Een universitair ziekenhuis moet een brede toegankelijkheid koppelen aan voldoende bescherming tegen het verlies van uiterst gevoelige informatie. Hoe je een en ander voorkomt, is een klus voor Reinoud Reynders, bij het UZ Leuven.

Je zou denken dat security en de aanpak ervan een taboe-onderwerp is in ziekenhuizen, maar niet voor Reinoud Reynders, it-manager infrastructure en operations bij het UZ Leuven. “Niet graag over spreken? Waarom niet? Je moet daar niet flauw over doen,” countert hij meteen bij de start van het gesprek, “Ik ga niet zeggen van ‘ik ben 100 % zeker’, maar het is een kwestie van het risico inperken en onder controle hebben!” Zij het dat hij natuurlijk niet in precieze details alles uit de doeken gaat doen!

Openheid, blijheid

De openheid in een instelling als een universitair ziekenhuis in goede banen leiden, is wel een uitdaging, en niet alleen wat betreft informatiesystemen. Dag in dag uit lopen immers duizenden personen het gebouwencomplex binnen en buiten – werknemers, studenten, bezoekers, om niet te spreken over de duizenden patiënten die worden verzorgd. Hoewel de nood aan beveiliging wel eens wordt vergeleken met die van een bank, “zijn we geen burcht zoals een bank, of zelfs maar een bedrijf, waar er normaal regels, controles en toegangspoortjes zijn. Hier wandel je binnen en zie je overal pc’s staan.” En dan is er nog de uitdaging van academisch onderzoek, dat evenzeer een openheid van onderzoek moet verzoenen met de bescherming van intellectuele eigendom én de informatie over betrokken personen. En dan moet je bedenken dat die activiteiten en data ook nog eens zijn verspreid over een aantal locaties en ziekenhuizen.

Naast apparatuur van allerlei aard die indringers ver moeten houden in het netwerk en van servers, moet Reynders dan ook bijzondere aandacht besteden aan het voorkomen van misbruik van eindgebruikerssystemen, een besmetting met malware van die systemen, gecombineerd met een makkelijke toegang. Dat laatste is zeker van belang wanneer een persoon zich bij een patiënt bevindt en wel meer aan zijn of haar hoofd heeft dan zich door niet aflatende securityprocedures heen te werken. Een en ander heeft er onder meer toe geleid dat een eigen medische client (in Java) werd ontwikkeld, voor gebruik op een gewone laptop geplaatst op karretjes. Testen met tablets en dies meer bleken niet zo vlot qua input, terwijl smartphones enkel voor wat e-mail worden aangewend. Er wordt wel bestudeerd of specifieke taken (en dus niet de gehele medische toepassing) op een mobiel toestel kunnen worden geïmplementeerd. In de discussie rond ‘bring your own device’ werd nog geen standpunt ingenomen, maar daarbij wordt veeleer gedacht aan beveiliging van specifieke apps (door sandboxing) en niet zozeer de bescherming van het hele toestel.

Middelen…

Bij de keuze van de middelen, werd op de eindgebruikerssystemen gekozen voor Symantec Endpoint Protection 12. Bij die keuze speelde een rol dat de footprint van deze soft veel kleiner was dan de voorganger, en minder middelen van het eindgebruikerssysteem consumeerde (met onder meer een beduidend kortere scantijd). Bijkomende elementen waren de prijs en de mogelijkheid alles makkelijk vanaf een zelfde (Symantec) console te beheren. “De ene console ‘that fits all’, daar is iedereen naar op zoek,” merkt Reynders nuchter op, maar “uiteindelijk grijp je toch weer terug naar de tools van de vendor.” Door het aantal leveranciers te beperken, “beperken we ook de zoo” aan consoles (het UZ Leuven maakt ook al jarenlang gebruik van de Symantec Messaging Gateway, voor de bescherming van het mail verkeer). Van groter belang is blijkbaar voldoende aandacht te besteden aan goede scripts, zodat ‘handwerk’ zo min mogelijk nodig is.

Voorts wordt ook ingezet op virtuele omgevingen, à rato van 100 à 150 vdi’s per server (waarbij er zorg wordt gedragen dat die niet allemaal op hetzelfde ogenblik worden gescand of geüpdatet inzake securitysoft). Een factor hierbij was dat van dezelfde Symantec-beveiligingssoft gebruik kan worden gemaakt voor de fysieke en virtuele eindgebruikerssystemen. Dat vertaalt zich in een zelfde beheer en dus een betere inzet van het personeel. Overigens wordt in de virtuele omgeving gebruik gemaakt van VMware vSphere en vShield. Een punt dat dit jaar wordt bestudeerd, is de correlatie van informatie in logs, want die “is wel belangrijk.”

… en mensen

Naast de middelen onderstreept Reynders ook uitdrukkelijk het belang van de mensen. De bescherming van systemen, en dus het voorkomen van alle mogelijke vormen van ‘intrusions’ is een kwestie van de personen laten doen wat ze goed doen en hen niet opzadelen met elementen waar ze zich geen zorgen zouden mogen over maken. “Een pijler is dat de gebruiker geen beheerder is”, klinkt het, gekoppeld aan strikte instellingen die malafide handelingen door individuele systemen uitsluit. Zo kan geen systeem zomaar een uitgaande connectie tot stand brengen, tenzij over de eigen proxyserver.

Niet alleen streeft Reynders ernaar het aantal verschillende beheerconsoles tot het minimum te beperken, maar belangrijker nog is dat personen die de verschillende functies, zoals netwerk-, security- en systeembeheer “allemaal samen zitten. Bij ons zijn er geen muren. Niemand heeft slechts één verantwoordelijkheid,” en de teams zijn gemengd. “‘Het is niet mijn probleem’ zegt iemand dan ook maar één keer,” klinkt het duidelijk, en “samenwerking op teamniveau is heel belangrijk.” Toegegeven, soms heeft iemand wel een specialisatie inzake een specifiek product, maar “iedereen heeft van alles wat basisnoties.”

Belangrijk is ook de gebruikers duidelijk te maken wat kan en niet kan. Zo kan slechts ict een toestel in het netwerk opnemen, en kunnen systemen vanop afstand slechts met een vpn-systeem en een ‘digipass’ of e-id authenticatie online gaan. “De menselijke factor blijft steeds het belangrijkste probleem, en we communiceren [over dit alles] dan ook geregeld, en houden hen alert!” Uiteindelijk wil hij een toestand bekomen waarin de gebruikers en hijzelf kunnen vergeten dat er al die securitytoestanden zijn en dat alles gewoon zijn werk doet. En natuurlijk dat er geen problemen binnendringen…

Guy Kindermans