Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1991

van Tom Ongena (Open Vld) d.d. 25 april 2023

aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, toegevoegd aan de Eerste Minister

Cybersecurity - Cyberaanvallen - Statelijke actoren - Ziekenhuizen - Cijfers en tendensen - Bescherming - Maatregelen

informatieoorlog
informatiebeveiliging
ziekenhuis
computerpiraterij

Chronologie

25/4/2023Verzending vraag (Einde van de antwoordtermijn: 26/5/2023)
26/5/2023Antwoord

Ook gesteld aan : schriftelijke vraag 7-1988
Ook gesteld aan : schriftelijke vraag 7-1989
Ook gesteld aan : schriftelijke vraag 7-1990

Vraag nr. 7-1991 d.d. 25 april 2023 : (Vraag gesteld in het Nederlands)

Pro-Russische DDoS-aanvallers hebben het gemunt op Nederlandse ziekenhuizen, stelt Z-Cert, een samenwerkingsverband van ziekenhuizen voor digitale beveiliging. Begin dit jaar werden enkele ziekenhuizen getroffen door DDoS (distributed denial of service) aanvallen. De aanvallers hadden onder meer het University Medical Center Groningen (UMCG) als doelwit. De website van dat ziekenhuis viel regelmatig uit ; een woordvoerder liet weten dat de aanval in golven leek te komen (cf. https://nos.nl/artikel/2461833-pro-russische-ddos-aanvallers-hebben-het-gemunt-op-nederlandse-ziekenhuizen).

«Het gaat om een aanval vanuit de groep «Killnet», in samenwerking met andere aanvallers», liet een woordvoerder van Z-Cert weten.

«Killnet» heeft het volgens RTL Nieuws daarnaast gemunt op ziekenhuizen in onder andere Duitsland, Spanje, de Verenigde Staten en het Verenigd Koninkrijk. Het motief van de groep is de steun van deze landen aan Oekraļne in de oorlog tegen Rusland. «Killnet» is een cybercrimegroep die vaker DDoS-aanvallen uitvoert. Eerder waren er bijvoorbeeld aanvallen tegen Duitse luchthavens, overheidsorganen en financiėle instellingen, meldt «Security Week». In oktober 2022 waren er DDoS-aanvallen tegen Amerikaanse vliegvelden.

Dit is niet enkel bij onze noorderburen het geval. In 2021 waren criminelen erin geslaagd om virussen binnen te smokkelen in het IT-systeem van een ziekenhuis in Mol, vermoedelijk via een e-mail. Er waren geen gegevens gestolen, de medische info van de patiėnten was dus niet gelekt, maar de virussen hadden wel heel wat systemen platgelegd (cf. https://www.vrt.be/vrtnws/nl/2021/02/03/cyberaanval-op-heilig-hartziekenhuis-mol-geen-patienten-in-geva/).

Uit een interview met de directeur van dat ziekenhuis, in overleg met de betrokken IT («information technology») diensten, werd de link gelegd met Rusland (cf. https://www.numerikare.be/nl/nieuws/beroepsnieuws/russen-aan-basis-hacking-ziekenhuis-mol-dr-ivo-jacobs.html). «IT-deskundigen hebben hier veel ervaring mee, en ze schatten in dat het om Russen zou gaan. Hacken van westerse bedrijven is in Rusland een legale activiteit. Zij kunnen dat via chique kantoren in Moskou. Daarvan viel ik eerlijk gezegd toch wat achterover, dat is shockerend!», aldus de directeur. Hoewel Rusland pas in februari 2022 tot een grootscheepse aanval in Oekraļne zou overgaan, werden we daarvoor evenzeer reeds door hen aangevallen.

Vorig jaar werd in Australiė in verband met de Oekraļneoorlog ook een grootscheepse gegevensdiefstal uitgevoerd door Russische hackers. De hackers slaagden erin de data van bijna tien miljoen mensen te bemachtigen, waaronder die van de eerste minister Anthony Albanese. De Australische politiecommissaris Reece Kershaw stelde dat een groep cybercriminelen de hack vanuit Rusland had uitgevoerd. Volgens Kershaw zat de «losjes gelieerde groep» ook achter grote cyberaanvallen in landen over de hele wereld. Australiė zegt contact te zoeken met de Russische autoriteiten over de groep (cf. https://www.hln.be/nieuws/russische-hackers-stelen-medische-data-van-australische-premier-en-tien-miljoen-landgenoten~abee6317/?referrer=https%3A%2F%2Fwww.google.be%2F).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriėle Conferentie, waarop ook de politionele en justitiėle spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Zijn er reeds aanwijzingen dat Russische hackerscollectieven zoals «Killnet» of andere aanverwante organisaties Belgiė in het vizier hebben, aangezien Belgiė onderdeel is van de Noord-Atlantische Verdragsorganisatie (NAVO) en Oekraļne steunt? Zo ja, welke diensten gaven dit aan? Hoe concreet zijn deze aanwijzingen? Hoeveel aanwijzingen waren het? Hoe wordt hierop gereageerd? Welke doelwitten worden genoemd? Zijn er reeds extra maatregelen getroffen voor deze sectoren?

2) Wat zijn volgens u specifieke kwetsbaarheden in de Belgische ziekenhuizen die Russische hackers zouden kunnen uitbuiten? Wat wordt momenteel gedaan om de beveiliging van ziekenhuizen en andere vitale infrastructuur te verbeteren en te beschermen tegen dergelijke cyberaanvallen?

3) Welke maatregelen heeft u tot nu toe genomen om de potentiėle dreiging van Russische hackers tegen Belgische ziekenhuizen aan te pakken? Zijn er plannen of beleidsinitiatieven om de cybersecurity van ziekenhuizen en andere kritieke sectoren in Belgiė te versterken?

4) Kan u inschatten waarom in Nederland hackers ziekenhuizen aanvielen? Had dit te maken met het verstoren van de activiteiten (waarbij potentieel levens in gevaar zouden kunnen komen), het inwinnen van inlichtingen (inzage krijgen in medische dossiers van bepaalde personen), een «testcase» (testen van beveiliging van gevoelige infrastructuur), of andere beweegredenen?

5) Is er samenwerking met andere Europese landen en internationale partners om de dreiging van Russische hackers tegen de gezondheidszorgsector aan te pakken? Wat zijn de lopende initiatieven of samenwerkingsverbanden om gezamenlijk te reageren op deze cyberdreiging?

6) Op welke wijze worden de ziekenhuizen in Belgiė ondersteund met het opbouwen van eigen cybersecuritymaatregelen om zo zichzelf te beschermen tegen cyberaanvallen, in het bijzonder die van Russische hackers? Zijn er middelen of subsidies beschikbaar gesteld om de cybersecuritycapaciteit van de gezondheidszorgsector te versterken? Zo ja, hoeveel en welke?

7) Welke rol speelt de overheid bij het bevorderen van bewustwording en opleiding op het gebied van cybersecurity in de gezondheidszorgsector? Worden er programma's of initiatieven overwogen om het bewustzijn en de kennis van cyberdreigingen te vergroten bij ziekenhuispersoneel, het aanverwante IT-personeel en andere betrokkenen? Welke maatregelen wilt u nemen om de cybersecurity van de gezondheidszorgsector te waarborgen en te versterken, om zo de nationale veiligheid te beschermen? Welke maatregelen heeft u reeds genomen en hoe evalueert u ze?

8) Hoe worden de inlichtingen- en veiligheidsdiensten in Belgiė betrokken bij het monitoren en bestrijden van cyberdreigingen, in het bijzonder Russische dreigingen? Wat zijn de mechanismen voor samenwerking en informatie-uitwisseling tussen de verschillende betrokken instanties?

Antwoord ontvangen op 26 mei 2023 :

Hieronder vindt u de elementen van het antwoord die door het Centrum voor cybersecurity België (CCB) werden meegedeeld.

1) De meest recente cyberaanvallen op zorgorganisaties over de hele wereld lijken vooral plaats te vinden in landen die bondgenoten zijn van Oekraïne in het lopende conflict met Rusland. Aangezien ziekenhuizen momenteel echter niet onderworpen zijn aan de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS-wet) die dienstverleners verplicht cyberincidenten te melden aan het Centrum voor cybersecurity België (CCB), kunnen wij niet met zekerheid bevestigen dat dit heeft geleid tot een toename van het aantal pogingen tot en feitelijke cyberaanvallen op de ziekenhuissector begin 2023. De bevoegde autoriteiten in de sector beschikken wellicht over meer informatie hierover.

2) Het verkopen van gestolen inloggegevens, phishing, algemene kwetsbaarheden in software zoals Microsoft Word, Adobe PDF reader, enz., die misbruikt kunnen worden door phishing en misbruik van oude kwetsbaarheden die niet zijn gepatcht, zijn kwetsbaarheden die het CCB specifiek opmerkt voor Belgische ziekenhuizen.

Voor de beveiliging van de ziekenhuizen en andere vitale infrastructuur tegen cyberaanvallen verwijzen we naar onderstaande antwoorden.

3) Zoals bij elke bedreiging voor een organisatie die in België als een OSI (Organisation of Special Interest) is geclassificeerd, waar de gezondheidszorg deel van uitmaakt, beschikt het CCB over procedures en processen om te reageren op een vroegtijdige waarschuwing van een geloofwaardige bron of bronnen, plus een protocol voor het adviseren van degenen die mogelijk hulp nodig hebben bij een vermoedelijk incident, en ook de technische expertise om een slachtoffer dat hulp nodig heeft bij te staan. Het CCB verfijnt voortdurend de preventie- en reactiemethoden door deskundige opleiding, toepassing van de beste onderzoeksinstrumenten en geavanceerde detectiecapaciteiten om potentiële aanvallen te verijdelen.

Wat toekomstige maatregelen betreft, zullen ziekenhuizen onder de nieuwe Europese richtlijn voor netwerk en informatieveiligheid (de zogenaamde NIS-2-richtlijn) vallen. Het CCB neemt de leiding in de voorbereidingen voor de omzetting en implementatie van de NIS-2-richtlijn. Deze richtlijn vraagt lidstaten om de bestaande regels voor aanbieders van essentiële diensten en digitale dienstverleners uit te breiden ten opzichte van de huidige wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid. Alle zorginstellingen van ons land van grote of middelgrote omvang zullen in de toekomst moeten voldoen aan de nieuwe regels, die onder meer betrekking hebben op het beheer van cyberrisico’s en de notificatie van incidenten. In de NIS-2-richtlijn wordt bepaald dat entiteiten zullen moeten beschikken over plannen voor incidentenbeheer, over activiteitencontinuïteitsplannen en crisisbeheersplannen, beleidsmaatregelen en procedures om de doeltreffendheid van deze maatregelen te beoordelen, alsook beleidsmaatregelen inzake het gebruik van cryptografie, de beveiliging van personeel, het gebruik van passende authenticatiesystemen en het beheer van de bevoorradingsketen. Daarnaast zullen entiteiten ook significante incidenten moeten melden aan het CCB. De Europese richtlijn werd op 14 december 2022 gepubliceerd en zal voor eind 2024 worden omgezet in nationale wetgeving. Pas dan zullen deze verplichtingen van kracht worden voor de nieuwe entiteiten.

Het CCB werkt nu al aan de bewustmaking van alle relevante actoren binnen de overheid om de opbouw van cybercapaciteit aan te moedigen, nog voordat het rechtskader verandert.

4) Het Centrum voor cybersecurity heeft de details van de aanvallen in Nederland niet van dichtbij opgevolgd. In het algemeen merken we op dat ziekenhuizen worden aangevallen uit financiële beweegredenen (ziekenhuizen kunnen niet hun activiteiten stilleggen waardoor ransomware sneller wordt betaald), uit politieke beweegreden (om middelen van een land ergens anders heen te dwingen) of om onderzoek informatie te verzamelen (opgemerkt tijdens Covid-19).

5) De uitwisseling van informatie over cyberincidenten tussen het CCB en zijn Europese tegenhangers vindt structureel plaats binnen het Computer Security Incident Response Team (CSIRT)-netwerk. Dit netwerk, dat in 2016 bij de richtlijn inzake netwerk- en informatiebeveiliging (NIS) is opgericht, maakt operationele samenwerking tussen de Cyber Emergency Response Teams (CERT) van alle lidstaten en de uitwisseling van algemene en specifieke informatie over cyberdreigingen, kwetsbaarheden en incidenten mogelijk. In sommige gevallen (op verzoek van een lidstaat) kan het netwerk zelfs een gecoördineerde reactie op een cyberincident met grensoverschrijdende gevolgen overwegen.

6) Het CCB heeft ook een Early Warning System (EWS), van waaruit het aanbieders van essentiele diensten en ook belangrijke zorginstellingen vroegtijdige en gerichte waarschuwingen stuurt over belangrijke kwetsbaarheden en dreigingen. Via een gedeeld platform hebben deze organisaties toegang tot gefilterde waarschuwingen voor intrusies en andere cyberdreigingen. Zo kunnen zij snel informatie ontvangen van een betrouwbare bron en vervolgens snel actie ondernemen. Het CCB ontvangt immers alle relevante dreigingsinformatie van zijn partners. Het analyseert voortdurend deze ontvangen informatie en verstuurt waarschuwingen. In het eerste kwartaal van dit jaar stuurde het CCB via zijn Early Warning System al meer dan 2800 waarschuwingen. Het CCB plant om verschillende van deze waarschuwingsdiensten vanaf het einde van dit jaar aan te bieden aan alle organisaties in ons land, via een nieuw portaal. Zo zullen alle entiteiten betrokken bij gezondheidszorg in België hiervan kunnen genieten. Het doel van de initiatieven van het CCB is organisaties te helpen zowel menselijke als technische kwetsbaarheden aan te pakken.

7) Elke organisatie, of zij nu publiek of privaat is, is verantwoordelijk voor haar eigen cyberbeveiliging. Het Centrum voor cybersecurity België (CCB) speelt echter een coördinerende rol en kan ondersteuning bieden in de vorm van informatie, tools en advies. Deze richtlijnen bieden hulp aan verwerkingsverantwoordelijken maar ook aan beveiligingsadviseurs, gegevenscontroleurs en IT-managers.

Om entiteiten toe te laten hun databeschermingsstrategieën op een proportionele manier op te bouwen heeft het CCB het CyberFundamentals kader ontwikkeld en publiek beschikbaar gesteld. Dit kader heeft tot doel organisaties de mogelijkheid te bieden om niet alleen hun cyberveiligheid te verbeteren, maar dit zal in de toekomst ook toelaten om de degelijkheid van de beschermingsmaatregelen via een geaccrediteerde conformiteitsbeoordeling te controleren en aantoonbaar te maken aan klanten en overheden. Dit raamwerk laat niet enkel toe om deze toe te passen op vrijwillige basis, maar ze kan ook gebruikt worden in een wetgevend kader dat dergelijke controles zou opleggen aan bepaalde entiteiten.

8) Het Platform Cybersecurity van het Coördinatiecomité voor inlichtingen en veiligheid (CCIV) biedt inlichtingen- en veiligheidsdiensten de mogelijkheid om het beleid inzake cyberveiligheid te bespreken en informatie uit te wisselen over situationeel bewustzijn.