Logo Parlement Buxellois

Schriftelijke vraag betreffende de follow-up van de cyberveiligheid in de ziekenhuizen in het Brussels Gewest

Indiener(s)
Jonathan de Patoul
aan
Elke Van den Brandt en Alain Maron, leden van het Verenigd College bevoegd voor Welzijn en Gezondheid (Vragen nr 694)

 
Datum ontvangst: 17/03/2023 Datum publicatie: 28/04/2023
Zittingsperiode: 19/24 Zitting: 22/23 Datum antwoord: 18/04/2023
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
21/03/2023 Ontvankelijk
 
Vraag    Op maandag 13 maart 2023 werd het UMC Sint-Pieter het slachtoffer van een cyberaanval die het ziekenhuis enkele uren lamlegde. Tijdens de commissie voor de Gezondheid en Bijstand aan Personen van 3 februari 2022 stelde ik u een vraag over de follow-up van de cyberveiligheid in de ziekenhuizen. U antwoordde toen dat de ziekenhuizen hun cyberveiligheid al uit zichzelf versterkten.

  1. Hebt u cijfers over het aantal cyberaanvallen in de Brusselse ziekenhuizen voor het jaar 2022? Hoe versterken de ziekenhuizen concreet hun cyberveiligheid? Welke middelen zet het Gewest in om een ziekenhuis te ondersteunen bij een cyberaanval? Werden in het geval van de cyberaanval op het UMC Sint-Pieter middelen ingezet om het ziekenhuis te ondersteunen?

  1. In uw vorige antwoord legde u mij ook uit dat u op het punt stond een protocolakkoord te sluiten "waarbij de federale administratie verzocht wordt voorstellen te formuleren over hoe ziekenhuizen hun noodplannen het best kunnen afstemmen op de groeiende cyberdreiging en andere risico's, zoals pandemieën". Werd dit protocol ondertekend? Zo ja, hoe zit het met de voorgestelde aanpassingen op het gebied van preventie van cyberaanvallen?

  1. U vertelde mij dat het doel is dat het informaticanetwerk voor de gezondheidszorg het label ISO 27001 behaalt. Hoever staat u met het verkrijgen van dit label? Zijn er ziekenhuizen die dit hebben verkregen? Zo ja, welke?

  2. Kunt u ten slotte, in overeenstemming met de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, bevestigen dat elke Brusselse zorginstelling beschikt over een beveiligingsplan met algemene maatregelen om onder meer mogelijke cyberaanvallen het hoofd te bieden?
 
 
Antwoord    Ik dank u voor uw vraag.

Ik zou u echter willen verwijzen naar ons antwoord op de mondelinge vraag van de heer Coomans de Brachène tijdens de commissie Welzijn-Gezondheid van 30 maart 2023.

Ik krijg hier regelmatig vragen over die cyberaanvallen op ziekenhuizen, want elke keer als er een is, maakt dat indruk. Het is ook beangstigend om u voor te stellen dat een ziekenhuis volledig geblokkeerd wordt door zo'n aanval.
Naarmate de vragen in deze vergadering gesteld en beantwoord worden, zult u echter zien dat de situatie lijkt te verbeteren.
De laatste keer was in februari 2022. Toen stelde de heer de Patoul mij vragen over de aanvallen op CHwapi in Doornik van eind 2021. De ICT van dat ziekenhuis in Doornik lag enkele weken plat en het duurde zes maanden voordat het weer op volle toeren kon draaien.
In 2022 waren er dus nieuwe aanvallen, waaronder die op Vivalia in de provincie Luxemburg. Als gevolg daarvan werden alle activiteiten gedurende enkele dagen stilgelegd en vervolgens waren er drie maanden nodig om Vivalia weer op volle toeren te laten draaien.

U noemt de Europa Ziekenhuizen, maar daar ben ik niet van op de hoogte gebracht.
Tijdens een enquête die de GGC in september 2021 onder de ziekenhuizen gehouden heeft, bevestigden de ziekenhuizen aan de administratie dat ze hun cyberveiligheid al enkele jaren aan het versterken waren en dat ze specifieke veiligheidsmaatregelen uitvoerden om die te versterken. Sinds 2023 heeft de federale overheid het budget voor informatisering van de ziekenhuizen verhoogd met 200 miljoen euro per jaar (wat neerkomt op ongeveer 100 000 euro per ziekenhuis) om hun cyberveiligheid en communicatie met de professionals van de eerste lijn te verbeteren.

Ziekenhuizen zijn zeer regelmatig het doelwit van gerichte phishingcampagnes die steeds moeilijker op te sporen zijn en waarbij soms uiteindelijk een vaak onrealistische losprijs gevraagd wordt die door het ziekenhuis niet betaald wordt. Sommige ziekenhuizen zijn ook al het slachtoffer geworden van een meer gerichte en ernstige cyberaanval, waarbij ook losgeld geëist werd. De nodige controles en maatregelen zijn ingevoerd en er zijn de afgelopen jaren geen gegevens verloren gegaan in de Brusselse ziekenhuizen. Meer details kan ik u niet geven omdat de ziekenhuizen, net als de meeste ondernemingen trouwens, zeer discreet zijn over dat delicate onderwerp zolang er geen significante gevolgen zijn voor hun medische en zorgactiviteiten.
Begin 2022 hebben wij in het kader van de IMC Volksgezondheid een protocolakkoord ondertekend waarin de federale overheidsdienst belast wordt met het voorstellen van een aanpassing van de vereisten van het ziekenhuisnoodplan (ZNP) om met name rekening te houden met de lessen van de pandemie, maar ook met de toenemende dreiging van cyberaanvallen. Wanneer dat werk voltooid is, wat gepland is voor 2024, als de inspectiediensten van de GGC zullen nagaan of de ziekenhuizen het ZNP goed voorbereid hebben, zullen ze ook de criteria in verband met de bescherming tegen cybercriminaliteit kunnen nagaan.

Intussen hebben bepaalde ziekenhuizen al geanticipeerd op die toekomstige eis van het ZNP, zoals het UMC Sint-Pieter waarvan u deze maand de tegenslag vermeldt. Vorig jaar had het al een reactie-en aanpassingsplan voor cyberaanvallen ingevoerd. U zult gemerkt hebben dat het plan heel doeltreffend was: de spoeddienst was een paar uur gesloten, de informaticatoepassingen waren minder dan 24 uur niet beschikbaar en er lagen al papieren dragers klaar voor de zorgkundigen voor het geval dat. Vervolgens was alles in minder dan 48 uur weer in orde, ook al gebeurde het voorval in een weekend.
Dat is heel wat anders dan de schade die maandenlang werd toegebracht aan onvoorbereide ziekenhuizen zoals Vivalia vorig jaar ... We mogen, denk ik, best trots zijn op en dankbaar zijn voor onze Brusselse ziekenhuizen, die blijkbaar beter bewapend en voorbereid zijn dan andere ziekenhuizen.

Ten slotte subsidiëren we, buiten de ziekenhuizen, waar we dus niet veel speelruimte hebben op het gebied van informaticabeveiliging, de vzw Abrumet, die zorgt voor de hosting en de uitwisseling van gegevens tussen de ziekenhuizen en de andere gezondheidsactoren. In het kader van die financiering hebben we vanaf het begin van de legislatuur aan hen aangegeven dat de veiligheid van het netwerk onze eerste prioriteit was. Het is de bedoeling dat ons informaticanetwerk voor gezondheid het label ISO27001 krijgt, dat simulatie en weerstand tegen aanvallen omvat.”



Als aanvulling op die informatie die op 30 maart in de commissie verstrekt is, kan ik u ook de volgende laatste elementen meegeven:
- Na de ondertekening van het protocolakkoord tijdens de IMC Volksgezondheid werden een stuurgroep en werkgroepen met deskundigen en vertegenwoordigers van de ziekenhuizen opgericht, waaronder een werkgroep voor de voorbereiding en een andere werkgroep voor de respons op cyberaanvallen. Het is het federale niveau dat die werkgroepen leidt. De resultaten ervan worden dus tegen 2024 verwacht.
- Wat het label ISO27001 betreft, dat geldt dus voor Abrumet en niet voor de ziekenhuizen zoals u in uw vraag vermeldt. Abrumet is de kluis van de Brusselse huisartsen voor gezondheidsgegevens en het aanspreekpunt voor artsen en patiënten die willen weten in welk ziekenhuis hun gezondheidsgegevens opgeslagen zijn.
- Overeenkomstig de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren kan elk ziekenhuis weliswaar beschikken over een veiligheidsplan met algemene en specifieke maatregelen, maar dat blijft strikt vertrouwelijk.