Ekonomi & Företag 2018

Enklare, Säkrare och Effektivare dokumenthantering för den digitala byrån

Hyker visar den säkra arbetsytan Konfident i monter G:19 på Ekonomi & Företag.

Informationssäkerhet handlar om att ha kontroll över informationen, både var och hur den lagras och till vem den kommuniceras. Det är egentligen inget konstigt, men ofta så blundar man för det trots att man faktiskt riskerar att bryta mot lagar och regler, t.ex. GDPR eller Marknadsmissbruksförordningen.

Anledningen till det är heller inget konstigt. Det handlar ofta om att kunskapen om IT och säkerhet är låg samtidigt som verktygen är svåra, komplexa och dyra att använda. Enkelhet och snabbhet får ofta styra och man väljer högst olämpliga alternativ som t.ex. epost.

Konfident ändrar detta. Baserat på avancerad säkerhetsteknik från SAAB har Hyker Security tagit fram en säker arbetsyta för dokumentdelning som samtidigt är enkel att använda, en kombination som visat sig vara mycket attraktiv bland ekonomi- och redovisningsbyråer.
Enkelt för alla användare och inget som behöver installeras.
Säker inloggning med BankID.

Lyssna till vad användarna säger: Intervju med Katarina Ekman, Ekman Ekonomi.


Mässan erbjuder kostnadsfria föreläsningar och programmet är framtaget tillsammans med kunniga aktörer i branschen.

Ekonomi & Företag arrangeras av Easyfairs i samband med huvudpartner Srf konsulterna – Sveriges ledande branschorganisation inom redovisning och lön.

Read More

Dokumenthantering för redovisnings- och revisionsbyråer

Inbjudan till gratis frukostseminarium!

Informationssäkerhet handlar om att ha kontroll över informationen, både var och hur den lagras och till vem den kommuniceras. Det är egentligen inget konstigt, men ofta så blundar man för det trots att man faktiskt riskerar att bryta mot lagar och regler, t.ex. GDPR eller Marknadsmissbruksförordningen.

Anledningen till det är heller inget konstigt. Det handlar ofta om att kunskapen om IT och säkerhet är låg samtidigt som verktygen är svåra, komplexa och dyra att använda. Enkelhet och snabbhet får ofta styra och man väljer högst olämpliga alternativ som t.ex. epost.

Konfident ändrar detta. Baserat på avancerad säkerhetsteknik från SAAB har Hyker Security tagit fram en säker arbetsyta för dokumentdelning som samtidigt är enkel att använda, en kombination som visat sig vara mycket attraktiv bland ekonomi- och redovisningsbyråer.
Enkelt för alla användare och inget som behöver installeras.
Säker inloggning med BankID.

AGENDA:

08.00 Frukostfika och mingel
08.30 Hur ska man förhålla sig till GDPR, digitalisering och samtidigt kunna sköta sitt uppdrag?
Katarina Ekman berättar om hur Ekman Ekonomi arbetar för att ligga i framkant vad det gäller moderna tekniska lösningar utan att förlora kunden på vägen.
Katarina Ekman
VD Ekman Ekonomi
08.45 Vilka risker behöver man ta hänsyn till inom redovisningsbranschen?
WWW (What Went Wrong)?
Hur kan man minimera riskerna och framtidssäkra verksamheten? Praktiska exempel på hur man kan skapa möjligheter och hantera risker.
Henrik Frössling
Senior Advisor RiskMaturity Nordic AB
09.00 Konfident på 15 minuter
Case studies inom redovisning & revision. Demo av applikationen Konfident för säker fildelning och kommunikation mellan kund och ekonomibyrå.
Frederik Sahlin
Hyker Security
09.15 Avslutning med möjlighet till fortsatt mingel

 

Kanske en ögonöppnare som start på dagen?
Välkommen på en intressant morgonstund!

OBS! När du bokar din plats så mailas en biljett till epostadressen du anmält. Vi har dock haft en del problem med att biljetterna från biljettsystemet hamnar i spam-korgen i vissa epostsystem. Om du inte får biljetten inom några minuter så kolla din spamfolder.

Read More

Encryption’s role in digital transformation

How encryption can be the answer to cybersecurity and business development in the complex world of digital transformation, regulations and cyber threats.

The beauty of encryption is in the simplicity of its approach. Security is applied directly on the data itself, not to the network perimeter, devices or servers. It doesn’t matter if that data is in the cloud or in a 3rd party data center, only the appropriate key holder will be able to access it. It doesn’t matter if hackers bypass network perimeters or if administrators with privileged rights access sensitive systems, encryption keeps the data safe, as long as the key is in the right hands.

Business development generates new valuable data flowing in new systems to new partners and customers in an ever-increasing speed of change. Proper encryption can protect this new data independently of the new environments that the data flows through or is stored in. With the right key management solutions, your data is under your control. Wherever it is, no matter the circumstances.

Hyker Full Lifecycle Encryption means encryption without compromise – end-to-end, over time in an unbroken chain. Data is never exposed in clear text which means that there are no vulnerable system handovers. With automatic key distribution, removing many of the complexities and difficulties of implementing encryption. Simple implementation means huge cost savings in your Digital Transformation projects.

Why you should read this post

This post discusses encryption and its benefits. Usually, cybersecurity is regarded as a cost, but with the right strategy and implementations, encryption can be a cost saver as well as an enabler for digital transformation and new business opportunities.

  1. We start with a somewhat technical overview of what encryption is. This is important since encryption gives radically different results depending on how and where its implemented. Just saying “it’s encrypted” really doesn’t mean anything from a security point of view.
  2. The important thing is; who has access to the encryption keys and how keys are managed and distributed. This is the subject for the second part of this post.
  3. The third and last part discusses how encryption can help you in regulation compliances.

Encryption fundamentals

In short:

  • Encryption is a process that transforms digital information into a completely unreadable state.
  • The process is reversible only to the ones that can provide the correct digital key.
  • When encryption is applied correctly, stolen data is useless.
  • Encryption protects data itself, whereas traditional IT security protect the network perimeter and devices
  • Encryption can provide both confidentiality and integrity.

Encryption is a system that modifies data so that it can only be read by certain people. Encryption scrambles data — such as an email or file — using a mathematical algorithm called a cipher. A string of data, called a cryptographic key, works like a password to protect the file. Once the data is encrypted, it looks like meaningless gibberish to anyone trying to access it. Once sensitive information is encrypted, the protected data can pass through any system without being accessible. The only way to read it is by using the key to decrypt (unscramble) the data.

Encryption gives radically different results depending on how and where its implemented. Just saying “it’s encrypted” really doesn’t mean anything from a security point of view.

Perimeter Protection vs Data Protection

conventional cloud security leaves security holes

Traditionally encryption was used to protect a specific message or document of high value, especially important when the document was no longer in the hands of the creator/owner. At home you protect the document by putting it in a safe and your home was protected by a wall around the village.

When written documents became files and communication became digital there was still the same need to protect the valuable data. The village is replaced by private networks and firewalls. Files and data are stored in servers and clouds and can be encrypted “at rest”. Communication links can be encrypted “at transfer” in a secure tunnel (TLS, VPN, etc.).

But, you will be breached.

Even if your network has the latest firewalls, your communication links are protected with state-of-the-art tunnel encryption, like TLS, and databases are encrypted with AES-256, there will be holes between the systems where data is in clear text and at risk.

Security is today a mashup of technologies, everyone extremely good at protecting their part, but leaving vulnerabilities in-between.

The ever-increasing number of network breaches and data leakages shows that organizations can no longer rely on perimeter security alone to secure sensitive data and intellectual property. And, it is not just perimeter defenses that are struggling, as many older encryption solutions were built before mobility, BYOD, the cloud and Web.

There is a need for alternative approaches to protecting sensitive information. Organizations must turn to modern encryption solutions that fully address the hard truths of protecting data in today’s quickly changing and highly complex digital world.

Enters end-to-end encryption technology.

Hyker security model provides necessary encryption for digital transformation

For encryption-based data security to be effective, the data must be protected at the point of origin. If the data is encrypted as the very first step in the process, it is secure no matter where it goes, over what network it is transported and where and by whom it eventually is stored.

Doing otherwise, like most do today, requires the trust of every computer, every network connection and every person from the point that the information leaves the originator’s care, and for as long as it or any copies exist.

Encryption and CIA

CIA is not referring to the Central Intelligence Agency in this case. CIA refers to Confidentiality, Integrity and Availability, the cornerstones of information security. Confidentiality of information, the integrity of information and availability of information.

Confidentiality

When we talk about the confidentiality of information, we are talking about protecting the information from disclosure to unauthorized parties, and this is really the reason why encryption was ever invented.

Integrity

The integrity of information refers to protecting information from being modified by unauthorized parties, i.e. that you can trust the information to be right.

Cryptography offers methods for protecting and inspecting the integrity of digital data in the form of signature functions. These functions are analog to ordinary physical signatures, i.e. they provide proof that the data has been produced/approved by the signing party. Digital signatures also have the advantage of a strong guarantee that none of the data has changed since it was changed.

Availability

Availability of information refers to ensuring that authorized parties are able to access the information when needed.

Information only has value if the right people can access it at the right times. Denying access to information has become a very common attack nowadays. Almost every week you can find news about high profile websites being taken down by DDoS attacks. The primary aim of DDoS attacks is to deny users of the website access to the resources of the website. Such downtime can be very costly. Other factors that could lead to a lack of availability of important information may include accidents such as power outages or natural disasters such as floods.

Cryptography does not provide any support for availability, but as discussed in this post, cryptography is very much about the distribution of encryption keys. It is therefore important to design the cryptosystem with the availability of keys in mind, without reducing confidentiality and integrity protection. For instance, depending on the use case, you must consider where keys are stored, and access is managed.

Non-repudiation

Other factors besides the three facets of the CIA are also very important in certain scenarios, such as non-repudiation.

The concept of non-repudiation is particularly important for financial or e-commerce applications. Often, cryptographic tools are required to prove that a unique user has made a transaction request. It must not be possible for the user to refute his or her actions.

For example, a customer may request a transfer of money from her account to be paid to another account. Later, she claims never to have made the request and demands the money be refunded to the account. If we have non-repudiation through cryptography, we can prove – usually through digitally signing the transaction request, that the user authorized the transaction.

Hyker Full Lifecycle Encryption is built upon all these fundamentals, simplifying the implementation of encryption in any application or system. Confidentiality, Integrity, and non-repudiation are already built in. Availability will always be use case dependent, but Hyker provides mechanisms like key delegation for the implementation of a robust system.

Symmetric Key Cipher

One of the most used encryption standards is called Advanced Encryption Standard (AES) and was published in 2001. It is still used today for everything from business records, to top-secret government data. Common uses for AES are file encryption (e.g. creating an encrypted zip-file with WinZip), hard drive encryption (e.g. BitLocker) or VPNs.

The AES is a symmetric key cipher, supporting 128, 192, and 256-bit keys. Every bit doubles the amount of time it takes to break an encryption key. Even with the fastest supercomputer, it would take about 1 billion billion years, just to crack a 128-bit AES key.

A symmetric key cipher means that it uses the same key to encrypt and decrypt the data. Even though the key lengths make AES practically impregnable the fact that you have the same key to encrypt and decrypt makes it more difficult to keep the key secret from unauthorized viewers.

You must find a way to send the key to the recipient if he doesn’t have it yet. Otherwise, your recipient won’t be able to decrypt the files you send him. Whichever way you do it, it must be done in a secure manner or else anyone who gets a hold of that key can simply intercept your encrypted file and decrypt it with the key.

The issue of key distribution becomes even more pronounced in an enterprise environment, which can involve many users and likely distributed over a vast geographical area, sometimes halfway around the world. Distributing a symmetric key in a secure manner to each of these users would be nearly impossible.

Asymmetric Key Cipher, or Public Key Cryptography

Asymmetric key encryption doesn’t have this problem. It uses two keys: one to encrypt data, and one to decrypt it. It’s often referred to as public key encryption because people who use it make the encryption key public but keep the decryption key private. Anyone can send them an email or file encrypted with their public key, but only they can read it, using their private decryption key. As long as you keep your private key secret, no one will be able to decrypt your encrypted file. You can easily distribute the corresponding public key without worrying about who gets a hold of it.

Public key encryption is fundamental for various Internet standards, such as TLS, S/MIME, and PGP. Public key cryptography is used as a method of assuring the confidentiality, authenticity, and non-repudiability of electronic communications and data storage.

Hybrid Cryptosystems

Symmetric key ciphers have the problem with sharing keys. And asymmetric key ciphers are complex and computationally intensive. To get the best of both worlds it is today a common solution that you combine these two methods into a hybrid solution.

These systems use asymmetric keys to initially encrypt symmetric keys known as session keys. The session keys are then the ones used to encrypt the actual data. As its name implies, a session key is only used in one session. After the session, the key is simply discarded. That’s a good thing because even if a session key is compromised, only data sent within that particular session will be at risk.

Examples include the TLS protocol which uses a public-key mechanism for key exchange (such as Diffie-Hellman) and a symmetric-key mechanism for data encapsulation (such as AES). TLS/SSL is most commonly known as the (S) in HTTPS that secures access to websites.

Another example is Hyker Full Lifecycle Encryption, where the data is protected end-to-end from a data producer to a consumer in an unbroken chain, anywhere, over time, in transfer and at rest. Read more about the Hyker RIKS protocol.

Encryption Key Management is the real challenge

In short:

  • Encrypting data is easy.
  • The difficult thing is the distribution of encryption keys to the right users.
  • Key management is also about generating, storing, distributing, rotating, revoking, suspending and terminating keys.
  • Authentication is the process of verifying an identity before giving access to data (“using the key”).

Key management is one of the most challenging aspects of cryptography because it deals with many types of security challenges beyond encryption, such as user authentication and behavior, organizations and flawed policies.

There are also aspects depending on the use case and system requirements;

  • Should you have a centralized key storage?
  • What about latency and the risk of system failure?
  • Where should you put your trust?
  • How much can you trust the users?
  • How should they authenticate themselves?
  • Do they bring their own devices – BYOD?
  • How should they receive the key or keys?
  • One key per system, device or data element?
  • How much can you trust the central nodes or cloud providers?
  • How dynamic should the system be?
  • How often will it change? How often will users come or leave?
  • What regulatory requirements do we need to follow?

All these questions have technical and system design implications. Also, an organization with many systems might end up with many different answers to all these questions and then need a common model to make it all manageable.

The 3 approaches to Key Management

There are many key management protocols from which to choose, and they fall into three categories:

  • Distributed: End users are 100% responsible for their own key management. The organization requiring the use of encryption provides no support for handling key governance.
  • Decentralized: Each department in the organization establishes its own key management protocol. There may or may not be coordination between departments.
  • Centralized: There is one focus for key management across the entire organization. All users follow the same key management protocol.
Hyker Full Lifecycle Encryption has an inbuilt automatic key sharing service where you, depending on the needs of the organization and use case, chose the level of centralization and distribution needed at the design stage.

The choice of model is highly dependent on the use case

When to use a Centralized model

traditional delegated adminstration

The centralized model has its obvious advantages, with a single point of control that vouches for easier management of resources, data, users and access rights. It creates a uniform key management across the organization, supporting people as they move from department to department.

A fundamental requirement for a centralized model to be suitable is that you must have full control and ownership of all the data and resources in the system. This is often the case for internal systems run in own data centers in a private network or a private cloud, but not if you use 3rd party cloud services like Dropbox, Salesforce or similar, that have their own security setups, processes, staff, and sub-suppliers.

This is also not the case if your system has users which are not under your control by employment or similar. There are many vendors in the market that tries to bridge this problem providing you with central control over 3rd party services, but it still often comes down to the simple question; “who has the keys to your data?”.

Another drawback is performance, both when it comes to system latency and organizational. With central systems, you need a large IT organization to manage the day-to-day changes of users and access rights. It quickly becomes a bottleneck with long waiting times to let a new user in the system, to approve or remove access rights to specific data, to set up ad-hoc projects, etc. This prevents agility and slows business development. In fact, this is a major reason for users turning to less secure external tools to get their job done, so-called shadowIT.

When to use a distributed model

automatic dynamic group managment

A distributed model means that you delegate encryption key storage and management of access rights and users out in the organization, to the place that should know their operation and users the best.

Sometimes a distributed model is the only solution when you have high-security requirements. When information is stored and shared in applications that are shared between organizations or in different 3rd party environments you are forced to trust these applications or partners because of their centralized trust model.

Examples of this are communication systems like Gmail, Microsoft Outlook or Slack, filesharing systems like Dropbox, Microsoft OneDrive or Google Drive and SaaS applications like Salesforce or Microsoft Office365.

If you cannot trust these partners, for operational or regulatory reasons, you are in trouble. If they have a distributed encryption model implemented they can provide you with a full service without ever having access to the data in their service. You maintain all the keys to your data. So, be very careful when you select a 3rd party or SaaS solution. Ask them who has access to your data, and how you can prevent that.

As mentioned above, centralized models might also have performance bottlenecks that can be addressed by pushing key storage and management further out in the network, closer to the usage of the keys. For instance, when you encrypt large amounts of smaller data elements, that requires high availability and usage, then huge amounts of keys need to be transported across the network. It then makes sense to have those keys stored more decentralized.

Hyker Full Lifecycle Encryption provides a plug-in SDK for these kinds of services, turning them into true end-to-end encrypted services, where the customers manage their own keys.

Regulatory Compliances – It’s all about Data Control

In short:

  • Regulations are mostly about control and data protection
  • Most data protection requirements can be fulfilled by encryption

The number of global and regional regulations and mandates has increased over the past few years, as has the scope, complexity, and cost of complying. The guidelines, rules, and interpretations of each regulation continue to evolve, as do the organizations and systems that need to be protected—and the risks they’re exposed to. Compliance has become such a huge challenge that organizations can easily allocate up to half of their IT staff to compliance efforts, including interpreting legal language, implementing solutions, monitoring and responding to regulation updates, and managing different audit reporting requirements.

In this environment, the traditional reactive approach of treating different compliance regulations as siloed projects and implementing them in isolation from other regulations creates duplicate efforts and drives up the cost and complexity of becoming and staying compliant. Instead, many organizations turn to data encryption to achieve compliance with multiple regulatory requirements, enforcing policies by denying access to sensitive data unless the person or entity possesses the proper encryption key. However, the traditional, multiple-point approach to encryption creates islands of security with different encryption systems, key management, and reporting, adding to the complexity and cost of compliance.

Data control and protection is the foundation of most regulations, and a well-designed encryption and key management system will be a tremendous shortcut in your compliance work, fulfilling the data protection requirements for many regulations in parallel.

Some examples of the ever-growing number of regulations:

GDPR – The General Data Protection Regulation (EU)

Encryption and key management, which by design attaches security directly to the data itself, gives organizations the level of data control that GDPR asks. Ultimately, with encryption, only key holders can access the data. The manner – both technically and organizationally – by which organizations restrict encryption key access will ultimately determine access to cleartext data.

Examples of when encryption may be used to easier comply with GDPR:

  • in case of a data leak, companies must within 72 hours report the breach and take action.
    With the many network access points, email accounts, and mobile users you will be breached. The hacker methods of phishing, social engineering, and zero-day exploitations evolve faster than the preventive measures from IT security. Today, a hacker can operate in a network without leaving any trace for months, making it extremely difficult to notice a breach within the stipulated 72 hours. Unless the data is inaccessible by protective encryption that renders the data inaccessible. Then the network breach is not the same as a data leak.
  • as a data processor, you are just as responsible for protecting the data as the data owner (controller).
    If the data is encrypted and keys kept by the data owner (controller), you do not need to implement extra measures. You manage the controller’s data without having access to the information within the data since you cannot access it without access to the encryption keys.
  • the right to be forgotten
    This is very hard to implement in most organizations since the data resides in many copies in many places, for instance, backups, emails, local PCs, etc. If the data element is encrypted with a unique key, it is enough to revoke the key for this data element from the key management system. The data will be in-accessible wherever it resides and thus is “forgotten”.

Cloud Act – The Clarifying Lawful Overseas Use of Data Act (US)

The Cloud Act is basically an update to the Electronic Communications Privacy Act (ECPA) from 1986, a series of laws that regulate how U.S. law enforcement officials can access data stored overseas.

Through the Cloud Act, U.S. law enforcement officials at any level, from local police to federal agents, can force tech companies to turn over user data regardless of where the company stores the data.

This has huge implications for anyone storing data by a US cloud provider. Can you trust them to keep your data secret? The simple answer is no, which makes it in many cases illegal to utilize their services. For governments, there are laws preventing agencies to store sensitive information on foreign data centers, but now it will be illegal for many enterprises too. For instance, if you are handling EU citizens data you have a problem if US authorities force your 3rd party supplier to hand over your customers’ data. Then you are in breach of GDPR.

Encryption can be the tool to save the day, as long as the cloud provider never has access to the encryption keys. Without access to the data, they have no possibility to leak it.

HIPAA – The Health Insurance Portability and Accountability Act (US)

The purpose of HIPAA is to protect the privacy of individuals’ health information while allowing organizations to adopt new technologies to improve the quality and efficiency of patient care. HIPAA is designed to be flexible and scalable so a covered organization can implement policies, procedures, and technologies that are appropriate for the organization’s size, organizational structure, and risks to consumers’ data.

Encryption isn’t technically mandatory under HIPAA, but it stipulates that encryption should be implemented if an organization finds it would safeguard the patient’s data. Otherwise, it needs to implement an alternative to HIPAA encryption and document why it did so. Documenting is important, especially in the case of an audit. So, encryption (or its equivalent) is required if it’s reasonable and appropriate to encrypt, which it usually is.

Read More

Konfident demo

Konfident is really easy to use. In this demo video you will see for yourself just how easy it is:

  1. Open workspace
  2. Manage teams
  3. encrypt and upload files
  4. organizing files in folders
  5. downloading and decrypting
  6. chat with history (trail for audits etc)
  7. inviting teammates
Read More

Ambitiös innesäljare

Hyker Security AB är ett spin-out företag från SAAB baserad på beprövad teknologi utvecklad av SAAB och Combitech AB. Vår verksamhet vilar på två ben – det ena är en grundteknologi för End-to-End-Kryptering (E2EE) där vi tex säkrar upp kommunikationen för autonoma fordon. Det andra benet erbjuder en webbapplikation som kallas Konfident vilket är en fil och dokumenthanteringstjänst. Våra ledord är Enkelt, Säkert och Effektivt vilket speglar hur vi kommunicerar med våra kunder.

Vi är idag ett glatt gäng på 10 personer med stora ambitioner att skapa något stort. Vill du vara med på vår resa? Läs mer om oss på hyker.io och konfident.io

Om tjänsten

Hyker erbjuder marknaden en applikation för säker och enkel fil och dokumentdelning som är utvecklad på Hyker´s grundteknologi för sk End-to-End-Kryptering. Kunderna spänner från ekonomibyråer, konsultbolag till avancerade 3-D printing bolag.

Rollen utgår från kontoret och majoriteten av arbetet sker över telefon samt videomöten.

Dina personliga prestationer är viktiga och du arbetar under eget ansvar där du samtidigt har ansvar för att medverka till en positiv arbetsmiljö som präglas av ömsesidig respekt mellan kollegor. Hyker har en välutvecklad säljprocess som säkerställer kvalitén i ditt arbete, och som hjälper dig lyckas i din roll. Du förväntas att ha en hög aktivitetsnivå vilket ställer krav på att du är ansvarsfull och fokuserad på att nå uppsatta mål, samtidigt som du är duktig på att hela tiden utmana dig själv.

Du kommer till exempel att:

  • Boka in och genomföra demonstrationer av molntjänsten Konfident via telefon och webb
  • Skapa offerter och stänga affärer
  • Vidareutveckla kundrelationer inom varierande branscher
  • Inneha många kontakter på ledningsnivå inom svenska företag och därigenom bygga ett brett nätverk

Dina kompetenser

Vi söker dig med extrem drivkraft, tävlingsinstinkt och med viss säljerfarenhet inom B2B och vana att lyfta luren. Du är van att ta ansvar över ditt eget arbete och att jobba mot tydliga mål, och trivs i den typen av roll.

  • Erfarenhet av B2B försäljning
  • Du är en självgående person som tar tag i saker
  • Flytande svenska och engelska i tal och skrift

Det är meriterande men inget krav med erfarenhet av att ha jobbat i CRM system – gärna SalesForce samt viss kunskap inom Social selling.

Vad vi erbjuder

Vi erbjuder en intressant och utmanande tjänst i ett kundorienterat snabbväxande företag med gott rykte.

  • Introduktionsprogram och löpande coaching
  • Löpande utbildning i lösningsbaserad säljmetodik
  • En stimulerande och rolig arbetsplats med trevliga kollegor
  • Centralt beläget kontor i Malmö

Önskas ytterligare information om tjänsten är du välkommen att ta kontakt med säljchef Frederik Sahlin, tel. 0701 – 477 370. Alla ansökningar och kontakter behandlas konfidentiellt. Skicka mail till frederik.sahlin@hyker.io om du avser söka tjänsten. Du kommer då få en inbjudan att ladda upp ansökan och CV via vår egna applikation Konfident (som du kommer sälja!) Vi vill ha din ansökan snarast, dock senast 2018-10-15. Intervjuer sker löpande.

Read More

Preview Konfident 2-factor authentication

Konfident already has two-factor authentication in Sweden, provided by BankID.  But this is something that we also want to provide to the international market.

A few days ago we had a demo where Hyker Development presented the demo of the new release to Konfident Sales. We also did a recording to give everyone a preview of the upcoming release:

It will be released for everyone in a few weeks time.

Read More

Kundintervju med Katarina Ekman, konfidentanvändare

Katarina Ekman, konfidentanvändare

“När GDPR kom och vi inte längre fick maila eller lagra personuppgifter någonstans, blir vi alldeles iskalla, precis som säkert många andra … Det var en väldig sten som föll från mitt hjärta när jag fick börja med Konfident”

Lyssna till Katarina Ekman, VD Ekman Ekonomi, där hon i ett samtal med Fredrik Beckman, Hyker Security, delar med sig av sina erfarenheter runt införandet av Konfident.

 


Om du inte har möjlighet att lyssna på intervjun följer den här i text (lätt redigerad):

Fredrik: Kan du börja med att berätta lite om Ekman Ekonomi?

Katarina: Jag startade byrån 2005 och vi har hållit på i ganska många år nu och sakta tagit oss upp. Nu är vi fyra konsulter, inte så stort men vi har ändå rätt så många kunder. Vi har cirka 100 stycken och jobbar mycket med dem. Vi ser till att ha så stor spridning som möjligt eftersom vi lär oss mycket av att ha olika typer av verksamheter att jobba med. Det tycker vi är jättekul. Så vi har inga speciella preferenser om vad vi jobbar med.

Fredrik: Hur viktigt är det med säkerhet?

Katarina: Redan innan GDPR var vi oerhört säkerhetsfixerade genom att ta mycket backuper och ha kassaskåp, för att bevara material. Men sen när GDPR kom fick vi inte längre maila eller lagra personuppgifter någonstans. Då blir vi iskalla, precis som säkert många andra. Vi försökte först med att man kan ha medgivande men det dög ju inte så vi letade efter en lösning väldigt intensivt.
Jag fick ett tips via en kund om er, Hyker, och föll direkt för att det var väldigt enkelt att komma igång. Just det här att allting är så krypterat, från man lägger upp det tills man laddar ner det, och allt det där känns väldigt bra och enkelt att jobba med.

Fredrik: Det blir ju ännu tuffare nu, GDPR har ju kommit för att hantera privatpersoners information men det kommer nu även någonting som heter NIS-direktivet. Jobbar du någonting med större organisationer och myndigheter?

Katarina: Nej, vi gör ju inte det.

Fredrik: Men ni kanske har kunder som gör det?

Katarina: Ja, det har vi.

Fredrik: Det är ju en lång kedja här, deras direktiv som handlar om säkerhet och säkerhetsklassad information kommer leda till massa förändringar som kommer sippra ner även till såna som er, som är underleverantörer till underleverantörer, så att säga, till myndigheterna. Det stora problemet där är ju just: Vem äger nycklarna? Vem har hand om moln-tjänsten?

Fredrik: Känner du till Cloud Act?

Katarina: Jo, det där känner vi till. Vi är ju anslutna till SRF och har gått deras GDPR kurser och då berördes alla de punkterna just för större företag, vi har inte lyssnat så noggrant eftersom inte vi är berörda.

Fredrik: Nej, jag förstår. Men det är jättebra att man går ut med informationen för det här är ju kritiskt. Många bolag som inte hänger med kommer ju riskera att bryta mot lagen på grund av okunskap, så att säga. Cloud Act innebär att den amerikanska leverantören kan tvingas lämna ut sina kunders data på servrar som ligger i Europa. Så om du använder en amerikansk leverantör och har myndighetskänslig information som inte får hamna utomlands, så ligger du väldigt risigt till.

Katarina: Typ transportstyrelsen då?

Fredrik: Till exempel ja, alldeles rätt. Lägger du det på en amerikansk server, till exempel någon av våra kollegor i branschen Dropbox, Google drive eller vad som helst, det som alla använder idag.

Katarina: Väldigt få vet ju var deras material ligger, på vilka servrar. Det är ett jätteproblem tror jag.

Fredrik: Det är ett problem som man har duckat för men det kommer att bli ett jätteproblem i och med de här nya lagstiftningarna som kommer att drabba oss allihopa. Då är det väldigt bra att veta att om man kör vår tjänst, eller en liknande tjänst, det kommer ju komma liknande. Det vi gör är ju lösningen. Det kommer komma andra tjänster som också skyddar hela vägen på det här sättet.

Katarina: Var ligger den servern som ni jobbar emot?

Fredrik: Den som vi kör ligger i Holland.

Katarina: Jaha, där ser man.

Fredrik: Ja, den ligger i Holland, vi ser till att hålla allt inom EU. Men det är det som är en av våra tekniska styrkor, det spelar ju oss ingen roll, eftersom att även om datat i krypterat format ligger där så är det ju inte tillgängligt. Det går inte att komma åt utan nycklarna som du har liggande lokalt i din dator. Så det går inte att komma åt det, datat ligger där men inte informationen så att säga. Informationen är bara tillgänglig i din dator. Säkerhet är väldigt tekniskt och komplext men vi har försökt göra det enkelt med Konfident.

Fredrik: Hur har ni ändrat ert arbetssätt? Nu är det rätt så nytt alltihopa, förstås. Men har ni ändrat någonting med Konfident? Har det blivit enklare? Snabbare? Har det blivit mer komplext?

Katarina: Vi har självklart ändrats. Vi skickar inte längre ett mail utan att fundera på om det innehåller några personliga uppgifter? För det är just mail som är det stora problemet för oss. Vi skickar också mer brev än vad vi gjorde förut när vi inte vågar skicka något på mail. Det har vi ändrat på, vi är väldigt försiktiga med vad vi mailar ut.

Fredrik: Men ni har inte valt att lägga det i Konfident än så länge som kommunikationsväg?

Katarina: Jo, där lägger vi väldigt mycket. Allting som är löpande, alla kunders lönespecar, alla deras deklarationer, allt sånt lägger vi på Konfident. Absolut. Men andra typer, som när man skickar till exempel till en myndighet om en person och så vidare. Vi mailar inte till Skatteverket till exempel, när man frågar om någon person utan då får de ett brev istället, det är så jag menar.

Fredrik: Hur har det gått att introducera detta internt? Jag tänkte eftersom man måste lära om och sluta maila som du säger.

Katarina: Internt är det inga som helst problem. Alla har varit med på kurser och tycker det är spännande med nytt och sånt. Det har inte varit något bekymmer alls.

Fredrik: Så bra! Externt då, med de kunder som ”drabbas” av era förändrade rutiner?

Katarina: Jag skulle tippa att 94-95% fungerar perfekt. De verkligen anammar detta och tycker det är jättebra. Sen är det väl 2,3,4 stycken som inte tycker om tekniken alls. Det kan ju vara på grund av oförmågan att klara av och förstå det hela, men det finns också den här oron över att lägga ut sina egna uppgifter någon annanstans. De kan inte tänka sig att den där krypteringen är så säker.

Fredrik: Jag förstår precis. Det är ett generationsskifte inom tekniken som vi driver, att använda tekniken på ett nytt sätt och det är inte alla som är trygga med det än så länge. Det är trevligt att det ändå är så många som har accepterat ert förändrade arbetssätt.

Katarina: Jag får säga att det är väldigt viktigt att vara pedagogisk. Vi har verkligen gått ut med informationen till våra kunder, med tydliga instruktioner om exakt hur man ska använda det och så har vi hjälp dem över telefon. Det är viktigt att de verkligen får allt stöd att komma igång, att du introducerar det på ett väldigt tydligt sätt, och inte bara låta det där mailet från Konfident komma. Vi har hängt med dem från att de skriver in sitt personnummer första gången, att det är vårt företag som är deras workspace och allt sånt. Ja, det är bra att man hjälper dem att komma igång.

Fredrik: Absolut, det lägger jag på tips och råd till andra byråer. Jag tycker det låter väldigt bra att köra den här typen av utskicksmail men kanske till och med lite kursverksamhet. Det är ju också en chans att träffa kunderna och prata om lite andra saker än deras vanliga problem.

Katarina: Jo men också prata om GDPR för de vet ju ingenting om det. Då hinner vi också förklara vilket vite som kan utgå om man nu skulle åka dit om de skulle göra en flygande kontroll.

Fredrik: Vad tycker du fungerar bra idag med Konfident? Det utvecklas ju hela tiden.

Katarina: Jag har ju varit ganska tidig i det och haft synpunkter på förbättringar och nu när ni verkligen har gjort det som jag längtade efter så tycker jag att det funkar så himla bra. Att jag nu kan kategorisera företagen och att jag kan sortera i bokstavsordning, gör det så mycket bättre för innan så fick jag leta väldigt mycket i listan när jag skulle lägga upp någonting.

Fredrik: Ja, det är ju precis den här typen av feedback vi får av de första kunderna, eller ja, av alla kunder. Det är ju det som driver utvecklingen framåt. Du har ju sett första versionen nu och lösningarna på de här sakerna du förde fram, och de kommer ju utvecklas de också.

Katarina: Det är jättebra.

Fredrik: Vad kan då bli bättre? Vad saknar du?

Katarina: Jag skulle vilja ha bättre funktioner för att kunna ta bort saker. Till exempel kunna ta bort allt från en kund eller en användare som inte längre ska finnas kvar.

Fredrik: Alltså slänga ett helt team eller slänga alltihopa? Vi ska lägga det på listan så att vi gör det tydligt. Är det något annat du saknar, mer övergripande funktionalitet i det hela?

Katarina: Ingenting jag kan tänka på nu, det kan hända att det kommer allt eftersom jag laddar upp saker för vi har ju inte levt med det här så himla länge.

Fredrik: Många pratar om integrationer. Är det något sånt du ser? Typ “Oj, tänk om man slapp och det var bara att trycka på en knapp”?

Katarina: Men jag tycker inte att det är så jobbigt det här. Jag har nämligen två skärmar så då sitter jag med Konfident på den ena och klickar upp alla på den andra. Det går lika snabbt som att skicka iväg ett mail.

Fredrik: Ja men det är jättebra. Då har vi ju nått vad vi tänkte oss.

Katarina: En sak som jag kan tänka på: När man är där inne och ska lägga upp filer, det är ju en rent teknisk sak, då har man ju kanske fem olika mappar på en kund och nu vill jag ha in den just i lönemappen då skulle jag ju önska att precis som in en vanlig dator att om jag ställer mig på den mappen och laddar upp så hamnar det i den mappen direkt, så blir det ju inte. Den hamnar alltid utanför så får jag själv föra det till den mappen jag vill ha den.

Fredrik: Just den funktionen finns i vår to-do list. Vi har en lång lista med många sådana förbättringar och det är en av de sakerna som finns i den listan, det vet jag. Så den kommer men jag kan tyvärr inte lova exakt vilken vecka den kommer, men den kommer.

Katarina: Och sen då när man står där uppe, så markerar du ju i vänsterspalten vilket team du ska göra något med. Den markeringen, den skulle kunna vara röd eller väldigt skarp så att jag verkligen ser att jag är inne på rätt kund. Det kan jag känna ibland, är jag inne på rätt nu för den är inte så jättetydlig och det skulle kännas väldigt tråkigt att lägga upp det i fel mapp.

Fredrik: Absolut, jag förstår. De här tonerna som är väldigt estetiska kan vara svåra att se, på vissa skärmar framförallt, att det är svårt att se kontrastskillnader och så vidare.

Katarina: Ja den kan vara ganska otydlig, i alla fall när jag tittar. Jag får titta två gånger så att jag är säker på att jag är på rätt person så att säga.

Fredrik: Jag tar det till mig. Vi lägger upp det på listan. Det är ju kul att det fungerar så bra för dig ändå.

Katarina: Ja det tycker jag verkligen. Det var en väldig sten som föll från mitt hjärta i alla fall när jag fick börja med detta. Det var jobbigt innan det.

Fredrik: Ja, det låter jättekul.

Katarina: Nej men annars så, vi tutar och kör. Nu har vi precis gjort lönerna och det har känts jättebra.

Fredrik: Kanon. Då ska jag tacka dig för att jag fick ställa frågorna och fick ta din tid så här på morgonen. Det var jättetrevligt att jag fick ringa dig.

Katarina: Tack själv!

Read More

LB07 signs up for Konfident – the secure workspace

LB07 has chosen Konfident as their new platform for all internal communication and secure encrypted file storing, like contracts, scout reports, etc. They will also use it to secure filesharing externally with club members and active players. The simplicity of the application in combination with its rigorous security is perfect for this organization, where information is sensitive, both from sports, business and GDPR perspective.

LB07 is a large sports club and we distribute a lot of personal information about both players and staff, all that falls under GDPR. The simplicity of Konfident, with all the necessary security included, makes it a perfect tool for us,” says Vicky Fredriksson, Managing Director LB07.

About LB07

LB07 – IF Limhamn Bunkeflo is today Skåne’s largest football association with just over 1,300 active children and young people. Our players participate in over 350,000 exercise and match hours each year and 200 non-profit leaders spend approximately 70,000 hours a year in the association. The members come from all areas of Malmö.

Read More

Secure file collaboration considerations

In group communications such as project teams or in client collaboration there is a need to distribute information and files electronically. The information being processed is many times confidential, either from a business or a private data (GDPR) perspective, so protecting that information is essential.

How to take data security into account in data transfers?

How can users take full responsibility for security when it usually is such a technical and difficult problem?

A need to share and transfer information in a secure but user-friendly way

E-mail is easy to use but known to be a relatively poor tool for communication in teamwork. Especially if communication is lively and files are shared and updated frequently. How do you keep track of files? How do you know that all team members have access to and work on the latest version of a file? Also, E-mail is notoriously insecure with the information usually transported and accessible in clear text on the delivery route. It’s even so bad that it’s regarded as safe as a postcard by security professionals. In fact, it’s even far less secure than a postcard, an email can live and be searchable forever. At least a postcard can be easily discarded or permanently destroyed after being read.

There are many encrypted mail systems available but they usually require you to completely change your legacy systems, not only you but all organizations and users that you are collaborating with. And, even if you do change it all, you still have the problem with knowing that everyone has up-to-date files.

So, if we forget e-mail, nowadays the actual transfer method in most modern software solutions, regardless of the tool, is encrypted and secure. That is if they use common technologies for protecting the communication channel. You still have to trust the service and storage since the protection is just in the transfer link (hop-by-hop security). Therefore, what specifically should be taken into consideration in your data transfer process, is the security of the application and data storage provider and the ease-of-use of the tools to meet your needs.

Often, the security debate revolves around technical issues – whether they are protocols, encryption technologies, access control technologies, or processes developed to control human behavior. However, it should be remembered that just as important, although often forgotten and compromised, is that the only security worth anything is the one that actually is being used. Naturally, the technical solutions in the background must be rock solid, but if the tools are too confusing, full of unnecessary functions that users do not understand and the use of the necessary features require excessive training, then even the most technically advanced products will never be fully utilized and data security suffers.

An example of how it should be done is the secure workspace Konfident, where user experience and functionalities are intuitive and reduced to a minimum, and the strong end-to-end security is almost invisible on the surface. The user has full control over what they share and to what team through the simplified user interface.

 

Konfident - the secure workspace for end-to-end encrypted filesharing