De cyberaanvallen op ziekenhuizen - Mondelinge vraag aan minister Vandenbroucke

Commissie Gezondheid 14 maart 2023: 

32.01 Frieda Gijbels (N-VA):

Mijnheer de minister, naar verluidt zou het aantal cyberaanvallen op ziekenhuizen tegenwoordig sterk toenemen, met ongeveer een aanval per dag. Vooral in de weekends zouden ziekenhuizen kwetsbaar zijn, omdat er dan minder personeel aanwezig is.

Hoeveel cyberaanvallen zijn er de laatste maanden geweest tegen ziekenhuizen? Is er inderdaad een stijgende tendens waar te nemen? U hebt eerder al aangegeven dat er budget is vrijgemaakt voor cyberveiligheid, maar in hoeverre is dat budget dekkend? Op hoeveel wordt het geheel aan cyberveiligheidsmaatregelen geraamd voor de ziekenhuissector?

Wordt in kaart gebracht in hoeverre ziekenhuizen zich wapenen tegen cyberaanvallen en op welke manier? Wat is daar de stand van zaken? Hebt u zicht op wat de bedoeling van de cyberaanvallen is? Kunt u dat toelichten? Gaat het om georganiseerde cyberaanvallen of eerder om individuen die cyberaanvallen plegen op ziekenhuizen?

32.02 Minister Frank Vandenbroucke:

Mevrouw Gijbels, in het weekend van 11 en 12 maart is het Universitair Medisch Centrum Sint-Pieter in Brussel aangevallen. Het ziekenhuis was gelukkig diezelfde zondag opnieuw volledig operationeel, waarbij het urgentieplan bij cyberaanvallen en het CCB een waardevolle bijdrage hebben geleverd om de aanval te beheersen en de activiteiten snel weer op te starten.

Een urgentieplan en awarenesstraining bij de medewerkers maken deel uit van het plan van aanpak dat we met de Federale Raad voor Ziekenhuisvoorzieningen afspreken over cyberveiligheid. Mijn administratie heeft dit jaar geen melding gekregen van andere succesvolle cyberaanvallen op ziekenhuizen, maar dit is toch wel een heel grote bezorgdheid.

Voor cyberveiligheid in de ziekenhuizen is er in 2022 een one-shotbudget van 20 miljoen euro vrijgemaakt. Vanaf 2023 is er in een recurrent budget van 15 miljoen euro voorzien. De besprekingen met de Federale Raad voor Ziekenhuisvoorzieningen met betrekking tot de volgende schijf lopen.

Elk ziekenhuis moet de nodige veiligheidsmaatregelen nemen, die aangepast zijn aan de huidige situatie, gebaseerd op een risicoanalyse. Er wordt ook sterk ingezet op samenwerking en kennisdeling.

In 2022 hebben de ziekenhuizen deelgenomen aan een evaluatie van hun maturiteitsniveau op het gebied van informatiebeveiliging. Die oefening resulteerde in een stappenplan voor elke instelling, met een aantal acties. De maturiteitsmeting zal periodiek worden herhaald. Dat alles past ook in de voorbereiding voor de voorwaarden van de NIS 2-richtlijn, die vanaf 18 oktober 2024 van kracht moet zijn. NIS staat voor security of network and information systems.

Ik wil beklemtonen dat wij zowel moeten investeren als de maturiteit in het oog moeten houden.

Wat uw laatste vraag betreft, de bedoeling van cyberaanvallen bij ziekenhuizen gaat meer over ransomware of poging tot diefstal van gezondheidsgegevens. Voor meer informatie en eventuele statistieken kunt u terecht bij het CCB, het Centrum voor Cybersecurity België.

32.03 Frieda Gijbels (N-VA):

U geeft zelf aan dat dit een bron van bezorgdheid is. Een ziekenhuis is om verschillende redenen erg kwetsbaar. Er zijn gevoelige patiëntengegevens opgeslagen, maar ook de sluiting van een spoeddienst, ook al zou die maar van korte duur zijn, kan levensbedreigend zijn. Het is belangrijk om dat zo veel mogelijk te voorkomen. Tegenwoordig zijn steeds meer toestellen met een netwerk verbonden. Iemand met slechte bedoelingen zou toestellen van buitenaf kunnen beïnvloeden, wat zware gevolgen zou hebben.

Wat kan een overheid daaraan doen? Het is zeer belangrijk om ziekenhuizen daarin te ondersteunen en te sensibiliseren. Verder moet de ingebouwde cyberveiligheid regelmatig worden getest, bijvoorbeeld door daarbij ethische hackers in te schakelen. Zij kunnen testen of een ziekenhuis voldoende beveiligd is.