Leestijd: 6 minuten
Fysieke ICT-security volgens Rittal
Betrouwbare informatiebeveiliging in de zorg
door: Marcel de Groot
Wanneer we denken aan security van ICT, betreft dat zelden de fysieke beveiliging. Toch is adequate bescherming tegen bijvoorbeeld brand of wateroverlast van de IT-infrastructuur minstens zo belangrijk als de nieuwste firewalls, virusscanners en authenticatieconcepten. We spreken hierover met een specialist van Rittal, de wereldwijde leverancier van kastsystemen en IT-infrastructuren.
Account Manager Dion Cremers (foto): “Ieder bedrijf in welke branche dan ook heeft een serverruimte. Het projectmatig oppakken van de inrichting van zo’n technische ruimte is ons specialisme. De daadwerkelijke uitvoering, het bouwen en plaatsen, wordt gedaan door (landelijke) installatiebedrijven, maar wij adviseren omtrent de volledige it-infrastructuur: de vloer- en ruimte-indeling, de netwerk- en serverracks, de koeling, de spanningsvoorzieningen, blussystemen enzovoort. De hardware – zoals servers, switches en storageapparatuur – doen wij niet, puur de it-infrastructuur daaromheen.” Rittal – onderdeel van de Duitse Friedhelm Loh Group – maakt onder meer op exclusieve basis de racks voor bedrijven als HP, Dell, Facebook en Microsoft. Er is dus veel kennis van de te installeren 19-inch apparatuur en de eisen die gesteld worden aan de energievoorziening en klimatisering ervan. Veel Nederlandse ziekenhuizen werken al succesvol met Rittal IT-oplossingen, vertelt Cremers. “Binnen de zorg is er veel gaande, met boeiende uitdagingen als gevolg. We deden onderzoek naar de vraag waar de IT-manager in de zorg nu echt van wakker ligt. Met stip op de eerste plaats staat: is mijn data goed genoeg beveiligd? Natuurlijk spelen zaken als 24×7 beschikbaarheid, latency, datavolume en standaardisatie een rol, maar de voornaamste zorg is toch: is het veilig?”
Brand/fysieke beveiliging
De bekende normen voor informatiebeveiliging in de zorg (NEN 7510 en diens aanvulling NEN 7512) bestrijken slechts een deel van de gehele fysieke IT-beveiliging. Cremers zet uiteen dat een ziekenhuis binnen die norm zelf diverse keuzes moet maken. “Neem bijvoorbeeld een onderwerp als brandveiligheid. Hoe ver ga je met brandwerendheid? Je kunt kiezen voor F30, waarbij een wand een brand maximaal 30 minuten tegenhoudt. Maar er zijn ook F60 en F90 wanden. En kies je dan voor brandwerende behuizing voor de server- networkingracks, of voor de gehele ruimte? Bedenk daarbij dat je weliswaar de brand 30, 60 of 90 minuten tegenhoudt, maar niet de hitte. In de brandhaard kan de temperatuur oplopen tot 1200 graden Celsius. Achter die brandwerende wand is het dan in no time 200 graden of nog heter. Dat betekent dan al snel einde oefening voor de apparatuur, maar de wand blijft wel zoveel minuten staan, puur ter bescherming van de mens. Wij hebben ook wanden die voldoen aan de EN 1047-2 norm. Zolang die wand staat, loopt de temperatuur in de serverruimte maximaal op naar 70 graden. De apparatuur zal zichzelf dan wel afsluiten, maar het gaat niet defect. Dit kun je doen op rackniveau of op serverruimteniveau. Wij hebben ook oplossingen om één of meerdere bestaande racks op een later moment ‘in te pakken’ met dit soort brandwerende wanden. De norm behandelt ook de toegang tot de ruimte, de zogeheten ‘resistance class’. Los van de rechtmatige toegang met een sleutel, behandelt deze norm hoeveel minuten een deur weerstand biedt tegen binnenkomen langs niet toegestane methoden, zoals met een koevoet of zelfs explosieven.”
Water/bekabeling
Soortgelijke overwegingen zal een IT-manager moeten maken omtrent eventuele wateroverlast. Cremers: “Bij een overstroming of gebruik van bluswater kan er zelfs 40 centimeter water rondom de racks of de ruimte staan, zonder dat dit problemen oplevert. Je data blijft dan veilig. Wij geven advies over deze en andere veiligheidsissues van de it-infrastructuur. Bijvoorbeeld: als je dan toch op het punt staat een nieuwe computerruimte te creëren, kies dan voor een inpandige oplossing. Vanuit het oogpunt van inbraak is dat een veel veiliger optie. Ook verzekeringstechnisch biedt het voordelen.” Ziekenhuizen hebben te maken met een toenemende complexiteit van techniek. Een hedendaagse operatiekamer heeft een slordige 100 tot 150 netwerkaansluitingen. “Daar is allemaal bekabeling voor nodig”, aldus Cremers. “Deze wildgroei aan bekabeling is een serieus issue voor veel IT-afdelingen op dit moment. In samenhang daarmee zie je ook dat de vermogens toenemen, onder meer door toepassing van Power over Ethernet (PoE) en Voice over IP (VoIP). Vanwege deze ontwikkelingen kun je geen ‘bezemhok’ of een hoek op een afdeling inzetten als ‘datacenter’. Ook oude datakasten die zijn uitgegroeid tot micro computerruimte vereisen sloten, koeling (het liefst redundant), toegangscontrole, branddetectieoplossingen, blussystemen enzovoort, dit alles om de informatiebeveiliging te waarborgen.”
Redundantie
De term redundant is gevallen. Cremers gaat daarop door: “Net als bij het internet gaan veel mensen er automatisch van uit dat alles gewoon werkt. Maar om er zeker van te zijn dat de systemen en data veilig zijn en bereikbaar blijven, is redundantie een vereiste. Alles moet dubbel worden uitgevoerd, power, noodstroom, koeling. Ook de data zelf natuurlijk. Dankzij ons fantastische glasvezelkabelnetwerk in Nederland kun je razendsnel schakelen. Heb je dat niet, dan moet je overwegen of je zelf een tweede ruimte bouwt. Wanneer je binnen één computerruimte redundantie bouwt, noemen we dat N+1. Een andere optie heet 2N. Daarbij wordt alles dubbel uitgevoerd.” Als voorbeeld noemt Cremers de verwarming in een huis. “Naast de cv-ketel – die radiatoren in de woning voorziet van warmte – hang je een tweede ketel. Wanneer ketel 1 uitvalt, neemt ketel 2 het over. Dat is N+1. Op de 2N-manier ga ik met vier leidingen naar alle vertrekken. Per vertrek zit dan de helft van de radiatoren op A en de andere helft zit op B. Met de radiatoren per circuit kun je ruimschoots de benodigde warmte leveren. Beide varianten hebben voor- en nadelen. Over dit soort scenario’s adviseren wij niet alleen de ziekenhuizen, maar ook adviesbureaus, integrators en installateurs.”
Geen keuze
Ieder ziekenhuis hanteert eigen richtlijnen voor de fysieke beveiliging van de ICT. “Sommige ziekenhuizen hebben hun redundantie 30 kilometer verderop staan,” vertelt Cremers. “Vanzelf speelt het beschikbare budget een rol hierin. Het komt neer op de vraag: welk budget heb je over voor security? Wij adviseren altijd om bij welke investering dan ook ruime aandacht te besteden aan de basis. Dat verzekert je onder meer modulaire schaalbaarheid in de toekomst. Zeker in de zorg, waar het moeten op- of afschalen bijna aan de orde van de dag is, is dit enorm belangrijk. Of de computerruimte nu in huis staat, of extern, je wilt pas racks en apparatuur bijplaatsen als het nodig is. Pay as you grow. Wij leveren thought leadership – hoe één en ander in elkaar steekt – maar de uiteindelijke offerte voor aanschaf en montage komt van een integrator en/ of installerende partij. Met onze jarenlange expertise, de Duitse ‘gründlichkeit’ verwerkt in al onze producten en hun beschikbaarheid, is een zorginstelling verzekerd van kwaliteit. En kiezen voor kwaliteit is voor ziekenhuizen – waar continuïteit van levensbelang kan zijn – eigenlijk geen keuze meer.”