Het Medisch Centrum Leeuwarden (MCL) dat op 15 januari een aanval op de Citrix-systemen meldde had de beschikbare oplossing van Citrix die bescherming moest bieden niet op tijd doorgevoerd. Dat heeft minister Bruins van Medische Zorg laten weten op vragen van het CDA over de aanval. Vanwege de aanval sloot het MCL, één van de grootste ziekenhuizen van Nederland, al het dataverkeer met de buitenwereld af.
Patiënten konden daardoor tijdelijk niet bij hun elektronisch patiëntendossier en voor medewerkers was het niet mogelijk om thuis te werken. Uit onderzoek van het ziekenhuis bleek dat de aanvaller geen toegang heeft gekregen tot de interne systemen van het MCL of patiëntgegevens. CDA-Kamerlid Van den Berg wilde weten of het MCL de beschikbare oplossing van Citrix had doorgevoerd. Die was medio december op de website van Citrix gepubliceerd. Ook het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwde hier op 18 december voor.
"Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen om uit te zoeken wat precies de redenen waren om niet al in december in te grijpen", antwoordt Bruins. De minister gaf hetzelfde antwoord op Kamervragen van de SP over de aanval op het ziekenhuis.
Van den Berg vroeg ook of andere ziekenhuizen via het Citrix-lek waren aangevallen. De minister stelt dat hij op dit moment geen aanwijzingen heeft dat bij andere ziekenhuizen pogingen zijn gedaan om binnen te dringen. Wel liet de minister op de vragen van de SP weten dat het College Beoordeling Geneesmiddelen slachtoffer van een Citrix-aanval was geworden. Tevens moest Bruins duidelijk maken welke ziekenhuizen met Citrix werken, maar daar kan de bewindsman geen antwoord op geven. "Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ict en welke systemen en/of servers zij gebruiken."
Als laatste wilde het CDA-Kamerlid duidelijkheid over Z-Cert, het Computer Emergency Response Team voor de zorg. Volgens de minister zijn alle ziekenhuizen via de koepel van Nederlandse Vereniging van Ziekenhuizen en de koepel van Nederlandse Federatie van Universitair Medische Centra op Z-CERT aangesloten. Op dit moment wordt onderzocht of deelname aan Z-Cert door zorginstellingen kan worden verplicht. Na het zomerreces zal Bruins de onderzoeksresultaten met de Tweede Kamer delen.
Deze posting is gelocked. Reageren is niet meer mogelijk.