Gezondheidssector is favoriet doelwit
De overheid bindt al enkele jaren de strijd aan tegen cybercriminaliteit. In 2021 lagen de prioriteiten bij de uitwerking van een 'toolbox', Incident Response Planning, betere samenwerking met het Centrum voor Cybersecurity en het aftasten van de mogelijkheden inzake 'ethical hacking' en 'penetration testing'.
De 'hoogste noden' kwamen begin 2021 tot uiting in een enquête naar aanleiding van cyberincidenten in het labo AML en in twee ziekenhuizen, het AZ Mol en CHWAPI.
Toolbox
In een aantal domeinen schoot men ook in actie. Zo werd een 'toolbox' voorzien om de Data Protection Officer (DPO) en de veiligheidsdiensten van elk ziekenhuis/labo informatie aan te reiken. De box bevat eigen materiaal én info afkomstig van het Centrum voor Cybersecurity (CCB) en van gespecialiseerde werkgroepen. Zo wordt het bewustzijn voor de problematiek bij de ziekenhuismedewerkers aangescherpt.
Om een Incident Response Planning uit te dokteren, richtte de overheid een werkgroep op. Daaruit vloeiende een informatieset voort die men publiceerde in de 'toolbox'. Materiaal van het CCB vulde ook deze gegevens aan. De aandacht werd getrokken op specifieke punten, bijvoorbeeld in verband met ransomware.
In maart 2020 werd bij aanvang van de coronacrisis duidelijk dat ziekenhuizen voor cybercriminelen een favoriet doelwit vormen. Hun maatschappelijke belang is immers groot en dus verhoogt de kans dat ze snel toegeven aan afpersers. Om de sector bij te staan, haalde men de banden met het CCB nauwer aan. Zo breidde het centrum in samenwerking met het eHealthplatform zijn aanbod 'vroegtijdige waarschuwing' uit naar de ziekenhuizen. Sinds 2021 worden ziekenhuizen dus ook gewaarschuwd wanneer er uit andere bronnen relevante info beschikbaar komt. De samenwerking met privé-organisaties tijdens de gezondheidscrisis leidde onder meer tot de website wehelpourhospitals.be
Veiligheidsnormen
Verder richtte de veiligheidsdienst van het eHealthplatform een werkgroep 'informatieveiligheid DPO's ziekenhuizen' op, niet enkel over informatieveiligheid maar ook over gegevensbescherming. Afzonderlijke werkgroepen over deelthema's zijn optioneel.
Gebaseerd op ISO 27002 stelde de werkgroep in 2019 bijvoorbeeld een set minimale veiligheidsnormen op. Op basis van de risico's selecteerden de DPO's dan maatregelen. Een jaar later ontwikkelde en publiceerde de commissie richtlijnen met handvatten om de normen te implementeren. Uiteraard worden ze regelmatig geactualiseerd. In 2021 analyseerde de werkgroep de aanval op CHWAPI en deelde de leerpunten met de ziekenhuizen.
Maturiteitsmeeting
Recent vroeg de overheid de ziekenhuizen dan of ze aan de hand van de uitgevaardigde richtlijnen de maatregelen ook toepassen. De werkgroep stelde een vragenlijst op, uiterlijk tegen medio september in te vullen. Doel is de 'maturiteit' op het vlak van cybersecurity te meten en een 'self assessment tool' aan te reiken. Het laat toe de 'maturiteit' van de informatieveiligheid via een actieplan te doen evolueren. En de peiling geeft de overheid inzage in de stand van zaken. Indien nodig en wenselijk laat dat toe centrale diensten te ontwikkelen waarvan ziekenhuizen op eenvoudige en kostenefficiënte wijze gebruik kunnen maken.
Het hoeft geen betoog dat individuele ziekenhuizen niet hoeven te wachten op de maturiteitsmeeting om zelf - of in netwerkverband - actiepunten te verfijnen of accenten te leggen.
Pan-Europese oefening test weerbaarheid
Wat gebeurt er als Europese gezondheidsdiensten en infrastructuur het doelwit worden van een grote cyberaanval? Hoe reageren overheden en ziekenhuizen daarop? Hoe kan dat nationaal en Europees gecoördineerd worden om de gevolgen het hoofd te bieden en escalatie te voorkomen? Op deze en andere vragen trachtte 'Cyber Europe 2022' recent een antwoord te formuleren.
ENISA, het Agentschap van de Europese Unie voor Cyberbeveiliging, organiseert dergelijke pan-Europese cyberoefeningen op regelmatige basis. De editie 2022 richtte zich specifiek op de gezondheidszorg. Er namen, met inbegrip van België, 29 landen uit de Europese Unie en uit de Europese Vrijhandelsassociatie aan deel. Verder werkten meer dan 800 deskundigen, Europol, het Europees Geneesmiddelenbureau EMA enz. mee.
Dergelijke oefeningen volgen een fictief scenario. Dag één stond in het teken van een desinformatiecampagne met gemanipuleerde laboratoriumresultaten en een cyberaanval op Europese ziekenhuisnetwerken. De tweede dag escaleerde dat nog en werd een Europese cybercrisis gesimuleerd. Medische persoonsgegevens dreigden op straat te belanden én een nieuwe desinformatiecampagne bracht een implanteerbaar medisch hulpmiddel in diskrediet met beweringen over vermeende risico's.
Over het algemeen waren de deelnemers tevreden over de manier waarop incidenten werden aangepakt. Een analyse van het proces en de resultaten van de oefeningen moeten nu eventuele lacunes en zwakke punten blootleggen. Daarna volgen passende maatregelen. De analyses worden weldra gepubliceerd in een 'after-action report'. Dat vormt de basis voor toekomstige richtlijnen en verbeteringen. Met uiteraard als finaal doel de gezondheidssector weerbaarder maken tegen cyberaanvallen.