Cyberaanvallen tegen de ziekenhuisinstellingen nemen toe, het is niet anders. Om die aanvallen doeltreffend te bestrijden, moeten ziekenhuizen vandaag dringend doeltreffende en preventieve maatregelen nemen, zo zei Christophe Celio, Cyber Security Leader van de Procsima-Group, op een Cyberwal by Digital Wallonia. 

“De evolutie is inderdaad zorgwekkend. De meeste aanvallen zijn gericht op ziekenhuizen omdat het primaire doel van een ziekenhuis is om levens te redden. Daarnaast is het ook zo dat ziekenhuizen niet altijd uitgerust zijn om zich te verdedigen”, aldus Celio. 

De aanvallen zijn de laatste jaren geëvolueerd: “Nu zijn ze almaar complexer en gaan ze vooral via connected tools die heel aanwezig zijn in ziekenhuizen: smartwatches, IPads, smartphones, medische apparatuur, sondes, monitoring... We moeten dus werk maken van beveiliging en een adequaat beleid voeren om de risico's te beperken, net zoals het aantal toegangspoorten.” 

Vrijdag, zaterdag, zondag, risicodagen
De frequentie van de aanvallen is ook veranderd. “Het gaat nu om één aanval per dag tegen ziekenhuizen. Het gaat niet langer om aanvallen van geïsoleerde individuen, maar van organisaties en zeer goed doordachte processen met gevestigde financieringsmethoden.” 

De explosie van aanvallen vraagt om anticipatie. “Onlangs was er een poging tot aanval op het CHC Mont Légia. Die mislukte omdat iemand van de IT-afdeling op vrijdagavond aan het werk was. Zo werd een ramp voorkomen. Dit is een ander aspect waarvan ziekenhuizen zich bewust moeten zijn: hun systeem is kwetsbaarder aan het eind van de dag op vrijdag, in het weekend en op feestdagen omdat er minder personeel is. We mogen dus niet vergeten de teams ook op die dagen te versterken. We moeten het personeel ook de technische middelen geven om te analyseren wat er stroomopwaarts en stroomafwaarts van hun netwerk gebeurt.”

Tekortkomingen en de rol van artsen
De kwetsbaarheid van ziekenhuizen is de laatste jaren ook geëvolueerd: “Aanvallen zijn gericht op mensen die in het ziekenhuis werken met SMS (Smishing), Phishing, een link of een bestand met een virus, USB-sleutel, harde schijf..... Mensen moeten beter worden opgeleid in digitale tools en de preventie binnen de instelling moet worden opgevoerd.”

Ook artsen spelen daarbij een rol. “Artsen zijn niet altijd vragende partij om een opleiding over cyberveiligheid te volgen. Ze denken wel eens dat cyberveiligheid niet hun verantwoordelijkheid is. Dat is niet zo. Vandaag zijn artsen ook verantwoordelijk voor de gegevens van patiënten die ze behandelen. Het ziekenhuis zal niet langer de enige zijn die met de vinger gewezen zal worden als de veiligheidsregels niet worden nageleefd.”

Verzekeringen almaar duurder
“Vóór 2020 dekten de verzekeringen exploitatieverliezen en verloren gegevens. Ze vergoedden 80 of 100%. Nu zijn de regels veranderd: de eigen risico's zijn verdrievoudigd en de verzekeringsmaatschappijen dekken slechts 40 of 50%. Verzekeringsmaatschappijen bieden aan audits uit te voeren om de mate van 'maturiteit' van ziekenhuizen en een niveau van geschiktheid te beoordelen (impact op het bedrag van het verzekeringscontract, eigen risico, enz.).” 

Vandaag zijn die verzekeringen aanzienlijk duur. “Bovendien eisen verzekeringsinstellingen garanties van ziekenhuizen: ISO 27001 kwaliteitsbeheer, de implementatie van de Minimum Hospital Information Security Standards (de NIS2-norm waar ziekenhuizen deze keer in 2025 deel van zullen uitmaken). Maar niet alle ziekenhuizen kunnen zich dit soort instrumenten en preventieve acties veroorloven.”

Ziekenhuizen proberen te netwerken om zich te beschermen. “Er is bijvoorbeeld een uitwisseling van kennis met een organisatie als Unessa, waardoor we over specifieke thema’s kunnen overleggen. Daarnaast werken we samen met het Centrum voor Cybersecurity België (CCB) en de Cert om op de hoogte te blijven. Daarnaast is er verhoogde waakzaamheid van activiteiten (aan de buitenrand) rond ziekenhuizen en verzamelen we gegevens in een console genaamd EWS (Early Warning System) dat is opgezet met het CCB.”

Uit een onderzoek van een Australisch bedrijf blijkt dat 39% van de hackers beweert in minder dan vijf uur toegang te kunnen krijgen tot gevoelige gegevens in een ziekenhuis en ze te kunnen stelen. Kan dat ook in België? “Aanvallen worden goed voorbereid, maar ze kunnen inderdaad heel snel gaan  als de instellingen er niet op geanticipeerd hebben. Daarom zijn er voldoende financiële middelen nodig.”