Detektor har intervjuat Robert Jansson om vad hans engagemang bottnar i.

Varför är en utveckling mot öppna system så viktigt för passerkontrollbranschen?

– Först och främst vill inte kunder bli helt beroende av en enda tillverkare som kontrollerar såväl pris som tillgänglighet. Passersystem innehåller en hel del hårdvara som är kostsam och som bör vara konkurrensutsatt. Med öppna system vidmakthålls sund konkurrens.

– Därutöver är det en ren säkerhetsfråga, det går ju inte att bibehålla säkerheten i ett proprietärt system. Utvecklingen går helt enkelt för fort.

Kan inte proprietära system utgöra en säkrare lösning då alla delar är designade för att fungera bra tillsammans?

– Det där är en total myt. Visst är det så att inga utomstående komponenter kan användas i system som använder egensnickrade algoritmer och protokoll. Men säkerhetssystem är IT-system och ska skyddas därefter. När det gäller komponenter pågår en ständig utveckling mot standarder som ska både skydda och förenkla öppenhet med total säkerhet.

– Dessvärre finns det en hel del tillverkare av system som vill upprätthålla myten om att deras ”security by obscurity” är den enda rätta vägen, men det är bara ett sätt att hålla kunderna i ett punggrepp.

Hur ser det då ut på marknaden för passersystem idag när det gäller andelen system som är öppna respektive proprietära?

– De flesta system på marknaden som inte tillverkas i Sverige är relativt öppna. Svenska system är mer proprietära.

Vad är då ett öppet system?

– Det är ett system som i fyra nivåer är så öppna som möjligt, det vill säga i system, kontrollenhet, läsare och kortmedia. Kontrollenheten ska säkert knyta an till ett flertal mjukvaror. Läsarna ska lika säkert kunna kommunicera med de flesta läsartillverkare, exempelvis via OSDP eller ännu bättre SSCP. Slutligen ska läsarna också kunna kommunicera med ett flertal kortmediatyper och ta brukaren från låg till hög säkerhet över tid.

Vad mer utmärker ett öppet system?

– Att alla komponenter är uppgraderingsbara så att systemet kan följa med utvecklingen mot högre säkerhet. Hoten blir fler och kommer tätare och medlen för att skydda sig utvecklas hela tiden och måste bli implementerade. Detta ska ske genom uppdateringar av hårdvaran.

Men hur är det med slutkunderna, efterfrågas öppna system i upphandlingarna?

– Nej, tyvärr är det ofta så att specifikationer i upphandlingar oftare styrs av varumärken är funktion.

Självklart uppskattar vi på Stid Security när vårt varumärke skrivs in i upphandlingar, men jag skulle hellre se att man specificerade önskad säkerhetsnivå framför varumärke så att tillverkarna tvingas utveckla och spetsa sin säkerhet för att ta kunderna till högre säkerhet.

– Det är mot den bakgrunden som det allt för ofta installeras passersystem med mer fokus på bekvämlighet än säkerhet. Min förhoppning är att upphandlare ska förstå att proprietära system inte är rätt väg att gå om man eftersträvar säkerhet över tid.

Cybersäkerhet

Du har offentligt talat mycket om vikten av att passersystem är designade för att svara upp till EU-direktivet NIS 2, som syftar till att skärpa cyberskyddet i kritisk infrastruktur. Varför är det så viktigt att just passerkontroll-sektorn diskuterar NIS 2?

– Cybersäkerhetshoten är ständigt närvarande och i passersystem måste man säkra upp så att inte identiteter eller identitetsrelaterade information på kortet kan klonas. Därför ska informationen läggas på ett säkerhetsmedia från vilken den inte kan extraheras. Den ska sålunda skyddas i flödet mellan handen på brukaren upp till systemet och vidare via kontrollers och databaser utan risk för att missbrukas. Här kan bara öppna system hålla dig säker över tid.

Är inte dagens passerkontrollösningar uppdaterade och lever upp till NIS2-kraven?

– Väldigt få, skulle jag vilja påstå. Slutkunderna måste vakna upp, för det är hos dem som det juridiska ansvaret ligger och även intresset att skydda sig naturligtvis.

Du vill också att man ska efterfråga NDAA-kompatibla lösningar, alltså produkter som lever upp till kraven som ställs med den amerikanska lagen National Defence Authorization Act som trädde i kraft 2019 och förbjuder användning av teknik från flera kinesiska tillverkare i statliga och andra känsliga objekt i USA. Varför ska vi ta hänsyn till en amerikansk lag i Sverige?

– Därför att det handlar om cybersäkerhet och zero trust. NDAA kom till efter man upptäckt ”malware” i kinesiska komponenter som kameror, routrar och även läsare innehållande skadlig kod som lagrade de senaste transaktionerna som plockades upp med ett ”mastercard”. Lägg därtill att det finns en kinesisk underrättelselag som tvingar kinesiska företag att utelämna känslig information till den kinesiska staten om den exempelvis anses ha ett militärt intresse. Därför bör lösningar där teknikinnehållet är NDAA-kompatibelt även efterfrågas i Sverige.

Om du med en mening ska sammanfatta en önskan utifrån vad vi nu pratat om, hur lyder den?

– Att såväl leverantörer som slutkunder ser det starka sambandet mellan behovet av öppna system och säkerhet över tid samt att upphandlare undviker produkter från totalitära regimer och ser det som en självklar hygienfaktor.