oktober 27, 2021 june_holycomms

The concept of Zero Trust is being banded about a lot recently but what does it actually mean, and how can public key infrastructure (PKI) play a role in adopting this model of information security?

The ethos of Zero Trust is, as it says, trust nothing. The notion being that previous models of information security took a ‘castle-and-moat’ approach to security; high, heavily guarded walls and spike-laden, croc-infested moats to keep unwanted outsiders at bay. Conversely, those who could be trusted to cross the draw bridge have the capacity to move freely inside the castle walls.

Coined in 2010 by John Kindervag, at the time principal analyst at Forrester Research Inc., Zero Trust implies that no person or device should automatically have access to internal systems once inside corporate firewalls, in effect – ‘just because it is already on my network doesn’t mean I can trust it’. Many large-scale breaches have occurred due to bad actors who have managed to gain access through a weak password (colonial pipeline https://www.intercede.com/it-was-a-complicated-passwordlessons-learned-from-the-colonial-pipeline-breach/) and then taken advantage of that account to freely pillage data and cause general havoc.

In an environment where dark web password lists are growing faster than your latest dog-fronted cryptocurrency, IT leaders are recognising that they cannot solely rely on the perimeter security keeping the bad actors at bay.

The strong authentication element of Zero Trust

Organisations who already have PKI based strong authentication deployed are one step ahead in adopting Zero Trust.

In addition to validating the identity and health of connected devices, a fundamental part of Zero Trust is to always know the people trying to access internal systems are who they say they are. Multi-factor authentication (MFA) using PKI offers the level of crypto-based security to achieve just this.

By issuing public/private key based credentials across the workforce, organisations are already adding a cryptographic layer of protection to the identities they trust. Additionally, by setting policies to require the use of a PIN or biometric, organisations have a passwordless solution that offers best practice levels of authentication security, and a seamless UX for employees to access internal systems and resources.

Using a credential management system, such as MyID®, system administrators have the capacity to break down user groups and set distinct policies for MFA. This could mean more checks for the most privileged of users. Equally, it also means that if a user’s account is breached, that they are not going to be able to just wilfully access other internal systems without fulfilling further MFA checks.

Evolving PKI for Zero Trust

Key considerations are the universality of strong authentication – is this available across all user groups or is it solely in place for privileged users? PKI can be difficult to roll out across all user groups, there may be some employee user groups, contractors and even suppliers who require access into parts of your corporate network. How can you issue identities for strong authentication to these people, and set policies to ensure they are only using the methods of authentication you want them to?

An effective credential management system will provide answers to all of these challenges. MyID provides a single point to issue and manage PKI credentials. System administrators of MyID also have the rights to set roles-based access policies. The capacity to issue and manage FIDO based authentication [https://www.intercede.com/solutions/technologies/fido-authentication/] within MyID can also help organisations overcome the issue of getting 100 per cent roll out of strong authentication across all user groups. If PKI is too expensive or complex for contractors, or smart cards are not practical for suppliers, MyID can issue a FIDO credential to a mobile device or a security token such as a YubiKey.

Additional security benefits that can be realised by evolving PKI with a credential management system include enabling digitally signed emails and transaction signing.

Through extending PKI to enable digitally signed emails, employees can have confidence in the communications they receive from colleagues. Sensitive communication can be secured and confidence in requests to take action based on emails can be assured, mitigating the threat of spoofed emails. 

Transaction approval can also be streamlined by extending PKI capabilities. Through the strong authentication and auditability of PKI, organisations can enable their employees to digitally sign and approve transactions within their corporate environment and remotely via a desktop, laptop, or mobile device. Delivering a Zero Trust approach to transaction approvals and a greatly streamlined process for end users to help organisations run with greater efficiency.

Today, MyID is being used by enterprises to extend the benefits of PKI, enabling signed emails and transaction signing using mobile authentication. [https://www.intercede.com/faster-transaction-signing-with-mobile-authentication-and-myid/]

Interested in evolving your PKI solution to support a Zero Trust approach? Contact us now using the form below to find out more and arrange a MyID demo.

maj 6, 2021 june_holycomms

Frågan om supply chain-cybersäkerhet har fått ett stort fokus under den senaste tiden, efter ett uppmärksammat intrång i USA mot en stor leverantör till företag och myndigheter.
Cyberattacker som sker via underleverantörer eller i leverantörsleden är svåra att skydda sig mot, men som företag eller organisation finns det många åtgärder man kan vidta, enligt cybersäkerhetskonsulten Jonas Lejon.

I januari i år skedde ett intrång mot det amerikanska företaget SolarWinds. Då företaget är en leverantör av mjukvara till många organisationer gjorde intrånget att ett stort antal myndigheter och företag drabbades.

– Vi som arbetar inom cybersäkerhetsbranschen har under flera år pratat om vikten av att kontrollera och ställa krav på sina underleverantörer, och vikten av att ha en säker leverantörskedja. Så det här kommer inte som en blixt från klar himmel, säger Jonas Lejon.

Jonas Lejon, som är en oberoende cybersäkerhetskonsult, har grundat och är VD för IT-säkerhetsföretaget Triop AB. Tidigare har han bland annat arbetat med cybersäkerhet inom försvaret.

“Stora kunskapsluckor”

Cyberattacker som sker via underleverantörer har blivit allt vanligare.
– Grundproblematiken är att man köper produkter och system, litar blint på dem och använder dem i sin organisation. Det finns väldigt stora kunskapsluckor inom området och många företag blir tagna på sängen när det sker, då de inte har räknat med det i sin riskkalkyl, säger Jonas Lejon.

När man talar om attacker mot IT-system så är det ett väldigt brett begrepp. Det kan röra sig om allt från en pulsklocka till tusentals olika datorer som attackeras, betonar Jonas Lejon.
– Därför finns det inte heller en enda enkel lösning på problemet med säkerheten. Det räcker inte att göra en sak, man måste göra många olika saker, säger han och fortsätter:
– Det handlar om allt från att ställa krav när man köper grejerna, till att underhålla och övervaka systemet över tid. Man måste även se till att ingen information lämnas kvar när man avyttrar och gör sig av med systemet.

Med rätt åtgärder minskar risken

Att skydda sig mot just supply chain-attacker är extra svårt, då de flesta inte har en enda leverantör, utan en kombination av flera olika leverantörer, som i sin tur är beroende av sina egna underleverantörer.

Men det finns många saker man kan göra för att minska risken för attacker. Jonas Lejon listar de viktigaste:
– Det mest grundläggande är att ha processer och rutiner på plats, där man tänker igenom hela livscykeln och ställer krav på leverantörerna. Man ska ha koll på sina prylar, både hårdvaran och mjukvaran, man ska helt enkelt veta vad man köper och vad man har i sitt system.

Ett annat tips är att isolera och avgränsa, så att produkter och system har så låga behörigheter som möjligt och endast tillgång till den information som behövs för att utföra uppgiften. Jonas Lejon förespråkar också att man ska öva på olika krisscenarion och incidenter som kan inträffa, och se till att ha tydliga rutiner för vad man ska göra om det sker.
– Jag brukar säga att frågan inte är om man kommer att bli hackad, utan när, avslutar Jonas Lejon.

mars 23, 2021 june_holycomms

Intercede and Expisoft are happy to announce their new partnership as both companies look to work together on delivering strong authentication solutions across the Nordics.

Sweden-based Expisoft is a leading IT security software development company who has continued to develop innovative identity and security products for more than 25 years. Expisoft’s product family meets all Swedish and European IT security standards in the electronic ID, PKI, CA and VPN areas.

Intercede (LSE:IGP), is a UK-based software company whose MyID credential management software platform is used by governments and enterprises across four continents to issue and manage citizen and workforce digital identities.

The partnership between both companies will see technical integrations between MyID and Expisoft’s certificate authority, as well as the company’s smart card products. Expisoft has also joined Intercede’s Connect Partner Programme and will be actively reselling MyID software across the Nordics.

“We are very pleased to announce this partnership with Expisoft.” Said Intercede’s Chief Product Officer, Allen Storey. 

“With a wealth of experience and technical know-how in delivering technologies for government bodies along with medium and large companies in Sweden and internationally, Expisoft are an excellent fit for our MyID product, both as a technology partner and reseller.” Added Storey.

Siobhan Morey-Millington, Partner Manager at Intercede said, “This is an exciting partnership for Intercede and Expisoft. Our technical solutions complement each other very well and we are already seeing a number of opportunities across the Nordics where our combined solutions add value to customers who are keen to adopt strong workforce authentication. I am delighted to have Expisoft onboard the Connect Partner Programme and we look forward to working together with the Expisoft team.”

“Expisoft look forward to work with Intercede to provide the best-in-class credential management solution to the Nordic market.” Said Stefan Gustafsson, CEO Expisoft. 

Integrating MyID with Expisoft security solutions will further strengthen our offering to current and new customers. I feel comfortable that our joint offering provides a very flexible, yet robust solution that will integrate well with any technology that the customers use.”


mars 16, 2021 june_holycomms

Nu har du chansen att bli en del av ett inspirerande, värderingsstyrt företag som utvecklar tekniskt avancerade säkerhetslösningar för krävande kunder inom såväl den civila som militära sektorn. Just nu söker vi en passionerad och driven systemutvecklare till vårt kontor i Stockholm.

Vi drivs ständigt framåt av individuella initiativ och vill alltid bli bättre på det vi gör. För rätt person innebär det stora möjligheter att utvecklas och att göra det du brinner för. 

Som utvecklare hos oss kommer du att bli en viktig kugge i vårt utvecklingsteam som av våra konkurrenter anses ligga i den absoluta framkanten vad gäller design, implementation och drift av avancerade säkerhetstjänster baserade på PKI/CA lösningar, X.509 certifikat, smarta kort och olika krypteringslösningar.

Vi arbetar agilt utifrån beprövade metoder och processer, med stöd av kända verktyg såsom jira, gitlab, jenkins m.fl. Därför är det är en fördel om du är bekant med dessa metoder. Vi utvecklar även olika tekniska stödverktyg för att förbättra och optimera olika arbetsprocesser för våra kunder samt för att göra livet enklare för våra kollegor.

Om dig

  • Vi tror att du har ett par års erfarenhet av att utveckla sajter och olika webbaserade UI samt har erfarenhet från PHP, HTML och CSS.
  • Oavsett om du är självlärd eller har en utbildning inom systemutvecklingsområdet, så har du en djup passion för design, programvaruutveckling och teknik.
  • Du har kunskaper inom grafisk design, gärna med god insikt i Illustrator, Photoshop eller likvärdiga applikationer.
  • Du har erfarenhet av UX design, och användarvänlighet.
  • Det är meriterande för din ansökan om du har använt Docker eller Kubernetes.

Andra kunskaper som Expisoft premierar är:

  • C++, Java, Web services, MVC, SQL, Powershell.
  • PKI, Certifikat, kryptering, PKCS,
  • Git, nmake, cmake, clang
  • Microsoft koncept så som Terminal Services, Active Directory mfl.
  • Linuxkunskaper, Red Hat, Cent OS, SE-Linux, m.m.

Som person så tror vi att du älskar att lära dig nya saker, är självgående, analytisk, prestigelös, hjälpsam, trivs i sociala sammanhang, gillar utmaningar och är kvalitetsmedveten. Du älskar säkert precis som vi möjligheten att få lösa tekniskt svåra problem och bygga avancerade tekniska lösningar för att lösa dessa problem. För denna tjänst krävs svenskt medborgarskap då vi arbetar med försvarsrelaterade projekt.

Vi erbjuder dig ett spännande jobb och en plats i ett hängivet och kul team där en stor del av Sveriges absoluta elit inom säkerhetsutveckling finns samlat på ett och samma ställe!

Din vardag hos oss är omväxlande och vi har ett gott, positivt arbetsklimat och en öppen företagskultur med väldigt god gemenskap. Vi har en flexibel arbetsmetodik som innebär att alla hos oss deltar i hela värdekedjan kring våra projekt – från designmöten och modellering till utveckling och test. Dessutom blir du en del av en grupp kollegor som har ett stort kunskapsutbyte och mycket kompetensöverföring oss emellan.

Hos oss får du en marknadsmässig fast lön och vi har även andra förmåner såsom friskvårdsbidrag och tjänstepension. Tjänsten är tillsvidare och på heltid och vi sitter i attraktiva, öppna och ljusa lokaler norr om Stockholm (Täby).

 Din ansökan
Skicka in din ansökan med CV och personligt brev till oss, eller om du har frågor gällande tjänsten, till Annika Simonsson på annika.simonsson@www.expisoft.se

Om Expisoft

Expisoft är ett svenskt programutvecklingsföretag och en av Sveriges mest erfarna aktörer inom IT-säkerhetsområdet. Vi har utvecklat olika identitets- och säkerhetsprodukter under flera företagsnamn (Bull, Integris, Steria) sedan början av 1990-talet och nu utvecklas produkterna vidare under vårt eget namn Expisoft Secure Access. Vår produktfamilj möter samtliga svenska och europeiska IT-säkerhetsstandarder inom Elektroniska ID, PKI, CA och VPN området.

Våra kunder återfinns främst hos större organisationer inom offentlig förvaltning, försvaret samt medelstora och stora företag, såväl i Sverige som internationellt. Vår teknik hjälper företag och myndigheter att skydda sina arbetsplatser, sina nätverk och sin information mot olika IT-säkerhetsrelaterade hot som bedrägeri, stöld eller manipulering av information, otillbörlig användning, intrång m.m. Besök oss på www.expisoft.se


mars 10, 2021 june_holycomms

Cyberhot och företagsspionage är ett par av de största säkerhetshoten som svenska företag och organisationer står inför idag.
– Det är vanligt att tänka att det händer inte mig och mitt företag. Men har man inte garden uppe är risken för att bli utsatt större, säger Ulv Rohdin, VD för Greybone Consulting och före detta kriminalkommissarie vid SÄPO.

Syftet bakom cyberattacker och företagsspionage är ofta att komma åt information, säger Ulv Rohdin, som har mångårig erfarenhet av att ha arbetat med bland annat kontraextremism, kontraterror, kontraspionage och säkerhetsskydd.
– Det kan till exempel röra sig om att man hackar sig till information, eller försöker komma åt information på andra sätt, som genom att värva en person på ett företag, säger Ulv Rohdin.

Främmande makt, organisationer, företag och i en del fall även enskilda personer kan ligga bakom säkerhetshotet.
– Som jag ser det är de främsta hotande statsaktörerna Ryssland, Kina, Iran, och till viss del Nordkorea. Det kan dels handla om att man vill komma åt själva informationen och till exempel bygga något eget hemma och skippa grundforskningen, dels kan det handla om att man vill ta reda på var vi ligger i utvecklingen. Det handlar ofta om att man vill vinna marknadsandelar. Mycket idag handlar om geopolitik, makt och pengar, säger Ulv Rohdin.

Svensk naivitet

Företag och organisationer med kritisk infrastruktur är särskilt utsatta, bland annat företag som arbetar med el- och vattenförsörjning och inom bank- och finansbranschen.
– Det kan snabbt få stora konsekvenser om våra banksystem slås ut så att vi inte kan ta ut pengar, eller om elen stängs ner så att vi inte har värme. Företag som på ett eller annat sätt hamnar i den nya säkerhetsskyddslagen, som tidigare inte har varit det, är också särskilt utsatta. Många av dem har nog inte samma garde uppe mot hotet, som företag som arbetat med säkerhet länge.

Kunskapen om säkerhetshot har blivit bättre i Sverige, men det finns fortfarande mycket kvar att göra, enligt Ulv Rohdin:
– Det finns en naivitet i Sverige och vi tror ofta att det händer inte mig. Kanske beror det på att vi i Sverige inte har varit i krig på 200 år och inte har de erfarenheter personer i många andra länder har varit med om.

“En risk- och sårbarhetsanalys bör göras”

Hur bör man som företag agera för att möta hotet?
– Alla företag bör göra någon form av omvärldsanalys för att få en bild av vilka hot och risker som finns för företaget. En risk- och sårbarhetsanalys bör göras, för att se över vad som är viktigt att skydda och hur man ska göra det. Det kan bland annat handla om bättre besökshantering, att man inte ska ta med sig datorn utomlands eller inte ta med sig telefonen till vissa länder, säger Ulv Rohdin och fortsätter:
– Säkerhetsskydd handlar mycket om att ha ordning på saker och ting, så det är viktigt att skapa policys och riktlinjer för hur saker ska hanteras. För företag handlar arbetet med säkerhet i längden om att lyckas överleva, eller om någon annan ska ta över företagets produkt eller marknadsandelar. 

mars 9, 2021 june_holycomms

Vi på Expisoft ser att efterfrågan är stor bland företag och organisationer som behöver högre IT-säkerhet och hjälp med att möta kraven i den nya Säkerhetsskyddslagen.

Därför stärker vi nu upp och hälsar välkommen till Erik Nilsson. Han kommer att jobba i Expisofts testteam, där han kommer att ha en aktiv roll i att hjälpa våra kunder med dokumentation i cybersäkerhetsprojekt.

Vad ser du fram emot i din nya roll på Expisoft?
– Först och främst att hjälpa våra kunder tillsammans med mina nya kollegor. Det verkar vara ett roligt gäng och en väldigt trevlig och innovativ arbetsplats. Sedan ser jag fram emot att sätta mig in i, och lära mig de system, rutiner och produkter som används på Expisoft. Jag älskar att lösa problem och att bidra till teamet, så jag längtar tills jag kan göra det!

Vilka egenskaper kommer du att bidra med till teamet här på Expisoft?
– Jag är ganska strukturerad och ordningsam, och brinner för IT-säkerhet. Sedan är jag en dedikerad lagspelare, så jag hoppas kunna dra mitt strå till stacken, hjälpa till där jag kan och bidra till den positiva lagkänslan!

Kan du berätta något om dig själv?
– När jag var 21 år gammal så tågluffade jag och en god vän i Europa. Tyvärr skadade jag mitt knä i en volleybollmatch mot en tysk skolklass på en camping utanför Rom. Det gjorde att jag fick svårt att gå lika långa sträckor som tidigare, och därför köpte jag en knotig käpp i en butik i närheten av Petersplatsen. Käppen gjorde att jag åter kunde halta fram lika långa sträckor som tidigare, i sann Doktor House-stil. Käppen ledde till många minnen, som när vi bjöds på dricka inför promenaden upp på Parthenon-kullen i Aten, och som när vi fick gå förbi kön till riksdagshuset i Berlin för att de ville skanna käppen. De här minnena hade jag inte fått utan skadan och jag tror till fullo på det gamla ordspråket ”Det handlar inte om hur man har det, utan om hur man tar det”.

mars 9, 2021 june_holycomms

Vad ser du fram emot i din nya roll på Expisoft?
Att få vara med att skapa ett säkert och tryggt samhälle, genom att hjälpa företag accelerera införandet av säkra IT-miljöer. Vi ser att behovet av cybersäkerhet växer stadigt, inte minst i samband med införandet av den nya säkerhetsskyddslagen som påverkar myndigheter och företag. Det är kul att få vara en del av ett företag som bidrar med så mycket samhällsnytta.

Vilka egenskaper kommer du att bidra med till teamet här på Expisoft?
Mitt fokus har alltid varit att tillsammans med mina kollegor sätta kundens behov i centrum. Jag kommer att arbeta aktivt för att utveckla Expisofts erbjudande inom cybersäkerhet och ge både våra befintliga och nya kunder tillgång till bra lösningar med god service.

Kan du berätta något om dig själv?
Träning och välgörenhet ligger mig varmt om hjärtat. Jag har bland annat cyklat under nio dagar från Stockholm till Paris med Team Rynkeby för att samla in pengar till cancersjuka barn.

oktober 9, 2020 june_holycomms
Årets band är designat av First Aid Kit.

Att bära ett rosa band är att visa att man bryr sig och att det bara är tillsammans vi kan besegra cancer.

Varje år får cirka 8 000 kvinnor i Sverige diagnosen bröstcancer, ett tal som ökar samtidigt som andelen överlevande går upp. På 1960-talet levde cirka 50 % av bröstcancerpatienterna i Sverige tio år efter diagnos och behandling, medan siffran femtio år senare var 80 %.

Cancerfondens Rosa Bandet-kampanj bekämpar bröstcancer genom att finansiera cancerforskning, sprida kunskap om sjukdomen och driva opinion.

Cancerfondens vision är att besegra cancer. Målet är att färre personer i Sverige ska drabbas av cancer och fler överleva sjukdomen. De arbetar också för att vården ska vara så bra som möjligt för dem som insjuknar och att deras närstående får stöd och hjälp.

För att komma närmare visionen arbetar Cancerfonden med forskningsfinansiering, kunskapsspridning och påverkansarbete.

Expisoft hjälper till att föra forskningen framåt så att färre drabbas och fler överlever cancer.

oktober 6, 2020 june_holycomms

För att framhålla vårt kvalitetsarbete och för att säkerställa vår kompetens har Expisoft AB prekvalifikationscertifikat utfärdat inom Norden inom transportbranschen.

Läs mer!

september 25, 2020 june_holycomms

Behovet av IT-säkerhet i samhället är idag enormt stort och den nya säkerhetsskyddslagen innebär att fler aktörer på den civila sidan omfattas.

Sedan den nya säkerhetsskyddslagen trädde i kraft under 2019 har området säkerhetsklassad information blivit mer aktuellt än någonsin. I den nya säkerhetsskyddslagen ställs mer omfattande krav på myndigheter och organisationer som bedriver säkerhetskänslig verksamhet. Bland annat finns det nya krav på att kartlägga och klassificera IT-system och information.

Säkerhetsskydd handlar om att genom förebyggande arbete skydda säkerhetskänslig verksamhet hos myndigheter och företag mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten.

Vill du veta mer om den nya säkerhetsskyddslagen och hur Expisoft kan hjälpa er att uppnå en hög nivå av informationssäkerhet för att skydda er säkerhetskänslig verksamhet och information?

Läs mer här.

Kontakta oss.