In Nederland lijken veel ziekenhuizen nog steeds kwetsbaar te zijn voor cyberaanvallen. Hoewel de zorginstellingen zich steeds bewuster zijn van de gevaren, neemt tegelijkertijd de dreiging van gijzelsoftware toe (cf. https://www.nu.nl/tech/6178900/ziekenhuizen-kwetsbaar-voor-cyberaanval-wachten-totdat-het-misgaat.html).

Bij gijzelsoftware, ook wel «ransomware» genoemd, worden bestanden en systemen versleuteld. Vervolgens wordt losgeld geëist om deze weer toegankelijk te maken. Wanneer computerkrakers («hackers») systemen van ziekenhuizen platleggen, zou het bijvoorbeeld zo kunnen zijn dat patiënten naar andere locaties verplaatst moeten worden of operaties niet kunnen doorgaan.

Ziekenhuizen hebben wel experten in de informatie- en communicatietechnologie in dienst, maar vaak hebben zij niet voldoende kennis of tijd om actief te monitoren of er computerkraker op het netwerk zitten. Ook maken veel ziekenhuizen gebruik van verouderde apparatuur. Omdat deze apparaten verouderd zijn, worden ze niet altijd meer ondersteund door de leveranciers. Dat houdt in dat er geen geactualiseerde versie van de software meer wordt uitgebracht, wat de apparaten kwetsbaar maakt voor cyberaanvallen.

Het aantal wereldwijde cyberaanvallen op ziekenhuizen was vorig jaar op twee maanden tijd met zo'n 45 % gestegen. Dat meldt de cyberbeveiliger Check Point. In België heeft al zo'n 65 % van alle ziekenhuizen met een digitale kraakpoging te maken gehad (cf. https://www.computable.be/artikel/nieuws/zorg/7124027/5440850/twee-derde-belgische-hospitalen-kreeg-cyberaanval.html).

Dat specifiek ziekenhuizen de jongste maanden in het vizier lopen van cybercriminelen, heeft een eenvoudige reden: ze zijn aantrekkelijke doelwitten omdat ze in het huidige klimaat sneller bereid zijn om te voldoen aan de eisen van gijzelsoftware. De primaire gijzelsoftware-variant die wordt gebruikt bij de cyberaanvallen is «Ryuk», gevolgd door «Sodinokibi». Volgens een veiligheidsexpert bewijst dat de trend om meer gerichte en op maat gemaakte gijzelsoftware-aanvallen in te richten, in plaats van een massale spamcampagne te gebruiken.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Zou u een overzicht kunnen geven over het aantal ziekenhuizen dat getroffen is door een cyberaanval? Hoeveel zijn er dit in de jongste vijf jaar? Welke type aanval was dit (DDOS, gijzelsoftware-aanval, enz.)? Hoeveel bedraagt de totale geraamde financiële schade? In hoeveel gevallen is de continuïteit van de zorg in gevaar gekomen als gevolg van een cyberaanval?

2) Zijn er reeds signalen geweest die stellen dat de zorgsector qua digitale beveiliging achterloopt op andere sectoren? Indien ja, van wie kwamen deze signalen? Hoe werd hierop gereageerd?

3) Vanuit welk land zijn de meeste aanvallen afkomstig? Hoeveel van dit soort aanvallen zijn afkomstig uit België? Welke methodes worden het meest gebruikt? Met welk doel worden deze acties opgezet? Zijn er patronen te onderscheiden?

4) Behalve gijzelsoftware-aanvallen, met welke andere soort aanvallen heeft men nog te maken gehad in de ziekenhuizen? Hoe werd hierop gereageerd? Werden de daders ooit gevat? Indien ja, wat waren hun straffen?

5) Welke plannen hebben onze overheden om onze digitale infrastructuren weerbaarder te maken tegen georganiseerde aanvallen? Hoe ver staan ze reeds hierin? Wat staat er nog gepland? Hangt dit grotendeels samen met de software, of wordt ook de hardware aangepakt of vervangen (vernieuwd)? Waarom?

1) De Algemene Nationale Gegevensbank (ANG) is een politiedatabank waarin feiten geregistreerd worden op basis van processen-verbaal die voortvloeien uit de missies van de gerechtelijke en bestuurlijke politie. Zij laat toe om tellingen uit te voeren op verschillende statistische variabelen, zoals het aantal geregistreerde feiten, de modus operandi, de voorwerpen gehanteerd bij het misdrijf, de gebruikte vervoermiddelen, de plaatsbestemming, enz.

Op basis van de informatie uit de ANG is het mogelijk om twee specifieke vormen van informaticacriminaliteit die wijzen op een «cyberaanval» uit de politiedatabank te extraheren, zijnde «hacking» en «sabotage».

De onderstaande tabel bevat het aantal door de politiediensten geregistreerde feiten voor deze twee bovenstaande misdrijven, waarbij de pleegplaats een «Ziekenhuis/Polykliniek» was volgens de processen-verbaal.

Het betreft de gegevens op het nationale niveau voor de volledige jaren 2017 tot en met 2020, alsook voor het eerste semester van 2021. Voor het tweede semester van 2021 zijn nog geen definitieve cijfers beschikbaar.

Tabel 1 : Aantal geregistreerde feiten inzake ICT hacking en sabotage in ziekenhuizen

Bron: federale politie.

2) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium (CCB) rapporteert.

3) In het algemeen is het bij cyberaanvallen wel zo dat, alhoewel de gebruikte tools en tactieken variëren tussen verschillende actoren en doorheen de tijd, er enkele grote fases kunnen worden onderscheiden bij de opbouw van zo’n aanval. Eén theoretisch model dat in dit verband veel wordt gehanteerd in de cybersecurity industrie is het MITRE ATT&CK framework (https://attack.mitre.org). Zulke modellen kunnen helpen om inzicht te verwerven in de algemene werkwijze van cybercriminelen, ongeacht de specifieke technologieën of kwetsbaarheden waarvan ze gebruik maken.

Wat de specifieke onderzoeken betreft kunnen we, omwille van het geheim van het onderzoek, geen details verstrekken. Uit de voor ons beschikbare gegevens komen geen eenduidig daderprofiel of eenduidige modus operandus naar voor. Bovendien leiden ook niet alle onderzoeken tot de identificatie van de dader(s), waardoor het moeilijk is om generalistische uitspraken te doen over hun herkomst, technieken of motieven.

4) Het geachte lid zal een deel van het antwoord op deze vragen vinden in de tabel die is gehecht aan het antwoord op vraag 1). Voor het overige valt deze parlementaire vraag niet onder mijn bevoegdheden, maar behoort tot die van de minister van Justitie.

5) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium (CCB) rapporteert.