St. Antonius: ‘Cyber wordt een onderdeel van onze crisisstructuur’

In veel organisaties staat cybersecurity los van de reguliere crisisorganisatie. Het St. Antonius Ziekenhuis is erin geslaagd om deze disciplines samen te voegen. “We hebben nu dezelfde werkwijze, waardoor we beter in staat zijn om te reageren op een cybercrisis”, vertelt crisiscoördinator Mark van Not.

Het besef dat een cybercrisis complexer is dan een ‘normale’ crisis ontstond al in 2016. “We hebben toen een tabletop-oefening gehouden in samenwerking met ons trainingsbureau Parcival”, vertelt Mark van Not. “Het doel van deze oefening was: achterhalen waar je tegenaan loopt bij een ICT-verstoring. We kwamen erachter dat de aard van een cybercrisis nogal ondoorgrondelijk is. Bij een ICT-verstoring kan een ICT-expert je alleen vertellen welk systeem eruit ligt. Het is moeilijk om snel te achterhalen wat de mogelijk impact daarvan zal zijn.

Ook kwamen we erachter hoe complex het ICT-domein van een ziekenhuis is. Normaal gesproken vraag je bij een crisis aan een inhoudsdeskundige om deel te nemen aan het Operationele Team (OT). Bij een ICT-verstoring werkt dat niet, omdat een ICT-afdeling uit veel subdisciplines bestaat. Het is voor een inhoudsdeskundige onmogelijk om snel een goed totaalbeeld te geven van de situatie.”

Hoe hebben jullie dit opgelost?
“We hebben besloten dat er een aparte taakorganisatie moest komen met ICT-professionals die onder de reguliere crisisstructuur valt. We hebben dit het Cyber Security Incident Respons Team (CSERT) genoemd. Zij werken zelfstandig en hebben de verantwoordelijk om de ICT-verstoring te verhelpen. Tegelijkertijd staan zij bij een crisis ook in nauw contact met het OT van de crisisorganisatie.”

Waarom is die verbinding zo belangrijk?
“Omdat je anders als crisisteam verrast wordt. Bij een cybercrisis zal een CSERT altijd eerst proberen om de problemen te verhelpen. Als dat niet lukt, dan komt er een moment dat de patiëntveiligheid niet meer te garanderen is en dat er maatregelen genomen moeten worden, zoals het sluiten van een afdeling.

Je wilt daar als crisisteam niet door overvallen worden. Als het OT en het CSERT eerder met elkaar in contact staan, zie je de mogelijke problemen eerder aankomen. Zo kun je voorbereidingen treffen om de noodzakelijke maatregelen goed te laten verlopen.”

Je wilde dus de verbinding leggen met de afdeling ICT. Wat vond de CISO daarvan?
“De ideeën werden met open armen ontvangen. Volgens de NEN7510-norm moet een ICT-afdeling namelijk aantoonbaar geoefend zijn. Wij hebben natuurlijk veel kennis en ervaring in het opleiden, trainen en oefenen van crises. Door de samenwerking werd het voor hen ook gemakkelijker om aan de norm te voldoen.”

In september 2021 kwam alles in een stroomversnelling. Hoe kwam dat?
“Omdat onze crisisorganisatie en het CSERT toen een gezamenlijke oefening hebben gehouden. Deze oefening werd verzorgd door Parcival en Northwave samen. Ik was echt verrast door de kracht van het oefenen van een realistisch scenario.

We zijn vanuit onze crisisorganisatie natuurlijk gewend om een crisis te oefenen. Nu oefenden we met een nieuwe, onbekende doelgroep. Daardoor werd het beter inzichtelijk wat we voor elkaar konden betekenen en ontstond er enthousiasme om beter samen te werken in de nieuwe structuur.”

Kun je daar een voorbeeld van geven?
“Als crisisorganisatie vinden wij het belangrijk om een crisis te loggen. We gebruiken daarvoor de CrisisSuite-app van Merlin. We wilden graag dat het CSERT in hetzelfde systeem ging loggen, zodat wij hen tijdens een crisis op de voet kunnen volgen. Vanuit het CSERT kregen we wel eens de vraag: waarom moeten wij nou leren loggen?

Tijdens de oefening werd het inzichtelijk waarom dat wél belangrijk is. Dat is bijvoorbeeld belangrijk omdat je daarmee de besluitvorming vastlegt. Tijdens een grote crisis kan het nodig zijn om ingrijpende maatregelen te nemen, zoals het evacueren van een ziekenhuis. Dat is duur. Dit betekent dat de verzekeringsmaatschappij achteraf wil weten op basis van welke informatie je dit besluit hebt genomen. Met de log-gegevens kun je aantonen dat de dreiging op dat moment zo groot was, dat het noodzakelijk was om tot evacuatie over te gaan”

Je hebt alles bij elkaar een heel proces achter de rug. Wat is je daarin het meest bijgebleven?
“Het enthousiasme van de ICT-afdeling. We weten nu veel beter wat we voor elkaar kunnen betekenen. Om een voorbeeld te geven: bij een grote ICT-storing kan het nodig zijn dat een afdeling de administratie gaat doen in papieren nooddossiers. Dit is een noodmaatregel die niet lang vol te houden is. Elke afdeling heeft een maximale toegestane hoeveelheid dataverlies en uitvalduur.

Vanuit het crisisteam kunnen we aangeven hoe lang de crisis maximaal mag duren. Het CSERT kan dan laten weten of het realistisch is om binnen die termijn de back-ups terug te zetten. Als dit niet realistisch is, kan de veiligheid van de patiënten daardoor in het geding komen. Het crisisbeleidsteam (CBT) kan dan op basis van die informatie besluiten om patiënten uit te plaatsen. Zij kunnen ook bepalen voor welke patiënten of afdelingen een uitplaatsing nodig is.”

Er zijn meer ziekenhuizen die graag een betere samenwerking willen tussen hun crisisorganisatie en hun ICT-afdeling. Welke tips zou je hen willen geven?
“Neem contact op met de CISO, want vanuit de NEN 7510-norm heeft hij er belang bij om te oefenen. Dit gezamenlijke doel heeft ons echt de wind in de rug gegeven. Bovendien heeft de CISO vaak de juiste ingang tot de managementlaag van de organisatie. Dat zorgt ervoor dat het project ook door het management gedragen wordt.

En zorg dat er een communicatieprofessional aansluit in het CSERT. Tijdens een crisis krijg je vaak met dilemma’s te maken. Het is belangrijk dat een communicatieprofessional deze dilemma’s vertaalt naar begrijpelijke mensentaal. Dat geeft input voor het OT, dat op basis daarvan beslissingen kan nemen.”

Zijn er ook valkuilen waar je crisiscoördinatoren voor wil waarschuwen?
“Probeer niet de terminologie te begrijpen, want daarvoor is het te complex. En: besef dat niet elk wissewasje leidt tot een crisis. Een ICT-afdeling heeft preventief veel maatregelen genomen. Daardoor lopen verreweg de meeste incidenten met een sisser af. Dus niet elke klik op een phishing-mail leidt tot een hack. En soms lijkt het voor ons alsof er gegevens verloren zijn gegaan. Maar een ICT-afdeling beschikt over veel andere kanalen. Daardoor zijn zij in verreweg de meeste gevallen toch nog in staat om de data terug te halen.”

De nieuwe structuur is nu in grote lijnen af. Wat zou wat jou betreft de volgende stap zijn?
“Dat het opleiden, trainen en oefenen van het CSERT een vast onderdeel wordt van ons OTO-beleid. We krijgen vanuit de Traumaregio Midden-Nederland een budget voor ons OTO-programma. Hiermee kunnen wij ons voorbereiden op grote rampen in de regio.

Maar de grootste crisis die ons kan overkomen, is een cybercrisis in onze eigen organisatie. Dat hangt als een grote donderwolk boven onze organisatie. Toch valt het buiten het OTO-budget. Ik hoop dat er vanuit het ministerie van Volksgezondheid meer geld beschikbaar komt zodat wij het CSERT-team op dezelfde manier kunnen trainen als onze crisisorganisatie.

En ik hoop dat er geld beschikbaar komt zodat onze crisisorganisatie kan oefenen met het CSERT. Een gezamenlijke oefening is ruim twee keer zo duur als een rampenoefening. Toch is het belangrijk om dat samen te doen, omdat je daarmee beter voorbereid bent op een cybercrisis.”