D66 heeft Kamervragen gesteld over de cyberaanval op ChipSoft. De Kamerleden Marc Vervuurt en Sarah El Boujdaini vragen het kabinet om snel een actueel beeld te geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt. Rond de cyberaanval bestaat veel onduidelijkheid; de epd-leverancier verstrekt zeer summier informatie.
Bovendien willen de twee Kamerleden weten in hoeverre deze aanval gevolgen heeft (gehad) voor de continuïteit van zorg. Te denken valt aan verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening en het moeten overschakelen op noodprocedures.
Ook vragen ze of er aanwijzingen bestaan dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd. Verder wordt een oordeel gevraagd over de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-it, en hoe de risico’s daarvan worden beperkt.
D66 oppert de mogelijkheid aanvullende eisen te stellen aan leveranciers van kritieke zorg-it, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten. Ook moet worden gewerkt aan het verminderen van ‘single points of failure’ in de digitale infrastructuur van de zorg.
Offline
ChipSoft heeft afgelopen woensdagavond uit voorzorg meerdere eigen systemen offline gehaald na de ransomware‑aanval die het bedrijf dinsdag trof. Het gaat onder meer om Zorgportaal, HiX Mobile, HAS Relay en Zorgplatform. Donderdagochtend is de Nederlandse leverancier van software voor elektronische patiëntendossiers begonnen de diensten gefaseerd weer beschikbaar te maken. Zo meldt Tweakers op basis van een bericht dat ChipSoft aan klanten heeft verstuurd. Een aantal klanten heeft inmiddels nieuwe cryptografische sleutels gekregen om veilig verbinding te kunnen leggen met zijn systemen.
Omdat de hackers in de systemen van ChipSoft hebben gezeten, kunnen ze de oude digitale sleutels hebben gezien. En als een sleutel mogelijk is ingezien, wordt ervan uitgegaan dat hij niet meer veilig is. Nu het vertrouwen ontbreekt, worden alle sleutels vervangen.
ChipSoft adviseert klanten om alle beheeraccounts van nieuwe wachtwoorden te voorzien. Daarnaast waarschuwt het getroffen bedrijf om voorlopig geen hotfixes te installeren, waarschijnlijk omdat daarin besmette code kan zitten. Ook bevestigt het Amsterdamse bedrijf nu voor het eerst expliciet dat het om een ransomware‑aanval gaat; eerder sprak het bedrijf nog slechts van een ‘data-incident’.
Beperkt bereikbaar
Hoe lang de storing nog zal duren, is vooralsnog niet duidelijk. ChipSoft erkent dat de bereikbaarheid momenteel beperkt is, omdat alle capaciteit wordt ingezet om het incident te onderzoeken en de schade te beperken. Het bedrijf benadrukt dat het alles op alles zet om de dienstverlening zo snel mogelijk te herstellen. Op dinsdag 7 april hadden al elf ziekenhuizen hun digitale patiëntenportaal uit voorzorg offline gehaald. Ook werd in een aantal gevallen de verbinding met ChipSoft en ook met andere ziekenhuizen (tijdelijk) verbroken. De website van het bedrijf is al dagen uit de lucht.
De medische wereld, die voor de ondersteuning van besluitvorming, workflow en interactie sterk afhankelijk is van ChipSoft, tast in het duister over de precieze gevolgen. Zo is onduidelijk of er (medische) gegevens zijn ontvreemd bij de epd-leverancier.
Non-communicatie
Vraagtekens worden gezet achter de wijze waarop ChipSoft meent te moeten communiceren. Pers wordt vermeden. De woordvoering stelt ‘alleen met klanten te communiceren’. Zelfs Z-Cert, het landelijke cybersecurity-expertisecentrum voor de zorgsector in Nederland, beklaagde zich tegenover persbureau ANP over een gebrek aan informatie. Het centrale knooppunt dat de zorg helpt cyberaanvallen te voorkomen, te detecteren en te bestrijden, sprak van een moeizaam contact. Overigens is het zogenaamde expertisecentrum zelf ook niet scheutig om commentaar. Gevraagd naar een reactie komt Z-Cert na een dag wachten met de inhoudsloze mededeling: ‘Op dit moment richten wij ons op het ondersteunen van zorginstellingen die gebruik maken van ChipSoft. Wij hebben nu geen inhoudelijke toevoegingen naast het bericht op onze website.’
Het duurde ook een aantal dagen voordat ChipSoft toegaf te zijn getroffen door ransomware. Eerder hield het bedrijf het op een data-incident. Niet duidelijk is of de aanvallers losgeld hebben gevraagd en in hoeverre ChipSoft bereid is op hun eisen in te gaan.
Omvang onduidelijk
Ook over de omvang van de hack is weinig naar buiten gebracht. Ziekenhuizen merken de gevolgen van de hack vooral achter de schermen. Een aantal ziekenhuizen en huisartsen moest voor het inplannen van afspraken toevlucht nemen tot ‘ouderwetse’ e-mail. Ze konden voor verwijzingen geen beroep doen op de gebruikelijke Chipsoft-planningssystemen. Meerdere klanten van ChipSoft hebben bij de Autoriteit Persoonsgegevens (AP) meldingen gedaan van een datalek.
ChipSoft beheerst met de software voor elektronische patiëntgegevens ongeveer driekwart van de Nederlandse markt. Door de verbondenheid van de systemen heeft een aanval op dit bedrijf repercussies voor vrijwel de hele zorgsector. Gecentraliseerde sleutels maken de zorg extra kwetsbaar. Door het incident is discussie ontstaan over de vraag of het niet verstandiger is de controle over de toegang tot systemen te decentraliseren.
