Op een vredige zondagochtend werd Curando getroffen door een cyberaanval. Samen met gespecialiseerde cyberbeveiligingsorganisaties werkte de zorggroep aan een oplossing. “We zijn nu nog alerter geworden”, zegt Pieter Decloedt, departementshoofd proces- en kwaliteitsbeheer.
22 januari 2023 staat bij Pieter Decloedt in het geheugen gegrift. Die zondagochtend stelden de IT-verantwoordelijken een cyberaanval vast op de IT-systemen van Curando. De groep biedt verschillende zorgformules aan, zoals een woonzorgcentrum, een dagverzorgingscentrum, een dienstencentrum, assistentiewoningen en een kortverblijf, verspreid over West- en Oost-Vlaanderen. “We startten onmiddellijk een intern onderzoek op”, blikt Pieter Decloedt terug. “De ernst van de aanval werd meteen duidelijk toen bleek dat enkele computerservers ontoegankelijk waren.”
Alle systemen werden losgekoppeld om te voorkomen dat de aanval zich verder zou uitbreiden. Een team deed de nodige checks om uit te zoeken wat geïnfecteerd was door de cyberaanval. “Het meest kritische voor ons waren de medicatieschema’s. Die gebruiken we om de juiste medicatie aan de juiste bewoner toe te dienen. Het spreekt voor zich dat dit cruciaal is”, zegt Pieter Decloedt. “Gelukkig hadden we daar een back-up van en konden we via manuele prints de verschillende afdelingen hun schema’s bezorgen. We stelden alles in het werk om de zorg- en dienstverlening niet in het gedrang te laten komen.”
In het verleden had Curando een verzekering afgesloten voor het geval het getroffen zou worden door een dergelijke cyberaanval. “Eerlijk, ik wist niet wat daarvan te verwachten”, aldus Pieter Decloedt, “maar toen we hen contacteerden kwam meteen een taskforce van specialisten in actie.” Via hen hoorde Pieter Decloedt voor het eerst van het hackerscollectief BlackCat, dat effectief achter de aanval zat. In het verleden zorgde dat collectief al voor serieuze problemen bij bijvoorbeeld internationale energiemaatschappijen of de Italiaanse overheid. “Het werd snel duidelijk dat de hackers effectief data van onze servers versleuteld hadden. Dat konden zij ook bewijzen.”
Curando bracht de bewoners, familie en medewerkers van de woonzorgcentra op de hoogte van de cyberaanval. Het hackerscollectief legde Curando intussen ook eisen op. Pieter Decloedt: “In het belang van onze zorgvragers en zorgverleners, en om onze zorg- en dienstverlening te continueren, besliste het bestuursorgaan om onderhandelingen met de hackers op te starten.” Hij gaat liever niet in detail, maar de eis was een aanzienlijk geldbedrag. “Het bestuursorgaan van Curando, dat in spoedzitting samenkwam, besliste om te betalen, indien noodzakelijk. Dat was niet zozeer ingegeven door de malaise met onze systemen, maar wel omwille van de gevoelige data en de daarbij horende privacy van onze bewoners. We wisten niet of ze deze data zouden misbruiken”, zegt Pieter Decloedt.
Het onverkwikkelijke verhaal kreeg plots een vreemde wending toen het hackerscollectief zijn eisen liet vallen. Pieter Decloedt: “We hadden weet van een Canadees kinderziekenhuis dat door een ander collectief was aangevallen. Toen bleek dat het om een kinderziekenhuis ging, liet het zijn eisen vallen. De onderhandelaar van Curando speelde ook uit dat het hier om een zorginstelling ging.” Na enkele uren liet BlackCat weten de aanval te stoppen. “De hackers vernietigden de gestolen data. Daarvan hebben wij bewijs ontvangen. Hierdoor kunnen deze data niet meer openbaar worden gemaakt”, blikt Pieter Decloedt tevreden terug.
“De impact van deze cyberaanval op onze organisatie was substantieel. Het uitvallen van de serversystemen zorgde voor extra werkdruk.” Tot vandaag weet Pieter Decloedt niet langs welke weg het hackerscollectief zich een ingang wist te verschaffen. “Je denkt altijd dat het jou niet kan overkomen. We hebben nochtans een state of the art beveiliging en de meerdere audits en beveiligingssystemen leidden eerder al tot verscherpte acties. Overal hebben we bijvoorbeeld een tweefactorauthenticatie.”
Als departementshoofd proces- en kwaliteitsbeheer heeft Pieter Decloedt niet het gevoel dat security van de systemen als een last of kost werd beschouwd. “Technisch kreeg ik het allemaal verkocht en niemand die dit in vraag stelde, maar het menselijke aspect is iets lastiger.” De bewustwording is nu vergroot, al werd in het verleden ook al een ethische hacker losgelaten op de systemen en een gerichte interne phishingmailcampagne opgezet. De komst van de Europese richtlijn NIS2, die verschillende essentiële sectoren beter moet wapenen en tegen eind 2023 van toepassing wordt in ons land, ziet Pieter Decloedt gunstig tegemoet. “Het kan de bewustwording enkel doen toenemen, zowel bij directies als gebruikers.”
Verdoe jij ook te veel tijd met het opvolgen van alle nieuwtjes in je feed? No worries, wij verzamelen alles wat nieuw is in de finance wereld. Al die nieuwtjes komen wekelijks in jouw mailbox terecht.