Het is een gewone vrijdagmorgen in februari. Tot onze systemen er ineens uit liggen. De mail is niet meer bereikbaar en ook is het niet meer mogelijk om een aantal locaties telefonisch te bereiken. Al vrij snel ontdekken we op onze systemen de melding dat onze zorginstelling het slachtoffer is van een cyberaanval met ransomware.
Door Wiko Vlasblom en Leendert Douma
We doen direct een melding bij de politie, de Autoriteit Persoonsgegevens (AP) en de IGJ, omdat we op dat moment niet kunnen overzien of de veiligheid van onze cliënten in gevaar komt.
Al snel krijgen we via expertisecentrum voor cybersecurity in de zorg Z-CERT de tip om een specialist op het gebied van cybercriminaliteit in te schakelen. We bellen direct met twee partijen en binnen een paar uur zit er iemand bij ons aan tafel. We vormen een kernteam met een vertegenwoordiging van de zorg, de techniek, communicatie en bestuur.
Impact van de aanval
Dezelfde vrijdag gaan we ook met de managers zorg om tafel om de impact van deze ransomware-aanval op onze zorginstelling goed te kanaliseren. We denken na over de continuïteit van zorg, zoals medicatie, eten en drinken, behandelafspraken. Al vrij snel kunnen we weer bij ons EPD. Mensen van de servicecentrum stappen meteen in de auto om medicatielijsten naar verschillende locaties te brengen. We leggen op de afdelingen schriften neer om de belangrijkste dingen toch goed te kunnen vastleggen.
Ook qua communicatie geven we direct openheid van zaken via externe en interne berichtgeving. We willen iedereen goed aangehaakt houden en voorkomen dat geruchten gaan rondzingen. Vanwege de gevoeligheid stemmen we de berichtgeving steeds zorgvuldig af met het kernteam. Ook werken we vanaf het eerste moment met een in- en externe Q&A die we steeds actualiseren.
Tijdens de eerste anderhalve week overlegt het kernteam veel met onze cyberexpert We krijgen al vrij snel overzicht over de impact van de schade. De hackers zijn niet bij de applicaties in de cloud geweest. We kunnen die dus binnen een paar dagen gefaseerd weer gebruiken. De betaling van de salarissen komt dus niet in gevaar.
Onderhandelingen met hackers
De expert start in eerste instantie de onderhandelingen met de hackers op. Daardoor weten we beter wat er allemaal gestolen is. De hackers letten bij het stelen van gegevens op kopieën van identiteitsgegevens en op documenten met een vertrouwelijk karakter.
Zodra we weten welke identiteitsgegevens gestolen zijn, informeren we de betrokkenen via een aangetekende brief. We bieden hen aan op onze kosten een nieuw paspoort te kopen. De hackers vragen enorme bedragen voor de sleutel om het netwerk te herstellen. Vrij snel komen we erachter dat de back-ups niet meer te herstellen zijn via die sleutel. Wel kunnen we een expert inschakelen die in staat is om onze back-ups bijna volledig beschikbaar te maken. Ook lukt het ons met ondersteuning van andere professionals om onze mailserver bijna volledig te herstellen, inclusief alle mailhistorie. Dit maakt dat het onderhandelen met de hackers steeds minder van waarde wordt. We betalen dus ook niet.
Phishing
We ontvangen na de aanval veel support, onder andere vanuit de regio waarin Attent actief is. Daarnaast tonen veel organisaties belangstelling omdat wij de eerste vvt-organisatie in Nederland zijn die is getroffen door een cyberaanval.
Achteraf stellen we vast dat de aanval is gedaan via een gestolen account met een sterk wachtwoord. De oorzaak hiervan kan zijn dat er gereageerd is op phishing of fishing mails. Dit laat zien dat de kwetsbaarheid in een klein hoekje zit.
Media
Aanvankelijk blijven de media stil. Op dinsdag 7 maart, een paar weken na de aanval, publiceert een nieuwszender een artikel. Dat is voor veel media aanleiding om ons te benaderen. Het leidt zelfs tot Kamervragen. We zijn blij met de media-aandacht die cybercriminaliteit in de zorg hierdoor krijgt, maar het stoort ons dat de berichtgeving in het eerste artikel niet bij ons is geverifieerd. Dat vinden wij een zorgelijke ontwikkeling.
Om een voorbeeld te geven: er wordt de suggestie gewekt dat alle gegevens van de Thuiszorg op straat liggen. Dat klopt niet. Wij werken ook voor onze Thuiszorg-cliënten in een beveiligd EPD waar de hackers niet bij kunnen. Maar vanwege de maatschappelijke onrust hebben we met een enorme inspanning in één avond de codes van alle kluisjes van thuiszorg-cliënten aangepast. Als de aanname van de journalisten vooraf met ons was gecheckt, was dit niet nodig geweest.
Ook met de IGJ hebben we meermaals contact. Formeel is het nog niet verplicht om een hack te melden, dit gaat wel veranderen. We voeren constructieve gesprekken met meerdere inspecteurs. Ook de impact van de administratieve verplichtingen in relatie tot de tijd voor de zorg passeren hierbij de revue .
Wij hebben inmiddels van de AP complimenten ontvangen over onze transparante, goede en doelgroepgerichte communicatie. De AP sluit de melding omdat ze ook vertrouwen hebben in de opvolging.
Impact
Niet kunnen werken zoals je gewend bent en de onzekerheid over de mate waarin het netwerk kan worden hersteld, creëren onzekerheid. Dat is op veel plekken in de organisatie voelbaar. Door steeds via updates te communiceren en door het samenstellen van een routekaart proberen we de organisatie mee te nemen in de weg die we af willen leggen.
Positieve punten
Er zijn ook positieve punten. Een crisis van deze omvang voedt een vorm van samenhorigheid. Doordat we al jaren investeren in onze cultuur, met als belangrijke waarde ‘Ik zie, ik hoor je’ kunnen we elkaar steeds een hart onder de riem steken en bij elkaar stil staan.
Cliënten ondervinden weinig last van de cyberaanval. De sfeer op de locaties blijft rustig en we maken snel afspraken over hoe we de continuïteit van zorg kunnen waarborgen. Sterker nog, uit de locaties komen signalen dat – nu er minder mogelijkheid is om de verantwoordingen achter de computer te doen – er meer tijd overblijft voor activiteiten met cliënten en familie.
Darkweb
Omdat we de hackers niet betalen, volgt publicatie op het darkweb. De hackers wekken de suggestie dat ze nog steeds actief zouden zijn op onze systemen. Wij weten dat dat niet het geval is, maar zo’n bericht creëert onzekerheid. Dit is steeds een thema in de bijeenkomsten met onze managers.
Als we terugkijken, heeft de niet-geverifieerde berichtgeving in de media mogelijk nog de meeste onrust veroorzaakt omdat deze niet aansloot bij onze eigen berichten. Dit ondermijnt vertrouwen. We sluiten om kort na de publicatie een aantal medewerkersbijeenkomsten te organiseren. Daarin maken we enerzijds ruimte voor emoties en anderzijds kunnen we de feiten delen. Deze bijeenkomsten worden goed bezocht. De aanpak en saamhorigheid zorgen voor rust in de organisatie. Deze wordt nog vergroot doordat we binnen een paar weken de hele mailomgeving en bijna onze gehele eigen werkomgeving weer aan iedereen ter beschikkingen kunnen stellen. Daar waar dat nog niet helemaal is gelukt, is de impact hanteerbaar.
Lessons learned
- In de vitaliteit van de organisatie, die wat ons betreft een belangrijke waarde kent in samenwerken, investeren we al jaren en dat maakt dat ook een impactvolle crisissituatie met elkaar te hanteren is.
- Blijf investeren in de specifieke vaardigheid om met crisissituaties om te gaan. Dit is wat anders dan voor iedere mogelijke crisis een kant en klaar plan in de kast te hebben.
- Communiceer zowel intern als extern zo transparant mogelijk en werk met een compacte Q&A lijst.
- Creëer in de organisatie het gesprek bij crisissituatie zowel over de emotie als over de feiten.
- Zorg snel voor een expert aan je zijde.
- Digitaal veilig werken is enerzijds een kwestie van techniek en anderzijds nog veel meer een kwestie van gedrag. Blijf investeren in digitale veiligheid vanuit beide perspectieven.
- Het grote aantal administratieve verplichtingen zit de zorg aan cliënten in de weg. Dit vraagt aandacht en aanzet tot actie.