Het Antwerpse ziekenhuis AZ Monica is het slachtoffer geworden van een cyberaanval. Dinsdag werden al zo’n zeventigtal operaties uitgesteld en ook vandaag is het ziekenhuis slechts deels operationeel. Een nieuw onderzoek toont aan dat maar één op de vier ziekenhuizen voldoende beveiligd is tegen cyberdreigingen.
Het Antwerpse ziekenhuis AZ Monica werd dinsdagochtend het slachtoffer van een cyberaanval. Uit voorzorg werden de servers van de campus in Deurne en die in Antwerpen uitgeschakeld. Het is niet duidelijk of er patiëntgegevens zijn gelekt. Zeven patiënten werden preventief overgebracht naar een ander ziekenhuis.
‘De huidige inschatting is dat ongeveer dertig procent van de geplande zorgverlening woensdag veilig kan plaatsvinden’, zegt een woordvoerder. ‘Voor onze campus in Antwerpen betekent dat concreet dat de consultaties en het revalidatie- en pijncentrum operationeel zullen zijn.’
Ook op de campus in Deurne zullen consultaties, het dagziekenhuis en het oncologisch dagziekenhuis operationeel zijn. Patiënten met een afspraak op woensdag worden normaal rechtstreeks gecontacteerd door een medewerker over het verdere verloop van hun afspraak.
De website van AZ Monica is nog steeds niet toegankelijk. Er wordt gewerkt aan een noodwebsite. Volgens het parket van Antwerpen is er geen losgeld gevraagd; er is dus, voorlopig, geen sprake van afpersing. Volgens de FOD Volksgezondheid worden cyberaanvallen in de huidige geopolitieke context steeds vaker ingezet als wapen. De zorgsector vormt dan een belangrijk potentieel doelwit.
Ziekenhuizen onvoldoende beschermd
Dat de gevolgen van aanvallen op ziekenhuizen groot kunnen zijn, bewijst de problematiek bij AZ Monica. Maar een zwakke cyberbeveiliging is een bekend probleem in de sector. De gespecialiseerde onderzoeksorganisatie SHIELD vzw onderzocht, in samenwerking met de FOD Volksgezondheid, in meer dan vijftig Belgische ziekenhuizen de maturiteit op het vlak van cyberveiligheid. Amper 23,8 procent van de onderzochte instellingen behaalt een voldoende.
Vooral bij het identificeren van gebruikers van IT-systemen schieten veel ziekenhuizen nog tekort. Slechts vijftien procent van de ziekenhuizen voldoet aan de normen op dat vlak. Een tweede hiaat is het documenteren en in stand houden van de verschillende beveiligingspraktijken die al bestaan. Door een te weinig gestructureerde aanpak van het IT-personeel ontstaan er beveiligingsproblemen.
Uit het rapport blijkt dat de situatie vooral ernstig is bij kleinere ziekenhuizen met beperkte middelen en bij psychiatrische instellingen. In Vlaanderen scoren ziekenhuizen over het algemeen beter. Ook universitaire ziekenhuizen behoren tot de beste leerlingen van de klas. De onderzoekers stellen dat binnen de Belgische ziekenhuissector een cybersecuritylandschap met twee snelheden dreigt.
SHIELD ondersteunt ziekenhuizen bij het organiseren van hun cyberbeveiliging aan de hand van de SHIELD Library. Dat is een bibliotheek met een gestandaardiseerde reeks beleidsregels, processen, procedures en ondersteunende documenten waarmee IT-personeel de fundamenten van beveiliging kan opzetten.
De informatie uit de SHIELD Library is afgestemd op erkende beveiligingskaders zoals ISO/IEC 27001, de internationale standaard voor informatiebeveiligingsbeheer, en CyberFundamentals, een Belgisch referentiekader voor basiscyberbeveiliging van het Centrum voor Cybersecurity België.
Op dit moment is het voor ziekenhuizen nog niet verplicht om met de richtlijnen van de SHIELD Library te werken.
Begeleiding en financiering
De onderzoekers bevelen de federale overheid aan om een sectorbreed documentatie- en governanceprogramma op te zetten: een begeleidingskader met duidelijke richtlijnen en vastgelegde structuren dat het IT-personeel moet ondersteunen. Er moet ook meer kennisuitwisseling komen over cyberbeveiliging tussen de betere en de minder goed presterende ziekenhuizen, en daarbij moet ook het bestuur worden betrokken.
Maar met alleen praktische ondersteuning zullen de zwakste ziekenhuizen niet kunnen bijbenen, vrezen de onderzoekers van SHIELD. De overheid zal gericht en structureel meer financiële middelen moeten voorzien voor de kleinere ziekenhuizen en psychiatrische instellingen, zodat ook zij de nodige investeringen kunnen doen, onder meer in personeel, om aan de normen te voldoen.
Jaarlijks maakt Volksgezondheid 15 miljoen euro vrij voor de cyberveiligheid van ziekenhuizen. Met dat geld werd onder meer SHIELD vzw opgericht om de ziekenhuizen te begeleiden. SHIELD blijft de maturiteit — of paraatheid — van de cybersecurity bij de Belgische ziekenhuizen opvolgen. Bovendien krijgt elk ziekenhuis een individueel stappenplan voor de komende 36 maanden met prioriteiten, oplossingen en budgetten. De vzw streeft naar driemaandelijkse controles bij ziekenhuizen.