De Rijksinspectie Digitale Infrastructuur (RDI) is een onderzoek gestart naar de beveiligingsmaatregelen van ChipSoft naar aanleiding van de ransomware-aanval die het bedrijf begin april trof. Dat heeft de toezichthouder eerder deze week bekend gemaakt.
De toezichthouder wil in kaart brengen wat er precies is gebeurd, onder welke omstandigheden de aanval kon plaatsvinden en welke lessen daaruit kunnen worden getrokken om de digitale weerbaarheid van Nederland verder te versterken. ChipSoft heeft nog niet gereageerd op de aankondiging van de RDI.
De IT-aanbieder levert software en clouddiensten voor elektronische patiëntendossiers (EPD's) aan een groot deel van de Nederlandse ziekenhuizen (met name het HiX-EPD) en valt daarmee onder de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op grond van die wet zijn aanbieders van essentiële digitale diensten verplicht passende technische en organisatorische beveiligingsmaatregelen te treffen. De RDI houdt toezicht op de naleving daarvan. In dit kader vindt het onderzoek plaats.
De inspectie stelt het te begrijpen dat cyberincidenten niet altijd te voorkomen zijn. Wel verwacht zij dat organisaties hun beveiliging op orde hebben, de impact van incidenten zoveel mogelijk beperken en de ervaringen benutten om hun digitale weerbaarheid verder te verbeteren. Het onderzoek moet inzicht geven in de omstandigheden rond de aanval en bijdragen aan bredere lessen voor de Nederlandse digitale infrastructuur.
Grote impact
De ransomware-aanval op ChipSoft werd op 7 april bekend. Omdat naar schatting ruim 70 procent van de Nederlandse ziekenhuizen gebruikmaakt van het HiX-EPD van de leverancier, had het incident direct gevolgen voor de zorgsector. Verschillende patiëntportalen werden uit voorzorg tijdelijk offline gehaald en ook diensten als Zorgplatform, Zorgportaal en HiX Mobile waren gedurende langere tijd niet beschikbaar.
Hoewel de patiëntenzorg volgens ChipSoft kon doorgaan en zorgprofessionals met het HiX-EPD konden blijven werken, ondervonden ziekenhuizen en huisartsen wel hinder van de uitval van gekoppelde digitale diensten. Vooral communicatie met patiënten en digitale uitwisseling van gegevens werden hierdoor tijdelijk beperkt.
In de weken na de aanval ontstond bovendien onzekerheid over mogelijke datalekken. Waar eerst werd aangegeven dat patiëntgegevens veilig leken, kon later niet langer worden uitgesloten dat gegevens waren buitgemaakt. Diverse ziekenhuizen deden daarop melding van een mogelijk datalek bij de Autoriteit Persoonsgegevens (AP), terwijl forensisch onderzoek moest gaan uitwijzen wat de exacte omvang van het incident was. Resultaten hiervan zijn nog niet bekend.
Herstel stap voor stap
ChipSoft werkte de afgelopen maanden samen met externe cybersecurityspecialisten aan het herstel van de getroffen systemen. Eind april kwamen de website en verschillende online diensten gefaseerd weer beschikbaar. Volgens het bedrijf is het daarbij ook gelukt publicatie van eventueel buitgemaakte gegevens te voorkomen. Over de technische aanpak zijn geen nadere details bekendgemaakt.
De leverancier meldt dat de herstelwerkzaamheden sindsdien stapsgewijs zijn voortgezet. Inmiddels zijn vrijwel alle patiëntenportalen weer aangesloten op het Zorgplatform, is de supportomgeving opnieuw beschikbaar en zijn voor HiX Mobile de eerste herstelwerkzaamheden vrijwel afgerond. Begin juni liet ChipSoft weten achter de schermen nog altijd intensief aan de resterende werkzaamheden te werken en hierover nauw contact te onderhouden met aangesloten zorginstellingen.
Breder vraagstuk
De aanval benadrukt opnieuw hoe afhankelijk de Nederlandse zorg is geworden van een beperkt aantal digitale leveranciers. Verstoringen bij een centrale ICT-partij kunnen daardoor gevolgen hebben voor tientallen zorgorganisaties tegelijk, ook wanneer hun eigen systemen niet rechtstreeks zijn getroffen.
Cybersecurity-expertisecentrum Z-CERT stond tijdens het incident naar eigen zeggen in contact met ChipSoft en adviseerde aangesloten zorgorganisaties onder meer om VPN-verbindingen met de leverancier tijdelijk te verbreken en netwerkverkeer extra te monitoren. Tegelijkertijd onthield Z-CERT zich van inhoudelijk commentaar zolang het forensisch onderzoek liep.
Ransomware vormt al langer een van de grootste digitale dreigingen voor de zorgsector, stelt ook Z-Cert. De combinatie van complexe IT-omgevingen, de grote maatschappelijke afhankelijkheid van digitale zorgsystemen en de hoge waarde van medische gegevens maakt zorgorganisaties en hun leveranciers tot aantrekkelijke doelwitten voor cybercriminelen.
Tegen die achtergrond kan het onderzoek van de RDI behalve duidelijkheid geven over de beveiligingsmaatregelen bij ChipSoft zelf, ook bijdragen aan inzichten in de digitale weerbaarheid van de hele Nederlandse zorgsector.