Cyberaanvallen op ziekenhuizen - mondelinge vraag aan minister Vandenbroucke

Frieda Gijbels (N-VA):

Mijnheer de voorzitter, mijnheer de minister, er blijkt een toenemende tendens te zijn om medische gegevens te hacken. Wij zien dat niet alleen in ons land, maar ook in de Verenigde Staten, Duitsland, Spanje en Nederland. Er werden reeds heel veel ziekenhuizen gehackt. Het gebeurde ook reeds in ons land, en dat was de aanleiding voor deze vraag. Twee weken geleden werd een ziekenhuis in Doornik het slachtoffer van hacking.

Dat ziekenhuis moest toen gedeeltelijk gesloten worden omdat de servers niet meer toegankelijk waren, interne communicatie niet meer mogelijk was, dossiers niet meer konden worden geraadpleegd, operaties moesten worden uitgesteld. Er zou tot dusver geen losgeld geëist zijn en er zouden geen aanwijzingen zijn dat er data gestolen werden. Tevens zou hulp zijn ingeschakeld om weer toegang tot de gegevens te kunnen verkrijgen.

Mijnheer de minister, welke technische en organisatorische maatregelen werden genomen om hacking en de impact ervan te voorkomen? Was dit voldoende? Was in voldoende budget voorzien voor dergelijke beschermingsmaatregelen? Wat leerde men uit eerdere hackings in het buitenland? Welke lessen zullen nu worden getrokken voor de toekomst? Wat was de totale impact op de zorgverlening van het ziekenhuis in Doornik? Hoe plant men de uitgestelde zorg in te halen? Had een en ander niet voorkomen kunnen worden door middel van back-ups? Werd ondertussen losgeld gevraagd? Wat is de aard van het gegevenslek? Werden persoonsgegevens en gezondheidsgegevens zichtbaar voor onbevoegden? Is het mogelijk dat gegevens werden gekopieerd? Welke rol of aandacht ziet u voor IT-security in het kader van eHealth? Zullen Europese middelen die worden toegekend in het kader van de relance, ook worden gebruikt voor digitalisering van ziekenhuizen en eHealth en voor de bescherming van de gegevens?

Minister Frank Vandenbroucke:

Mijnheer de voorzitter, het ziekenhuis CHwapi (Doornik) is het slachtoffer geworden van een aanval waarbij gebruik werd gemaakt van een gebruikersnaam en paswoord die de hackers konden bemachtigen. Doordat de hacker zich heeft kunnen voordoen als een geautoriseerde gebruiker, hebben de technische veiligheidsmaatregelen de activiteit van de hacker aanzien als een reguliere activiteit, waardoor de toegang tot de systemen niet verhinderd werd.

Alhoewel het ziekenhuis een aantal maatregelen had genomen om de veiligheid van de systemen te verzorgen, leert dit incident ons dat wij zeker bijkomende aandacht moeten blijven hebben voor alle kwetsbaarheden. Wij zullen echter nooit een punt bereiken waarmee we 100 % veiligheid kunnen garanderen. Wel zal in de strijd tegen de gevolgen van ransomware de aandacht de komende jaren zeker blijven uitgaan naar het bewustzijn van de gebruikers ten aanzien van de risico's van phishing, het belang van een goede toegangscontrole die een betere bescherming biedt dan alleen de gebruikersnaam en het paswoord en het beschermen van de back-ups, zodat er snel kan heropgestart worden na een incident.

Er zijn geen relevante benchmarks beschikbaar die daarover uitsluitsel geven. In het geval van dit ziekenhuis wordt 19 % van het IT-budget, zonder salariskosten, direct of indirect aan informatieveiligheid gespendeerd. Hoewel dat een substantieel deel is, zal er altijd een risico bestaan dat een instelling wordt getroffen door een informatieveiligheidsincident. De hackings tonen aan dat elke instelling, ook een ziekenhuis, kwetsbaar is voor cyberincidenten. Om die reden is een samenwerking opgezet met het CCB en worden waarschuwingen voor cyberbedreigingen verdeeld onder de ziekenhuizen. De ziekenhuizen hebben ook de mogelijkheid om zich via het CCB in te schrijven op een dienst die voor de ziekenhuizen specifieke bedreigingen zal opzoeken en ter beschikking zal stellen.

De hacking in Nederland is bij ons niet herhaalbaar. De medewerkers van de contactcenters hebben geen toegang tot de gegevensbank van Sciensano. Bij de gegevensbank van het contactcenter zelf krijgen de medewerkers alleen de gegevens te zien van de persoon die ze moeten bellen: telefoonnummer, naam, voornaam, geslacht. Ze hebben geen toegang tot de volledige databank van het contactcenter. De centrale gegevensbank bij Sciensano is strikt beveiligd door maatregelen by-design. Wat is de totale impact op het ziekenhuis? De aanval had vooral een impact op de administratieve systemen. Toch had ook de zorgverstrekking te lijden onder de aanval en kon slechts in gedegradeerde modus worden gewerkt. Daardoor dienden bepaalde activiteiten zoals operaties, consultaties en medische onderzoeken te worden uitgesteld.

Het operatiekwartier is terug opgestart vanaf 20 januari. Er wordt ingeschat dat de zorgverlening na vijf weken weer op volle capaciteit zal kunnen gebeuren en de achterstand door de uitgestelde zorg weer kan worden ingehaald. Het ziekenhuis had een bescherming waarbij back-ups op twee verschillende systemen waren gemaakt, voorzien van bescherming tegen encryptie. Toch heeft deze technologie het ziekenhuis niet tegen de aanval kunnen beschermen. Voor de toekomst wordt dan ook uitgekeken naar meer offlinesystemen die van nature minder kwetsbaar zijn voor dit soort aanvallen.

Werd er losgeld gevraagd? Neen, tot nu toe is het ziekenhuis niet echt expliciet om losgeld gevraagd. Er is echter op grote schaal een bericht verspreid in besmette systemen, waarin wordt uitgenodigd om contact op te nemen via een darknetberichtensysteem.

Tot dusver zijn de analyses van mogelijke gegevenslekken nog aan de gang. Alle tot dusver verrichte analyses wijzen erop dat technische gegevens zijn gelekt: de lijst van de beheerdersaccounts, de inventaris van de IT-infrastructuur. Vooralsnog zijn er geen aanwijzingen dat inhoudelijke gegevens, leesbaar buiten de systemen en bruikbaar voor externe verspreiding, zijn geëxfiltreerd. Het EPD zelf is niet geïmpacteerd omdat zich dat op een andere omgeving bevindt. Het is bij dit soort incidenten niet uitgesloten dat gegevens worden gekopieerd. Het ziekenhuis onderzoekt daarom verder de gegevensstromen die hebben plaatsgevonden.

Na de recente incidenten heeft de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu het initiatief genomen om na te gaan in welke mate een centraal aanbod van veiligheidsdiensten kan gebeuren. Zo zou het materiaal voor bewustmaking van de medewerkers voor phishing de ziekenhuizen een direct voordeel kunnen bieden. In het kader van het Europese relanceplan is een budget gevraagd voor cybersecurity.

We zullen de betrokken kabinetten contacteren om te onderzoeken of dit ook ingezet kan worden voor de ziekenhuizen. De Europese Commissie zal wel nog een selectie maken van de projecten die we zullen indienen. Dit is wel een ingediend project.

Frieda Gijbels (N-VA):

Wij zijn in deze periode inderdaad erg kwetsbaar voor ransomware. We zitten in een coronacrisis, maar de zorg kan niet verder worden uitgesteld. Er zijn mensen zwaar ziek. Dat maakt het natuurlijk heel aanlokkelijk om de systemen aan te vallen en in ruil bepaalde zaken te kopiëren of losgeld te vragen. Dit verdient alle aandacht. Een centraal aanbod van beschermende software is sowieso heel belangrijk, maar ook een goede monitoring en regelmatige controle van alle systemen zijn uitzettend belangrijk, niet alleen omdat het gevoelige gegevens zijn, maar ook omdat het effectief een impact kan hebben op de werking van een ziekenhuis.

Operaties en consultaties kunnen worden uitgesteld. Meer en meer apparatuur werkt ook via een netwerk. Ook dat is een heel gevoelig gegeven. EHealth is nog een werf die verder aangepakt kan en moet worden. U zal het budget voor de relance wel mee in de gaten houden. Twee derde van de Belgische ziekenhuizen zou zelfs te maken hebben gehad met een cyberaanval tijdens deze coronacrisis. Hopelijk wordt dit heel goed opgevolgd en volgt een bestraffing zodra een verantwoordelijke kan worden aangeduid.

Het incident is gesloten.