Cyberveiligheid ziekenhuizen - Mondelinge vraag aan minister Vandenbroucke

Commissie Gezondheid 27 april 2022:

15.01 Frieda Gijbels (N-VA):

Mijnheer de voorzitter, mijnheer de minister, digitale toepassingen zijn in de medische wereld niet meer weg te denken. Zorgverstrekkers zijn met elkaar verbonden via digitale communicatie. Veel apparatuur draait op computergestuurde technologie. Dat wil zeggen dat cyberveiligheid van steeds groter belang wordt, ook binnen ziekenhuizen. Daarnaast mogen de gevoelige patiëntengegevens niet verspreid worden.

Tijdens de coronacrisis is het belang van IT in de medische wereld nog duidelijker geworden. Denk maar aan de telegeneeskunde en alle nieuwe ontwikkelingen welke die met zich heeft gebracht. Veiligheidsexperts hebben tijdens de covidcrisis hun diensten aangeboden om de ziekenhuizen op het vlak van cyberveiligheid te versterken, wat ook door het CCB werd ondersteund.

In 2020 gaf dat CCB aan dat ziekenhuizen zich beter zouden moeten wapenen tegen ransomware, aangezien er in het buitenland verschillende aanvallen op ziekenhuizen waren gebeurd. In Nederland gaf minister Kaag nog onlangs aan dat ziekenhuizen een potentieel doelwit zouden kunnen zijn van cyberaanvallen door Rusland sinds het conflict tussen Rusland en Oekraïne.

Is er een risicoanalyse gebeurd met betrekking tot cyberaanvallen op ziekenhuizen? Wat is de uitkomst ervan?

Welke extra voorzorgsmaatregelen worden getroffen sinds de oorlog in Oekraïne?

Zijn er aanwijzingen dat er cyberaanvallen zijn geweest of pogingen daartoe op ziekenhuizen in ons land door Rusland? Indien ja, kunt u daar toelichting over geven?

Welke verbeterprojecten zijn er opgestart sinds de ondersteuning door de externe experts in de covidcrisis?

Kunt u aangeven hoeveel cyberaanvallen op ziekenhuizen er de afgelopen jaren zijn geweest?

Oefenen ziekenhuizen regelmatig op potentiële cyberaanvallen? Zo ja, op welke manier?

15.02 Minister Frank Vandenbroucke:

Mevrouw Gijbels, u vroeg mij of er een risicoanalyse gebeurd is. In 2018 werd bij de voorbereiding van de NIS-reglementering een bevraging uitgevoerd bij een aantal ziekenhuizen over hun kwetsbaarheid voor cyberincidenten. Op dat moment werden er geen andere kwetsbaarheden vastgesteld dan bij instellingen en bedrijven uit andere sectoren. Dat zeg ik niet om de bezorgdheid te minimaliseren, maar dat was toen de diagnose.

Tegelijk heeft de werkgroep informatieveiligheid van ziekenhuizen, geleid door het eHealth-platform, een set van minimale normen voor informatieveiligheid opgesteld. Om de ziekenhuizen bij te staan in het halen van die normen heeft de werkgroep daar ook implementatierichtlijnen voor uitgeschreven. Die normen en richtlijnen zijn gebaseerd op gekende, wijdverspreide internationale standaarden. Het gaat om de ISO 27001- en 27002-normen. Bij het eHealth-platform hebben we geen aanwijzingen dat er cyberaanvallen geweest zouden zijn op ziekenhuizen vanuit Rusland.

Wat de verbeterprojecten betreft, bij de aanvang van de covidcrisis hebben de veiligheidsdienst van het eHealth-platform en het CCB een samenwerking opgestart om de ziekenhuizen te helpen bij het beveiligen van hun systemen. Zo krijgen ze ondersteuning van het CCB door vroegtijdige meldingen van bedreigingen en helpt de veiligheidsdienst van het eHealth-platform bij het verspreiden van de informatie daarover en het inschrijven van de ziekenhuizen op deze diensten. Bijkomend is ook de organisatie wehelpourhospitals.be ondersteund.

Na de meldingen van een aanval op een medisch labo eind 2020 en de aanvallen op twee ziekenhuizen begin 2021 is er verder samengewerkt om informatie over deze aanvallen, indien beschikbaar, ook ter beschikking te stellen van andere ziekenhuizen. Verder worden ziekenhuizen geholpen door het ter beschikking stellen van materiaal dat de veiligheidsconsulenten kan helpen hun opdracht in de ziekenhuizen efficiënter te verrichten. In het kader van het budget financiële middelen is er een domein cybersecurity gedefinieerd, is er geld gereserveerd via het Belgisch herstartplan - 20 miljoen euro in 2022 - en is er al een advies van de Federale raad voor Ziekenhuisvoorzieningen over projecten die reële verbeteringen inhouden voor het vermijden van aanvallen en voor de preparedness bij aanvallen.

U vraagt naar het aantal aanvallen, maar een cijfer geven van het aantal cyberaanvallen is moeilijk, omdat ze in grote mate door de beveiligingsystemen worden verholpen of omdat ze onopgemerkt plaatsvinden en dus niet gerapporteerd worden. Het eHealth-platform kreeg meldingen voor de volgende incidenten, die door hun impact werden opgemerkt. In 2019 werd het eHealth-platform geïnformeerd over een cyberincident. In 2021 werd het eHealth-platform geïnformeerd over 4 incidenten. Er werd nog geen melding gemaakt van incidenten in ziekenhuizen in 2022.

Op vraag van het RIZIV wordt een aantal hospitalen betrokken in een programma, waarbij de externe infrastructuur van het ziekenhuis op kwetsbaarheden wordt gecontroleerd. Op die manier wordt nagegaan in welke mate een ziekenhuis het slachtoffer van een cyberaanval kan worden en kunnen problemen in een vroeg stadium worden verholpen.

15.03 Frieda Gijbels (N-VA):

Mijnheer de minister, ik dank u voor het antwoord. U geeft aan dat u dit belangrijk vindt, maar ik kan mij toch niet van de indruk ontdoen dat er weinig wordt ondernomen. Een echte risicoanalyse is er niet gebeurd, hoewel dit volgens mij wel echt nodig is. U zegt dat er minimumnormen worden aangegeven, maar we weten niet of die behaald zijn en door welke ziekenhuizen. Ik denk dat dit van meer nabij moet worden opgevolgd. Ik denk dat daar inderdaad middelen tegenover moeten staan. Ziekenhuizen geven zelf aan dat het eHealth-platform en de digitale dossiers veel geld kosten. Ook de cyberveiligheid is natuurlijk heel belangrijk. Ik denk dat zij financieel moeten worden ondersteund. Wij weten immers allemaal dat de ziekenhuisfinanciering sowieso al heel fragiel is.

U zegt dat de cyberaanvallen vaak niet worden opgemerkt, waardoor er moeilijk cijfers kunnen worden gegeven. Ik vraag mij af of wij toch niet attenter moeten zijn. Ik denk dat wij de aanvallen die door de software van de ziekenhuizen wordt tegengehouden beter moeten registreren. In een aantal hospitalen wordt door het RIZIV nu een project uitgerold, begrijp ik, maar ik denk dat we daar meer moeten doen en dat meer ziekenhuizen of zelfs alle ziekenhuizen moeten worden betrokken. Op die manier kunnen wij daarvan een goed beeld krijgen en behouden. We mogen immers niet vergeten dat het hier gaat om zeer gevoelige gegevens. Wij willen niet dat die in verkeerde handen terechtkomen en dat apparatuur op een ongewenst moment uitvalt.