Cyberaanval op het AZ Monica

Frieda Gijbels (N-VA): Mijnheer de minister, ik sla de inleiding over, omdat de cyberaanval ondertussen voldoende in de media is geweest en ga meteen tot de vragen over. Ten eerste, werd de aanval op het AZ Monica gemeld conform de NIS2-meldplicht? Ten tweede, in welke systemen is men binnengedrongen? Ten derde, wat waren de gevolgen voor de patiënten? Ten vierde, werden er eventueel vertrouwelijke gegevens gestolen? Zo ja, om welk soort gegevens gaat het en wat is daarvan de impact? Ten vijfde, werd er losgeld geëist en zo ja, hoeveel en werd dat betaald? Ten zesde, weten we wie er achter die cyberaanval zat? Ten zevende, wat kunnen we leren uit die cyberaanval? Ten achtste, ziet u de cyberveiligheid van onze ziekenhuizen als een onderdeel van onze nationale veiligheid? Bent u van plan hieromtrent een echte strategie te ontwikkelen, zodat onze ziekenhuizen en de hele zorgsector beter gewapend zijn tegen cyberaanvallen? Ten negende, uit het SHIELD-rapport blijkt dat er aanzienlijke regionale verschillen bestaan in de maturiteitsscores inzake cyberveiligheid, waarbij de Vlaamse ziekenhuizen gemiddeld dichter aanleunen bij de vereiste maturiteitsscore van 2,5 dan ziekenhuizen in Wallonië en Brussel. Hoe probeert u die regionale verschillen aan te pakken? Tot slot worden in het rapport een aantal beleidsaanbevelingen geformuleerd, zoals het opzetten van een dashboard met maturiteitsscores en het delen van best practices tussen ziekenhuizen. Denkt u dat die aanbevelingen een oplossing kunnen bieden voor de problemen op het vlak van cyberveiligheid in de Belgische ziekenhuizen? Bent u bereid die aanbevelingen om te zetten in beleid? Zo ja, wat is het tijdschema daarvoor? Denkt u ten slotte dat daarmee ook de regionale verschillen kunnen worden aangepakt? 

Minister Frank Vandenbroucke: Mevrouw Gijbels, cyberaanvallen vormen vandaag inderdaad een structureel risico voor alle essentiële sectoren, waaronder ook de ziekenhuissector. Ziekenhuizen zijn van nature open organisaties, werken met zeer gevoelige data en hebben een zeer complexe leveranciersketen, wat de problemen in deze sector extra uitdagend maakt. Ik kan u geen informatie geven over de aanval op het AZ Monica. Daar loopt een onderzoek naar en die informatie is niet bedoeld om publiek te worden gedeeld. Ik kan wel zeggen dat ik kort na de aanval in het ziekenhuis ben geweest en dat de aangerichte schade enorm was. Het is een zware dobber geweest voor het personeel, de artsen en andere zorgverleners, maar ook voor de patiënten. Er is zeer hard gewerkt om de situatie het hoofd te bieden, maar de impact was groot. Verdere informatie kan ik daarover helaas niet delen. U hebt een aantal vragen gesteld waarop ik relatief kort zal antwoorden. Dat Shield-rapport is inderdaad heel belangrijk. De vastgestelde verschillen inzake maturiteit tussen de regio’s vragen bijzondere aandacht. We moeten inderdaad vaststellen dat er tussen ziekenhuizen en tussen regio’s verschillen zijn. Dat betekent dat men op een aantal plekken een inhaalbeweging moet kunnen maken en dat dit ook te maken heeft met de dagelijkse omgang met die systemen en niet alleen met de technologie as such. Dat is de reden waarom we samenwerking binnen de sector actief ondersteunen via Shield. Dat is een ledenorganisatie waarin zich vandaag al meer dan 90 ziekenhuizen hebben verenigd. Een uniforme beleidsaanpak, gebaseerd op maturiteitsmonitoring, gestandaardiseerde governance en versterkte kennisdeling, zal bijdragen tot het verkleinen van die regionale verschillen. Dat is mijn overtuiging. Daarnaast is het cruciaal dat wordt ingezet op het “incentiveren” van verregaande technologische alignering binnen de sector, als sleutel om het lokale resourcesgebrek het hoofd te bieden. Sectoriële best practices als leidraad voor het voeren van een gezonde en cyberweerbare IT-infrastructuur moeten daarin de norm worden. Ik ben dus zeker bereid om de ziekenhuizen verder te ondersteunen, zodat zij de beleidsaanbevelingen kunnen vertalen in hun eigen beleid, in lijn met de wettelijke verplichtingen. Ik verwijs daarbij naar NIS2 en Cyfun en de vereiste maturiteitsdoelstellingen in de richting van april 2026 en 2027. In de komende periode wordt via Shield vzw en via de samenwerking tussen onze FOD en de Federale raad voor ziekenhuisvoorzieningen verder ingezet op de opschaling van lopende initiatieven. Ik vermeld er vier. Ten eerste zijn er sectorale incident-responseoefeningen, het zogenaamde CSIRT-programma. Ten tweede is er bewustmaking, het Awarenessprogramma. Ten derde komen er audits en maturiteitsmetingen, met name het Pentest Bug Bounty-programma en de Cyfun-assessments. Ten vierde is er de ondersteuning met betrekking tot de documentatie die nodig is en de governance. Cyfun staat voor Cyber Fundamentals en pentest voor penetration tests. Dat zijn in wezen weerstandstests om na te gaan in welke mate er kan worden binnengedrongen in de ICT-systemen van een organisatie. Ik verwijs u daarvoor ook naar de website Shield vzw die u ongetwijfeld kent, waar alles zeer overzichtelijk terug te vinden is.

Frieda Gijbels (N-VA): U hebt er terecht op gewezen dat het systeem van onze gezondheidszorg sinds de digitalisering zeer kwetsbaar is geworden. Dat moeten we echt beschouwen als een punt waarop we strategisch moeten inzetten. Dat moet een volwaardig onderdeel zijn van onze veiligheidsstrategie, zeker in de geopolitiek instabiele context waarin we vandaag leven. De gezondheidssector kan een doelwit zijn. Wanneer men die sector raakt, kan dat enorme gevolgen hebben. Daarom is het absoluut belangrijk om hier blijvend op in te zetten en ervoor te zorgen dat een inhaalbeweging mogelijk is en dat goede praktijken worden uitgewisseld. Ik kan er alleen maar op blijven aandringen om dit met de nodige sérieux te blijven bekijken. Begrijp me niet verkeerd, ik zeg niet dat u dat niet doet, maar ik denk wel dat dit extra energie verdient om hier de nodige structuren en maatregelen op te zetten om onze gezondheidssector beter te beveiligen. Ik begrijp uiteraard dat er vandaag geen verdere informatie kan worden gedeeld over de concrete situatie binnen AZ Monica, over de gevolgen en over hoe het zover heeft kunnen komen. Gezien de omvang van de aanval hoop ik wel dat er een grondige analyse wordt gemaakt en dat we daar ook effectief mee aan de slag gaan, zodat we de nodige lessen kunnen trekken. Misschien is het achteraf zelfs een goed idee om daarover een debriefing te krijgen, om te bekijken wat er is misgelopen en hoe we ons daar in de toekomst beter tegen kunnen wapenen.

Bekijk het fragment: https://media.dekamer.be/meeting/56-019291-U1370/fragment/8kYagVGB3WwL2ufmcEGjkP_QvHbLAQp-0f7-sR9yzPxP_gmTZly1VC-VIBA5oCrnz2LGqaUPcygD_-Sl3us3U0YRMg0N5RGtU-v0fq-JVSY