De twee Belgische vestigingen van AZ (Algemeen Ziekenhuis) Monica in Deurne en Antwerpen zijn op dinsdag 13 januari getroffen door een cyberaanval. Alle servers zijn uitgeschakeld, waardoor het operatie- en poliprogramma geannuleerd moest worden. Het is nog niet duidelijk wie achter de aanval zit en welke eisen de cybercriminelen stellen.
AZ Monica werd rond half zeven in de ochtend geconfronteerd met een ernstige verstoring van haar IT-systemen. Het ziekenhuis heeft direct het Cyber Emergency Response Team (CERT) verwittigd en de politie en het parket (openbaar ministerie) bij het incident betrokken. Uit voorzorg werden alle servers voor de campussen in Deurne en Antwerpen uitgeschakeld. Daardoor heeft het personeel vanzelfsprekend geen toegang tot elektronische patiëntendossiers en komt een aanzienlijk deel van de zorg stil te liggen.
Gevolgen
De ziekenhuizen hebben dinsdag 180 ingrepen geannuleerd, evenals onderzoeken met medische beeldvorming. Alleen spoedeisende consulten vonden doorgang; de consultregistraties werden offline gemaakt. De zorg aan opgenomen patiënten kon goeddeels doorgaan; ook bezoeken van de patiënten is mogelijk. Zeventig patiënten zijn vervroegd met ontslag gestuurd; zeven IC-patiënten zijn overgebracht naar andere ziekenhuizen. De dienst Spoedgevallen werkt op verminderde capaciteit. De MUG dienst (het Belgische 112-responssysteem) en PIT-diensten (Paramedisch Interventieteam op de ambulances) zijn voorlopig niet operationeel. De website van AZ Monica is offline.
Ook op woensdag 14 januari kunnen de servers van de twee campussen van AZ Monica nog niet worden opgestart. Ongeveer een derde van de geplande zorg kan doorgaan. De in Antwerpse vestiging heeft opnieuw het hele operatieprogramma geannuleerd; in Deurne kan een aantal onderzoeken en ingrepen wel doorgaan.
De aanval
De computer crime unit van de federale gerechtelijke politie is in de ziekenhuizen aanwezig voor onderzoek. In de loop van dinsdag bevestigde het Antwerps parket dat het om een cyberaanval gaat. AZ Monica heeft al vaker te maken gehad met pogingen daartoe, maar wist die in eerdere gevallen af te slaan. Naar alle waarschijnlijkheid is er sprake van een aanval met ransomware.
Opmerkelijk is dat er vooralsnog geen losgeld is gevraagd. Het is ook niet zeker dat de daders data hebben kunnen buitmaken. Er zijn nog geen aanwijzingen dat er gegevens gelekt zijn; op de bekende darkweb-sites van ransomware-groeperingen is geen informatie verschenen die leidt naar het AZ Monica, zo meldt VRT Nieuws. Bovendien staat het elektronische patiëntendossier – dat de meeste medische gegevens bevat – in een cloud die niet geraakt is door de aanval.
VRT Nieuws-journalist Tim Verheyden: “In andere gevallen eisen hackersgroeperingen de aanval op via hun eigen website op het darkweb. Ze tonen dan een sample van de data die zijn buitgemaakt, samen met een aftelklokje. Ze dreigen dan de data te lossen als er niet betaald wordt voordat de klok op 0 staat.” Dat is nog steeds niet gebeurd. Mogelijk is het ziekenhuis de criminelen te snel afgeweest door direct alle servers af te schakelen.
Weerbaarheidsniveau
Ook in België bestaan aanzienlijke verschillen in de mate waarin zorginstellingen hun beveiliging op orde hebben tegen mogelijke cyberaanvallen. federale overheid publiceerde recentelijk de rapportage ‘Status of cybersecurity in Belgian hospitals’. Het persbericht dat de publicatie begeleidde meldde: “1 op de 4 ziekenhuizen behaalt het vereiste niveau of zit daar dicht bij, terwijl vooral kleinere en psychiatrische ziekenhuizen achterblijven door beperkte middelen en een tekort aan gespecialiseerde profielen. Ook regionaal zijn er verschillen: Vlaamse ziekenhuizen scoren gemiddeld beter dan Waalse en Brusselse.” Om de instellingen naar het gewenste niveau bij te begeleiden biedt de overheid instrumenten aan. In de komende drie jaar wordt voor elk ziekenhuis een individuele roadmap uitgewerkt.
