Satser internasjonalt på SSL-sertifikater

Buypass-sjef Gunnar Lindstøl vil spille på det norske.

Buypass, her ved administrerende direktør Gunnar Lindstøl og sikkerhetssjef John Arild Johansen, satser nå på det globale markedet.
Buypass, her ved administrerende direktør Gunnar Lindstøl og sikkerhetssjef John Arild Johansen, satser nå på det globale markedet. Bilde: H.Brombach
Harald BrombachHarald BrombachNyhetsleder
27. apr. 2015 - 07:21

Buypass er kanskje mest kjent som leverandør av ID-smartkortene til Norsk Tipping, men har i senere år også satset kraftig på blant annet SSL-sertifikater. Selskapet er den eneste rot-CA-en (Certificate Authority) i Skandinavia.

– Vår strategi er å være en leverandør i hele verdikjeden. Personer, domener og i noen tilfeller bruk av ID.  Dessuten betalingsformidler i alle kanaler, sier Gunnar Lindstøl, administrerende direktør i Buypass, til digi.no.

Les gjerne: Nettbankene skjerpet seg 

Internasjonalt

Nå mener han at tiden er inne for en mer internasjonal satsning, men ikke for hele produktporteføljen.

– SSL-porteføljen består av ulike produkter. For eksempel EV-sertifikatene (Extended Validation, journ. anm.) vil vi tilby bare i enkelte europeiske land, mens for enklere produkter går vi ut globalt, sier Lindstøl.

Systembytte: Minibanken kan bli Android-basert 

Han forklarer dette med det på EV-siden er veldig mange kontroller som må gjøres på kort tid, blant annet innhenting av juridisk informasjon. Hvor enkelt dette er å få til, varierer fra land til land.

– I de fleste europeiske land har man en samkjøring på enhetsregistre. Men ikke i USA, som nesten er verst av alle.

I første omgang gjøres det internasjonale salget av sertifikater gjennom en nettbutikk, men Buypass planlegger et internasjonalt partnernettverk som fase to.

To-faktor

Det andre produktet som selskapet i denne omgang lanserer internasjonalt, er autentiseringsproduktet Buypass Code, som er mobil- og nettskybasert. I likhet med lignende løsninger kan det erstatte kodebrikker etc. ved å tilby leserne engangskoder i en mobilapp.

– Det er ikke tilfeldig at vi nå går internasjonalt med dette, siden det skalerer veldig godt og er et voksende og modent marked, sier Lindstøl. Han innrømmer dog at det er ganske stor konkurranse i dette markedet.

– Det vokser på bekostning av de tradisjonelle autentiseringstjenestene. I markedet er det krav om forenkling, lavere kostnader, bruk av skytjenester og høyere sikkerhet for mindre penger.

Les også: Vi legger igjen unødvendig mye persondata 

Lindstøl og John Arild Johansen forteller at selskapet har opparbeidet seg kompetanse innen mobilteknologi siden 2002, blant annet for Norsk Tipping. Kjernen her gjenbrukes i Buypass Code.

– Det må støtte mange håndsett og spille sammen med standardteknologi. Buypass Code skal fungere på tvers av alle slags nett over hele kloden, forteller Lindstøl.

– Modenhet er den utløsende faktoren, både hos oss og i markedet. Vi er nå i stand til å løfte det ut, sier han.

Lindstøl legger til at det har vært en fordel for selskapet å starte i forbrukermarkedet, fordi dette er det mest krevende. Det har gjort det enklere for selskapet å gå til bedriftsnett.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Reguleringer

– Vi kommer fra person-ID-siden og må etterleve en e-signaturlov som bygger på et korresponderende EU-direktiv. Etter hvert kommer det tilsvarende kravsett for SSL-sertifikater, noe vi er godt rigget for. Da vi startet med SSL så at dette ligner veldig på det vi gjorde innen person-ID, forteller Lindstøl.

– Vi heier jo på dette arbeidet som gjøres i EU, for det åpner muligheter for oss. Vi vil spille på det norske i dette, overfor store, europeiske land, slik at de slipper å bruke amerikanske tjenester, sier Johansen.

– Vi merker en gryende bevissthet rundt hvor leverandørene holder til. Vi er underlagt norsk lovgivning, men har fått spørsmål fra kunder om vi har blitt kontaktet av amerikanske myndigheter – noe vi ikke har blitt.

Tillit

Buypass selger tillitsbaserte produkter. Derfor er det essensielt at også selskapet selv har tillit, ikke minst hos nettleserleverandørene, som ifølge Johansen har mye makt når det gjelder å kaste ut CA-er som ikke oppfyller kravene.

Og det kan skje: Sertifikat-myndighet kastes ut

Kravene som nevnes, fastsettes i stor grad i CA/Browser Forum, hvor Buypass er medlem, sammen med blant annet de fem største nettleserleverandørene.

– Kravene kommer kjapt. Det går mye fortere enn med standardisering i ISO og lignende. Det skjer mer i takt med trusselbildet, forteller Johansen.

Buypass har også vært tidlig ute med sertifisering av eget selskap. Blant annet skal de være de eneste i Norge som er sertifisert i henhold til ETSI TS 102 042-standarden for utstedere av elektroniske sertifikater. Men Lindstøl avviser at det bare handler om å bruke dette i markedsføringsøyemed.

– Vi må ha orden i eget hus, som leverandør i en kjede. Sertifiseringer er et krav i mange deler av bransjen, og en av få måter å dokumentere uavhengig at du er på et gitt nivå, sier han.

Opplysningsjobb

Selv om Buypass ikke selger rådgivning innen generell sikkerhet, har Lindstøl og Johansen definitivt meninger om dette. Noe av bakgrunnen for digi.nos besøk hos selskapet var en undersøkelse om sikkerheten til blant annet norske nettbutikker, som digi.no omtalte tidligere i år.

Oppsiktsvekkende funn: Dårlig sikring i nettbutikkene

– Sammen har vi en jobb å gjøre, en opplysningsjobb. Informasjonssikkerhet er kompetansekrevende, sier Johansen som mener det er bedre at nettbutikkene overlater mest mulig av dette til eksterne leverandører i stedet for at hver nettbutikk skal opparbeide seg den kompetansen på egenhånd.

Samtidig sier Lindstøl at informasjonssikkerhet må inn på bordet til bedriftsstyrene, på lik linje med forretningsdriften.

– Det har skjedd veldig mye de siste årene som gjør at dette krever tiltak på tvers av sektorer. Det ble direkte trigget av innbruddet hos den nederlandske CA-en Diginotar, sier han.

Bakgrunn: Google.com-sertifikat på avveie 

Innbruddet, som ble kjent i 2011, førte til at google.com-sertifikater ble utstedt til andre enn Google selv. Mye tyder på at det var det iranske myndigheter som gjorde dette for å sette opp tjenester mot egne innbyggere i forbindelse med den arabiske våren.

– Vi samarbeider med mange aktører i markedet om utveksling av informasjon, og hjelper hverandre. Det er et veldig bredt felt som dekker mye mer enn de produktene vi har, sier Lindstøl.

Samtidig er det i mange tilfeller små miljøer som jobber med dette.

– Krypto er et ganske smalt felt globalt. Vi er på fornavn med de tre i Microsoft som driver med dette. De har like mye vært rådgivere som godkjennere, forteller Johansen.

Åpenhet: – Kyberbrudd må rapporteres 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.