Spire Healthcare sichert die Weiterentwicklung digitaler Dienste mit F5

Im Zuge der Entwicklung weiterer kundenorientierter digitaler Dienste wie etwa des MySpire-Portals zum Buchen von Terminen, Anzeigen persönlicher Informationen und Durchführen von Zahlungen stellte Spire gleichzeitig auch immer mehr vertrauliche Patientendaten online.

Angesichts des steigenden Risikoprofils befand sich das technische Team in einer Situation, in der ihm wichtige Informationen zum Benutzerverhalten fehlten. Das bestehende System konnte nicht anzeigen, über welche Geräte sich die Kunden mit den Diensten von Spire verbanden und wann sie dies möglicherweise auf unsichere Weise taten. Dieser Mangel an Transparenz behinderte die Fähigkeit des Teams, wichtige Sicherheitsverbesserungen vorzunehmen.

„Wir konnten uns beispielsweise nicht dazu entschließen, den Zugriff über SSLv3 einzuschränken, weil wir nicht wussten, ob es Benutzer gab, die sich über Geräte verbanden, die TLSv1.0 nicht unterstützten“, erinnert sich Rob Sissons, Technical Operations Manager.

Dem IT-Team fehlten nicht nur die Informationen, um entscheidende technische Änderungen vorzunehmen, sondern es war auch oft nicht in der Lage, interne Anfragen zur Datensicherheit zu beantworten. Darüber hinaus musste sich das Unternehmen auf die Prüfungen vorbereiten, die die großen Versicherer und der NHS durchführen, die regelmäßig Patienten an Spire überweisen, um sich zu vergewissern, dass ihre Daten sicher gespeichert werden.

Um die Sicherheit seiner digitalen Dienste zu verbessern, ohne den Kunden den Zugriff darauf zu erschweren, entschied sich Spire, einen Managed Service Provider für Application zu suchen.

Um seinen wachsenden Sicherheitsanforderungen gerecht zu werden, entschied sich Spire für die Implementierung der F5® Silverline® Web Application Firewall (WAF) und F5® Silverline® DDoS Protection als verwaltete Dienste mit Rund-um-die-Uhr-Support durch das Security Operations Center (SOC), dem Knotenpunkt kundenorientierter Sicherheitsspezialisten von F5.

„Das SOC ist das, was sich für uns wirklich auszahlt“, kommentierte Sissons. „Es gibt uns die Gewissheit, dass bei der Umsetzung einer Änderung ein zweites, sachkundiges Augenpaar diese genau unter die Lupe nimmt. Oftmals erhalten wir dann vom Team Empfehlungen, wie wir unsere Vorhaben optimieren können.“

Das SOC-Team ist zu einem integralen Bestandteil der Entwicklung und Implementierung neuer Applications durch Spire geworden, auch von Drittanbietern. Spire ermittelt WAF-Richtlinien, indem es mit einer leeren Vorlage beginnt und dann durch wiederholte Tests identifizierte Fehlalarme auf die Whitelist setzt.

„Wenn wir die Freigabe von Informationen beantragen, überprüft das SOC unsere Vorschläge noch einmal“, erklärte Sissons. „ Applications im klinischen Bereich sind nicht immer so sicher, wie sie sein sollten. In einigen Fällen hat der Input von F5 dazu geführt, dass wir uns erneut an externe Softwareentwickler gewandt haben, um sie auf Probleme mit ihren Applications hinzuweisen.“

Während der Zusammenarbeit zwischen Spire und F5 hat sich sein Application immer weiter diversifiziert und komplexer entwickelt. Hierzu gehört die Einbindung von APIs, die es den Versicherern ermöglichen, Patienten einfacher zu überweisen und ihre Daten zu übermitteln. Silverline bietet die Sicherheit, die es Spire ermöglicht, die digitalen Dienste, die es seinen Kunden, Beratern und wichtigen Partnern anbietet, kontinuierlich weiterzuentwickeln und zu verbessern.

Mit der Unterstützung des SOC konnten die Silverline-Dienste Spire zudem dabei helfen, eine Application zu implementieren, die den dort gespeicherten vertraulichen Daten gerecht wird, und rasch auf gelegentlich auftretende größere Vorfälle zu reagieren.

Darüber hinaus unterstützt Silverline die Weiterentwicklung der allgemeinen Sicherheitsrichtlinien von Spire und bietet Transparenz und Daten zum Benutzerverhalten, die dem IT-Team dabei helfen, seine allgemeinen Sicherheitsrichtlinien zu verfeinern. Darüber hinaus bietet es ein detailliertes Bild davon, wie seine Kunden auf Dienste zugreifen, die es vorher nicht gab.

„Beim TLS-Härten beispielsweise hat sich das Informationssicherheitsteam stark auf die Daten verlassen, die Silverline zu den eingehenden Verbindungen und den Herkunftsorten unsicherer Verbindungen liefert“, sagte Sissons. 

Ein weiterer wesentlicher Vorteil von Silverline ist die Fähigkeit, mit aktiven Bedrohungen für das Netzwerk von Spire umzugehen. Bei einem kürzlich erfolgten, schwerwiegenden DDoS-Angriff beteiligte sich das SOC aktiv an der Reaktion, lieferte Informationen zur Quelle des Angriffs und beteiligte sich an Diskussionen mit dem Internetdienstanbieter von Spire. „Bei einem groß angelegten Angriff wie diesem läuft alles sehr schnell ab und die Ermittlungen laufen noch während des Geschehens ab“, erinnert sich Sissons. „Wir hatten die ganze Zeit einen offenen Kommunikationskanal mit dem SOC, sie waren bei Telefonaten für uns da und leisteten unschätzbare Unterstützung.“

Spire ist täglich davon überzeugt, dass die kompetenten Mitglieder des SOC immer zur Verfügung stehen. „Wir können im Rahmen des Managed Service sehr kurzfristig wirklich qualifizierte Mitarbeiter an die Leitung holen“, fügte Sissons hinzu. „Es gibt nichts, was wir jemals verlangt haben, was das SOC nicht erfüllen konnte.“

Silverline wirkt sich auch positiv auf das weitere Ökosystem von Spire aus. Patientenempfehlungen von Drittparteien sind ein wichtiger Teil des Geschäftsmodells und die Präsenz von F5 als Managed Service Provider hat dazu beigetragen, diesen Partnern die Gewissheit zu geben, dass die Datensicherheit und -vorkehrungen strengen Standards genügen. Silverline war sogar Teil der Reaktion auf Audits durch Versicherungspartner sowie des Sicherheits-Toolkits, das eine Voraussetzung für den Beitritt zum Health and Social Care Network (HSCN) des NHS ist. „Es ist gut für uns, bei einem externen Audit sagen zu können, dass wir über ein spezialisiertes Sicherheitsteam verfügen, das diese Dienste schützt“, fügte Sissons hinzu.