Säkerhet är en av de viktigaste frågorna i en lång rad av prioriterade aspekter när ett IT-system, till exempel för hantering av personalfrågor, ska upphandlas och driftsättas. För varje kund och för och varje installation av ett system skräddarsys lösningen in i minsta process beroende på vad situationen och kunden kräver. Man talar ofta om att säkerhet handlar om att balansera kraven på högsta säkerhet mot kraven på att systemen ska vara enkla och smidiga att använda. Men måste man verkligen kompromissa mellan dessa krav?

Heroma från CGI är ett heltäckande löne- och personalsystem som har utvecklats i Sverige, i enlighet med svenska lagar och kollektivavtal, och som erbjuder arbetsgivare en metodisk, strukturerad och säker hantering av processerna för att förvalta och utveckla sin personal. Systemet används utbrett i stora delar av den svenska offentliga sektorn och förvaltar mängder av mycket känsliga uppgifter. Säkerhetskraven är därför mycket höga.

Trots det är rubriker i media om incidenter och säkerhetsproblem för denna typ av system ganska vanligt förekommande. Vi frågade Henning Levén, ansvarig för Heroma på CGI, om vad det beror på:

”Jag anser nog att vi och flera av våra kollegor i branschen kan leverera väldigt säkra lösningar till våra kunder. Rubriker i media om bristande säkerhet i ett system handlar sällan om problem som orsakats av ’bristande funktionalitet’ utan oftast om ett felaktigt eller bristande handhavande”, säger Henning Levén, ansvarig för Heroma på CGI.

Henning nämner som exempel att i miljöer där man har delade terminaler för att till exempel lägga in ankomst och hemgång på en arbetsplats ofta vill kunna göra det så snabbt och smidigt som möjligt. Att då kräva inloggning med BankID eller Freja eID+, vilket är möjligt i Heroma, blir otympligt och skapar en flaskhals inte minst på personalintensiva och tidskritiska arbetsplatser såsom till exempel sjukhus. Då är det lockande att istället kravställa och sätta upp en enklare lösning som inte kräver lika hög säkerhet.

”Men att sätta likhetstecken mellan säkerhet och krångel är inte längre korrekt. Just för situationen med tidsstämpelhantering har CGI tagit fram en funktion som vi kallar Kom och Gå vilken i praktiken fungerar som en digital stämpelklocka. Man kan där även se begränsad information om sin närvaro och frånvaro vilket gör att säkerheten inte behöver vara lika hög som när det gäller åtkomst till Heroma. Samtidigt rekommenderar vi alltid enligt vår best practice att kunden sätter upp en säker inloggning även för denna funktion”.

Enligt Henning är det nog många som utgår från att hög säkerhet automatiskt betyder mer krångel för användarna men det behöver inte alls vara så.

”Vi rekommenderar alltid kunden att använda vår lösning där varje användare loggar in en gång, på ett säkert sätt, och därmed ges tillgång till exakt de resurser just den användaren ska ha tillgång till. Inloggning kan ske med en säker tvåfaktorsautentisering, bestående till exempel av att inloggning sker med ID-kort/RFID-tagg eller genom att använda BankID eller Freja eID+”.

För de kunder som inte vill använda den typen av lösning kan man istället kräva komplicerade lösenord som byts ofta för att undvika intrång i systemen. Men denna lösning är inte längre något som rekommenderas av CGI.

”När det gäller Kom och Gå behöver man i den enklaste formen bara skriva in sitt anställningsnummer eller personnummer. Men vi känner till flera kunder där personalen öppet säger att man ibland stämplar in och ut sina kollegor genom att använda deras anställningsnummer. Därför anser vi inte att den enklaste formen är tillräckligt säker och det är inte heller den nivå vi normalt sett rekommenderar för våra kunder, men våra kunder bestämmer i slutändan själva hur de vill sätta upp systemen. Bara en sådan enkel åtgärd som att sätta upp kortläsare eller RFID-läsare ökar säkerheten betydligt”.

Genom att avläsning sker av en ID-bricka eller motsvarande kan personalen inte längre komma åt någon annans information. Samtidigt går inloggningen snabbare än att behöva knappa in person- eller anställningsnummer, så det förenklar samtidigt som det betydligt minskar risken för intrång.

”Så, ja, du kan få både hög säkerhet och enkelt handhavande i Heroma – det är upp till varje kund att bestämma hur de vill ha det”, avslutar Henning Levén.

Faktaruta

Säkerhet i Heroma

  • Single Sign On via ADFS (en (1) inloggning sker för tillgång till alla funktioner)
  • BankID, Freja eID+
  • Extern autentisering med hjälp av kundens valfria IDP
  • Tvåfaktorsautentisering med Microsoft Authenticator/Google Authenticator installerad på mobil
  • Windows authentication
  •  Användaridentitet och lösenord