Cryptera

Cryptera udvikler og leverer sikkerhedsteknologi til elektroniske betalingsløsninger og industrielle applikationer. Virksomheden er specialiseret i sikkerhed, kryptologi samt certificeringer og arbejder på dette grundlag for at beskytte erhvervsdrivende mod digitale angreb og cyberkriminalitet. Cryptera beskæftiger 38 medarbejdere og betjener en international kundekreds med over 2 millioner sikkerhedsløsninger i drift på verdensplan.

Illustration 1: Ved brug af sikkerhed, kryptologi og certificeringer beskytter Cryptera erhvervsdrivende mod cybertrusler.

Siden sin etablering i begyndelsen af 1980’erne har Cryptera været teknologisk partner i den finansielle sektor og var med til at udvikle de første Dankort-terminaler, som blev introduceret i butikkerne i begyndelsen af 1980’erne. Gennem de efterfølgende årtier har virksomheden opbygget en dyb viden om sikkerhedsteknologi på det globale marked, helt ned på niveau til de computerchips, der styrer IT-systemerne. Cryptera anvender i dag denne mangeårige erfaring til at udvikle moderne betalingsløsninger, som sikkert forbinder banker, virksomheder og forbrugere. Virksomheden har desuden etableret et nyt forretningsområde for at imødekomme en stigende efterspørgsel efter IoT-sikkerhedsløsninger i den industrielle sektor. Dette nye forretningsområde gør det muligt for Cryptera at udnytte sin ekspertise i håndtering af kryptografiske nøgler og tilbyde denne viden som en service til et nyt marked.

”Vi udvikler cybersikkerhedsløsninger på device-niveau… Det er dét, vi kan. 
Tilbyde kunderne løsninger, der har med en fysisk IoT-enhed at gøre.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security 

Netop faren for digitale angreb afholder mange virksomheder fra at udnytte de fulde potentialer inden for IoT. Der er ingen tvivl om, at udbredelsen af IoT medfører en stigende mængde følsomme data, både i elektroniske betalingssystemer og industrielle applikationer. Crypteras løsninger sikrer, at den digitale infrastruktur forbliver sikker, og at kundernes data ikke kompromitteres.

Forretningsmodel

Crypteras forretningsmodel er dybt forankret i IoT-sikkerhed og baseret på to forretningsområder: betalingsløsninger og industrielle enheder. Ved begge forretningsområder integrerer virksomheden robust IT-sikkerhed direkte i elektroniske apparater. Dette giver erhvervskunder et niveau af sikkerhed svarende til det, der beskytter finansielle transaktioner, De to forretningsområder adskiller sig ved, at sikkerhed i betalingsløsninger er en hardware-integreret service, mens sikkerheden i industrielle enheder udelukkende tilbydes som en software-baseret service. Ligeledes henvender de sig til forskellige kundesegmenter, selvom det centrale behov, som løsningerne dækker hos kunderne, er det samme. 

”Kerneværdien er den samme. …Key management af kryptografiske nøgler. 
Hvordan opbevarer du dem? Hvordan gør du brug af dem?”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

Den typiske Cryptera-kunde er en mellemstor virksomhed i enten betalingssektoren eller den industrielle sektor. Cryptera håndterer hele værdikæden in-house og råder over en PCI-certificeret Secure Facility [1] til nøgleinjektion og CA-service [2]. Dette sikrer kort responstid og høj leveringssikkerhed.

Illustration 2: Forretningsmodellen for Cryptera.

Crypteras værditilbud består af specialistviden om kryptografi med fokus på sikker opbevaring og anvendelse af sikkerhedsnøgler, også kendt som ’Key Management’. Denne ekspertise tilbydes som Software as a Service (SaaS), hvor kunderne kan opbevare deres private sikkerhedsnøgler hos Cryptera og bruge dem på måder, der øger sikkerheden på enhedsniveau, til blandt andet at underskrive software samt ’Device Certifikater’. Hvis en kunde mister disse nøgler, risikerer producenter, at IoT-enheder i markedet ikke længere er sikre.

”Vi laver sikre løsninger til virksomheder. 
Vi hjælper kunder, der laver deres egne enheder, med at gøre dem mere sikre.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

Den tekniske løsning

Crypteras IoT-sikkerhedsløsning består af en række komponenter i form af hardware, software og den cloud-baserede platform. Løsningen etablerer et sikkerhedslag på chipniveau i de enkelte IoT-enheder. Ved hjælp af kryptering og certifikater på dette sikkerhedslag kan der oprettes en "Root of Trust", som udgør en grundlæggende sikkerhed for enheden.

 

Sikkerhed i industrielle enheder 

Industrielle IoT-enheder er i stigende grad mål for cybertrusler, da de typisk er dårligere beskyttede end almindelige computere og dermed nemmere at hacke. Derfor er der et voksende behov for at styrke sikkerhedsstandarderne inden for IoT, og flere industristandarder stiller nu krav til virksomheder, herunder:

• Etablering af unikke enhedsidentiteter og legitimationsoplysninger
• Implementering af sikre opdateringer
• Overholdelse af best practice inden for kryptografi

Behovet for at etablere eller øge sikkerhedsforanstaltninger kan opstå, når en virksomhed står over for at skulle integrere sine IoT-enheder med eksisterende eller nye systemer internt, med eksterne partnersystemer, med cloud-tjenester eller blot sikre enhederne gennem deres livscyklus. Til formålet har Cryptera udviklet en Device Security-portefølje, som tilbyder sikkerhedsløsninger, der er skræddersyet til kundernes IoT-enheder og specifikke behov. 

”Her kommer vi og tilbyder noget, hvor alternativet har været, at kunden kunne købe forskellige løsninger og bygge det selv. …Vil I bruge ressourcer på selv at lave det, eller vil I overlade det til Cryptera der er ekspert på området?”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

Crypteras Device Security-portefølje består af: 

• KeyServer-platform: Nøglehåndtering og sikkerhedskopiering, som beskytter følsomme applikationer og enheder mod trusler som tyveri, tab eller uautoriseret adgang. Systemet genererer, opbevarer, administrerer og beskytter private nøgler, der bruges i kryptografiske operationer. Herved reduceres risikoen for sikkerhedsbrud og datatab.
• Firmware Signing: Automatiseret kodesignering, som integreres med eksisterende applikationer til brugergodkendelse og softwareopbygning. Systemet anvender kryptografiske teknikker til digitalt at signere firmware eller software, før det indlæses på en enheds hardware. Herved beskyttes enheder mod uautoriserede ændringer, malware-injektion og andre sikkerhedstrusler.
• Device Certificate: Enhedscertifikater, som etablerer sikker kommunikation mellem enheder og skyen. Disse certifikater autentificerer enhedsidentiteter, muliggør sikker dataoverførsel og krypterer data. Herved modvirkes uautoriseret adgang og manipulation i device-to-cloud-kommunikation.

Illustration 3: Cryptera anvender sin mangeårige erfaring fra betalingsindustrien til at imødekomme en stigende efterspørgsel efter IoT-sikkerhedsløsninger i den industrielle sektor.

 

Sikkerhed i betalingsløsninger 

Alle betalingsmiljøer skal opfylde en række sikkerhedskrav for at undgå svindel og kortmisbrug. Disse krav er defineret af PCI (Payment Card Industry) Security Standards Council, en international standardiseringsorganisation. Desuden skal virksomheder tage højde for krav i international og national lovgivning ved valg af betalingsløsninger.

Cryptera udvikler og producerer sikkerhedsløsninger til selvbetjente og elektroniske betalingsmiljøer, såsom hæveautomater, benzinstandere, billetautomater og parkeringsanlæg. Virksomheden tilbyder en række betalingskomponenter, som kunderne frit kan sammensætte for at skabe den mest fleksible og brugervenlige konfiguration til deres betalingsløsning. Disse komponenter omfatter: 

Kryptering af PIN-pads: muliggør verificering og kryptering af kortholders personlige identifikationsnummer (PIN), der indtastes via tastatur på en elektronisk enhed, i debet-, kredit- eller smartkort-baserede transaktioner. Det kunne f.eks. være betalingsterminaler, pengeautomater eller integrerede salgssteder. 

• CryptoTouch: muliggør verificering og kryptering af kortholders PIN, ligesom beskrevet ovenfor, her er forskellen blot, at indtastningen foregår via en touchskærm.
• Kontaktløs betaling: muliggør hurtig og sikker kontaktløs betaling med kort eller mobiltelefon via NFC (Near Field Communication)-læser. NFC-læseren kan både fungere som en del af en modulopbygget betalingsløsning og som en selvstændig læser sammen med en allerede installeret betalingsapplikation.
• Sikker kortlæser: muliggør offline PIN-verificering, som tillader betaling med kort, selvom internettet eller betalingsinfrastrukturen er nede. Her lagres betalingen i systemet, og pengene trækkes, når systemet har internetforbindelse. 

Fælles for betalingskomponenterne er, at de hjælper Crypteras kunder med at opfylde sikkerhedsstandarder, reducere risikoen for uautoriseret adgang og svindel samt beskytte følsomme kundeoplysninger. Alle Crypteras enheder til transaktionshåndtering er PCI-godkendte og, ved chipbaseret betaling, EMVCo-godkendte. Derudover er Cryptera certificeret af VISA og Mastercard som Secure Facility Center.

Illustration 4: Cryptera var med til at udvikle de første Dankort-terminaler i begyndelsen af 1980’erne og har siden da været en betroet teknologisk partner i den finansielle sektor.

Betydningen af cybersikkerhed

I en stadig mere sammenkoblet verden er data og digital infrastruktur blevet afgørende for den moderne forretning. Dette gør behovet for cybersikkerhed mere påtrængende end nogensinde, og Cryptera har derfor gjort det til sin mission at beskytte de erhvervsdrivende. Dette gælder særligt inden for IoT, hvor cybersikkerhed har fået øget opmærksomhed på grund af nye EU-reguleringer som NIS2, Cybersecurity Act og CER-direktivet, der kræver, at virksomheder investerer i beskyttelse af deres IoT-enheder. Crypteras løsninger kan defineres som cybersikkerhed på enhedsniveau. 

”Vi designer både for at gøre vores egne løsninger sikre, og vi designer også for at kunderne kan stole på, at vores løsninger gør deres IoT-enhed sikker.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

For Cryptera handler cybersikkerhed om at beskytte enheders og datas integritet, autenticitet og fortrolighed. Virksomhedens løsninger er centrale elementer i moderne cybersikkerhedspraksis, som giver IoT-enheder et ekstra beskyttelseslag, der forhindrer eksponering af følsomme data. Dette sker gennem kryptering af kommunikation mellem IoT-enhederne, hvilket sikrer, at data, der sendes til og fra enhederne samt tilknyttede tjenester, er beskyttet mod uautoriseret adgang og læsning. For virksomheder, der investerer i Crypteras løsninger for cybersikkerhed, har det følgende betydning: 

• De sikrer, at ingen IoT-enheder er misligholdt eller forkert opsat, hvilket kan true datasikkerheden.
• De kan nemt integrere og opdatere nye IoT-enheder i deres eksisterende systemer.
• De får mulighed for at identificere og beskytte særligt følsomme data i overensstemmelse med lovkrav og organisationens risikovurdering.
• De vælger en platform, der beskytter dataoverførsler mellem enheder og bagvedliggende systemer, hvilket reducerer risikoen for, at uvedkommende får adgang til data.
• De sikrer overholdelse af love, myndighedskrav og standarder, som stiller specifikke krav til sikkerheden af IoT-enheder.

Cybersikkerhed kræver en vedvarende indsats, hvor ingen løsning kan garantere fuld beskyttelse. I en trusselsvurdering fra 2023 advarer Center for Cybersikkerhed om, at cybertruslen mod IoT-enheder er MEGET HØJ. Cryptera fremhæver vigtigheden af aktivt at forholde sig til disse udfordringer og hjælper virksomheder med at tage afgørende skridt i en konstant skiftende trusselsituation.

”Der er intet, der er 100 % sikkert… 
Men du bliver nødt til som virksomhed at tage stilling til, 
hvor meget du skal investere i sikkerhed i forhold til at overholde lovgivning, industristandarder, beskyttelse af dit brand, etc..”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

Illustration 5: Crypteras vision er at levere maksimal sikkerhed for at beskytte følsomme data. 

Væsentlige læringer

Antallet af enheder, der kan forbinde sig til internettet og udveksle data med andre enheder og systemer, er eksploderet i de seneste år. Med IoT-enhederne følger cybertruslerne, og Cryptera ser det som sin forpligtelse at forme fremtiden for IoT-sikkerhed ved at levere innovative, skalerbare og pålidelige løsninger. Virksomheden har fundet en række afgørende faktorer for, hvorfor netop deres IoT-sikkerhedsløsninger er blevet positivt modtaget på markedet. Disse faktorer er samlet i en liste med anbefalinger nedenfor.

1. Find din niche

De sikkerhedsløsninger, man udvikler, skal kunne ’tale sammen’ med eksisterende løsninger. Crypteras løsninger skaber cybersikkerhed på enhedsniveau, og Cryptera finder det derfor vigtigt at designe løsningerne, så de kan integreres med kundernes eksisterende enheder og systemer inden for netværk, infrastruktur og cloud fra eksempelvis Microsoft, Google og Apple. Her er vigtigt at levere værdi dér, hvor man har størst ekspertise og fokusere på sin niche – for Crypteras vedkommende IoT-enhedssikkerhed – og så lade andre levere det omkringliggende.

”Der er ingen grund til, at vi bygger det fra bunden, når det allerede findes. 
Så vi integrerer bare med det, der er.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

2. Udvikling baseret på best practice 

Udvikling af IoT-enheder sker ofte ud fra et innovationsperspektiv, hvor målet er hurtig lancering og brugerinvolvering. Fra et sikkerhedsmæssigt perspektiv øger dette dog enhedens angrebsflader markant og gør den til en potentiel indgang for cyberkriminelle. Sikkerhed bør tænkes ind i udviklingen fra start – især når det er en decideret sikkerhedsløsning, der udvikles. Det er dog essentielt at finde en balance mellem virksomhedens kommercielle interesser, som ofte kræver hurtig omsætning, og markedets interesser, som kræver løsninger, der er modne til værdiskabelse. Cryptera har selv fundet denne balance ved løbende at revurdere og justere sin tilgang.

”Når vi udvikler en ny løsning, så baserer vi den på best practice.
Det vi ved, der virker fra betalingsbranchen, men vi skærer også noget fra, som ikke giver mening at tage med videre.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

3. Risikovurdering

Efterhånden som teknologien udvikler sig, gør truslerne det også – både for erhvervslivet generelt og for Cryptera. For at sikre at kundernes data forbliver sikre, arbejder virksomheden kontinuerligt på at tilpasse, innovere og sætte nye standarder for databeskyttelse. Dette arbejde omfatter systematisk identifikation, analyse og vurdering af de sikkerhedsrisici, som virksomhedens kundesegmenter står over for.

”Jeg er helt klart fortaler for, at man laver en risk assessment… 
Start med grundighed, og start med analyse.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security 

Denne tilgang anvender Cryptera også internt på flere niveauer, såsom i udviklingen af nye løsninger, optimering af interne processer og håndtering af interessenter.

4. Lyt til kundernes behov 

Cryptera har brugt adskillige år på at lytte til sine kunder og lære markedet at kende. Da Cryptera udvidede sin forretningsmodel til den industrielle sektor, var intentionen at anvende den samme opskrift til succes, som de havde i betalingsbranchen – hardwarebaserede sikkerhedsløsninger – men det viste sig ikke at være eftertragtet i det nye marked. Her blev det essentielt for Cryptera ikke at være fastlåst, men forholde sig åben for markedets input. 

”Det er SÅ vigtigt at være nysgerrig og ydmyg.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

Markedet er også blevet mere åbent over for input fra Cryptera og andre leverandører af sikkerhedsløsninger. Mange organisationer har nu fået øjnene op de krav og trusler, der relaterer sig til IoT-enheder, og prioriterer cybersikkerhed i stigende grad. Som leverandør er det ikke kun vigtigt at lytte til kunden, men også at hjælpe dem med at definere og forstå de sikkerhedsmæssige, forretningsmæssige, kompetencemæssige og økonomiske overvejelser, de skal gøre sig, inden de vælger en løsning.

”Du kan bruge alle dine penge på sikkerhed. Så hvornår er det nok? 
Det kan en risiko analyse hjælpe virksomhederne med at fastlægge, 
så ressourcer bliver prioriteret i forhold til konkrete risici.”

Espen Gregersen, Business Develop Manager, IoT Cyber Security

Slutnoter

[1] PCI-godkendt Secure Facility: Sikkerhedsgodkendt facilitet, der overholder de strenge krav i Payment Card Industry Data Security Standards (PCI DSS). Certificeringen er et bevis på, at en facilitet beskytter betalingsdata og lever op til de højeste sikkerhedsstandarder inden for kortindustrien.

[2] CA-service: Udsteder, administrerer og verificerer digitale certifikater, som bruges til at sikre kommunikation over internettet. En CA (Certificate Authority) fungerer som en "tillidsværdig tredjepart" ved at bekræfte identiteten af personer, organisationer eller enheder, der ønsker at sikre deres data med kryptering.

Copyright notice:  © 2022 – 2026 CyPro-konsortiet.

Dette materiale er produceret som en del af CyPro-projektet, der er finansieret af Industriens Fond under det tematiske fokusområde cybersikkerhed.

CyPro-projektet sigter mod at styrke vidensniveauet inden for cybersikkerhed i produktionsindustriens økosystem i relation til Internet of Things (IoT) og Industri 4.0.