Wat de zorg kan leren van het Venetië uit de middeleeuwen

Venetië introduceerde in de 14e eeuw de quarantaine voor schepen uit met de pest besmette gebieden. Schepen moesten veertig dagen wachten voordat ze de haven mochten binnenvaren. Vaak werd ook de lading aan boord verbrand. Zieken werden overgebracht naar pestkolonies op speciaal daartoe ingerichte eilanden in de lagune. De Venetiaanse autoriteiten waren voorbereid, ondanks een gebrek aan informatie (over het al dan niet en de mate van aanwezig zijn van besmette zeelieden) en kennis (over oorzaken, verloop en verspreiding van ziektes zoals de pest). De Venetianen hadden een mindset die binnen de moderne IT-security gemeenschap 'assume compromise' wordt genoemd. Een pessimistisch realistische mindset die uitgaat van ontbrekende kennis en informatie en zich niet (alleen) richt op het voorkomen van aanvallen (of ziekte), maar op het beperken van de impact van het onbekende.

Hoe anders gaat het er 700 jaar later aan toe. Wanneer marktleider op het gebied van ziekenhuis software ChipSoft het slachtoffer wordt van een ransomware aanval met onduidelijke impact, reageert de Nederlandse zorg(-IT) gemeenschap verdeeld en reactief. Het expertisecentrum voor cybersecurity in de zorg, Z-Cert, adviseert vpn verbindingen met ChipSoft te verbreken en intern verkeer te monitoren. Z-Cert doet geen uitspraken over mogelijke andere directe en indirecte verbindingen met ChipSoft en de mogelijke (aan- of afwezigheid van) risico's daarvan. Een aantal ziekenhuizen en leveranciers besluiten al snel verdergaande maatregelen te nemen en verbreken iedere verbinding met de centrale ChipSoft infrastructuur, inclusief de centrale diensten ten behoeve van portalen (en zelfservice kiosken), mobile apps en het Zorgplatform voor uitwisseling van gegevens tussen zorgaanbieders.

Anderhalve dag na het bekend worden van de aanval is het ChipSoft zelf die alsnog een ‘assume compromise’ houding aanneemt. Ziekenhuizen worden gevraagd geen eerder gedownloade ChipSoft software meer te installeren (zogenaamde hotfixes). Hoe klein de kans ook is, als de aanvallers al veel langer toegang tot de ChipSoft systemen hebben zou zelfs de eerder uitgeleverde software ransomware kunnen bevatten. Assume compromise. Het bedrijf kondigt aan centrale omgevingen opnieuw op te gaan bouwen en beveiligingssleutels te vervangen, ondanks minimale kans op besmetting. Assume compromise. Men verzoekt alle accounts van ChipSoft support-medewerkers te blokkeren. Assume compromise.

Er is veel kritiek op hoe ChipSoft de situatie afhandelt. Met name de gebrekkige communicatie wordt bekritiseerd. Hoewel ik het in de kern wel eens ben met die kritiek, heeft ze voor mij ook een hoog 'pot verwijt de ketel gehalte'. Waar is de dreigingsanalyse van Z-Cert? Waar is het crisisplan dat de Nederlandse zorg voorbereid op verdere escalatie (assume compromise)? Waar is het responseteam dat zorginstellingen helpt met het actief zoeken naar indicaties dat systemen gecompromitteerd zijn? Waar is het communicatieplan vanuit de zorg zelf, zodat burgers een eenduidig beeld krijgen van wat er aan de hand is, in plaats van dat iedere zorgaanbieder zijn eigen communicatie naar de buitenwereld verzorgt?

De afhankelijkheid van een leverancier als ChipSoft is een keuze van de sector zelf. We verwachten optimale communicatie en ondersteuning van een bedrijf dat is overvallen door een grootschalige cyberaanval met onduidelijke impact. Een bedrijf dat zich tegelijkertijd moet richten op het in stand houden en/ of zo snel mogelijk herstellen van de dienstverlening om impact op zorg te minimaliseren, terwijl ze wordt geconfronteerd met enerzijds gijzeling en anderzijds de dreiging van schadeclaims en boetes. Een bedrijf dat ineens het middelpunt is van forensisch onderzoek en geen informatie kan verspreiden die het vinden van daders bemoeilijkt. De verwachting van optimale communicatie en ondersteuning is terecht, maar ook een beetje naïef.

In de middag van woensdag 8 april herstelt een ziekenhuis de verbindingen met centrale ChipSoft voorzieningen op basis van informeel overleg met een ChipSoft medewerker. Een ziekenhuis dat oorspronkelijk proactief reageert (assume compromise), vertrouwt uiteindelijk blind op informele uitingen van haar belangrijkste IT-leverancier. Dat vertrouwen is begrijpelijk, maar ook een beetje naïef. En in de huidige wereld is geen plek meer voor dit soort naïviteit. Enkele uren later verbreekt ChipSoft zelf alle verbindingen.

Wat kan en moet de sector leren van wat er op dinsdag 7 april is gebeurd?

1. Zorg dat op nationale schaal relaties/ verbindingen tussen ICT- voorzieningen inzichtelijk zijn. Niet alleen de vpn tunnels maar ook andere verbindingen zoals bijvoorbeeld de in de pers genoemde (maar nergens geduide) relay-verbindingen en distributie stromen van software. Zorg dat kennis over de kwetsbaarheden in dit soort verbindingen en stromen landelijk beschikbaar is.
   

2. Adopteer de assume compromise mindset op landelijke schaal. Ook in de boardroom.
   

3. Ontwikkel proactief een landelijk response plan met duidelijke verwachtingen van alle betrokkenen, noodvoorzieningen die bestand zijn tegen totale compromitering en voldoende technische ondersteuning ten behoeve van het opsporen van gecompromitteerde systemen en het vernietigen van dreigingen.
   

4. Zorg bij incidenten voor onafhankelijke dreigingsanalyse op sectorniveau, rekening houdend met punten 1 en 2, en voorkom verdere escalatie.
   

5. Centraliseer communicatie op sectorniveau.

Hulde aan D66 Kamerleden Vervuurt en El Boujdaini die al twee dagen na de aanval scherpe vragen stellen aan de minister. Op een aantal van de gestelde vragen zal waarschijnlijk niemand op dit moment een antwoord kunnen geven, simpelweg omdat dit pas kan als forensisch onderzoek is afgerond. Voor vragen naar bestaande en toekomstige maatregelen hoop ik dat de minister het antwoord al klaar heeft liggen, maar vermoed ik dat de Kamerleden worden doorverwezen naar Z-Cert dat onder NIS2 is aangewezen als Computer Security Incident Response Team (CSIRT).