Laatste nieuws
Achter het nieuws

Ziekenhuis gehackt: hoe nu verder?

Niet alle ziekenhuizen lid van het securitycentrum, dus laat gewaarschuwd

2 reacties
Hollandse hoogte
Hollandse hoogte

Via een lek in de beveiliging van thuiswerksoftwarebedrijf Citrix drongen hackers binnen bij Medisch Centrum Leeuwarden. De roep om meer grip op cyberveiligheid in ziekenhuizen zwelt aan. ‘We kunnen ons niet veroorloven dat grote ziekenhuizen en spoedeisendehulpafdelingen uitvallen omdat ICT-systemen niet werken.’

Vanuit huis radiologische beelden en andere patiëntgegevens inzien en het spreekuur van de volgende dag voorbereiden. De software van het Amerikaanse bedrijf Citrix maakt zulke informatie van buitenaf toegankelijk. Superhandig, en veel bedrijven, de overheid en ook ziekenhuizen maken er gebruik van.

Dat maakt dat de cybercrimewaakhond van het ministerie van Justitie en Veiligheid, het Nationaal Cyber Security Centrum (NCSC), in de hoogste boom zit als het bedrijf op 17 december 2019 een lek in de beveiliging van twee producten bekendmaakt: de ADC en de Gateway. Een paar weken later hebben hackers de ‘exploitcode’ klaar waarmee ze via het gat kunnen inbreken. Op 10 januari informeert het NCSC organisaties die zich met de ‘vitale infrastructuur’ bezighouden – nutsbedrijven, banken – over de dreiging. Alleen, ziekenhuizen behoren niet tot deze processen die zo essentieel zijn ‘dat uitval of verstoring tot ernstige maatschappelijke ontwrichting leidt en een bedreiging vormt voor de nationale veiligheid’.

Is het misschien beter als ziekenhuizen wel als ‘vitaal’ worden gezien?

Als een journalist hem tijdens het vragenuurtje hiernaar vraagt, zegt premier Mark Rutte daar ‘niet van op de hoogte’ te zijn en verwijst hij naar zijn collega Grapperhaus van Justitie en Veiligheid. Bij Nieuwsuur zegt IT-expert Ralph Moonen over de vitale infrastructuur ‘dat het wel tijd wordt dat we die definitie een beetje gaan oprekken’. SP-Kamerlid Maarten Hijink sluit zich daarbij aan: ‘Een vitale infrastuctuur wil zeggen: werkt het ontwrichtend als zo’n structuur uitvalt? Ik denk dat dat voor grote delen van de zorg wel zo is. We kunnen ons niet veroorloven dat bijvoorbeeld grote ziekenhuizen en spoedeisendehulpafdelingen uitvallen omdat ICT-systemen niet werken.’ Het Kamerlid heeft de minister voor Medische Zorg gevraagd welke maatregelen hij gaat nemen opdat zorginstellingen ‘eerder, actiever en indringender worden bijgestaan bij het nemen van maatregelen om hun data te beschermen tegen hackers’.

Moet er niet een cyberveiligheidsinstantie voor de zorg komen?

Die bestaat al sinds 2018: cybersecuritycentrum in de zorg Z-CERT (Computer Emergency Response Team). En Z-CERT staat wel op het NCSC-lijstje van te waarschuwen instanties. Z-CERT gaf de waarschuwing voor het lek netjes aan haar leden door. Deze stichting is opgericht op initiatief van de Nederlandse Vereniging van Ziekenhuizen, de Nederlandse Federatie van Universitair Medische Centra en GGZ Nederland. Vooral ziekenhuizen en ggz-instellingen zijn nu lid. Vrijwillig, maar wat minister Bruins betreft sluit de hele zorgsector zich verplicht aan, zo liet hij maart vorig jaar weten op Kamervragen over het datalek bij het OLVG, waardoor onbevoegde studenten medische dossiers hebben ingezien. Daarbij zou het NCSC de bevoegdheid moeten krijgen om instellingen te dwingen hun software op orde te houden.

Is bekend hoeveel ziekenhuizen een lek in hun beveiliging hebben door Citrix?

Niet alle organisaties met Citrix hebben ook de software met het lek. Het Erasmus MC bijvoorbeeld heeft geen problemen gehad hoewel ze Citrix hebben. Dat umc maakt geen gebruik van de twee pakketten waar de kwetsbaarheid in zat. Thuiswerken kon daar dus nog gewoon. Maar dat was niet iedereen in de zorg gegund. Half januari meldt Z-CERT dat ruim honderd zorginstellingen de lekke software gebruiken. Echt mis gaat het op 14 januari bij Medisch Centrum Leeuwarden. Dat wordt digitaal van de buitenwereld afgesloten nadat een cyberaanval is vastgesteld. Later laat het ziekenhuis opgelucht weten dat de cyberaanval beperkt bleef tot ‘de deurmat’ en de hackers geen toegang hebben gehad tot vitale gegevens zoals patiënteninformatie. Ook de gemeente Zutphen en de provincie Gelderland zijn de klos. Bijna dertig organisaties melden bij de Autoriteit Persoonsgegevens (AP) dat ze een mogelijk datalek hebben. De AP geeft geen antwoord op de vraag hoeveel zorginstellingen daaronder zijn en benadrukt dat het gaat om meldingen ‘uit voorzorg. De melders zijn nog aan het onderzoeken of er daadwerkelijk persoonsgegevens zijn gelekt’.

Is het Friese ziekenhuis de enige instelling in de zorg die is gehackt?

Dat lijkt er wel op. Met het nachtmerriescenario van de Universiteit Maastricht die hackers in de kerstvakantie mogelijk tonnen losgeld betaalde nog vers in het geheugen, adviseert VWS op voorspraak van de AIVD aan het eind van die week op 17 januari: zet de Citrix-systemen uit. Massaal gaan de systemen dat weekend uit de lucht. Ook het Diakonessenhuis in Utrecht doet dat, vertelt woordvoerder Trudy van den Oosten. ‘We hadden steeds de updates van Citrix gevolgd, dus we wisten zeker dat het gat dicht was. Maar toen eind van de dag het ministerie van VWS met dit advies kwam, hebben we dat voor de zekerheid opgevolgd. Want als er toch iets mis zou gaan, is dat moeilijk uit te leggen.’ Met de dienstdoende artsen wordt overlegd welke maatregelen hierdoor nodig zijn. ‘Dat gold onder andere voor de radiologen die normaal vanuit huis werken. Zij moesten nu in huis komen. Maar het was ook lastig voor de specialisten die normaal op zondagavond vanuit huis hun spreekuur voorbereiden’, aldus Van den Oosten. In het Diakonessenhuis konden patiënten wel inloggen in mijnDiak, dat draait niet op Citrix.

‘Nederland was een specifiek target van aanvallen’

Was dat uitschakelen achteraf gezien echt nodig?

Het Financieele Dagblad (FD) concludeerde dit weekend dat in Nederland het NCSC strenger optrad dan elders. Volgens IT-expert Frank Groenewegen werd het advies om de Citrix-servers uit te zetten genomen doordat het bedrijf niet helder communiceerde, maar was die brede maatregel achteraf gezien ‘niet nodig geweest’ omdat de bug maar in één versie zat. Maar het NCSC baseerde zijn advies ook op informatie van de veiligheidsdienst AIVD, aldus de krant. ‘Nederland was een specifiek target van aanvallen’, zegt Steven Dondorp van beveiligingsbedrijf Northwave. Daarbij maakte de media-aandacht voor het lek vervolgens ook andere hackers wakker, schrijft het FD.

Komt de casus Citrix als een donderslag bij heldere hemel?

Nee, al langer spreken deskundigen hun zorgen uit over cyberveiligheid. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) concludeerde afgelopen september dat Nederland ‘onvoldoende’ is voorbereid op digitale ontwrichting. De WRR bracht twee eerdere crises in herinnering. Allebei betreffen die de zorg: ‘Als gevolg van de besmetting van computers van de Britse National Health Service door de vermeende gijzelsoftware WannaCry (2016) moesten 19 duizend patiëntafspraken worden geannuleerd. De NotPetya-aanval (2016) trof in Nederland de Rotterdamse haven, waardoor het containertransport via haven, snelweg en spoor deels kwam stil te liggen. In Oss werd bij deze aanval de vestiging van farmaceutisch bedrijf MSD getroffen, waardoor de medicijnproductie tot stilstand kwam en veel documentatie verloren ging.’

Gevraagd naar een terugblik op het Citrix-incident, laat het Medisch Centrum Leeuwarden weten er geen behoefte aan te hebben om hier met de pers op terug te kijken. ‘De zorg liep probleemloos door, er waren alleen een paar lichte rimpelingen in het uitwisselen van beeldmateriaal met collega-ziekenhuizen zoals het UMCG. Maar die zijn inmiddels opgelost’, laat een woordvoerder weten.

https://www.nctv.nl/onderwerpen/vitale-infrastructuur

https://zoek.officielebekendmakingen.nl/kst-26643-658.html

https://www.z-cert.nl/over-z-cert

https://www.wrr.nl/publicaties/rapporten/2019/09/09/voorbereiden-op-digitale-ontwrichting

https://zoek.officielebekendmakingen.nl/ah-tk-20182019-1854.html

https://www.npostart.nl/nieuwsuur/15-01-2020/VPWON_1310678


Download dit artikel (PDF)

Lees ook

Achter het nieuws veiligheid
  • Eva Nyst

    Eva Nyst werd geboren in Australië en groeide op in Middelburg. Ze studeerde filosofie en theologie aan de Universiteit van Amsterdam en werkte twee jaar als journalist bij De Volkskrant. Van 2001 tot 2022 was ze in dienst bij Medisch Contact. Sindsdien is zij werkzaam bij de KNMG als beleidsadviseur.  

Op dit artikel reageren inloggen
Reacties
  • frans

    radioloog, dokkum

    Ach, de ICT is een ivoren toren in het ziekenhuis. Al een decennium zijn alle radiologen 24/7 afhankelijk van software om hun werk te kunnen doen. Zoals bij elke programma ook hier wel eens een issue, of erger een vastloper waardoor je niet verder ku...nt zonder hulp. Maar wie je ook spreekt en waar je ook komt. ICT helpdesk is er alleen tijdens kantoortijden. Dus als je radiologie systemen voor jou persoonlijk of afdelingsbreed plat liggen aan het begin van het weekend jammer.
    Directies overal hetzelfde, software voor radiologen is het speeltje van de afdeling en niet "vitaal". Dat de verslagen niet leesbaar zijn voor de SEH boeit niet.
    En waarom is mijn werkstation voor verslagwerk gewoon verbonden met internet en kan ik ook surfen? Houdt het werk en Dr Google gescheiden!

    Dat is de basishouding van de ICT in de ziekenhuizen, die mentaliteit moet eerst om. Zijn nu erg grijze muizen bij de ICT.

  • jan keppel hesselink

    pijnarts, Bosch en Duin

    Misschien even een domme vraag: wat is nu het ergste dat kan gebeuren bij een datalek? Dat data naar buiten lekken. Welke data? Medische data. Wie is er eigenlijk geïnteresseerd in de pa uitslag van het prostaat biopt van de heer Jansen? En so what a...ls dat uitlekt? Ik verwijs in deze naar de wet van Pareto. We moeten niet alles 100% willen regelen. Die laatste 20% goed regelen kost immers 80% van het hele budget.

    Sowieso zijn we in onze luxe maatschappij veel te verwend met al die privacy. Mijn inziens gaat het nergens over en is het slechts een politiek issue. Laten we ons focussen op echt belangrijke zaken en budgetten gebruiken voor waar de patient echt beter van wordt. In plaats van dure en nog duurdere systemen aan te schaffen die 100% zekerheid garanderen tegen 'datalekken'.

    Volgens mij zal bijna iedereen vinden dat je geld beter kan uitgeven om arme oude vereenzaamde mensen fatsoenlijk eten te geven en op tijd onder de douche te doen, dan dat ene datalek van meneer Jansen's prostaat biopsie te stoppen.

    Wij zijn verwende kinderen geworden, die alleen maar miopisch kunnen focussen op luxe goederen, zoals totale privacy. Mijn medisch dossier mag op straat gevonden worden, niemand zal er een blik in werpen. Boeien? OhNo.


 

Cookies op Medisch Contact

Medisch Contact vraagt u om cookies te accepteren voor optimale werking van de site, kwaliteitsverbetering door geanonimiseerde analyse van het gebruik van de site en het tonen van relevante advertenties, video’s en andere multimediale inhoud. Meer informatie vindt u in onze privacy- en cookieverklaring.