Interview

Liselotte van Boven neemt de gewonnen prijs in ontvangst

Maaike Tindemans
Tekst:
Maaike Tindemans
Verwachte leestijd: 4 min

Onderzoek cyberaanvallen: ‘In alle ziekenhuizen waren alle afdelingen getroffen’

Hoe groot is de impact van een cyberaanval op een ziekenhuis? Deze vraag stond centraal in het wetenschappelijke onderzoek van Liselotte van Boven. Ze ondervroeg medewerkers van 4 ziekenhuizen die te maken hadden gehad met een ransomware-aanval. In deze ziekenhuizen waren alle afdelingen getroffen en duurde het weken of soms zelfs maanden voordat alle systemen weer hersteld waren.

Liselotte was tijdens het onderzoek masterstudent geneeskundige. Inmiddels werkt ze als arts op de spoedeisende hulp. Ze presenteerde haar onderzoek tijdens de wetenschapsavond van het VieCuri Medisch Centrum in Venlo. Ze werd die avond uitgeroepen tot winnaar van de ‘Beste Wetenschappelijke Presentatie’. De jury prees de aanpak, het onderwerp en de relevantie van haar onderzoek, dat ze uitvoerde onder begeleiding van de SEH-artsen Renske Kusters en Dennis Barten.

Er is namelijk nog weinig bekend over de impact van een ransomware-aanval op de zorg en op zorgverleners. Liselotte richtte zich in haar onderzoek op de impact op de patiëntenzorg en de herstelfase tijdens grote ransomware-aanvallen op ziekenhuizen in 2017 t/m 2022 in Europa en de Verenigde Staten.

Waarom vond je het belangrijk om hier onderzoek naar te doen?
Liselotte: “Omdat ransomware een groot probleem is. In 2020 werd een derde van ziekenhuizen die meededen aan een wereldwijde survey over cybercrime getroffen door ransomware. In twee derde van de gevallen werd er data vergrendeld. En in een derde van die gevallen werd er losgeld betaald. De hoogte van het losgeld was gemiddeld 1,3 miljoen euro.

Tijdens de coronapandemie waren ziekenhuizen een gemakkelijker doelwit, bijvoorbeeld omdat medewerkers meer stress hadden en gemakkelijker op gevaarlijke links klikten

Tijdens de coronapandemie werden ziekenhuizen vijf keer vaker aangevallen dan voor de pandemie. Dit komt omdat ziekenhuizen toen een gemakkelijker doelwit waren. De medewerkers hadden meer stress waardoor de kans dat zij op gevaarlijke links klikten hoger was, ze werkten meer thuis en ze maakten gebruik van potentieel onveilige online-vergaderprogramma’s, zoals Zoom en Microsoft Teams.”

Hoe heb je het onderzoek opgezet?
“Het onderzoek vond plaats vanuit het VieCuri Medisch Centrum. We hebben ziekenhuizen geselecteerd die getroffen waren door ransomware. Daarbij hebben we gekozen voor ziekenhuizen waarbij de ransomware-aanval een ernstige verstoring gaf van de acute zorg. Dit betekent dat patiënten overgebracht moesten worden naar andere ziekenhuizen, dat ambulances tijdelijk niet meer geaccepteerd werden en / of dat het Elektronisch Patiënten Dossier (EPD) niet meer beschikbaar was.

We hebben vier ziekenhuizen in Europa en in Amerika bereid gevonden om mee te doen aan dit onderzoek. Het was een kwalitatief onderzoek, waarbij we 9 mensen hebben geïnterviewd, namelijk 5 SEH-artsen, 2 ICT-medewerkers en 2 afdelingshoofden.”

Wat was de impact van de ransomware-aanval op deze ziekenhuizen?
“De impact was groot. In de meeste ziekenhuizen duurde het weken voordat het hele systeem weer beschikbaar was. Bij één ziekenhuis duurde dat zelfs meer dan 6 weken. In alle ziekenhuizen waren alle afdelingen getroffen. In twee van de vier ziekenhuizen konden ook de poliklinische afspraken niet doorgaan. In de andere twee ziekenhuizen is dat niet meer te achterhalen.

In drie van de vier ziekenhuizen waren de computers überhaupt niet meer beschikbaar. In één ziekenhuis was dat wel het geval. Maar in alle gevallen hadden de zorgverleners geen toegang meer tot het EPD. Zij moesten dus allemaal overgaan op papieren statusvoering.

Alle ziekenhuizen moesten overgaan op papieren statusvoering

In 3 van de 4 ziekenhuizen lag ook het interne telefoonsysteem eruit. Dat maakte de communicatie moeilijker. Twee van de vier ziekenhuizen had nog een medicatiesysteem op papier. In de andere twee ziekenhuizen was dat niet het geval. Hun digitale medicatiesysteem was niet meer beschikbaar.

In alle ziekenhuizen waren de radiologie en lab-systemen getroffen. De machines deden het gelukkig nog wel, maar het was niet meer mogelijk om digitaal resultaten over te brengen of orders te plaatsen.

De ziekenhuizen moesten runners inzetten om de orders en de uitslagen van de ene naar de andere afdeling te brengen

Eén ziekenhuis heeft een ambulance-stop in moeten voeren. De spoedeisende hulp is daar 24 uur dicht gegaan, zodat de afdeling orde op zaken kon stellen. In de andere ziekenhuizen bleef de spoedeisende hulp wel open. In drie van de vier ziekenhuizen zijn er operaties afgezegd. Dit ging voornamelijk om geplande operaties. Spoedoperaties konden nog wel doorgaan.”

De impact was dus enorm. Wat betekende dat voor de artsen?
“De artsen vertelden dat ze het lastig vonden om terug te moeten naar de papieren statusvoering omdat ze inmiddels gewend zijn om op digitale systemen te vertrouwen. Dat gold zeker voor de jongere generatie.

Ook vonden ze het moeilijk om tijdens de crisis te communiceren met andere afdelingen en de follow-up afspraken werden niet meer ingepland, omdat dat ook digitaal gebeurt.

Tijdens de crisis werden er runners ingezet. Dit waren niet-medische medewerkers die fysiek naar de verschillende afdelingen liepen om orders en uitslagen te brengen. Op de spoedeisende hulp is het aantal orders zo veel mogelijk beperkt om wat lucht te geven aan het laboratorium en de afdeling radiologie.

Er ging informatie verloren, bijvoorbeeld omdat papiertjes niet meer leesbaar waren

De crisis zorgde voor vertraging in de zorg. En er ging informatie verloren, bijvoorbeeld omdat een doktershandschrift niet meer leesbaar was, omdat papiertjes verloren zijn gegaan of omdat statussen na de crisis niet meer ingescand zijn.”

Hoe heeft het ICT-personeel deze crisis ervaren?
“De ICT-medewerkers vertelden dat zij het moeilijk vonden om de juiste prioriteiten te stellen in het herstellen van de applicaties. Er werd een strijd gevoerd over de vraag welke afdelingen het eerst weer online gingen. Met andere woorden: welke afdelingen hebben de hoogste prioriteit?

In één van de ziekenhuizen werd het systeem zelfs gegijzeld door de lokale autoriteiten. Zij wilden onderzoek doen en daarom mocht het ziekenhuis zelf niet aan het netwerk sleutelen. In veel gevallen konden de ICT-medewerkers de verslaglegging van tijdens de aanval niet meer invoeren in het nieuwe systeem. Deze informatie is dus permanent verloren gegaan.”

Hoe hebben de zorgmedewerkers de crisis persoonlijk ervaren?
“Ze vonden het een ellendige gebeurtenis. Ze voelden zich verantwoordelijk en daardoor werkten ze dag en nacht door. Velen hadden te weinig slaap.

De ICT-medewerkers hadden bovendien last van blaming and shaming van omliggende bedrijven. De ICT-medewerkers kregen het gevoel dat het ICT-personeel van omliggende bedrijven beweerden dat zij deze situatie aan zichzelf te danken hadden omdat ze niet goed voorbereid waren.

'De crisis versterkte het kameraadschap'

De crisis had ook een positieve kant. De zorgmedewerkers voelden kameraadschap. Ze voelden zich met elkaar verbonden en ze zetten zich samen in om het ziekenhuis – in deze moeilijke omstandigheid – te runnen.”

Wat zijn je aanbevelingen?
“We zagen dat de communicatie tussen de ICT-medewerkers en de zorgmedewerkers essentieel is. Communicatie is niet alleen belangrijk voor de afstemming. Het zorgt er ook voor dat je begrip krijgt voor elkaar. Zorg er dus voor dat je middelen hebt waarmee ICT-medewerkers en zorgmedewerkers kunnen communiceren, als de e-mail en het interne telefoonsysteem eruit liggen.

Zorg bovendien voor goede noodplannen. Tijdens een cybercrisis heb je runners nodig. Zorg dat je weet wie je daarvoor gaat inzetten en hoe je dat gaat regelen. En tot slot: verbeter de awareness van de stafleden en train het personeel over hoe ze in zo’n situatie moeten handelen.

De aanbevelingen op ICT-gebied zijn: test regelmatig de cybersecurity van je ICT-systemen en zorg dat essentiële systemen afgeschermd zijn, zodat cybercriminelen daar tijdens een aanval niet bij kunnen. Wees voorbereid op de langdurige uitval van systemen en breng van tevoren een prioritering aan in de afdelingen en systemen die je als eerste weer in de lucht brengt. Dat voorkomt veel gedoe in de acute fase.”

Tot slot, voordat je aan dit onderzoek begon had je natuurlijk een bepaalde verwachting. Is er iets dat jou verrast of verbaasd heeft?
“Het heeft me verrast dat het erg moeilijk was om mensen te vinden die mee wilden werken aan dit onderzoek. Ik heb meer dan 20 ziekenhuizen benaderd. De meeste ziekenhuizen wilden niet meedoen. Zelfs als we garandeerden dat ze anoniem bleven en dat hun antwoorden op geen enkele manier herleid zouden kunnen worden, wilden ze er meestal niet over praten. Dat is jammer, want alleen als ziekenhuizen open zijn kunnen we van hun ervaringen leren en goede adviezen geven.

Ook schrok ik van de tijd dat de ziekenhuizen last hadden van de cyberaanval. Het duurde weken en soms zelfs maanden voordat alle computers hersteld waren. Dat gold ook voor de ziekenhuizen die losgeld betaald hadden. Ook in die ziekenhuizen kostte het tijd om het virus uit alle computers te verwijderen.”

En wat is je het meeste bijgebleven?“Dat ik zelf ook wel eens op een phishing-link heb geklikt. Gelukkig was die phishing-link niet echt. Maar ik weet wel dat het mij ook kan overkomen. Nu ik weet hoe groot de impact is, ben ik extra alert geworden. Ik zal dus altijd checken of een website of e-mailadres echt is, voordat ik ergens op klik.”

15 december 2022