Juni 2017 Samenstelling: Max de Ruiter, Crisiscontrol BV Bernard Groot, Crisiscontrol BV Casus Enigma 28 juni 2017
Het is woensdag 28 juni rond 11.15 uur Het is prachtig weer en iedereen snakt naar de vakantie Vandaag is het een drukke dag in het ziekenhuis Zorg en Hoop. De poliklinieken draaien op volle toeren en het is een druk OK programma. Op de IC zijn 2 bedden gereserveerd voor OK patiënten. Om 11.15 krijgt een arts assistent een mail met een aanbieding voor een mooie auto. Als de arts assistent de mail aanklikt om de auto te bekijken verdwijnen zijn gegevens van het scherm. Meteen verschijnt er een bericht dat zijn gegevens op zijn computer encrypted zijn. De arts assistent raakt in paniek en sluit de computer onmiddellijk af. Gelukkig heeft de afdeling ICT de zaak goed afgeschermd en is de schade beperkt tot een computer. De arts assistent is hiervoor aangesproken. Een half uur later komt bij de ICT-afdeling een groot aantal meldingen van storingen op de diverse afdelingen binnen. Na een kort onderzoek door de afdeling ICT blijkt dat er in het ziekenhuis een hacker aanwezig is die het WIFI-netwerk heeft gekraakt. Volgen giech @zorg&hoop.nl #ZHCyb Jeetje, we zijn gehackt! 11:17 28 Juni 2017 Vervolgens heeft deze hacker of hackers toegang gekregen tot vrijwel alle apparaten die hierop zijn aangesloten. Een daarvan is een CT-scanner. In het geheugen van het apparaat zaten gegevens van enkele honderden patiënten, Op de SEH zijn schermen op slot gegaan. Het hoofd SEH probeert de receptie te bellen, maar merkt dat de vaste telefoon ook al niet meer functioneert. Daarop meldt deze met de porto dat het ziekenhuis getroffen is door een aanval met Ransomware of zoiets. Het hoofd SEH laat de stand alone computers van het EPD opstarten en inventariseert wat de problemen op de SEH zijn. Op hetzelfde moment ziet de afdeling communicatie dat een aantal collega`s van het ziekenhuis een tweet heeft geplaatst waarin wordt gemeld dat het ziekenhuis is gehackt en niets meer bereikbaar is. Op face book wordt geschreven dat zelfs de koffiezetapparaten niet meer werken, althans dat wordt gesuggereerd, met foto`s dat op de koffiezetapparaten wordt geslagen om het spul aan de gang te brengen. De collega van de afdeling communicatie informeert het hoofd communicatie hierover en adviseert deze om op te schalen naar code rood of zwart. De medewerker verwacht grote belangstelling van de media, omdat dit de eerste keer is dat een Nederlands ziekenhuis is getroffen door een aanval met Ransomware en/of hackers. NAZB / Congres ICT-uitval en cybersecurity / 28 juni 17 / versie 0 / 22 juni 17 Pagina 2
Bij de receptie is de vaste telefonie uitgevallen, evenals de systemen voor de administratie. Daardoor kunnen de patiënten zich niet meer aanmelden bij de automaten en kan de administratie de patiënten niet meer registreren. De rij voor de balie groeit angstaanjagend snel. En de onvrede bij de patienten neemt zienderogen toe. De receptioniste belt met haar 06 nummer het hoofd facilitaire dienst en vraagt om hulp, zij kunnen het daar niet meer aan. De medewerkers bij de balie zijn min of meer in paniek. De beveiliging wordt gebeld door de secretaresse van het hoofd van de apotheek met een paniekstem, dat haar badge en sleutels zijn ontvreemd, ze heeft alles afgezocht en navraag gedaan, maar niets meer kunnen vinden. Zij was even naar de koffieautomaat en vergeten haar spullen op te ruimen. Zij zag tevens dat op haar computer gezocht is naar gegevens. Een collega van de technische dienst constateerde een openstaande switchkast op OK afdeling en zag dat er enkele kabels uit de switchkast getrokken waren. Hij meldt dit onmiddellijk aan de afdeling ICT. Daar wordt, met alle voorafgaande meldingen, geconstateerd dat een groot aantal systemen uitgevallen zijn en het ziekenhuis plat gaat. Een grootschalig hackers aanval is niet ondenkbaar, met sabotagebron in huis. De schrik slaat behoorlijk toe bij de ICT-club. Wat de schade nog meer is kan nog niet worden overzien. Het netwerk schijnt voor het grootste gedeelte plat te liggen. Het is 11.35 uur De voorzitter van de Raad van Bestuur krijgt via haar 06 nummer een bericht van de crisiscoördinator waarin hij meldt dat het ziekenhuis getroffen is door een aanval met Ransomware en/of hackers bezig zijn het gehele ziekenhuis plat te leggen. De vaste telefonie, het mail verkeer en de belangrijkste systemen functioneren niet meer. De SEH en de IC zijn overgestapt op de noodprocedures. De crisiscoördinator adviseert om het CBT bij elkaar te roepen. De voorzitter stemt hiermee in en geeft opdracht het CBT onmiddellijk bij elkaar te roepen en het hoofd ICT als adviseur hieraan toe te voegen. De voorzitter verwacht over 10 minuten een SITRAP over de situatie. Het is 11.45 uur Het CBT komt in volledige bezetting bij elkaar. De crisiscoördinator krijgt een SMS bericht op zijn GSM van de afdeling ICT dat de hackers een losgeld eisen van 10 XBT (BITCoins) per computer. NAZB / Congres ICT-uitval en cybersecurity / 28 juni 17 / versie 0 / 22 juni 17 Pagina 3
Oefenaanwijzingen Inleiding De oefening draagt de naam Enigma is gebaseerd op ware gebeurtenis in een drie tal ziekenhuizen in Amerika, Engeland en Polen. De oefening omvat een bijzondere gebeurtenis die gepaard gaat met de melding van een hackersaanval c.q. Ransomware aanval Hier komen zoveel de continuïteit als de crisisbesluitvorming aan bod. De oefening wordt zoveel mogelijk op reële tijdbasis gespeeld. Indien het verloop van de oefening hiertoe aanleiding geeft kan de oefenleiding beslissen de oefening even stil te leggen om bij te praten of aanwijzingen te geven. De deelnemers krijgen tegenspel van Max de Ruiter, die als vraagbaak dient en het nodige tegenspel geeft. Organisatie: Formeer uw CBT Uw CBT is samengesteld uit: Voorzitter, Ondersteuner, managers Zorg, Snijdend/niet snijdend, Facilitair, ICT, Communicatie, HRM, Crisiscoördinator Werk conform het onderstaande crisisbesluitvormingsmodel BOBOC en crisisagenda. Materiaal: Flip-overvellen voor Kretenbord, en besluitenlijst conform bijgevoegde modellen. Viltstiften, aantekenmateriaal, casus, schilderstape. Opdracht Maak aan de hand van de casus in eerste instantie een analyse van het probleem en vermeld de feiten en veronderstellingen op het Kretenbord, volgens bijgevoegd model. Bij de beoordeling van de situatie en daarop te nemen maatregelen dienen onder meer de volgende vragen te worden meegenomen Vragen: Wat zijn jullie aandachtspunten en rol als CBT bij zo`n melding? Welke maatregelen treft u als CBT in dit stadium? Wat heeft prioriteit en waarom? Welke opdrachten worden hieruit gedistilleerd en aan wie worden ze gegeven? Wie gaat wat doen en in welk stadium? Wie heeft u nu nog meer nodig om dit incident intern onder controle te krijgen? Wat doen we met de interne en externe communicatie? Wat zijn de gevolgen voor uw bedrijfsvoering van deze casus en voorziet uw planvorming hierin? Gaat u in op de chantagemelding voor het betalen van XBT? NAZB / Congres ICT-uitval en cybersecurity / 28 juni 17 / versie 0 / 22 juni 17 Pagina 4
Checklist bij de besluitvorming: Aard, omvang en ernst van de gebeurtenis voor uw organisatie Bijzonderheden die de oplossing vertragen. Bijzonderheden met betrekking tot consequenties van de vertraging van het primaire bedrijfsproces. Bijzonderheden met betrekking tot financiële, juridische en imago consequenties van het incident/of beginnende crisis Het inroepen van externe deskundigen. Welke besluit (en) te nemen door de voorzitter en de leden van het CBT aan de hand van de aangedragen scenario s met mogelijke alternatieven. En hoe dit nu te communiceren. Hanteer bij de vergadering de crisisagenda Standaardagenda bij crisisoverleg 1. Opening Werkafspraken Controle portefeuilles 2. Beeldvorming Bespreek SITRAP, besluitenlijst Inventariseer aanvullende informatie bij team Leg feiten vast Bepaal knelpunten en onzekerheden 3. Oordeelsvorming Cirkelmethode: elk lid geeft advies m.b.t.: Te nemen acties / besluiten In te zetten mensen / middelen en mogelijkheden Voorlichting / communicatie 4. Besluitvorming Formuleer beslissingen Formuleer uit te voeren acties (wat, wanneer en door wie) 5. Vervolgafspraken (hoe laat volgende bijeenkomst) 6. Sluiting NAZB / Congres ICT-uitval en cybersecurity / 28 juni 17 / versie 0 / 22 juni 17 Pagina 5