2023-06-15

Kritisk infrastruktur – Del 4 av 5

Ny lag för säkrare kritisk infrastruktur ökar kraven på passersystem

Robert Jansson, försäljningsdirektör med ansvar för Norden, Östeuropa och Sydafrika för kortteknologitillverkaren Stid Security.

Robert Jansson, försäljningsdirektör med ansvar för Norden, Östeuropa och Sydafrika för kortteknologitillverkaren Stid Security.

Hotbilden mot kritisk infrastruktur har ökat avsevärt till följd av Putins krig mot Ukraina. Samtidigt pågår implementeringen av direktivet NIS 2 som ska stärka motståndskraften och förmågan att möta cyberattacker mot samhällskritisk infrastruktur i EU-länderna.

– Det betyder skärpta krav, inte minst på passersystemen, säger Robert Jansson, nordisk försäljningsdirektör för kortteknologitillverkaren Stid Security.

Robert Jansson har under de senaste åren gjort sig känd för att i debattforum driva på för att beställarna ska ställa högre säkerhetskrav och göra sig fria från proprietära system.

– Det gäller inte bara system som är knutna till samhällskritisk infrastruktur, utan egentligen alla vertikaler. Man ska aldrig låta sig kidnappas av föråldrad, properitär eller patenterad teknik. Öppna passersystem är en nödvändighet för ett säkrare skydd, säger han.

Börja anpassningen nu

Robert Jansson välkomnar NIS 2-direktivet och som godkändes av Europaparlamentet och EU-rådet i slutet av 2022.

– Nu ska alla medlemsländer implementera NIS 2 och tills den 17 oktober 2024 ska direktivet var införlivat i nationell lagstiftning. Därför är det viktigt att redan nu se över och säkerställa att befintliga säkerhetssystem och passersystem lever upp till kraven. Tiden är knapp.

Skärpt cybersäkerhet

2016 antogs NIS-direktivet om åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. I Sverige införlivades direktivet 2018 i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, som innebär krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och vissa digitala tjänster.

2020 kom ett förslag till en komplettering av NIS-direktivet – NIS 2 – som innebär mer detaljerade krav för att bättre kunna harmonisera införlivandet och öka cybersäkerheten inom hela unionen, samt underlätta för leverantörer som har verksamhet i flera länder. Förslaget föreskriver bland annat minimikrav för säkerhetsåtgärder samt ökade och mer specificerade rapporteringsskyldigheter. Lägg därtill ökade rättsmedel och sanktioner för tillsyn av direktivet.

Öppna system – enda vägen

Robert Jansson upprepar ständigt vikten av att se passersystem som en långsiktig investering, vilket han menar är ett starkt skäl för att använda öppna system där slutkunden inte är utelämnad till en tillverkares produktutbud eller förmåga till service och uppdateringar. Det spelar ingen roll om ändamålet är att skydda samhällskritisk infrastruktur, ett industriföretag eller någon annan organisation där säkerheten värderas högt.

Kräv NDAA-certifiering

Men det är inte bara behovet av att använda öppen teknik som Robert Jansson upprepar med en dåres envishet. Också hänsyn till produktursprung är viktigt.

– Absolut, produkter från länder med ett autokratiskt styrelseskick ska man undvika. Det finns flera exempel på hur sårbara säkerhetssystem kan vara när producenter från diktaturer, direkt eller indirekt, adderat bakdörrar till komponenter eller system. Statsunderstödda cyberattacker är vardag och inget hindrar den här typen av länder från att använda bakdörrar i exempelvis läsare i syfte att släppa in obehöriga.

– Jag rekommenderar att man ställer krav på att passersystemet och att dess ingående delar är NDAA-certifierade, det vill säga inte innehåller teknik från de kinesiska tillverkare som är svartlistade som cybersäkerhetsrisker av USA:s regering.

Cybersäkerhetscertifiering

När det gäller passersystem och behovet av cybersäkerhet samt anpassning till NIS 2, tycker Robert Jansson att man ska efterfråga cybersäkerhetscertifieringar, exempelvis från den franska cybersäkerhetsmyndigheten ANSSI, Govpass från Uk, BSI från Tyskland och Rijkspas från Nederländerna för för såväl passersystem som ingående produkter.

– Om inte annat så för att säkerställa att systemet uppfyller NIS 2 som bli implementerad i svensk lagstiftning senast 2024.

Ansvaret ligger hos beställarna

Idag ska passersystemen vara kompatibla med GDPR-kraven och NIS. Med NIS 2-direktivet ställs ytterligare krav på dataskyddet. Det innebär stora utmaningar för såväl beställare som leverantörer.

– Ja, för det tvingar oss som levererar att veta vi gör, för till skillnad mot förr har beställarna av passersystemet nu ett juridiskt ansvar för att säkerställa att man lever upp till befintliga dataskyddlagar. Det betyder att branschens leverantörer har ett stort och tydligt ansvar. Om de inte gör rätt kan ju kunden straffas med höga sanktionsavgifter.

NIS-direktivet med NIS 2 är ett komplement till GDPR som verkligen behövs, menar Robert Jansson, som exemplifierar med ett företag som har biometrisk lösning för passerkontroll.

– Den biometriska signaturen lagras i en hårdvara, system eller i molnet. Leverantören hävdar att lösningen är säker och godkänd då den är krypterad och ingen kan läsa informationen som lagras i ett EU-land. Dessutom är tillverkaren eller lösningens leverantör ett känt företag med hemhörighet i ett EU-land. Det kan låta tryggt, men det är det inte, säger han.

NIS skyddar identiteten

Vad Robert Jansson menar är att om en lösning säljs till ett företag i ett land som är tämligen ointresserat att följa europeiska GDPR-lagstiftningen, så har de tillgång till användarnas biometriska värden, det vill säga identiteten.

– I värsta fall kan personers biometriska data komma att köpas av högstbjudande eller användas på ett annat sätt som inte är förenligt med europeiska lagstiftningar och etiska riktlinjer, säger han.

Det här är bara ett exempel på varför NIS-regelverkets tydliggöranden om hur identiteter i ett passersystem kan och ska skyddas är så viktigt, menar Robert Jansson avslutningsvis.

Den här artikeln/artikelserien har producerats av facktidningen Detektor i samarbete med SecurityUser.com.



Leverantörer
Ändra marknad
Till toppen av sidan
Stäng