Het risico van een cyberaanval of zelfs een ‘ransomware gijzeling’ zijn al lang niet meer denkbeeldig in de zorg. Voorkomen is natuurlijk hier ook beter dan genezen, dus een goede cybersecurity is voor iedere zorgorganisatie essentieel. Als er toch onverhoopt een cybercrisis is, moet iedereen echter wel weten wat er moet gebeuren. Daarom heeft het Deventer Ziekenhuis een cybercrisis nagebootst waarbij Z-CERT meewerkte en nuttige adviezen gaf.
Wat te doen in het geval van ransomware?
De crisisoefening is volgens Eric Kroon, lid van de Raad van Bestuur van het Deventer Ziekenhuis, om drie redenen nuttig. “Zo’n oefening helpt bijvoorbeeld enorm bij het verhogen van het bewustzijn bij medewerkers. Ook kun je als organisatie de protocollen testen die er voor crisissituaties zijn en tot slot helpt zo’n oefening met een cybercrisis ook bij het ontdekken van verbeterpunten.”
Vragen die voorbijkwamen waren: Wat te doen bij ransomware, hoe kan worden voorkomen patiëntendata of de behandeling van patiënten in gevaar komen en gaan we wel of niet betalen? Tientallen medewerkers van het ziekenhuis werkten mee aan de oefening vanuit de functie die ze normaal ook hebben. Ze werden daarbij bijgestaan door externe begeleiders.
Geen toegang meer tot EPD
In het crisisscenario werd de ICT-helpdesk vroeg in de ochtend gebeld door medewerkers van verschillende verpleegafdelingen omdat ze geen toegang meer kregen tot het elektronisch patiëntendossier (EPD). Al snel kwamen er steeds meer klachten omdat de artsen niet meer bij de gegevens van hun patiënten konden.
De omvang van de crisis blijkt in eerste instantie lastig in te schatten, evenals de vraag of er data naar buiten zijn gelekt of dat buitenstaanders toegang hebben gehad tot medische gegevens. Dan komt het aan op crisisoverleg en actie binnen het ziekenhuisteam. Er moeten veel organisaties op de hoogte worden gesteld van wat door het crisisteam voorlopig een ‘ICT-storing’ wordt genoemd.
Op een kopie van de echte website van het ziekenhuis wordt een liveblog bijgehouden over de storing omdat het ziekenhuisbezoek gewoon moet kunnen doorgaan. Als eenmaal zeker is dat er sprake is van een ransomware-incident, communiceert het ziekenhuis niet langer dat het gaat om een ‘ICT-storing’, maar om een ransomware-besmetting. Eerlijk en transparant communiceren is belangrijk bij een crisis.
Z-CERT ondersteunt ziekenhuis
Z-CERT helpt het ziekenhuis bij de oefening onder meer bij het doen van aangifte bij de politie en bij het inschakelen van een extern bedrijf dat forensisch onderzoek gaat doen. Intussen probeert de ICT-afdeling van het ziekenhuis het EPD weer op gang te krijgen. Dat gaat naar verwachting meerdere uren duren. Gelukkig blijkt dat er goede back-ups zijn, waardoor de hoeveelheid data die verloren zal gaan beperkt zal blijven. Het blijft lange tijd onduidelijk of er wel of geen losgeld wordt geëist. Toch wordt daar al over nagedacht in het crisisteam. “Uitgangspunt is niet betalen, maar de afweging om wel te betalen hangt van veel factoren af. De belangrijkste daarvan is de kwaliteit en toegankelijkheid van de zorgverlening”, legt Eric Kroon uit.
Om twaalf uur ’s middags wordt de oefening beëindigd. Tijdens de evaluatie blijkt dat de oefening, los van kleine verbeterpunten, over het algemeen heel goed ging.
