De voorbije dagen hebben ziekenhuizen van de Belgische zorggroep Vivalia besloten om duizenden consultaties te annuleren wegens een ransomware-aanval. Aanvallen op Belgische zorginstellingen nemen toe. Lagere maturiteit in hun security-aanpak en it-budgetten die onder druk staan eisen hun tol.
Zesduizend consultaties. Zoveel waren er in de week van 23 mei gepland binnen de zorginstellingen van Vivali en weer geannuleerd, tenzij de arts opnieuw contact opneemt met de patiënt. Niet-dringende operaties gaan in principe niet door. De website vermeldt dat alle noodhulp wel steeds werd verleend. Maar de hervatting van de gebruikelijke consultaties zal afhangen van de mate van de heropstart van de informatiesystemen. ‘We focussen ons nu op het herstel van het it-systeem binnen een veilig kader’, aldus Vivalia-ceo Yves Bernard. Het gerechtelijk luik van de zaak is in handen van de federale gerechtelijke politie en de procureur. Volledig herstel zou alvast weken tot maanden duren.
Lockbit-ransomware
De servers van Vivalia werden getroffen door de Lockbit-ransomware. Dat is volgens het CCB (Centrum voor Cybersecurity België) inzake ransomware ook de actor die, naast Conti, vandaag het meest wordt gebruikt.
Criminelen achter de ransomware bij Vivalia claimen dat ze vierhonderd gigabyte aan data hebben buitgemaakt die ze de volgende dagen dreigen te publiceren. Even was sprake dat ook de loonuitbetaling van de medewerkers in het gedrang kwamen. Vivalia gaf inmiddels te kennen dat het zorgpersoneel aan het einde van de maand gewoon zijn salaris uitbetaald krijgt.
De timing was ongelukkig. Dit weekend vond in Aarlen het zogenaamde Maitrank-folklorefestival plaats. Vanwege de cyberaanval werd door de burgemeester van de stad Aarlen alvast besloten om tijdens de feestelijkheden van dit weekend een buitenhulppost op te tuigen, om zo verdere belasting van het ziekenhuis te voorkomen.
Phishing
Hoewel nog niet duidelijk is hoe de ransomware-besmetting bij Vivalia heeft plaatsgevonden, behoren phishingmails met links naar schadelijke software nog altijd tot de meest voorkomende aanvalskanalen voor ransomware. Begin 2020 dook een phishingmail op in een woonzorgcentrum in Willebroek, waardoor in een mum van tijd alle computers van het gemeentebestuur uitvielen. In dit geval lag het gemeentebestuur of woonzorgcentra binnen hetzelfde (it-)netwerk. Wat ook vaak het geval is met ziekenhuizen of rustinstellingen: zij maken vaak deel uit van een grotere groep.
Het blijkt ook een misvatting om ervan uit te gaan dat (enkel) de klassieke administratieve of pc-werkers het vatbaarst zijn voor een aanval in zorginstellingen. ‘In het geval van een ziekenhuis heeft het administratief personeel meer ervaring met phishingmails omdat ze er vaker mee in aanraking komen. De prioriteiten van dokters liggen anders, waardoor zij misschien net meer geneigd zijn om te klikken’, merkt Arnout Van de Meulebroucke, ceo en oprichter van Phished op.
Lage maturiteit in zorg
De ransomware-aanval op de ziekenhuizen van Zorggroep Vivalia is de volgende in een serie aanvallen op Belgische zorgorganisaties. Zo werden vorig jaar het CHwapi-ziekenhuis in Doornik en het Heilig Hartziekenhuis in Mol getroffen door ransomware aanvallen. In eerder onderzoek van security-specialist Barracuda kwam naar voren dat cybercriminelen zich vaker richten op de zorgsector. Tussen augustus 2020 en juli 2021 had dertien procent van de door Barracuda waargenomen ransomware-aanvallen de zorgsector als doelwit.
De aanvallen verrassen niet. Bij zorginstelling is de it-infrastructuur (letterlijk) een kwestie van leven of dood. Bij ransomware komt een ziekenhuis dat, niet vlot of snel genoeg de data kan herstellen of de aanval afweren, in de verleiding om losgeld te betalen. ‘Ziekenhuizen hebben hun netwerken en apparaten constant nodig om snel data te kunnen delen tussen het medisch personeel én ervoor te zorgen dat levensbelangrijke apparatuur blijft werken’, aldus Van de Meulebroucke. Dat maakt hen een uitgelezen doelwit, zeker omdat de security-aanpak weleens te kort schiet. Uit een recent rapport van NTT blijkt dat de maturiteit van securityprogramma’s in de zorgsector bij de laagste is van alle onderzochte sectoren.
Budgetten
Daarnaast zijn er nog de budgetten. De coronapandemie en oplopende inflatie brengen ziekenhuizen ook financieel in de problemen. Vorige week bleek nog uit een Nederlands onderzoek door adviesbedrijf KPMG dat ziekenhuizen onder grote druk staan om bestaande ict-kosten verder te reduceren. Of hoe die aanval op die Belgische ziekenhuizen toch niet uit de lucht komt vallen.