Hoe reageer je als er een cyberaanval is, wanneer de emoties hoog oplopen en het risico steeds groter wordt? Dat lees je in dit Klantverhaal.
Voor dit klantverhaal interviewden we medisch manager Bunna Damink-Koster van Bravis Ziekenhuis. In het ziekenhuis heeft Bunna binnen het cluster MICT (Medische, Informatie- en CommunicatieTechnologie) het aandachtsgebied kwaliteit en (informatie)veiligheid. Daar hebben we afgelopen jaar samen een verbeteringsslag in gemaakt. Wat daarbij de uitdaging was en hoe we dat hebben opgelost lees je in dit klantverhaal.
Wat was de uitdaging van Bravis Ziekenhuis?
We hebben recent de technische kant van informatiebeveiliging een nieuw leven ingeblazen. Daarbij hebben we geanalyseerd wat voor veiligheidsprotocollen en maatregelen al goed waren geïmplementeerd en welke facetten we nog niet hadden ingericht.
Zo hadden we al een aantal preventiemaatregelen getroffen om het netwerk van buitenaf te beschermen. Daarnaast hadden we ook detectiesystemen om te achterhalen of er toch een ongewenst persoon door de beveiliging heen is gekomen en op ons netwerk zit. Tot slot hadden we ook al een calamiteitenplan, maar de insteek hiervan was ziekenhuisbreed opgesteld. Dus, wat doe je bijvoorbeeld met patiënten en werkzaamheden in het geval van een brand of overstroming binnen het ziekenhuis.
Wat er nog ontbrak aan onze informatiebeveiliging was een plan waarin uitgewerkt is wat je als organisatie precies doet als er iemand op het netwerk is binnengedrongen. Wie moet je bijvoorbeeld als eerste bellen? Met welke personen en afdelingen moet je schakelen? Kun je de systemen nog in de lucht houden, of is het beter om deze uit te zetten? En als er contact mogelijk is met een hacker, ga je daar dan zelf mee communiceren, onderhandelen en eventueel losgeld betalen – of laat je dat allemaal over aan een security expert?
Al dat soort vraagstukken hadden we dus nog niet eerder behandeld. Zodoende hadden we dus ook geen duidelijk plan of protocollen om een dergelijke situatie effectief aan te vliegen en een cyberaanval te neutraliseren.
Wat was de oplossing van Simac Cyber Security voor deze uitdaging?
De oplossing voor de uitdaging van Bravis Ziekenhuis was het opstellen van een (cyber) incident response plan. In het najaar van 2023 begonnen we hier samen aan te werken. Allereerst begon Tom samen met een groep uit het ziekenhuis allerlei documenten te verzamelen, zoals het organogram, calamiteitenplan, lijsten van alle typen functies in de organisatie, welke soorten systemen er allemaal worden gebruikt, enzovoort.
Op basis daarvan maakte Tom een opzet van een incident response plan voor Bravis Ziekenhuis. Daarin waren uiteraard nog een hoop “gaten” waarvan we samen de invulling hebben besproken en uitgewerkt.
Hoe is het plan vervolgens tot stand gekomen?
Toen de eerste versie van het plan klaar was stelden Klaas Sytze en Tom voor het plan te testen door middel van een “tabletop sessie”. Daarin kregen we een cybersecurity-casus voorgeschreven met een simulatie van een ransomware-aanval – een situatie waarbij iemand op het Ziekenhuisnetwerk is gedetecteerd die daar niet thuis hoort. Een belangrijke uitdaging daarin is het achterhalen hoe de hacker op het netwerk is binnengedrongen, hoe je voorkomt dat er systemen worden versleuteld en wie je in dit geval moet bellen om te voorkomen dat de situatie verder escaleert en het op te lossen.
Vervolgens moesten we met een team van medisch technologie, systeembeheer, netwerkbeheer, functioneel beheer, technisch applicatiebeheer en de security officer deze casus oplossen. Hierin moest iedereen vanuit zijn of haar rol reageren op de situatie om deze uiteindelijk op te lossen. Dat moest natuurlijk zo veel mogelijk volgens het incident response plan lopen. Daardoor konden we direct testen of het opgestelde plan dekkend was om de situatie op te lossen en of het duidelijk genoeg was.
Uiteindelijk hebben we de situatie opgelost door het ziekenhuis af te sluiten van internet zodat de hacker geen systemen kon overnemen.
De generale repetitie
Twee weken later, op 29 en 31 mei 2024, kregen we de kans om het incident response plan echt onder vuur te leggen tijdens een grote regionale veiligheidsoefening. Hierbij kregen alle ziekenhuizen, GGD, ambulancediensten en andere acute zorgorganisaties in Brabant allemaal een situatie voorgeschoteld met een doorbraak in de beveiliging. Het doel was vooral om te kijken hoe de organisaties zouden samenwerken en communiceren als er bijvoorbeeld een van de ziekenhuizen in de regio uitvalt.
Tijdens deze test kon je kiezen of je de ICT van je organisatie wilde meenemen – wat natuurlijk een uitgelezen kans was voor ons. Zodoende kregen we elk halfuur een briefje met een statusupdate van de situatie. Dat begon met medewerkers die niet op de systemen konden inloggen en eindigde met het complete patiëntendossier dat onbetrouwbaar was geworden. Zo kon je bijvoorbeeld niet meer zeker weten of de geregistreerde bloedgroep of medicatie van een patiënt kloppend was – wat natuurlijk een behandeling zoals een operatie extra risicovol maakt.
Dit scenario was natuurlijk grotendeels fictief, maar we hadden er wel voor gekozen om Klaas Sytze écht te bellen. Hij heeft toen aan de telefoon verteld wat er zou gebeuren; welke acties ze precies zouden ondernemen en hoe lang dat zou gaan duren. Zo zaten we na een halve dag helemaal in de goede richting: we hadden het internet uitgezet, Simac stuurde een fictieve forensisch expert om het netwerk te scannen op indringers, de hacker was uit het netwerk verwijderd, en we waren de juiste patiëntgegevens aan het herstellen middels het terughalen van back-ups.
Al met al hadden we het incident response plan dus goed gevolgd en snel grip gekregen op de situatie. Helaas wilden de spelleiders ons er niet zo makkelijk vanaf laten komen en gingen ze de situatie op het einde van de oefening nog eens extreem escaleren. Hoewel we geen tijd meer hadden om dat op te lossen, hadden we het plan voldoende geoefend en konden we de laatste puntjes op de i zetten om de implementatie van het plan af te ronden.
Hoe verliep de samenwerking?
Die liep goed – ik kan niet anders zeggen. Klaas Sytze en Tom zijn erg betrokken en dat gaf ons een stok achter de deur om aan het plan te werken in plaats van het eindeloos in de planning op te schuiven.
Bovendien leverde Simac goede kwaliteit en hebben we in dit proces geen dubbel werk hoeven verrichten. Daarbij was de tabletop oefening die voor ons ontwikkeld werd niet standaard. Deze was echt afgestemd op onze organisatie en het plan dat we hadden opgesteld en hoe ons team met een dergelijke incident response situatie omging.
Wat heeft het traject Bravis opgeleverd?
We hebben nu een incident response plan staan dat uitgebreid geoefend is. Daarnaast heeft de tabletop sessie ook tot een stuk bewustwording geleid: dat het belangrijk is dat je een veiligheidssituatie samen aanvliegt.
Zo hadden mensen van andere disciplines zonder expertise in veiligheid toch goede ideeën. Daarnaast leverden ze ook belangrijke input dat bepaalde veiligheidsmaatregelen die wij treffen ook invloed hebben op de rest van het ziekenhuis. Het internet afsluiten is bijvoorbeeld een goede methode om een hacker vast te zetten, maar het beperkt ook de ambulance service of de toegang tot patiëntendossiers in het ziekenhuis. Daarvoor hebben we een crisisstructuur in het ziekenhuis die dan besluiten neemt.
Tijdens de grotere regionale oefening konden we dit ook aan de rest van de ziekenhuismedewerkers laten zien. Zo zagen zij dat we echt een gestructureerde aanpak hadden. Op ons intranet is hierover ook een leuk artikel geschreven waarin duidelijk werd dat het fijn was dat we net het incident response plan hadden opgezet, dat we daarmee goed konden reageren op een cyberaanval en dat we daardoor ook weer snel grip konden krijgen op de situatie.
Wat staat er voor de toekomst op de planning?
Van de gehele cyclus van preventie, detectie, respons, en de organisatie weer terug online brengen is er elke keer een onderdeel dat we moeten blijven oefenen. De volgende oefening die op de planning staat is een social engineering casus. Daarin doet iemand zich voor als iemand anders, bijvoorbeeld fysiek aan de balie of via een e-mail of telefoongesprek, en testen we of deze uiteindelijk wordt binnengelaten en of de onbevoegde toegang opgemerkt wordt.
Tot slot realiseren we ons dat we nooit klaar zullen zijn. Cybercriminelen verzinnen steeds weer nieuwe methoden en technieken, en we zullen onze beveiliging ook continu moeten blijven ontwikkelen om de risico’s onder controle te houden. Gelukkig hebben we goede partners die ons hierbij helpen.