. Att arbeta med bluechip-kunder som ställer höga krav på oss hjälper oss också att hålla våra produkter i toppskick.
IAM är en tillväxtstark sektor. Finns det något särskilt som driver efterfrågan på ID-hanteringslösningar?
– Att vi sett en enorm ökning i efterfrågan på ID-hantering de senaste åren beror delvis på nya lagar, så som GDPR och NIS-direktiven. GDPR har till exempel skärpt kraven för hur personuppgifter hanteras, vilket har tvingat företag att förbättra sina identitetslösningar för att undvika böter.
– NIS2, som snart blir lag i Sverige, ställer också hårda krav på hur passersystem och tekniska system säkras mot hot. Detta driver på efterfrågan och gör att företag måste vidta åtgärder för att följa regelverket.
Varför är just ID-hantering så påverkad av ny säkerhetslagstiftning?
– Därför att identitets- och accesshantering är kärnan i dagens säkerhetsinfrastruktur. Oavsett om det gäller en person eller en enhet är identiteten alltid central för säkerheten. En stulen eller falsk identitet utgör en stor risk, så IAM-lösningar spelar en avgörande roll i organisationers säkerhetssystem. Därför befinner sig Seriline i säkerhetsmarknadens absoluta mittpunkt, där vi ständigt är redo till att anpassa oss till nya säkerhetskrav, som exempelvis NIS2-direktivet.
Hur påverkar NIS2 säkerhetsarbetet i praktiken?
– NIS2 är verkligen en game- changer. Det flyttar säkerhetsfrågor från att vara ett tekniskt ansvar till att bli en ledningsfråga. Med hotande sanktionsavgifter för bristande efterlevnad måste företag ta säkerhet på största allvar. Det kräver riskanalyser och skärpta säkerhetsåtgärder för att skydda kritisk infrastruktur. För oss på Seriline innebär det att vi måste utvecklas och hjälpa våra kunder att förbli compliant.
Om NIS2 är en game-changer, hur hjälper ni era kunder att anpassa sig till dessa krav?
– För oss handlar NIS2 om överlevnad. Vi satsar stora resurser för att hålla oss uppdaterade och hjälpa våra kunder att förstå och följa regelverket. Vi delar vår kunskap genom seminarier och webbinarier, både själva och i samarbete med andra. Som leverantör har vi en skyldighet att hjälpa våra kunder med att uppfylla NIS2-kraven, och vi ser det som en del av vår roll att dela den kunskapen.
Vilka är de största utmaningarna när det gäller att göra passersystem NIS2-kompatibla?
– Den största utmaningen är att säkra kommunikationen. Passersystem behöver ha krypterad kommunikation mellan kort och läsare samt mellan läsare och centralenheter. Vårt system, Serix IAM, kan lösa vissa av dessa problem, men vi har inte alla svar. Vi måste guida våra kunder genom vad de behöver tänka på för att bli compliant med NIS2.
Hur står sig era Cidron-läsare?
– Våra Cidron-läsare är ett bra exempel på hur vi kan hjälpa kunder att närma sig compliance. Läsarna har redan stöd för kryptering, OSDP och transparenta lägen, vilket gör det enkelt för kunder att aktivera dessa funktioner och säkerställa att deras passersystem uppfyller NIS2-kraven. Detta tillsammans med att vi stödjer de flesta krypterade formaten för en säker kortläsning.
Många kunder vill uppgradera sina system stegvis. Hur stödjer ni detta?
– Det stämmer. Att byta ut hela sitt passersystem på en gång kan vara kostsamt och kanske praktiskt omöjligt, så många väljer att uppgradera stegvis. Med hjälp av vårt Serix IAM-system kan vi tillexempel säkerställa att kort och taggar krypteras, vilket gör att kunderna gradvis rör sig närmare full compliance.
På vilket sätt kommer NIS2 att förändra säkerhetsmarknaden?
– Ja, jag tror att NIS2 kommer att separera agnarna från vetet. De företag som inte kan anpassa sig och uppfylla kraven kommer inte att kunna leverera utrustning till kritisk infrastruktur. På så sätt kommer NIS2 att definiera vilka aktörer som fortsätter att vara relevanta på marknaden.
Har erfarenheterna från GDPR-införandet varit en väckarklocka för Seriline när det gäller att hantera NIS2?
– GDPR var ett stort uppvaknande för oss. När den trädde i kraft 2018 investerade vi mycket resurser i att utveckla lösningar för att stödja regelverket. Vi arbetade med anonymisering, skrev white papers och utvecklade stöd för att implementera GDPR i våra system. Den erfarenheten har verkligen förberett oss för att hantera NIS2, då vi redan hade byggt upp en stabil grund för att möta nya regleringar.
Apropå GDPR, hur säkrade är era molntjänsteanvändares data?
– Säkerhet är alltid högsta prioritet för oss. Molntjänsten Serix ID bygger på NFC-teknik och krypterad kommunikation som säkerställer att varje identifiering är unik och inte kan kopieras. Vi använder också Microsoft Azure för att lagra data enligt PCI DSS-standarder, vilket innebär samma säkerhetsnivå som används inom banksektorn. Detta gör att våra lösningar är kompatibla med GDPR och andra dataskyddslagar.
Apropå molnet, hur är intresset för molnbaserat hos era kunder?
– Inställningen till molnet är mycket beroende på vilken typ av kund det handlar om. Hos oss är det ungefär 50/50 mellan molnoch on-prem lösningar. Den höga andelen on-prem-tillämpningar hänger samman med att vi har fått allt fler högsäkerhetskunder där man av princip inte vill använda molnlösningar.
Så SaaS-modellen gäller hälften av era kunder?
– Nej, vi tillämpar Software as a Service med månadsabonnemang oavsett om leveransen är on-prem eller i molnet. Våra kundavtal bygger på partnerskap över tid och att vi ansvarar för att ständigt hålla lösningen relevant.
Slutligen, Nato-medlemskapet. Hur påverkar det ert arbete?
– Vi ser en ökad efterfrågan från kunder som påverkas av Sveriges Nato-medlemskap. Nya säkerhetskrav tillkommer, exempelvis för besökshanteringssystem, och tillsammans med NIS2 innebär detta mycket arbete för oss. Men det öppnar också upp nya möjligheter att stödja våra kunder i deras säkerhetsarbete.
Mer kunskapsdelning alltså.
– Ja, det är väldigt viktigt. Vi har en viktig roll att spela när det gäller att dela vår expertis och hjälpa våra kunder att förstå och navigera genom såväl nya regleringar, som NIS2, DORA och GDPR som andra kommande krav.