Z-CERT helpt het Deventer Ziekenhuis bij cybercrisisoefening

Wat ga je doen als jouw organisatie het slachtoffer is geworden van ransomware? En hoe voorkom je dat patiëntdata en dat de behandeling van patiënten in gevaar komt? Om dat uit te vinden onderwierp het Deventer Ziekenhuis haar eigen organisatie op 30 mei aan een grootschalige cybercrisisoefening.

Tientallen medewerkers van het ziekenhuis werkten mee aan de oefening in de functie die ze dagelijks hebben. Ze werden daarbij bijgestaan door enkele externe begeleiders die het verloop van de oefening observeerden. Volgens het scenario werd de ICT helpdesk ’s ochtends vroeg gebeld door medewerkers van verschillende verpleegafdelingen omdat ze geen toegang meer kregen tot het elektronisch patiëntendossier (EPD). Al snel kwamen er steeds meer klachten omdat de artsen niet meer bij de gegevens van hun patiënten konden.

De omvang van de crisis blijkt in eerste instantie lastig in te schatten, evenals de vraag of er data naar buiten is gelekt of dat buitenstaanders toegang hebben gehad tot medische gegevens. Dan komt het aan op crisisoverleg en actie binnen het ziekenhuisteam. Er moeten veel organisaties op de hoogte worden gesteld van wat door het crisisteam voorlopig een ‘ICT-storing’ wordt genoemd. Op een kopie van de echte website van het ziekenhuis wordt een liveblog bijgehouden over de storing omdat het ziekenhuisbezoek gewoon moet kunnen doorgaan.

Naarmate er meer informatie over de storing wordt verzameld en door regionale media druk wordt gespeculeerd over een mogelijke ransomware-aanval, wordt besloten om de boodschap naar buiten toe te wijzigen. Als eenmaal zeker is dat er sprake is van een ransomware-incident, communiceert het ziekenhuis niet langer dat het gaat om een ‘ICT-storing’, maar om een ransomware-besmetting. Eerlijk en transparant communiceren is belangrijk bij een crisis.

Z-CERT helpt het ziekenhuis bij de oefening bijvoorbeeld bij het doen van aangifte bij de politie en bij het inschakelen van een extern bedrijf dat forensisch onderzoek moet gaan doen. Intussen probeert de ICT-afdeling van het ziekenhuis het EPD weer op gang te krijgen. Dat gaat naar verwachting meerdere uren duren. Een geluk is dat er goede back-ups beschikbaar zijn, waardoor het verlies van data beperkt zal blijven.

Lange tijd blijft het onduidelijk of er ook losgeld wordt geëist door de cybercriminelen. In het crisisteam wordt al nagedacht of er losgeld betaald moet worden of niet. In aanloop naar de crisisoefening toe is in een apart overleg met het managementteam uitgebreid stilgestaan bij de dilemma’s rondom een eventuele eis om losgeld. “Uitgangspunt is niet betalen, maar de afweging om wel te betalen hangt van veel factoren af. De belangrijkste daarvan is de kwaliteit en toegankelijkheid van de zorgverlening”, legt Eric Kroon uit als lid van de Raad van Bestuur van het Deventer Ziekenhuis.

Om twaalf uur ’s middags wordt de oefening beëindigd. In de evaluatie blijkt dat de oefening, los van kleine verbeterpunten, over het algemeen heel goed ging. De crisisoefening is volgens Eric Kroon om drie redenen erg nuttig gebleken. “Zo’n oefening helpt bijvoorbeeld enorm bij het verhogen van het bewustzijn bij medewerkers. Ook kun je als organisatie de protocollen testen die er voor crisissituaties zijn en tot slot helpt zo’n crisisoefening ook bij het ontdekken van verbeterpunten.”

Al met al was het een leerzame en waardevolle crisisoefening, concludeert Sander Kruese, Concern Information Security Officer (CISO) bij het Deventer Ziekenhuis. Het is voor het ziekenhuis te hopen dat het bij deze oefening blijft en dat het in werkelijkheid nooit met zo’n crisissituatie te maken krijgt.