Waarom een grote ketenoefening over een cyberaanval?
Zorgorganisaties zijn wettelijk verplicht om onder alle omstandigheden de bereikbaarheid, toegankelijkheid en kwaliteit van de zorg te borgen. De technologische en digitale ontwikkelingen in de zorg hebben de afgelopen jaren een vlucht genomen. De dreiging op digitale verstoringen binnen de zorgorganisaties door cybercriminaliteit vormen een groot risico op crisissituaties, die de veiligheid van patiënten, bezoekers en medewerkers binnen de
zorgorganisaties bedreigen.
Dat zorgt voor een vergroot risico op crisissituaties die de veiligheid van patiënten, bezoekers en medewerkers binnen de zorginstellingen bedreigen, en vragen om een zo goed mogelijke voorbereiding en vaardigheid om (dreigende) crises met elkaar te kunnen voorkomen en te beheersen op zowel individueel niveau per organisatie als in de keten.
Het risico op een cyberaanval neemt toe
Al jaren neemt de dreiging op digitale verstoringen van bedrijven en (zorg)instellingen door cybercriminaliteit toe. Binnen deze wereld bestaan businessmodellen om bedrijven en organisaties te hacken en zorg te dragen voor zulke verstoringen of het binnenhalen van bedrijfsgegevens voor de verkoop, met als doel om organisaties te kunnen chanteren. Landelijk en internationaal zijn er tal van voorbeelden waarbij zorginstellingen getroffen zijn door hackers. Goed om als keten hiervan bewust te zijn en te kijken wat de impact is op de zorgcontinuïteit als onze ROAZ-regio getroffen wordt. Wat hebben we dan aan maatregelen en handelingsperspectieven om de bereikbaarheid, toegankelijkheid en opvang van de acute patiënten te borgen?
De Brabantse zorgorganisaties hebben zich de afgelopen jaren individueel voorbereid over wat ze moeten doen als ze te maken krijgen met cybercriminaliteit. Het is echter van belang om ook als keten voorbereid te zijn op dit type crisis.
Achtergrond en aanloop naar de oefening
Op 28 juni 2017 vond er al een netwerkdag plaats rondom het thema 'Langdurige ICT-uitval en cybersecurity'. Deze themadag was de aftrap voor zorgorganisaties om zich bewust te worden van de steeds grotere afhankelijkheid die zorgprocessen hebben van de digitale middelen en wat dat voor dreigingen en risico’s heeft.
Met behulp van het OTO-stimuleringsprogramma van het ministerie van VWS gingen ketenpartners individueel aan de slag binnen de eigen zorgorganisaties om de bewustwording van de risico’s van cybercrime te vergroten en planvorming op te stellen. Daarnaast werden sleutelfunctionarissen getraind in hun rol, de mogelijke dilemma’s die een scenario kan geven en het nemen van kritieke besluiten daarin. De focus op het programma gericht op de voorbereiding van de individuele zorginstellingen duurde tot 2019. In 2019 gaf het ROAZ opdracht om te kijken naar de keteneffecten en de voorbereiding daarop. In de periode 2020 - 2021 lag het OTO-programma nagenoeg stil vanwege de coronapandemie.
In 2022 is het thema cybercriminaliteit in Brabant opgepakt. Tijdens een expertgroepbijeenkomst ICT en crisisbeheersing lichtte Robin Schär vanuit netwerkbureau Euregio toe hoe zij het programma rondom digitale ontwrichting in de keten hebben uitgevoerd. Naar aanleiding van deze presentatie ontstond de vraag wat er nodig is aan specifieke planvorming voor ketenbrede effecten bij digitale uitval. Daarop is het besluit genomen om een intersectorale ketenoefening te organiseren als een 0-meting om te bepalen wat er aan specifieke planvorming wordt gevraagd rondom cybercriminaliteit.
Focus en doelstellingen van de ketenoefening cyberaanval
Tijdens de intersectorale oefening ligt de focus op ketensamenwerking, communicatie en borging van de zorgcontinuïteit in ketenverband: hoe werken wij samen in het geval van een cyberaanval bij het traumacentrum of meerdere zorginstellingen binnen ROAZ-regio Brabant? Hoe regelen we de bereikbaarheid, toegankelijkheid en opvang van de acute patiënten en hoe communiceren we daarover met elkaar, als zorgprocessen binnen een organisatie verstoord worden door een cyberaanval?
We nemen ook de technische aspecten van een digitale uitval door een hack mee om de impact die het heeft op de (acute) zorg te kunnen duiden, maar daarop ligt niet de focus.
Doelstellingen voor deze oefening zijn:
- inzicht verkrijgen in:
- de (ketenbrede) impact (of gevolgen) van cyber/digitale ontwrichting op zowel de interne- als regionale zorgcontinuïteit;
-
behoeftes van de deelnemende ketenpartners in de voorbereiding op een cybercrisis;
-
informatie- en communicatielijnen tussen partijen in het licht van een cyberincident.
- creëren en vergroten van de awareness/risico-bewustzijn rondom het scenario cyber/digitale ontwrichting;
- ontdekken van leerpunten die niet eerder naar boven zijn gekomen (blind spots) en die vragen om regionale planvorming.
Regelmatig ketenbreed oefenen van belang
De laatste keer dat er een grote intersectorale ketenoefening werd gehouden, was in 2019, die toen in het teken stond van een infectieziekteuitbraak. Dat was een goede voorbereiding op de coronacrisis die volgde. Als regio vinden we het belangrijk dat bepaalde thema’s die keteneffecten hebben ook ketenbreed worden beoefend om op deze manier als keten voorbereid te zijn op crisissituaties. Zo is nu twee maal de infectieuitbraak beoefend (2016 en 2019), oefenen we dit jaar een digitale verstoring en staat een volgende oefening rondom evacuatie van een ziekenhuis in 2025 op de planning.
Praktisch voor de deelnemers
Waar vindt de oefening plaats?
De crisisbeleidsteams oefenen binnen de eigen instelling fysiek. De regionale overleggen vinden voornamelijk digitaal plaats. Alleen het afsluitende overleg van het Dagelijks Bestuur ROAZ op vrijdag 31 mei vindt op locatie plaats. Alle deelnemers zijn van harte uitgenodigd om aansluitend aan de oefening deel te nemen aan themamiddag en netwerkbijeenkomst om met elkaar na te praten.
Tijdlijn
Klik op de illustratie om deze te vergroten
Nieuwsbrief voor deelnemers en oefenleiders
De intersectorale ketenoefening wordt voorbereid met een projectgroep/stuurgroep, met ondersteuning van het COT, Instituut voor Veiligheids- en Crisismanagement. De betrokken partners nemen deel aan diverse werksessies om de oefening voor te bereiden. De komende tijd worden zij ook via een speciale nieuwsbrief op de hoogte gehouden van de voorbereidingen op de oefening.