‘Ziekenhuizen moeten vanaf april 2027 op het vlak van cybersecurity aan een strenge Europese wetgeving voldoen. Dat lukt hen niet alleen. Daarom kiezen wij voor een collectieve aanpak.’
Een recente cyberaanval bij een Antwerps ziekenhuis schetst een problematiek die al langer speelt in onze zorgsector. Een rapport van de FOD Volksgezondheid toont dat driekwart van de Belgische ziekenhuizen stappen moet zetten om het vereiste niveau inzake cyberbeveiliging te bereiken. Waarom zijn ziekenhuizen een geliefd doelwit? En wat hebben ze nodig om cyberproof te worden? We vragen het Kurt Gielen, COO van SHIELD vzw die Belgische ziekenhuizen en zorginstellingen groepeert in de strijd tegen cybercriminaliteit.
Waarom richtten jullie twee jaar geleden SHIELD vzw op? En wat doen jullie precies?
Kurt Gielen: ‘SHIELD staat voor ‘Service Hub voor IT Expertise in Limburg en Daarbuiten’. Onze oorspronkelijke doelstelling in november 2023 was om samen te werken met alle Limburgse ziekenhuizen. Maar al snel werd duidelijk dat ook buiten Limburg ziekenhuizen een beroep op ons wilden doen. Intussen hebben we meer dan 100 leden. Ziekenhuizen en zorginstellingen, maar ook hogescholen en universiteiten. We werken in Vlaanderen, Brussel en Wallonië.
Ziekenhuizen moeten vanaf april 2027 op het vlak van cybersecurity aan een strenge Europese wetgeving voldoen. Dat lukt hen niet alleen. En dat beseffen ze zelf ook. Vandaar dat ze bewust voor een collectieve aanpak kiezen en ons hiervoor inschakelen. We functioneren als een neutraal samenwerkingsplatform dat ziekenhuizen, ict-dienstverleners en de overheid samenbrengt en samen werken we gemeenschappelijke trajecten uit. Zo hoeven zorgorganisaties zelf niet steeds weer datzelfde warm water uit te vinden.’
Hoe gaat dat precies in z’n werk?
Kurt Gielen: ‘Ons communityverhaal is de kern van onze activiteit. We brengen de IT-experten van de ziekenhuizen samen rond de tafel. Als zij hun problemen in kaart gebracht hebben, gaan onze cyberexperten aan de slag. Komen we samen tot een oplossing, dan stellen we een lastenboek op waar ook andere ziekenhuizen op kunnen terugvallen. Zo moet het werk maar één keer gedaan worden en kunnen alle ziekenhuizen hiervan mee profiteren. Dit werkt veel sneller en efficiënter. We ontwikkelen best practices en guidelines zodat ziekenhuizen een houvast hebben in hun cybersecurity project en zo de snelheid kunnen verhogen.
Omdat heel wat Belgische ziekenhuizen beperkte middelen en beperkte teams hebben, is sectorbreed samenwerken geen luxe maar noodzaak. Wij willen hierin een centrale rol spelen en bieden uiteindelijk gezamenlijke oplossingen aan.’
Waarom zijn ziekenhuizen een geliefd doelwit voor cybercriminelen?
Kurt Gielen: ‘Tot enkele jaren geleden geloofden we nog echt dat ziekenhuizen vrijgesteld waren van deze problematiek. Niemand wil toch onze zorg in gevaar brengen? De werkelijkheid is ondertussen helaas helemaal anders. Cyberaanvallen op ziekenhuizen springen heel erg in het oog omdat ziekenhuizeneen sociaal-maatschappelijke functie hebben. Als een dergelijke aanval in het nieuws komt, krijgt dit extra gewicht en bijgevolg ook extra aandacht.
Het gaat lang niet altijd om criminelen die enkel op geld uit zijn. Vaak spelen strategische belangen ook een grote rol. Het vertrouwen ondermijnen, angst zaaien en maatschappelijke ontwrichting veroorzaken, zijn dan het doel. We focussen vaak op fysieke dreiging met raketten, maar het risico op een cyberaanval is vandaag veel groter.’
Wat maakt een ziekenhuis zo kwetsbaar voor dergelijke aanvallen?
Kurt Gielen: ‘Ziekenhuizen zijn niet zomaar klassieke bedrijven met één voordeur en een poort die ’s avonds alles veilig afsluit. Ziekenhuizen zijn open organisaties en dus extra kwetsbaar. Patiënten en bezoekers lopen in en uit en gebruiken het netwerk. Op verpleegposten staan pc’s de hele dag open. En dit terwijl er vaak patiëntendossiers met erg vertrouwelijke informatie op te vinden zijn. Vallen de computers uit, dan kunnen er levensbedreigende situaties ontstaan. Artsen kunnen geen gegevens meer raadplegen, behandelingen niet plannen en apparatuur soms niet correct bedienen. De continuïteit en veiligheid van de zorg worden verstoord. Met alle gevolgen vandien. En dan in de eerste plaats voor de patiënten. Het doembeeld is dat iemand systemen uitschakelt terwijl een patiënt op de operatietafel ligt. Dan kunnen zelfs beademingstoestellen uitvallen.’
Hoe ver staan onze ziekenhuizen op vlak van cybersecurity?
Kurt Gielen: ‘Ziekenhuizen zijn erg complexe omgevingen om te beveiligen: kritische data, heel open systemen, weinig capaciteit en resources om zelf te investeren in cybersecurity. Ze doen allemaal heel erg hun best met de vaak beperkte mogelijkheden en middelen die ze hebben. Maar er ligt nog veel werk op de plank.
Uit ons recent onderzoek, in samenwerking met de FOD Volksgezondheid, blijkt dat driekwart van de Belgische ziekenhuizen dringend bijkomende stappen moet zetten om het vereiste maturiteitsniveau inzake cyberbeveiliging te bereiken. De sector is zich wel degelijk bewust van de dreiging, maar worstelt met de praktische implementatie.
Vooral kleinere en psychiatrische ziekenhuizen blijven achter, voornamelijk door beperkte middelen en een tekort aan gespecialiseerde cybersecurityprofielen. Ook regionaal zijn er verschillen zichtbaar: Vlaamse ziekenhuizen scoren gemiddeld beter dan hun Waalse en Brusselse tegenhangers.’
Wat kan een ziekenhuis dan concreet doen om beter te scoren?
Kurt Gielen: ‘We zetten sterk in op het scheiden van netwerken, zodat een probleem in het ene deel niet meteen alles platlegt. Operatiekwartieren staan los van consultaties of daghospitalisatie en cruciale toestellen hangen niet zomaar aan het internet. Daarnaast organiseren we grootschalige oefeningen waarbij ziekenhuisdirecties en zorgverantwoordelijken samen scenario’s doorlopen alsof het ziekenhuis volledig platligt. Dit is telkens weer bijzonder leerrijk en helpt om plannen bij te sturen.
Ziekenhuizen hebben in het verleden te vaak alleen willen handelen volgens hun inzichten, behoeften en mogelijkheden. Deze versnippering werkte absoluut in hun nadeel. Ze probeerden de problematiek op te lossen volgens hun eigen inzicht, maar het is zo’n complexe materie geworden dat die eigen inzichten vaak niet meer volstaan. Ze hebben bovendien te vaak de middelen niet om effectief hun doelstellingen in te vullen.
Cybersecurity gaat over veel meer dan IT. Vaak wordt vergeten dat de mens het grootste risico is. Ziekenhuizen zijn open omgevingen. Er komen niet alleen medewerkers, maar ook bezoekers en leveranciers. Externen zijn geconnecteerd met hun systemen. Wie krijgt toegang tot welke data? Wat als de laptop of de smartphone van een medewerker wordt gehackt? Welke procedures worden gevolgd als iemand in of uit dienst treedt? Met dergelijke vragen zijn ziekenhuizen soms nog onvoldoende bezig. En dit terwijl dit zo belangrijk is.’
Wat houdt de Europese regulering rond cybersecurity precies in?
Kurt Gielen: ‘De Europese NIS2-richtlijn verplicht organisaties in essentiële sectoren, waaronder ziekenhuizen, om hun cyberbeveiliging aantoonbaar te versterken. Ziekenhuizen moeten niet alleen technische maatregelen zoals detectie en netwerkbeveiliging implementeren, maar ook een formeel georganiseerde interne werking rond processen, verantwoordelijkheden en incidentbeheer opzetten. Beide elementen zijn noodzakelijk om aan de NIS2-vereisten te voldoen. Het is de eerste keer dat een echte regulering op vlak van informatieveiligheid en bescherming aan de ziekenhuiswereld wordt opgelegd. Daarvoor was het gewoon: doe je best en we zien wel.
Het zijn ambitieuze doelstellingen waarin België trouwens voorop loopt ten opzichte van de rest van Europa. Het CCB (Centrum voor Cybersecurity Belgium) heeft al flink wat werk verricht. België is de absolute koploper in Europa wat het implementeren van de wetgeving en het stellen van deadlines betreft. Onze frameworks worden gretig opgepikt door heel wat andere Europese lidstaten.’
Wat is de absolute ambitie van SHIELD? Wanneer zijn jullie echt tevreden?
Kurt Gielen: ‘We zullen pas tevreden zijn als het voor onze leden een ‘no brainer’ is om jaarlijks lid van SHIELD te blijven. Omdat ze beseffen dat we hen ontlasten van heel wat administratieve en juridische taken, maar ook van de implementatie van technische elementen die ze op hun eentje nooit zo snel en zo financieel interessant hadden kunnen implementeren. Als we dat elk jaar opnieuw kunnen blijven bereiken, dan zijn we in ons doel geslaagd en mogen we oprecht trots zijn op waar we als team elke dag met passie en gedrevenheid mee bezig zijn.'
