De Ierse gezondheidszorg is bijna een maand aan het herstellen van een criminele cyberattack. De Health Service Executive legde half mei zijn IT-systemen stil om de schade door ransomware te beperken.
...
De schade is enorm. De CEO van de HSE heeft ondertussen moeten toegeven dat vermoedelijk alle data van de nationale gezondheidsdienst zijn aangetast. Ziekenhuizen moesten terugvallen op wat ze nog op papier staan hadden. De zorg ging door, maar de organisatie ondervond (en ondervindt) enorm veel hinder. PapierVele afspraken met patiënten zijn uitgesteld en verwarring was heel lang troef. Sommige ziekenhuizen vragen patiënten vooraf te checken of een afspraak wel doorgaat. Eén ziekenhuis reageerde onthutst omdat onbekenden patiënten van de instelling had aangeschreven en gemeld dat alle afspraken waren afgelast.Laboratoria, de administraties, diensten voor radiologie en diagnose, kinderziekenhuizen... alle systemen lagen plat. Oncologische diensten moesten na de aanval diagnosen stellen of radiotherapie plannen zonder dat ze tot een groot deel van hun patiëntengegevens toegang hadden. Voor het bijhouden van data zijn zorgverleners terug papier gaan gebruiken. De aanval vond plaats in het zog van de covidcrisis - terwijl de achterstand door de pandemie nog niet is ingehaald, en mensen en diensten nog volop naar adem snakken. Sommige artsen noemden de gevolgen van de cyberattack trouwens nog erger dan de covidcrisis. Lange weg van herstelDaags na het stilleggen van het IT systeem werd gestart met het terug opbouwen ervan. De IT was niet zomaar buiten gebruik gesteld, ze was onbruikbaar geworden. Vele duizenden toestellen moeten gecontroleerd en opgekuist worden - opnieuw in orde gebracht en geconnecteerd.Een dikke week geleden was er sprake van dat de meeste servers van de HSE terug hersteld waren, en de helft van de andere toestellen. Diensten die opnieuw online komen zijn niet altijd stabiel, en vallen na enige tijd soms weer uit.De Health Service Executive is de nationale gezondheidsdienst van de Ierse republiek - die veel ziekenhuizen en de 'wijkgezondheidscentra' (huisartsgeneeskunde en verpleegkundige zorg) onder zijn beheer heeft.Maar ook openbare ziekenhuizen die niet rechtstreeks door de HSE bestuurd worden, zijn getroffen.De dag voordat de HSE de aanval ontdekte werd ook het Department of Health, het Ierse ministerie voor gezondheidszorg, aangevallen - maar hier slaagde men er gelukkig in de ransomsoftware tijdig te neutraliseren.Aanval op twee frontenTelkens zou dezelfde groep achter de aanval zitten: een Russische bende uit de buurt van St Petersburg - Wizard Spider - wordt met de vinger gewezen. De Ierse National Cyber Security Centre, politie en defensie werkt samen met Europol om de cybergangsters op te sporen. Het zou alleszins niet gaan om internationale spionage maar om zuiver criminele activiteiten.De aanval is uitgevoerd met een nieuwe variant van de Conti-ransomware. De aanval wordt uitgevoerd op twee fronten. De informatie op het systeem wordt geëncrypteerd. Tegelijk wordt een kopie van de oorspronkelijke data opgeslagen op de servers van criminele bende.De Ierse eerste minister, Micheál Martin, sloot uit dat de overheid met geld voor de misdadigers over de brug zou komen. Enkele dagen na de aanval maakten de cybergangsters wel een decryptiesleutel publiek. Waarom is niet bekend.De decryptiesleutel wordt nu ook gebruikt om de oorspronkelijke data opnieuw te ontsluiten. Maar de aangeleverde tool vertoont nogal wat gebreken - de gangsters steken daar niet hun latijn in.Decryptie blijkt een moeizaam proces dat in erg gecontroleerde omstandigheden moet verlopen om verdere lekkage en corruptie van data te voorkomen.AfpersingZou de bende het losgeld voor de decryptiesleutel zijn misgelopen, dan hebben ze toch nog tal van pijlen op die boog: al de data die ze hebben buitgemaakt waarvan er nogal wat hypergevoelig van aard. Die zou op het darkweb worden verkocht en kunnen de bron zijn van afpersing en verdere fraude.De Financial Times traceerde gelekte patiëntendossiers op het darkweb - en deelde de informatie die ze op het spoor kwam met het Ierse gerecht. Meer dan 500 patiënten zou het slachtoffer zijn van lekken. De HSE is door de GDPR natuurlijk verplicht mensen van wie de gegevens gestolen kunnen zijn, daarvan op de hoogte te brengen.KwetsbaarheidWizard Spider is een professionele bende die al jaren actief is. Ze speuren het internet af naar kwetsbare plekken in de IT-systemen van bedrijven en overheidsinstanties. Spionagesoftware zou voor de attack plaatsvond de systemen van de HSE van binnenuit in kaart hebben gebracht.De HSE blijkt nog heel wat verouderde software in gebruik te hebben gehad - wat hun systemen kwetsbaar maken. De CEO van HSE vertelde de pers dat het minstens 100 miljoen euro zou kosten om de systemen te herstellen - maar dat lijkt inderdaad een schatting aan de lage kant als men ermee rekening houdt dat men de IT-systemen niet alleen terug moet opbouwen, maar ook moet up-to-date brengen, nieuwe licenties moet aankopen en een betere beveiliging moet instellen. En daarnaast moet ook de zorg de geleden schade weer proberen in te lopen.Op het moment van de aanval was de positie van directeur van het Ierse National Cyber Security Centre vacant. Naar verluidt was er nogal wat beknibbeld op het salaris dat men voor deze functie veil had.Het Centre heeft een budget van vijf miljoen euro, terwijl dat volgens experts het tienvoudige zou moeten zijn.