‘Zie digitale toegankelijkheid als je vierde nutsvoorziening’
Groepsinterview cybersecurity
Een cyberaanval kan iedereen overkomen, ook een ziekenhuis. De gevolgen zijn desastreus en voor SRZ is dat reden een aparte werkgroep in het leven te roepen. Albert van Wijk is voorzitter van deze groep. De groep wordt ondersteund vanuit Z-CERT, een organisatie die zorginstellingen helpt zichzelf digitaal veilig te houden. Wim Hafkamp is er directeur, Auke Nicolai werkt er als business consultant. Jos Toet en Dennis Verschuuren zijn information security officers in respectievelijk Franciscus Gasthuis & Vlietland en Maasstad Ziekenhuis. Zij vormen de schakel tussen de praktijk en het netwerk.
“Ziekenhuizen gebruiken heel veel buitengewoon gevoelige informatie”, stelt Albert. “Informatie die je niet op straat wilt hebben liggen, en waarop je blindelings moet kunnen vertrouwen om goede zorg te leveren. Dus moeten we ons uiterste best doen die informatie te beschermen en medewerkers van actuele informatie te voorzien. Mocht het toch fout gaan, dan moeten we een goed responsplan hebben zodat we direct in kunnen grijpen. Elk ziekenhuis heeft hiermee te maken, dus hebben we de handen ineengeslagen.” Volgens Wim is die samenwerking zeer krachtig: “Er worden gezamenlijk afspraken gemaakt, de overleggen zijn erop gericht van elkaar te leren en er wordt veel geoefend om te weten wat er op je af kan komen en hoe je kunt reageren.”
Dennis: “Laatst was er een oefening om te zien wat er gebeurt als je ziekenhuis een uur lang zonder internet zit. Is het dan mogelijk zorg te blijven leveren? We zagen dat de zorg blijft doordraaien, maar lastiger is de bedrijfsvoering. Ineens kon niemand meer bij zijn online documenten en er was geen digitaal overleg meer mogelijk.”
Eén responsplan
Juist de samenwerking is van wezenlijk belang, stelt Jos: “Alleen kun je bijna geen vuist maken, door samen te werken sta je sterker.” Albert vult aan: “Je kunt leren van elkaar, maar belangrijker: als er in het ene ziekenhuis een information security officer uitvalt, kan diegene uit een ander ziekenhuis bijspringen. Dat lukt alleen als je écht goed samenwerkt. Daardoor kunnen we continuïteit garanderen op het vlak van cybersecurity.”
De basis onder die samenwerking is een gezamenlijk responsplan, die opgesteld wordt in SRZ-verband. Die is gebaseerd op de gecoördineerde regionale incidentrespons procedure (GRIP) die bij rampen gebruikt wordt: de gecoördineerde regionale cyberrespons voor de zorg, GRCZ.
Dennis: “Die respons is mooi, maar we proberen te voorkomen dat we in die situatie terechtkomen. Ik denk dat de belangrijkste boodschap die wij proberen over te brengen, is: zie digitale informatie als je vierde nutsvoorziening, net als water uit de kraan. We gaan er allemaal maar vanuit dat het beschikbaar is en integer is tót het moment dat dit niet meer zo is. Als je gehackt wordt, kan de bedrijfsvoering zomaar een paar dagen tot weken ‘uit de lucht’ zijn en dan hebben we echt een levensgrote uitdaging.”
Geen drempels
Gelukkig is er die Rotterdamse benadering van het probleem, stelt Albert: “Er wordt weinig gepraat en veel gedaan. We zijn een soort living lab, waarin we gaandeweg ervaren wat we kunnen doen om ons er goed tegen te wapenen. We zien hierin allemaal de noodzaak van samenwerken. Zo bundelen we onze krachten én onze kennis”. Het mooie daarbij, vindt Auke, is dat SRZ al zo lang bestaat: “SRZ deelt al vijftig jaar kennis met elkaar, dus er zijn geen drempels om elkaar op te zoeken en dat is de eerste stap naar een gezamenlijk gedragen aanpak. De ziekenhuizen hebben begrip voor de situatie waarin de ander zit en iedereen is bereid elkaar te helpen. Durven delen is denk ik de kern van wat er hier in Rotterdam gebeurt en daar kunnen andere regio’s van leren.” Jos glimlacht en vult aan: “Als je niet deelt, dan kom je niet verder. We staan allemaal voor dezelfde uitdaging(en) en willen allemaal zo goed mogelijke en veilige zorg kunnen blijven leveren. Zo simpel is het op dit onderwerp.”
Snel vinden
De werkgroep is in 2021 opgericht. Het zorgt voor continuïteit en elkaar snel weten te vinden. En door de werkgroep bij SRZ op te zetten, is er bestuurlijk draagvlak. “Er is ketendekkende samenwerking gekomen doordat naast de ziekenhuizen ook andere zorginstellingen, de politie, de gemeente en het OM zijn aangesloten bij de werkgroep” zegt Dennis. “We werken aan gezamenlijke definities, zodat we elkaar altijd begrijpen, op eenduidige manier werken en één gemeenschappelijke respons hebben. Zo staan de ziekenhuizen, maar ook andere (1e, 2e en 3e-lijns) zorginstellingen in de regio afzonderlijk veel sterker dan voorheen. ”
Albert: “In 2022 is er een bijeenkomst geweest met de besturen van de ziekenhuizen, dat heeft echt heel veel inzicht gegeven en draagvlak gebracht om écht met elkaar op te trekken. Iedereen is ervan doordrongen dat we dit probleem met elkaar moeten tackelen. Hier geven we nu vervolg aan door de processen in ons jaarplan zo in te regelen, dat we de kennis en samenwerking niet langer ad hoc is, maar dat het gestructureerd vastligt.” Jos stelt tot slot: “De belangrijkste winst van afgelopen jaar is in ieder geval duidelijk: de afzonderlijke ziekenhuizen hebben het onderwerp ineens hoog op de agenda staan. Dat is nodig, want de dreiging neemt toe en elke minuut van de dag moeten we voorbereid zijn op een cyberaanval. Optional is not an option anymore!”
