Cyberverzekering voor Belgische ziekenhuizen

 Met de inwerkingtreding van de Nis 2-richtlijn moeten ziekenhuizen hun IT-beveiliging versterken. De cyberverzekering voorgesteld door AMMA, verzekering voor en door de gezondheidssector, in samenwerking met Relyens, is een nieuw aanbod in België. Ze zou een rol kunnen spelen in de bescherming van ziekenhuisstructuren. Interview met vertegenwoordigers van deze verzekering en Jérôme Massart, directeur van de CHRSM-site Sambre et Meuse, een van de ziekenhuizen die een slachtoffer was van een cyberaanval in 2023.

 

Op 18 oktober keurde België de Europese Nis 2-richtlijn goed, die essentiële sectoren, waaronder ziekenhuizen, verplicht om hun IT-beveiliging te versterken. Ziekenhuizen, die als een van de kwetsbaarste voor cyberaanvallen worden beschouwd, zijn een bijzonder doelwit. Elk jaar wordt één op de tien ziekenhuizen in België getroffen door een cyberaanval.

In mei 2023 werd het CHRSM Sambre et meuse het slachtoffer van een dergelijke aanval en voegde zich daarmee bij de 11% Belgische ziekenhuizen die getroffen werden. Het incident veroorzaakte een aanzienlijke verstoring van de activiteiten. We waren enigszins voorbereid en deze aanval versnelde de implementatie van cyberbeveiliging", zegt Jérôme Massart, directeur van de CHRSM. "Uiteindelijk hebben we hierdoor in een paar maanden kunnen doen wat we over meerdere jaren zouden hebben gedaan. Investeringen in IT-beveiliging waren al gepland, maar de aanval leidde tot de invoering van verbeterde maatregelen. "We hebben onze servers herbouwd, onze systemen beveiligd en veel strengere monitoring- en toegangsbeheersystemen geïnstalleerd.

De activiteiten van het ziekenhuis werden ernstig getroffen

"We moesten alle externe verbindingen verbreken, zonder internet of telefonie. Het personeel moest in een lagere modus werken, d.w.z. met papieren procedures en noodplannen om de continuïteit van de zorg en de levensvatbaarheid van de structuur te waarborgen", legt Jérôme Massart uit. "Dit vergde een extra inspanning van onze teams, maar we bleven voor onze patiënten zorgen.

Op de intensive care werden monitoringcentra geïnstalleerd op een lokaal netwerk om het gebrek aan verbinding met het centrale netwerk te compenseren. "We moesten uiterst creatief zijn en snel reageren om onze teams in staat te stellen hun werk voort te zetten. Crisiscommunicatie was volgens de directeur een van de moeilijkste aspecten om te beheren. "Ondanks onze inspanningen om transparant te zijn, zorgde de duur van de crisis voor een zekere vermoeidheid. "We bleven bijvoorbeeld lange tijd afgesloten van het Waalse gezondheidsnetwerk. Huisartsen en zelfs patiënten konden niet begrijpen hoe het zo lang kon duren. Communicatie, zelfs de meest educatieve, zelfs de meest transparante, heeft zijn grenzen.  Het is echt de duur van de crisis en de moeilijkheid om alles weer op te bouwen die ervoor zorgen dat communicatie op elk moment een van de meest fundamentele elementen is, maar ook een van de moeilijkste om te beheren," zegt Jérôme Massart.

De Nis 2-richtlijn, die op 18 oktober van kracht werd, is bedoeld om de cyberbeveiliging in kritieke sectoren zoals ziekenhuizen te versterken, op straffe van boetes van 2% van de omzet. Voor de CHRSM dragen de maatregelen die na de cyberaanval zijn genomen al bij aan deze naleving, maar het nalevingsproces blijft omvangrijk en complex, merkt Jérôme Massart op. "Het is een grote onderneming voor alle ziekenhuizen, met beleid dat moet worden geïmplementeerd voor risicobeheer, incidentbeheer en de continuïteit van informatiesystemen. Een beetje zoals ziekenhuisaccreditatie, maar dan op het gebied van IT-beveiliging", vergelijkt hij.

Een andere grote uitdaging betreft medische logicieel, waarvan de updates vaak afhankelijk zijn van externe leveranciers. "De softwareversies op deze apparaten moeten compatibel zijn met onze beveiligingseisen. We moeten ervoor zorgen dat alle communicatiestromen tussen het ziekenhuis en deze externe apparaten veilig zijn.

Om deze risico's het hoofd te bieden, biedt AMMA Insurance in samenwerking met Relyens, een toonaangevende Europese speler in verzekeringen en risicobeheer in de medische sector, een cyberverzekering aan, een primeur in België voor de ziekenhuissector. In geval van een aanval biedt deze verzekering onmiddellijk hulp van experts in risicobeheer en crisiscommunicatie. "Wanneer IT-systemen verlamd raken, wordt het vermogen van het ziekenhuis om patiënten te verzorgen ernstig aangetast", zegt Frédéric Melle, Chief Product Officer bij AMMA Assurance. "Onze belangrijkste missie is ervoor te zorgen dat ziekenhuizen hun tijd en middelen besteden aan gezondheidsproblemen.

Hoeveel kost deze dekking en hoe werkt ze?

"De kosten van deze dekking variëren, afhankelijk van de maturiteit van elk ziekenhuis op het vlak van risicobeheer," legt Dominique Godet, Managing Director van Relyens, uit. "Eerst wordt er een audit uitgevoerd van de beveiliging van het informatiesysteem van het ziekenhuis, op basis van een vragenlijst die de risico's goed in kaart brengt.  Vervolgens is de instelling direct verzekerbaar of krijgt het een aanpassingsplan om het beveiligingsniveau te verhogen en de risico's te beperken en de risicobeheersing aan te scherpen.  Afhankelijk van het kapitaal, de franchise en de kenmerken van de vestiging doen we vervolgens een voorstel.

"We mogen niet vergeten dat het exploitatieverlies wanneer een vestiging geblokkeerd is enkele tientallen miljoenen euro's kan kosten," merkt Dominique Godet op.  "Het omleiden van hulpdiensten of het overplaatsen van een afdeling naar een andere brengt ook menselijke risico's met zich mee. We kennen vestigingen waar dodelijke slachtoffers zijn gevallen als gevolg van deze operaties. Bovendien, als al het personeel met verlof moet worden geroepen om de capaciteit zonder informatiesysteem te verhogen, of terug moet gaan naar papier, brengt dit alles kosten met zich mee. En naast deze zichtbare kosten zijn er ook nog andere verliezen, zoals het betalen van ransom als dit het geval is, het verlies van gegevens of zelfs het overdoen van medische onderzoeken als deze zijn gewijzigd. Dan is er nog de burn-out van het personeel, een tweede kostenpost.  Als je alles bij elkaar optelt, kost het uiteindelijk minder om stroomopwaarts te investeren en een verzekering af te sluiten. Het is de beste preventie in risicobeheer en de beste reactie op een incident".

Overheidsinvesteringen in cyberbeveiliging

"Sinds 2022 is er een budget voor cyberbeveiliging voor ziekenhuizen, maar vergeleken met de investeringskosten die hiermee gemoeid zijn, is dit totaal ontoereikend", zegt Jérôme Massart. "We worden onder druk gezet om veel sneller te automatiseren dan we de middelen hebben om onszelf te beveiligen.  Dat is de vergelijking waarin we ons bevinden. Ziekenhuizen zijn structureel ondergefinancierd en dat geldt ook voor cyberbeveiliging en IT-investeringen. Het is moeilijk om de twee van elkaar te scheiden en cyberbeveiliging alleen te isoleren. "Investeren in cyberbeveiliging is echter heel belangrijk", stelt hij. "Dit zijn investeringen die de veiligheid van medische gegevens dienen en uiteindelijk de kwaliteit van het werk dat we onze teams en onze patiënten bieden."

Voor AMMA en Relyens is deze staatssteun een goede zaak, maar het is een oplossing binnen de hulpverlening. "Als een ziekenhuis wordt aangevallen, zal de dekking die wij bieden het mogelijk maken om te compenseren voor wat er moet gebeuren. Dit is niet mogelijk op nationaal niveau.  Het andere voordeel van deze verzekering is dat we ons van tevoren kunnen voorbereiden," zegt Frédéric Melle.

Volgens Jérôme Massart zou deze verzekering interessant kunnen zijn voor ziekenhuizen, "maar het valt nog te bezien tegen welke prijs, op basis van welke risicoanalyse en welk dekkingsniveau".