Cybersecurity ziekenhuizen - Schriftelijke vraag aan minister Vandenbroucke

15 juli 2021: 

Mijnheer de minister,

Ik stelde u op 8 juni een vraag over de impact van de cyberaanval van 4 mei op de ziekenhuizen en de gezondheidszorg. U gaf aan dat eHealth inderdaad hinder heeft ondervonden, waardoor er een vertraging op de toegang tot gegevens ontstond. Verder gaf u aan dat het CCB tijdens de Covid19 crisis extra hulp heeft aangeboden aan de ziekenhuizen met betrekking tot cyberveiligheid. In dat kader heb ik nog een aantal bijkomende vragen voor u:

zijn er medische gegevens gelekt bij de cyberaanval van 4 mei?

welk aandeel van de Europese middelen die in het kader van de relance voor de digitalisatie van de gezondheidszorg werden aangevraagd, zullen worden voorbehouden voor cybersecurity? Hoeveel bedraagt dit in absolute getallen en waarvoor zullen deze middelen precies worden ingezet?

zijn de gevoelige punten van de ziekenhuizen en gedigitaliseerde medische gegevens in kaart gebracht en zo ja, zijn er gepaste maatregelen genomen om deze gevoelige punten te beschermen? Kan u dit toelichten?

wordt de mate van veiligheid van de netwerkverbindingen van ziekenhuizen en zorgverstrekkers regelmatig doorgelicht? Zo ja, wie/welke instantie doet die doorlichtingen, op welke basis en bestaan hierover rapporten? Zo neen, wordt dit gepland?

in hoeverre vormt ziekenhuisnetwerkvorming een extra kwetsbaarheid met betrekking tot cyberveiligheid?

hebben ziekenhuizen beroep gedaan op de diensten van het CERT (CCB) die extra zijn aangeboden in de Covid19 crisis? Zo ja, wat waren de hulpvragen? Hoeveel meldingen waren er van ransomware, hoeveel van ongewone bewegingen op netwerken of accounts, hoeveel van gelekte medische gegevens? Hoe verhoudt zich dat tot het aantal hulpvragen voor de Covidcrisis?

Met dank voor uw antwoorden,

Frieda Gijbels

8 oktober 2021: 

Het Geachte Lid vindt hieronder het antwoord op zijn vragen.

- Zijn er medische gegevens gelekt bij de cyberaanval van 4 mei?
De aanval op 4 mei was een DDOS aanval met de bedoeling de dienstverlening te verstoren. Er werd geen melding gemaakt van een gegevenslek dat tijdens die aanval zou hebben plaatsgevonden.
- welk aandeel van de Europese middelen die in het kader van de relance voor de digitalisatie van de gezondheidszorg werden aangevraagd, zullen worden voorbehouden voor cybersecurity? Hoeveel bedraagt dit in absolute getallen en waarvoor zullen deze middelen precies worden ingezet?
  In het kader van het Europees fonds voor veerkracht en herstel is 78,8 M€ voorzien voor cybersecurity waarvan 52,3 M€ voor een cyberveilige en veerkrachtige digitale samenleving (2021-2026) met projecten voor de ondernemingen inclusief KMO's en zelfstandigen, de burgers en de overheid. Vanuit de gezondheidszorg zal zeker worden nagegaan of er projecten kunnen worden ingediend voor de cyberveiligheid van hospitalen, groepspraktijken en zelfstandig zorgverstrekkers.
Voor wat betreft eHealth specifiek is er 40 M€ voorzien voor projecten betreffende digitalisering van de gezondheidszorg, waarbij beveiliging essentieel is.
- Zijn de gevoelige punten van de ziekenhuizen en gedigitaliseerde medische gegevens in kaart gebracht en zo ja, zijn er gepaste maatregelen genomen om deze gevoelige punten te beschermen? Kan u dit toelichten?
Het eHealth-platform heeft in het verleden een coördinerende rol op zich genomen om de behoeften m.b.t. business continuity voor de verschillende actoren binnen de gezondheidszorg in kaart te brengen en heeft deze voor de meest kritische processen gepubliceerd op zijn website. 
Voor de bescherming van de confidentialiteit van de medische gegevens van patiënten worden door eHealth een aantal basisdiensten aangeboden waaronder een systeem voor end-to-end vercijfering en een beveiligde mailbox zodat gegevens op een beveiligde manier kunnen uitgewisseld worden.
Het eHealth-platform heeft bijkomend het initiatief genomen om een lijst van minimale veiligheidsmaatregelen op te stellen en te publiceren op zijn website. Dit moet de ziekenhuizen bijstaan in het opzetten van hun informatieveiligheidsbeleid. 
Sinds begin dit jaar zijn er door het eHealth-Platform, FOD VVVL voor de ziekenhuizen en Sciensano voor de labo’s verschillende initiatieven genomen met de sector om pijnpunten te identificeren, incident meldingen te verzekeren, awareness te creëren, informatie en kennis te delen en projecten te definiëren in goede samenwerking met en op vraag van de FRZV om zo verbetertrajecten betreffende cyberveiligheid te definiëren.
Ook de onderhandelingen betreffende de nieuwe NIS-richtlijn zijn lopende. Wij proberen hier voor de sector haalbare maatregelen te bekomen die essentiële verbeteringen meebrengen aan de Cybersecurity van de ziekenhuizen. (NIS = Network and Information Security)
- Wordt de mate van veiligheid van de netwerkverbindingen van ziekenhuizen en zorgverstrekkers regelmatig doorgelicht? Zo ja, wie/welke instantie doet die doorlichtingen, op welke basis en bestaan hierover rapporten? Zo neen, wordt dit gepland?
Op vraag van de FOD VVVL loopt bij het RIZIV een project om de bescherming van de diensten, die ziekenhuizen via het internet aanbieden, te verifiëren. Dit houdt in dat een “ethical hacker” met toestemming van het ziekenhuis de toegangen via het internet controleert op kwetsbaarheden en nagaat in welke mate deze kwetsbaarheden kunnen worden gebruikt voor een aanval. Zes ziekenhuizen werken mee aan dit project. Vanwege het vertrouwelijk karakter van de aldus bekomen informatie worden de rapporten met de resultaten enkel met het ziekenhuis gedeeld en zal een samenvattend rapport opgesteld worden na beëindiging van dit project.
- In hoeverre vormt ziekenhuisnetwerkvorming een extra kwetsbaarheid met betrekking tot cyberveiligheid?
Door de netwerkvorming en de intensivering van de elektronische gegevensuitwisseling verhoogt vanzelfsprekend de kans op verspreiding van virussen tussen de verschillende actoren binnen de gezondheidszorg. 
Hoewel deze vorm van cybercriminaliteit zich tot op heden weinig heeft voorgedaan tussen de verschillende actoren, blijft het van groot belang dat hierover in geval van een incident in een instelling zo snel mogelijk updates gestuurd worden aan alle andere actoren. Hiertoe werden door het eHealth-platform de nodige voorzieningen getroffen om desgevallend alle nuttige informatie zo snel mogelijk te verspreiden.
- Hebben ziekenhuizen beroep gedaan op de diensten van het CERT (CCB) die extra zijn aangeboden in de Covid19 crisis? Zo ja, wat waren de hulpvragen? Hoeveel meldingen waren er van ransomware, hoeveel van ongewone bewegingen op netwerken of accounts, hoeveel van gelekte medische gegevens? Hoe verhoudt zich dat tot het aantal hulpvragen voor de Covidcrisis?
Het CERT en de informatieveiligheidsdienst van het eHealth Platform hebben vanaf het begin van de COVID19-crisis samengewerkt om de ziekenhuizen te ondersteunen in de bescherming van hun IT systemen. Meerdere ziekenhuizen maken van deze diensten gebruik. 
Deze diensten beogen vooral preventie door het opzetten van een “early warning” systeem waarbij ziekenhuizen gewaarschuwd worden wanneer indicaties gevonden worden dat hun apparatuur zou geviseerd worden door cybercriminaliteit of wanneer accounts van medewerkers mogelijk gecompromitteerd werden. Later werden er ook diensten toegevoegd waardoor ziekenhuizen algemene informatie ontvangen met betrekking tot bedreigingen. De hulpvragen betreffen vooral informatie over hoe en waar de informatie te gebruiken, en in geval van een melding waarbij de infrastructuur van het ziekenhuis of accounts van medewerkers betrokken zouden kunnen zijn, werden in mindere mate bijkomende vragen gesteld over mogelijk remediëring.
Bijkomend hebben het CERT en het eHealth-platform samengewerkt om proactief ziekenhuizen te waarschuwen los van het feit of ze al dan niet ingeschreven hebben voor de dienst. Zo werd er bijvoorbeeld een lijst bijgehouden van ziekenhuizen die mogelijks het slachtoffer waren van de “hafnium” hack en werd er ondersteuning gegeven aan een ziekenhuis dat vaststelde dat tijdens de remediëring een aanval ingezet was.
Tot op heden werd door de informatieveiligheidsdienst van het eHealth-platform één vraag geregistreerd om CSIRT-hulp (Computer Security Incident Response Teams) van CERT in te roepen bij een ransomware incident. In een ander voorval van ransomware heeft het ziekenhuis verkozen om de CSIRT-diensten van zijn verzekeringsmaatschappij te gebruiken. Ongewone bewegingen op netwerken en accounts werden meestal door CERT opgemerkt en rechtstreeks besproken met de ziekenhuizen. Er werd aan de informatieveiligheidsdienst van het eHealth-platform geen melding gemaakt van een lek van medische gegevens.
De samenwerking van het CERT met de informatieveiligheidsdienst van het eHealth-platform werd opgezet met het oog op de bescherming van de ziekenhuizen tijdens de COVID19-crisis. Er kan daarom geen vergelijking gemaakt worden met de situatie van voor de COVID19-crisis.