Experten: ”Good enough kan inte vara en bra lösning”

Videomöten Videomöten är här för att stanna, men i takt med att användandet ökar – kommer frågeställningen: vilka tjänster är säkra och hur får man använda dem? 

Experten: ”Good enough kan inte vara en bra lösning”
Christian Wåhlin

Digitaliseringen rullar vidare och under coronapandemin har virtuella möten verkligen exploderat. I det nya normala där kollegor och team som förr kunde samlas runt ett bord, nu sitter utspridda så har behovet av bra verktyg ökat. Videotjänster är något som klivit in som en ”räddare i nöden”, men med detta kommer även frågor om säkerhet.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.

Christian Wåhlin med drygt 20 års erfarenhet av videolösningar gör analysen att de säkerhetsfrågor som idag lyfts i den allmänna debatten framför allt handlar om informationssäkerhet i relation till lagstiftning, t.ex. GDPR och sekretesslagar. De stora populära amerikanska molntjänsterna har god säkerhet avseende kryptering och autentisering, däremot så ställer USA:s Cloud Act samt domstolsutfall som Schrems II till det för offentlig sektor som kommuner och myndigheter.
– Det är en svårbedömd situation, men när man exempelvis ska handskas med information om personer, antingen de är med i ett möte eller bara diskuteras på möten – då är det många gånger tveksamt att använda en amerikansk tjänst. Därför kan jag tycka att det är lite märkligt att det finns så skiftande uppfattningar mellan myndigheter kring vad som är tillåtet.

Autentisering allt mer intressant

Christian säger att om man tittar bortom problematiken som GDPR och Cloud Act innebär – så finns det flera sätt att tänka på säkerhet i video. Autentisering av mötesdeltagare är ett område som blir alltmer intressant.
– Video var förut något som användes i vissa affärsrelationer eller mellan kollegor. Nu är det annorlunda och du vet inte alltid om det är rätt person på andra sidan. Har du aldrig träffat den du ska ha möte med så måste du se till att ha någon form av autentisering. För skickar du bara ut en mötesinbjudan – är det ju inte säkert att det blir rätt person som är med i mötet.

Ett alternativ för att säkerställa att man får rätt person på andra sidan kan vara Bank-id. Men det är inte alltid rätt lösning. Med det menar Christian att det kan vara ett lite klumpigt verktyg om det är så att det ska användas mellan kollegor eller i situationer som uppstår flera gånger om dagen.
– Det finns en rad varianter av tvåfaktorautentisering. Ett exempel kan vara att du först en inbjudan med en länk till mötet, tio minuter innan mötet startar får du ett sms med inloggningskod. Då har du en bra grund.

Frågor man bör ställa till leverantörer

  1. Vem äger tjänsterna och under vilket lands lagstiftning faller det under?
  2. Har lösningen stöd för flerfaktorautentisering?
  3. Hur är informationen som hanteras av tjänsten skyddad och krypterad?
  4. Vilken information kan lagras/sparas i tjänsten, hur kan man radera samt återställa den? Var lagras den?
  5. Överförs statistik och telemetri till leverantörer och kan man förhindra detta centralt?
  6. Hur kan man styra och kontrollera behörigheten till olika funktioner i tjänsten?
  7. Kringtjänster som inspelning och streaming bör kravställas på samma sätt som en informationssäkrad videotjänst.

”Good enough” är inte alltid tillräckligt

Så vilka alternativ till säkra videomötestjänster finns det? Vilka ska man som företag eller organisation titta på?
– Min upplevelse är att det inte finns så många på marknaden. Känslan är att alla hoppade på moln-tåget, vilket ofta kanske var rationellt eftersom det har skett en enorm utveckling där. Men ”good enough” är inte något som kan vara en bra lösning. Jag har svårt att tro att det skulle vara juridiskt hållbart att exempelvis köra socialtjänstfrågor i Teams. Men jag tror att det kommer ske en förändring framöver, jag tror att on prem-lösningar kommer få ett nytt liv, säger Christian.

Men om det nu är många organisationer, myndigheter och företag som vill ha säkra lösningar – varför finns det då ingen certifiering eller klassning man kan få vägledning av?
– Tyvärr har vi inte kommit till någon certifiering än. Det finns de, exempelvis Trafikverket, som gjort ett rigoröst utredningsarbete. Men förbehållet de har är att det här är något som passar vår myndighet – inte en allmängiltig utredning.

Tänk på behovet

Så vad ska man tänka på som företag. Vilka råd kan experten ge?
– Det jag kan säga är: tänk på vad som fanns före molnet. On-prem är den äldsta företeelsen, men det finns bra lösningar där en leverantör kan erbjuda hosting av plattformen. Sen ska man titta på sitt behov. Troligtvis behöver man inte den säkra tjänsten till alla videomöten – utan bara en del. Kör du bara fem-tio procent på den alternativa plattformen – så kostar det ju inte samma pengar.

– Men det här ser man om man gör en genomgång och kan ta fram en tydlig kravställan. Jag kan säga direkt att det idag inte går att få en on prem-lösning som är summan av Teams och Zoom. Min uppfattning är att verksamheter med höga krav på integritet i videomöten i mindre grad behöver avancerade funktioner som erbjuds i molnplattformarna

Läs mer: Fyra säkra videolösningar

Denna artikel var tidigare publicerad på tidningen telekomidag.se

Senaste artiklarna

Hämtar fler artiklar
Till startsidan
Techtidningen

Techtidningen Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Nu med nya nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.