Computerpanne bij Antwerpse ziekenhuizen: ‘laat het een eye-opener zijn, want dit kan levens kosten’

Vorige week moest door ICT-problemen het intern rampenplan afgekondigd worden in de ziekenhuizen van het ZNA-netwerk. Security consultant Rudolf de Schipper was niet verbaasd. “Het was de kroniek van een aangekondigd incident. ZNA mocht nog van geluk spreken. Ik wil er niet aan denken wat er was gebeurd als een cybercrimineel deze infrastructuur te lijf was gegaan”, schrijft hij.

“Dat valt mee!”, was mijn spontane reactie toen ik hoorde over de computerproblemen bij de ziekenhuizen van het ZNA-netwerk, waarbij de werking van verschillende gebouwen en diensten grondig werd verstoord. Mijn reactie werd gevolgd door de oprechte bekommernis: “Zullen ze het nu eindelijk begrepen hebben?”

Even toelichten: twee à drie jaar geleden heb ik in mijn rol van security consultant heel wat ziekenhuizen bezocht, verspreid over het hele land. Natuurlijk wilden we hen op termijn security-producten en -diensten verkopen, maar in eerste instantie wilden we vooral een stand van zaken opstellen voor alle ziekenhuizen, op basis van interviews met de ICT-afdeling van elk ziekenhuis.

Wat ik toen allemaal gehoord en gezien heb, tart alle verbeelding:

“Of onze medische apparatuur verbonden is aan het netwerk? Dat weet ik niet zeker. Nee, ik kan u ook echt niet vertellen wie allemaal toegang heeft tot deze toestellen.”

“We zouden nog wel ondersteuning willen voor onze software maar XP wordt helaas niet meer ondersteund.”

“Het zou mooi zijn als we een back-up site hadden.”

“Het zou me wel interesseren om back-ups te maken maar helaas is er geen budget voor.”

Geen van bovenstaande opmerkingen is verzonnen, helaas. En wat we zagen, was vaak nog erger dan wat ons in de interviews werd voorgespiegeld.

Kroniek van een aangekondigd incident

De enige conclusie die we konden trekken na ons bezoek aan alle ziekenhuizen: ICT-managers weten heus wel wat er zou moeten gebeuren om de infrastructuur voldoende te beveiligen maar bijna niemand slaagt erin om hiervoor bij het management de nodige budgetten los te krijgen. Voor deze ICT-managers is het dus roeien met de riemen die ze hebben, en hopen dat ze niet midscheeps getroffen worden. De problemen bij ZNA waren in dat opzicht de kroniek van een aangekondigd incident.

Tegelijk moet ik hier nog deze bedenking aan toevoegen: het had heel wat erger gekund dan de huidige problemen, die vooral te wijten waren aan een defect in het systeem. Ik wil er niet aan denken wat er was gebeurd als een cybercrimineel bewust deze infrastructuur te lijf was gegaan met kwade intentie.

Risicofactor 5: levensbedreigend

Natuurlijk begrijp ik dat ziekenhuizen, net zoals ongeveer elke organisatie, kampen met beperkte budgetten, en dat ICT nu eenmaal niet gezien wordt als één van de kernmissies van deze gezondheidsorganisaties. Maar er is één ‘detail’ dat misschien te vlot over het hoofd wordt gezien. Bij het beoordelen van security-risico’s wordt standaard gebruik gemaakt van vijf risicocategorieën, die bedrijven moeten helpen om in te schatten hoe belangrijk security voor hen als organisatie is. De categorieën variëren van 1 (met minimale impact op de bedrijfswerking of andere gevolgen) tot 5 (levensbedreigend, voor menselijke levens). Iedereen begrijpt dat minstens een deel van de ziekenhuisinfrastructuur tot de hoogste categorie behoort. Iedereen, behalve het topmanagement dus.

Maar al te vaak zien we hetzelfde patroon terugkeren. ICT-managers komen pleiten voor een groter security budget, en wijzen hierbij meestal op de risico’s verbonden aan een te zwakke beveiliging – inclusief het gevaar voor patiënten en medewerkers. Hun oversten luisteren minzaam toe, maar besluiten uiteindelijk toch dat er nog urgenter projecten zijn die “nauwer aanleunen bij de bedrijfsmissie en bijhorende prioriteiten”. Als dan een incident plaatsvindt, zoals nu bij ZNA, reageren deze zelfde managers verbaasd bij de ‘ontdekking’ dat hun beveiliging en disaster recovery ontoereikend is. In de allerergste gevallen wrijven ze het zweet van hun voorhoofd, zijn ze blij dat de schade niet ernstiger was, en doen ze gewoon voort.

We kunnen alleen maar hopen dat de problemen bij ZNA voor henzelf en voor andere ziekenhuizen toch een eye-opener is geweest. Dat ze beseffen dat het veel erger had kunnen aflopen, en dat een totale onbeschikbaarheid van de digitale infrastructuur echt wel levens kan kosten, en dus ook als dusdanig moet worden behandeld en beschermd. Dan kunnen we achteraf opgelucht besluiten dat dat niet alleen ZNA, maar alle Belgische ziekenhuizen van geluk mochten spreken met dit eerder beperkt incident. Om nog maar te zwijgen van hun patiënten.