...
Wat kan een ziekenhuis vandaag beschermen tegen een cyberaanval? "Competentie", zegt de ene, "waakzaamheid", zegt een ander, "geluk", concludeert een derde, tot hilariteit van het publiek. "Het is echt interessant om eens over iets anders te horen praten dan de technische kant van de zaak", constateert Jacques Godart. De cyberaanval bij Chwapi was een bijzonder heftige. "We zaten niet achter onze computers en het was niet tijdens een piekperiode", herinnert de CIO zich. "De hackers maakten gebruik van identiteitsdiefstal en dataversleuteling, ze wisten onze virtuele servers uit en maakten de back-upservers onbruikbaar." De impact op het informaticasysteem van Chwapi - 250 servers - was dat plotseling meer dan 80 servers en 180 applicaties uitvielen. Daardoor moest men overschakelen op 'crisisteam'-modus, 24 uur per dag, zeven dagen per week, met de hulp van externe ondersteuning en bijstand van de 'computer crime unit'. "De aanval vond plaats in januari 2021, op het hoogtepunt van de covidcrisis", herinnert Jacques Godart zich. "We hebben toen tegelijk een medisch en een technisch noodplan opgezet." De CIO zet uiteen wat er allemaal veranderde tijdens deze twee opeenvolgende noodplannen: van domein veranderen om een e-maildienst te behouden, het nummer 112 gedurende drie dagen naar andere instellingen doorschakelen, personeelsleden die terug naar de kliniek moesten komen toen telewerk de norm was... en dit alles terwijl ze over minder middelen beschikten en geen toegang hadden tot het internet. "We moesten ons organiseren om tien weken lang minstens drie mensen aanwezig te hebben in cycli van 24 uur. Dit putte de teams volledig uit, zowel psychologisch als fysiek. Het vereiste solidariteit." En die solidariteit was gelukkig aanwezig. "Ik wil er ook op wijzen dat we enorm veel hulpaanbiedingen van andere instellingen hebben gekregen, wat ons echt heeft geraakt. Maar we moesten dit enthousiasme wat afremmen omdat we te talrijk zouden geweest zijn om te veel problemen in goede banen te leiden. Dat zou onbeheersbaar zijn geweest. Dus besloten we om samen te werken met mensen die al bekend waren met onze informaticasystemen, zoals onze partners van het Phare-netwerk." Wanneer zich zoiets voordoet, is de prioriteit niet technisch, maar strategisch. "Men moet nadenken over de organisatie. Welke zijn de kritieke applicaties? En een onderscheid maken tussen applicaties die noodzakelijk zijn voor het blokkeren en andere die nuttig zijn voor het herstel." Bij Chwapi besloot men om met een indeling van vijf niveaus te werken, met niveau vijf als het meest kritieke voor de werking van het ziekenhuis. Deze werkwijze zorgde ervoor dat het ziekenhuis twee weken na de cyberaanval weer kon beschikken over alle kritieke applicaties. "Op het moment van de aanval hadden we nergens meer toegang toe. Het kostte ons zeven weken om naar een relatief normale situatie terug te keren. Vier dagen na de aanval werkte meer dan driekwart van onze oplossingen nog steeds niet. Maar na die vier dagen was er wel al een derde van de kritieke applicaties (niveau 5) terug operationeel, na zeven dagen was dat al driekwart en na 14 dagen waren alle kritieke applicaties van niveau 5 hersteld. Een voordeel bij het herstellen van de IT-infrastructuur was dat het Chwapi al voor de aanval kopieën van de data op verschillende locaties had voorzien. "Maar het duurt tien keer langer om gegevens te herstellen dan om ze te kopiëren. Het is een erg omslachtige klus." Ook de servers moesten opnieuw worden geïnstalleerd. "Dat is ons gelukt, behalve voor de e-mailserver. Dus hebben we ons tot de hacker gericht en een deal voorgesteld: 'U vroeg ons 100 bitcoins om ons informaticasysteem te recupereren: 99% van het systeem hebben we ondertussen hersteld, dus we bieden u 1 bitcoin aan'. We waren heel beleefd in onze communicatie, want ze zijn gevoelig. We ontvingen het volgende antwoord: 'One bitcoin is no money', samen met een decryptiesleutel. Zo kregen we onze data dus terug." "We dachten dat we goed beschermd waren, maar dat waren we niet genoeg. We zouden alle beschikbare systemen voor cyberbeveiliging hebben kunnen kopen. Maar daarvoor hadden we misschien het hele ziekenhuisbudget moeten uitgeven, zo niet meer. Dus moesten we keuzes maken. In ons geval betekent dat prioriteit geven aan de juiste processen en de geschikte mensen gepast inzetten", benadrukt Jacques Godart. De IT-beveiligingstools die hadden gefaald, werden vervangen en er werden verschillende maatregelen ingevoerd (multifactoridentificatie, instellen van filters, gebruik van meer geavanceerdere oplossingen dan eenvoudige antivirussoftware, enz.) Het ziekenhuis in Doornik zette ook in op een betere preventie. "We hebben een plan uitgewerkt: met clausules voor cyberbeveiliging bij openbare aanbestedingscontracten, de installatie van een VPN dat we kunnen afsluiten wanneer we het niet nodig hebben (tijdens weekends, avonden, feestdagen), het opzetten van campagnes om mensen bewust te maken van phishing en een plan B voor wanneer de IT uitvalt." Wat dit laatste betreft, en gezien de beperkte middelen, onderstreept Jacques Godart dat "het noodplan voor cybersecurity slechts een variant is van een technisch noodplan. Het idee is niet om het wiel heruit te vinden, maar eerder om coördinatie- en informatieteams op te zetten." Hoe dan ook, hij is van mening dat cyberbeveiliging deel moet uitmaken van het strategisch plan van elk ziekenhuis. Dit is zo bij het Chwapi, waar bij elke vijf euro die wordt geïnvesteerd in het upgraden van het informatiesysteem één euro naar cybersecurity gaat. "Dit is maar een deel van de weg: nu dienen we de inspanningen van ziekenhuizen binnen eenzelfde netwerk te bundelen", besluit Jacques Godart.