Ransomware-incident rond ChipSoft nog een mysterie

In dit artikel:

ChipSoft is een week na een ransomware-aanval nog niet in staat om vast te stellen wat de precieze oorzaak, omvang, bron of impact is; het lopende forensische onderzoek bij de leverancier van het EPD HiX vraagt meer tijd. Ook de externe securityteams beschikken vooralsnog over weinig concrete informatie. Had de Cyberbeveiligingswet al gegolden, dan had het bedrijf binnen 72 uur moeten rapporteren.

Sinds woensdag 8 april zijn verbindingen met onder meer het Zorgportaal, HiX Mobile (alle apps/HAS Relay) en het Zorgplatform uitgeschakeld. Daardoor kunnen ziekenhuizen en andere zorgaanbieders geen gegevens via die platformen uitwisselen; veel organisaties hebben ook verbindingen naar ketenpartners uitgezet. Intern blijven patiëntdossiers binnen ziekenhuizen wel toegankelijk, maar door ChipSoft gehoste patiëntenportalen zijn extern niet beschikbaar en in sommige ziekenhuizen functioneren aanmeldzuilen niet.

ChipSoft levert naast het EPD ook andere ziekenhuisinformatiesystemen en is daardoor niet alleen voor ziekenhuizen, maar ook voor huisartsenpraktijken en andere zorgverleners geraakt. Het bedrijf krijgt veel vragen en kondigt via LinkedIn een speciale informatiepagina aan; de eigen site is momenteel onbereikbaar. Omdat HiX medische gegevens zoals diagnoses, medicatie, laboratoriumuitslagen en psychiatrische aantekeningen bevat, is beveiliging cruciaal; tot nu toe zijn er volgens ChipSoft geen aanwijzingen dat patiëntgegevens zijn ingezien of gestolen.

De situatie illustreert de grote kwetsbaarheid van veel gebruikte zorgsystemen en de brede operationele impact wanneer centrale leveranciers worden getroffen.