”Jag skrev öppna standarder för att göra stark autentisering tillgänglig för alla”

LÄR KÄNNA Johan Rydell, teknisk direktör på identitets- och säkerhetsföretaget Nexus Group, och en av huvudförfattarna bakom autentiseringsstandarderna TOTP och OCRA. ”I dag använder i princip alla de här standarderna, och eftersom de hindrar patent har de lett till en dramatisk nedgång i priset på säkerhetsdosor”, säger Johan Rydell.

Hur skulle dina kollegor beskriva dig?

”De flesta känner mig inte så bra. De vet bara att de kan vända sig till mig om de har ett problem som behöver lösas. Om exempelvis en säljare har lovat en kund funktionalitet som vi inte har, så brukar jag kunna fixa det genom att skriva ny adapterkod. Och om någon kund i Nord- eller Centralamerika behöver akut support så åker jag dit för att hjälpa dem eller för att verifiera att problemen de upplever inte beror på fel i våra produkter.”

”Jag är för närvarande Nexus enda anställda i USA. Jag flyttade hit från Sverige för 10 år sedan, och numera arbetar jag från mitt hemmakontor utanför San Francisco”, säger Johan Rydell.

Varför arbetar du på Nexus?

”Jag var en av grundarna av PortWise, ett företag som förvärvades av Nexus år 2010. Vår huvudprodukt var en mjukvarubaserad säkerhets-gateway, som används för att möjliggöra säker åtkomst till digitala resurser – oavsett var resurserna eller användarna befinner sig. Den här mjukvaran är nu en av Nexus viktigaste produkter, och går under det nya namnet Nexus Hybrid Access Gateway.”

”När vi förvärvades stängdes vårt USA-kontor, men jag stannade kvar här. En av anledningarna till det är att jag jobbar mycket med standarder, och om man ska ha något inflytande inom området måste man vara på plats här i San Francisco Bay Area. Jag var en av en av huvudförfattarna till standarden Time-based One-Time Password algorithm (TOTP), som är hörnstenen i Initiative for Open Authentication (OATH) och som används i ett antal system för tvåfaktorsautentisering. Jag var också huvudförfattaren till autentiseringsstandarden OATH Challenge-Response Algorithm (OCRA).”

”Men min huvuduppgift är att se till att våra amerikanska kunder och partners är nöjda. Min roll kräver både djup och bred kompetens inom säkerhets- och teknikområdet, och passar mig perfekt”, säger Johan Rydell.

Vad jobbar du med nu?

”Jag utbildar banker och lokala myndigheter i Nord- och Centralamerika om säkerhet, och erbjuder dem vår lösning för stark autentisering och digital signering. Jag hjälper dem också handgripligen med implementationen, och ser till att de efterlever alla regler. Och om de behöver support längre fram så hjälper jag dem.”

”Jag certifierar även företag som använder TOTP-standarden. Om du exempelvis köper en säkerhetsdosa från en leverantör som följer standarden så ska du kunna använda den med alla servrar som följer standarden. För närvarande har cirka 200 företag, däribland Nexus, certifierat sina lösningar”, säger Johan Rydell.

Läs vår guide Så väljer du rätt system för fysisk identitets- och åtkomsthantering (PIAM)                                                                                 

Vilken effekt har de standarder du skrivit fått?

”Det enda sättet att möjliggöra tvåfaktorsautentisering av användare innan TOTP och OCRA fanns var att använda ett system som heter SecurID. Det ägs av det amerikanska dator- och nätverkssäkerhetsföretaget RSA Security, och de hade patent som blockerade konkurrens. De drog fördel av det här genom att sälja sina säkerhetsdosor för ett väldigt högt pris.”

”Jag tycker inte om patent. De hindrar innovation, och jag vill att säkerhet ska användas. Det är därför jag skrev OCRA. Ingen kan få patent på saker som ingår i en standard, så jag gjorde OCRA så bred att ingen skulle kunna göra anspråk på eventuella patent inom det här området.”

”I dag använder i princip alla säkerhetsdosor TOTP och OCRA, eftersom de här standarderna omfattar alla användningsfall. Det här har lett till att priset på säkerhetsdosor gått ner dramatiskt. En annan effekt är att OCRA gör transaktioner oavvisliga. Oavvislighet är en försäkran om att ingen kan förneka någonting; om du exempelvis autentiserar dig för att underteckna en överföring av 200 kronor så kan ingen senare hävda att du överfört något annat belopp”, säger Johan Rydell.

Beskriv en vanlig dag i ditt liv!

”Jag börjar min arbetsdag klockan 9 genom att slå på alla mina datorer och se till att de är uppdaterade. Jag har ungefär 25 stycken, för att kunna testa nya programversioner och annan ny kod i olika miljöer och för olika användningsfall. Sedan kollar jag mejlen och IT-nyheterna. Allt det här skapar en grund för dagen.”

”Vad som händer härnäst är olika från dag till dag, men jag kan ge dig ett exempel på hur en dag kan se ut. Jag arbetar ofta med något som har med våra bankkunder att göra, till exempel uppgraderingsprojekt eller genomgång av nya krav. Jag jobbar från mitt hemmakontor så mycket som möjligt, men jag reser också till kunder och potentiella kunder. När jag är hemma gör jag saker som att testa ny kod, kolla loggar, eller testa nätverksprotokoll för att se till att kommunikationen är krypterad – alltså främst väldigt tekniska saker.”

”Men plötsligt kanske jag får en förfrågan för en viss tjänst eller produkt (request for proposal, RFP) i min inkorg, det vill säga ett dokument från en potentiell kund som ber oss att ta fram ett affärsförslag. RFP:er har hög prioritet, så jag börjar ofta fylla i dem direkt.”

”Vid klockan 15–16 tar jag en paus från arbetet för att tillbringa tid med min familj. Sedan jobbar jag igen mellan klockan 22 och midnatt, när barnen sover och jag kan få tag i mina kollegor i den svenska tidszonen”, säger Johan Rydell.