Zeker vijftien Nederlandse ziekenhuizen hebben de afgelopen drie jaar ransomware-aanvallen gehad. In één ziekenhuis werden maar liefst 75 computers geïnfecteerd met ransomware, blijkt uit een rondgang van de NOS onder vijfentwintig ziekenhuizen.

"Dit is een heel ernstig signaal", zegt beveiligingsonderzoeker Sijmen Ruwhof, die zelf in opdracht van verschillende ziekenhuizen de digitale veiligheid onderzocht. "Ransomware is eigenlijk een schot hagel. Een toevalstreffer", zegt Ruwhof. "Kun je nagaan wat er gebeurt als hackers proberen gericht een Nederlands ziekenhuis te treffen."

Volgens de Nederlandse Vereniging van Ziekenhuizen moeten ziekenhuizen dan ook meer investeren in digitale beveiliging. "De afgelopen jaren was er veel aandacht voor het beheersen van kosten, en dat heeft er soms toe geleid dat er te weinig aandacht was voor ict", zegt voorzitter Yvonne van Rooy.

Polikliniek
Met een ransomware-aanval 'gijzelen' hackers bestanden, die ze pas ontsleutelen als het doelwit geld betaalt. Doordat de ziekenhuizen bijna dagelijks back-ups maken, hoefde er geen losgeld te worden betaald en ging er maar een klein beetje informatie verloren. Eén ziekenhuis meldt dat er als gevolg van de aanvallen vertragingen zijn geweest op een polikliniek.

De gevolgen hadden veel groter kunnen zijn. In mei werden in het Verenigd Koninkrijk zeven ziekenhuizen getroffen door het Wannacry-virus, waardoor hele afdelingen stil kwamen te liggen. Ook in Duitsland moest een ziekenhuis vorig jaar wekenlang zonder internet werken, omdat het getroffen was door het virus. Operaties moesten toen worden uitgesteld.

"Bij ons heeft dat niet tot grote problemen geleid", zegt bestuurslid Hugo Keuzenkamp van het Westfriesgasthuis in Hoorn, dat drie keer is getroffen door ransomware. Het ziekenhuis krijgt via e-mail op een doorsnee dag zo'n 85 virussen binnen, waarvan het overgrote deel met succes wordt afgeweerd.

Patiëntgegevens
Een ander risico is dat hackers patiëntgegevens buitmaken. Bij de meeste ziekenhuizen is dat voor zover bekend niet gebeurd. Twee ziekenhuizen zeggen niet te weten of er bij een aanval ook gegevens zijn buitgemaakt. Ziekenhuizen bewaren veel gevoelige gegevens, zoals over medische aandoeningen.
In vergelijking met bijvoorbeeld banken lopen ziekenhuizen nog ver achter, terwijl het belang om hackers buiten te houden vergelijkbaar is
Beveiligingsonderzoeker Sijmen Ruwhof
Om situaties zoals in het Verenigd Koninkrijk te voorkomen zou digitale veiligheid in het ziekenhuis veel belangrijker moeten worden, vindt Ruwhof. "In vergelijking met bijvoorbeeld banken lopen ziekenhuizen nog ver achter, terwijl het belang om hackers buiten te houden vergelijkbaar is."

Windows XP
Uit de rondgang blijkt dat veel ziekenhuizen inderdaad worstelen met de digitale veiligheid. Zo maken veertien van de vijfentwintig ziekenhuizen in een gedeelte van het ziekenhuis nog gebruik van besturingssysteem Windows XP.

Dat maakt een ziekenhuis kwetsbaar voor hackers, omdat er voor Windows XP geen beveiligingsupdates meer beschikbaar zijn, tenzij klanten bijbetalen voor software-updates. Slechts één ziekenhuis geeft aan dat te doen. Zonder beveiligingsupdates worden gaten in de software die door hackers worden ontdekt, niet opgelost.

Verouderde apparatuur
De oorzaak van het probleem ligt bij verouderde medische apparatuur, zoals MRI-scanners, die alleen maar draaien op Windows XP. "Ziekenhuizen kunnen dan vaak niet updaten, omdat de computer met Windows XP ingebouwd is", zegt hoogleraar computerbeveiliging Bart Jacobs. "Als de fabrikant die niet wil updaten, blijf je dus die oude Windows-versie gebruiken."

Het Westfriesgasthuis heeft 75 van dat soort apparaten staan. "De software van deze apparatuur werkt prima, maar draait alleen op Windows XP", zegt Keuzenkamp. Het gaat daarbij bijvoorbeeld om een apparaat dat hersenscans maakt en dat is afgeschermd van internet.

Omdat de apparatuur nog niet oud genoeg is om te vervangen, kiezen de meeste ziekenhuizen ervoor om de oudere medische apparatuur met Windows XP dan maar te ontkoppelen van het internet of het internetverkeer te filteren. "Je moet daar een hele goede firewall omheen zetten", zegt Jacobs.

Meerdere ziekenhuizen geven aan ervan te balen afhankelijk te zijn van leveranciers van apparatuur. "Ziekenhuizen zouden er erg bij gebaat zijn als leveranciers worden verplicht om medische apparatuur te voorzien van beveiliging en updates daarvan", aldus een van de ziekenhuizen.
Ik geef liever geld uit aan verpleegkundigen dan aan firewalls en virusscanners, maar je ontkomt er niet aan
Hugo Keuzenkamp, Westfriesgasthuis.
Van Rooy van de Vereniging van Ziekenhuizen verwacht dat ziekenhuizen de komende jaren meer geld zullen uitgeven aan ict en computerbeveiliging. Hoogleraar Jacobs vindt dat een goed idee. "Ziekenhuizen hebben nu beperkte budgetten voor dit soort problemen", zegt hij. "Meer geld is niet de absolute oplossing, maar kan wel helpen."

Dat denkt ook Keuzenkamp van het Westfriesgasthuis. "Ik geef liever geld uit aan verpleegkundigen dan aan firewalls en virusscanners, maar je ontkomt er niet aan."
Waarom anoniem?
De ziekenhuizen die mee hebben gedaan aan het onderzoek doen dat onder de strikte voorwaarde dat ze anoniem kunnen blijven. "Als we uitleggen waar we kwetsbaar zijn, trekken we de aandacht van hackers", aldus een woordvoerder van een academisch ziekenhuis. Twintig andere ziekenhuizen lieten weten vanwege de gevoeligheid ook anoniem niet mee te willen doen.