Het Maasstad Ziekenhuis en Spijkenisse Medisch Centrum (SMC) werkt voor zijn netwerkbeveiliging sinds januari 2017 met de detectieoplossing Cyberalarm, een product van het Nederlandse SecureMe2. “Het geeft mij inzicht en dat is precies wat we als organisatie nodig hebben”, zegt John Verschoor, Teamleider ICT Technisch Beheer bij het Maasstad Ziekenhuis en SMC.
“We zagen steeds meer dreigingen op ons afkomen. Ransomware bijvoorbeeld, dat in sommige gevallen doelbewust op ziekenhuizen is gericht. En zonder de juiste tooling ben je dan blind. Daarom hebben wij een goede oplossing nodig die ons 24/7 inzicht geeft in wat er op ons netwerk gebeurt”, zegt Verschoor. Hij is Teamleider ICT Technisch Beheer bij het Maasstad Ziekenhuis in Rotterdam en het SMC. Hij koos voor de detectieoplossing van SecureMe2, een Nederlands bedrijf dat aangesloten is bij The Hague Security Delta.
Verschoor benadrukt dat goede ICT-beveiliging letterlijk van levensbelang is voor een ziekenhuis. Dus moest er een goede oplossing komen. “Bij IT-security in ziekenhuizen kom je bijna altijd de grote vendoren tegen. Niet alleen zijn hun oplossingen vaak erg kostbaar, maar meestal dekken ze de lading niet volledig voor ons of ze zijn gewoon te uitgebreid of te complex. Een ziekenhuis heeft realtime inzicht nodig in de bedreigingen voor het netwerk. En de meeste producten voldoen niet genoeg aan onze wensen. Die houden de binnenkomende bedreigingen tegen (firewall), maar detecteren niet de bedreigingen van binnenuit het netwerk (besmette USB-sticks, phishing e-mails). En dat levert voor ons het grootste gevaar op. Incidenten voorkomen is een utopie. Het blijven mensen die met de systemen werken. Dus moeten we detecteren als het fout gaat. En dan met name als er ongewenste communicatie vanuit ons netwerk naar het internet plaats vindt met bijvoorbeeld patiëntinformatie. Dat wil ik weten. Want dan kan ik het oplossen en het gevaar ‘in de kiem smoren’. En dat inzicht biedt de oplossing van SecureMe2”, zegt Verschoor. Hij benadrukt dat de oplossing betaalbaar en snel te implementeren is. “De kosten blijven heel erg binnen de perken en de ‘uitrol’ stelde weinig voor. De sensor moest ik uitpakken en de kabels aansluiten op de switch en een spanpoort. Dan meldt het zichzelf aan in het rekencentrum van SecureMe2 en na een half uur konden we het gebruiken en zagen we de eerste alarmen langs komen.”
Het Cyberalarm laat op host-niveau zien wat er op het netwerk gebeurt. Dus ook wat daar gebeurt met al onze medische apparatuur die aangesloten zit op het netwerk. Verschoor: “Als er iets wordt gedetecteerd kan ik ingrijpen door een potentieel besmet werkstation of apparaat direct uit het netwerk te halen, het schoon te spoelen en weer terug te zetten.” Het Cyberalarm vult een gat op voor het MKB, vindt Verschoor. “Als MKB zit je wat beveiliging betreft eigenlijk in een ‘vergeten sector’. Je hebt gewoon niet genoeg budget en beheerders om een reguliere dure ‘Enterprise’-oplossing aan te schaffen. En de gemiddelde MKB’er heeft meestal geen virtuele omgeving beschikbaar om die software op te draaien. Met het SecureMe2 Cyberalarm heb je die issues niet en het biedt toch veel inzicht en een gerust gevoel.”
Hij startte met het Cyberalarm als een pilot in het SMC. Dat heeft rond de 500 werkplekken, inclusief de zogeheten modaliteiten: gespecialiseerde medische apparatuur die op het netwerk is aangesloten. Cyberalarm bewaakt al het verkeer van alle apparatuur dat aangesloten is op het netwerk. Dus als bijvoorbeeld een infuuspomp kwaadaardig wordt overgenomen, dan detecteren we dat.”
De pilot met het Cyberalarm stemde hem tevreden. “Het werkte heel goed. Zo detecteerde het systeem bijvoorbeeld direct ook een netwerkprinter die via een openstaande poort vanuit de Oekraïne werd benaderd. Achteraf viel de impact mee, maar dat had ik zonder deze oplossing nooit gezien”, zegt Verschoor. En op basis van de ervaringen in het SMC heeft het Maasstad Ziekenhuis ook besloten om Cyberalarm te implementeren voor alle netwerken.
Eén sensor van het Cyberalarm is goed voor een netwerk met rond de 500 werkplekken. Voor SMC was dat in het begin prima maar is later in verband met de uitbreiding van de netwerken opgeschaald naar een redundante inrichting met zwaardere sensoren. In het Maasstad Ziekenhuis zijn er zeker 2500 werkplekken. Daarvoor heeft SecureMe2 meerdere apparaten parallel geïnstalleerd in de diverse datacenters. “Ook dat is probleemloos verlopen.”