Säkerhetsblogg

HSM – vad är det och varför behöver man en?

HSM står för Hardware Security Module och är en otroligt säker hårdvara som används för kryptering. Den kan kryptera, dekryptera, skapa och lagra krypteringsnycklar och kan även användas för signering och autentisering. Syftet är att skydda känslig data.

Varför behöver man en Hardware Security Module?

Det finns flera anledningar men i grund och botten handlar det om säkerhet, och säkerhet på olika plan. I branscher som betalningsbranschen där man hanterar kortdata måste data krypteras för att följa regelverk som PCI DSS. Då är HSM praxis och helt enkelt ett måste. Men ur ett rent tekniskt perspektiv är en HSM otroligt säkert. Hårdvaran är fysiskt skyddad. Man kan inte bryta sig in i den, och den detekterar och larmar om någonting är fel. Om den exempelvis skulle bli stulen och stängas av tas krypteringsnycklarna bort. Det är alltså en säker lösning för dig som vill skydda extremt känslig information.

Vilka är de största fördelarna med att använda HSM?

Det är säkert. En HSM ger ett skydd mot hackers och garanterar till stor del säkerheten av data. Det är även en kvalitetsstämpel och visar på tillförlitlighet, speciellt när man har eller vill uppnå en PCI DSS-certifiering.

Man kan jämföra säkerheten på en HSM med chipet som finns på ett betalkort. Chipet är en hårdvara och signering sker i själva chipet. Man kan inte bryta sig in i det. En HSM fungerar på samma sätt, likt ett chip så är det nästintill omöjligt att ta sig in i det eller hacka det.

Kan man inte bara kryptera och dekryptera utan att behöva investera i en HSM?

I praktiken ja, kanske, men i de flesta fallen är det ingenting att rekommendera, speciellt till de som verkar inom betalningsbranschen. Förutom att det är best practice att ha en Hardware Security Module för att efterleva PCI DSS så är en HSM så säkert det kan bli när det gäller skydd av krypteringsnycklar och känslig information.

En Hardware Security Module är en rätt dyr investering men i vissa branscher är det ett måste. Sedan finns det olika typer av HSM-tjänster, ett bra alternativ för mindre företag till att köpa det själv är att köpa HSM som en tjänst (HSM as a service) från en leverantör.

Vilka sorts säkerhetskrav finns på en HSM?

Det finns hårda krav på HSM:er. Det finns särskilda säkerhetsstandarder som själva hårdvaran ska följa, FIPS-140 (Federal Information Processing Standards) är en av dem. PCI-rådet har även dedikerat ett långt dokument åt HSM, där man specificerar kraven på hårdvaran. En HSM är helt enkelt en säkerhetsstämpel som är bra att ha, och för de som utvärderar din efterlevnad av säkerhetsstandarder så signalerar det att företaget tar informationssäkerhet och kryptering på allvar. 

Vilka sorts företag har mest nytta av att använda en HSM?

Hittills har det främst varit företag inom betalningsbranschen, certifikatsutgivare och de som sysslar med signering som har haft det största behovet av att använda HSM. Det har länge varit best practice i betalningsbranschen för företag i alla storlekar att använda HSM.

När det kommer till vem som har mest nytta är det både dem ovan, men också alla organisationer som hanterar extremt känslig data där det finns ett behov av hög säkerhet. Det vi ser nu med GDPR och de ökade kraven på integritet och säker hantering av personuppgifter är att det sätts mer press på företag att kunna garantera att personuppgifter lagras säkert. Där kan en HSM vara en bra lösning. I framtiden kan det mycket väl bli så att organisationer får liknande krav på sig vid hantering av personuppgifter som vid kortdata, och att det då blir ett måste att kryptera personuppgifter och ha en HSM.

 

Relaterat innehåll:

Logghanteringssystem – hur implementerar man det?

HSM as a service – hur funkar det?

 

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com