Cyberaanval treft ChipSoft, beheerder van patiëntendossiers

ChipSoft, de grootste leverancier van zorgsoftware in Nederland, is het slachtoffer geworden van een ernstige cyberaanval. Aangezien het bedrijf voor de meeste Nederlandse ziekenhuizen de belangrijkste beheerder van patiëntendossiers is, vormt dit beveiligingslek een ernstige bedreiging voor de nationale medische infrastructuur. Het incident heeft verschillende instellingen er al toe gedwongen hun systemen los te koppelen om verdere schade te voorkomen.

Het bedrijf heeft vandaag bevestigd dat onbevoegden toegang hebben gekregen tot zijn interne systemen. Het incident kwam voor het eerst aan het licht toen Z-Cert, het digitale beveiligingscentrum voor de Nederlandse gezondheidszorg, een dringende melding verstuurde naar medische instellingen in het hele land.

Het vlaggenschipproduct van ChipSoft, HiX, fungeert als het centrale zenuwstelsel voor het beheer van patiëntgegevens in Nederland. De aanval was gericht op de infrastructuur van het bedrijf, wat leidde tot onmiddellijke verstoringen van de dienstverlening. Terwijl het bedrijf aanvankelijk moeite had om de inbreuk in te dammen, ging de hoofdwebsite offline, wat de ernst van de inbreuk onderstreepte.

Het bedrijf werd het slachtoffer van een ransomware-aanval, waarbij hackers de systemen blokkeerden en geld eisten om de toegang te herstellen. Ransomware-aanvallers richten zich vaak op de medische sector vanwege de grote waarde van patiëntgegevens en de dringende noodzaak dat systemen beschikbaar blijven. In dit geval veroorzaakte het beveiligingslek bij een centrale softwareleverancier een enorm domino-effect in de gehele Nederlandse medische sector. Het bedrijf heeft inmiddels noodprotocollen in werking gesteld om verdere toegang te blokkeren, maar de aanvankelijke schade aan de beschikbaarheid van zijn diensten was zowel onmiddellijk als wijdverbreid.

Marktoverheersing en systeemrisico

ChipSoft neemt een dominante positie in op de Nederlandse gezondheidszorgmarkt. Volgens schattingen vertrouwt tussen de 70% en 75% van alle Nederlandse ziekenhuizen op de software van het bedrijf voor hun dagelijkse bedrijfsvoering. Deze hoge mate van marktconcentratie creëert een ‘single point of failure’ voor de medische infrastructuur van het land. Wanneer een marktleider van deze omvang het slachtoffer wordt van een ransomware-aanval, reiken de gevolgen veel verder dan één enkele onderneming.

Op advies van Z-Cert en het Nationaal Cyber Security Centrum hebben ten minste elf ziekenhuizen proactief hun patiëntenportalen offline gehaald om het risico te beperken. Instellingen zoals het Erasmus MC, het Ikazia Ziekenhuis en Medisch Spectrum Twente behoorden tot de instellingen die in vroege berichten over de verstoring werden genoemd. Deze ziekenhuizen verbraken de VPN-verbindingen met de systemen van ChipSoft om te voorkomen dat de ransomware zich lateraal zou verspreiden naar hun eigen interne netwerken.

Hoewel veel medische afspraken en behandelingen volgens planning doorgingen, betekende het verlies van toegang tot het portaal dat patiënten hun dossiers niet konden inzien of afspraken digitaal konden beheren. Wanneer de koppeling met het elektronische patiëntendossier echter wordt verstoord, wordt de digitale workflow van het ziekenhuis ernstig belemmerd, waardoor het personeel gedwongen wordt te vertrouwen op minder efficiënte handmatige processen of lokale back-upsystemen.

Gegevensintegriteit en wettelijke verplichtingen

Een van de grootste zorgen bij een ransomware-aanval is het risico op gegevensdiefstal. ChipSoft heeft bevestigd dat onbevoegden toegang hebben gekregen tot zijn systemen en verklaard dat het niet kan uitsluiten dat persoonsgegevens zijn ingezien of gestolen.

Op grond van de Algemene Verordening Gegevensbescherming, in Nederland bekend als AVG, treedt ChipSoft op als gegevensverwerker, terwijl de ziekenhuizen optreden als verwerkingsverantwoordelijken. Hoewel sommige ziekenhuizen, zoals Ziekenhuisgroep Twente, hebben gemeld dat hun specifieke patiëntgegevens lokaal opgeslagen blijven en niet lijken te zijn aangetast, wordt het bredere risico voor de HiX software-as-a-service-omgeving nog onderzocht.

De mogelijke diefstal van gevoelige medische dossiers vormt een langetermijnbedreiging voor de privacy van patiënten en kan leiden tot secundaire pogingen tot afpersing van individuen. Voorlopig ligt de focus op het vaststellen welke gegevens precies zijn ingezien. Het bedrijf controleert momenteel zijn systemen op tekenen van datalekken en werkt samen met forensische experts om de volledige omvang van het incident in kaart te brengen.

Technisch onderzoek en onzekerheid

De technische details over hoe de aanvallers de beveiliging van ChipSoft hebben doorbroken, zijn nog niet bekendgemaakt. Geen enkele specifieke ransomwaregroep heeft de verantwoordelijkheid voor de aanval opgeëist en het exacte toegangspunt wordt nog onderzocht.

Het National Cyber Security Centre en Z-Cert blijven samenwerken met ChipSoft om het incident te analyseren en de diensten te herstellen. Dit gebrek aan transparantie in de vroege stadia van een inbreuk komt vaak voor, aangezien onderzoekers het indammen van de schade voorrang geven boven openbaarmaking.

Het tijdschema voor het herstel blijft onzeker, waardoor ziekenhuizen extra waakzaam moeten blijven. Het onderzoek moet uiteindelijk uitwijzen of de inbreuk het gevolg was van een bekende kwetsbaarheid of een zero-day-exploit, zodat andere instellingen hun verdedigingsmechanismen kunnen versterken.