Ziekenhuis Groningen geraakt door pro-Russische hackers, geen vitale systemen getroffen

Door de aanval was onder meer de informatiepagina van het ziekenhuis, waar mensen informatie kunnen opzoeken over behandelingen of aandoeningen, grotendeels onbereikbaar. Om 21.30 uur dinsdagavond maakte het ziekenhuis bekend dat de website weer toegankelijk is. De ddos-aanval is ondertussen nog wel gaande, volgens het ziekenhuis. Maar door een extra ‘verdedigingslinie’ te bouwen kan de site de aanval afwenden.

Het patiëntenportaal mijnUMCG en de systemen waar gegevens van patiënten zijn opgeslagen, zijn volgens een woordvoerder buiten schot gebleven. Naast het UMCG zijn er nog andere ziekenhuizen aangevallen, zegt Z-Cert. ‘We zijn nog aan het inventariseren, ik kan op dit moment nog niet zeggen welke het precies zijn’, zegt een woordvoerder.

Volgens het ziekenhuis kan de patiëntenzorg gewoon doorgaan, evenals het onderzoek. De aanval treft de openbare website met algemene informatie. De gegevens van patiënten zijn volgens het UMCG niet in gevaar. Wel zijn er wat administratieve processen die last hebben van de hackers, zoals de academische huisartsenpraktijk, waar nu online geen herhaalrecepten aangevraagd kunnen worden – dat moet telefonisch. Het ziekenhuis werkt samen met Z-Cert om de situatie op te lossen. ‘We kijken nu vooral hoe we de impact kunnen verkleinen en hoe mensen toch de informatie kunnen krijgen die ze zoeken’, zegt een woordvoerder van het UMCG.

Digitaal vandalisme

De pro-Russiche hackersgroep Killnet valt overheidsinstanties en bedrijven aan die gevestigd zijn in landen die Oekraïne steunen. Dat doen ze met gematigd succes: hun tactieken zijn niet erg geavanceerd en aanvallen hebben vaak een beperkte impact en duur. ‘Wat Killnet doet, kun je omschrijven als digitaal vandalisme’, zegt Dave Maasland, directeur van computerbeveiligingsbedrijf Eset. ‘Maar vergis je niet: ze legden ook het internet bij het Europees Parlement een paar uur plat.’ Dit gebeurde in november vorig jaar.

Hoe groot Killnet precies is en door wie de groep wordt gesteund, is niet bekend. ‘Voor een ddos-aanval, zoals die nu ook bij het UMCG plaatsvindt, heb je niet heel veel nodig’, zegt Maasland.

Bij een ddos-aanval raakt een website of netwerk overbelast omdat er heel veel verkeer naartoe gestuurd wordt. ‘Je doet dit via miljoenen computers, of slimme apparaten, die geïnfecteerd zijn met een virus waardoor je ze de opdracht kunt geven een bepaalde website te bezoeken. Er zijn zelfs websites die dit tegen betaling aanbieden, om te testen hoeveel verkeer je webadres aankan. Maar als je dan ook het adres van een ander op kunt geven, leg je zo de site van de fietsenwinkel van je buurman plat.’

Goed te herkennen

Dit soort aanvallen zijn doorgaans vrij goed te herkennen en af te weren. Dat de website van het UMCG nu al twee dagen platligt, betekent dat we deze aanval niet zomaar kunnen wegwuiven, vindt Maasland. ‘Het laat twee belangrijke dingen zien: we zijn nog steeds kwetsbaar, en we zitten dus in het vizier van dit soort groepen.’ Killnet publiceerde dit weekend een lijst waarop meerdere doelwitten stonden. Het Twitteraccount Cyberknow heeft de lijst gedeeld, waar vrijwel alle grote Nederlandse ziekenhuizen op staan.

Maasland: ‘Het gaat niet zozeer om de echte schade, maar meer om het laten wankelen van het vertrouwen in de digitale veiligheid.’ Een website die onbereikbaar is of een paar uur geen internet is vervelend, maar het werk kan al snel weer worden opgepakt. De emotionele impact is groter: mensen lezen dat hun ziekenhuis of overheidsinstantie door hackers is geraakt. ‘Ik waak ervoor Killnet te onderschatten. Misschien is het doel voor nu ook alleen maar om in het nieuws te komen met relatief beperkte aanvallen. Maar je weet niet wat ze in de toekomst doen. Of dat er groepen met zwaarder geschut hebben gezien wat er mogelijk is.’