Print 🖨 PDF 📄 eBook 📱

Rapport PwC over malware-aanval Iers zorgsysteem in 2021 ronduit schokkend

PwCOp 10 december 2021 verscheen in Ierland het Post Incident Review door PwC(PricewaterhouseCoopers). Het betrof de malwareaanval in mei 2021 op de Ierse Health Service Executive(HSE), die te vergelijken is met de Engelse NHS. Vrijwel het gehele klinische en poliklinische zorgsysteem werd lamgelegd. Met een gigantische inspanning kwam het weer langzaam op gang. Ik schreef hierover op 18 mei 2021. Het rapport verscheen behalve als samenvatting(18 pagina’s) ook met een volledige versie(157 pagina’s). Het rapport komt in het kort samengevat met drie conclusies. In de eerste plaats stelt men in nog wel heel nette bewoordingen dat de HSE een “frêle” IT-systeem waarbij de mogelijkheid ontbrak om cyberaanvallen te voorkomen. In de tweede plaats constateert PwC dat de organisatie ook niet de relevante kennis had om zulke aanvallen voor te zijn. Ten derde bleek dat HSE nooit noodplannen had gemaakt voor dergelijke cyberaanvallen of verlies van de infrastructuur.

Inadequate reactie 1

De bestanden van de IT-systemen bleken door gijzelsoftware van het Conti-type versleuteld te zijn en daardoor niet toegankelijk voor gebruikers. Uit het onderzoek kwam naar voren dat de initiële besmetting al plaats vond op 18 maart 2021. Dat gebeurde omdat een staflid een phishing-mail met een zogenaamd Excel-bestand opende. Tot mei 2021 blijven de aanvallers dan onder de radar en zoeken hun weg door het netwerk en de aangesloten systemen. Op 14 mei 2021 vindt de “detonatie” van de hack-software plaats. Op 10 mei identificeert een ziekenhuis(hospital C) verdachte activiteit op een domein-controller. Ze vinden dat verdacht en nemen contact op met het door hen gebruikte cybersecurity-bedrijf. Die doet het af met de mededeling dat hun antivirus-tool aangeeft dat het gebeuren een laag risico heeft. Hospital C deed geen nader onderzoek naar het cyberincident en meldde het niet hogerop als veiligheidsincident.

Inadequate reactie 2

Op 12 mei doet een ander ziekenhuis(hospital A) de melding aan het Office of the Chief Information Officer van de HSE dat hun IT-netwerk gecompromitteerd is. Men ziet kwaadwillende activiteit op het netwerk. Op 13 mei doet de HSE IT-onderzoek en trekt de onterechte conclusie dat de centrale HSE onder vuur lag van hospital A, terwijl juist het omgekeerde aan de hand was. HSE verzuimde een ervaren extern cybersecuritybedrijf in te schakelen. Ook het Nationale CyberSecurity Centre lichtte men niet in. Op 14 mei is echter de beer los en raken zeer veel bestanden binnen de hele HSE-IT-structuur versleuteld door de Conti-ransomware. Er verschijnen berichten op de systemen dat men gehackt is. Met deze hack is het voor het eerst dat een nationaal zorg-IT-netwerk met onderliggende systemen plat ligt.

20 mei 2021: begin van oplossing

De HSE en de Ierse regering hadden van meet af aan laten weten dat men geen losgeld zou betalen. Men had meteen via het hooggerechtshof laten vastleggen dat gebruik maken of publiceren van gehackte data zwaar gestraft zou worden. Op 20 mei 2021 sturen de aanvallers een softwarematige ontsleutel-tool om de bestanden te kunnen ontsleutelen. Mogelijk waren de hackers zelf geschrokken van de ongekende omvang en impact van de aanval. Na verificatie van die tool kon langzaam het ontsleutelen van de bestanden beginnen. In 21 september 2021 heeft men uiteindelijk alle servers weer hersteld en 1075 van de 1087 gebruikte applicaties.

Geluk bij ongeluk

PwC stelt dat op basis van het forensisch onderzoek van de aanvalleractiviteit, het erop lijkt dat de aanvaller relatief bekende technieken en software gebruikte. Een meer “sophisticated” aanval zou een veel grotere impact gehad hebben. De hackers hadden het ook niet gemunt op specifieke medische apparatuur, de ransomware vernietigde geen data. De ransomware had niet de eigenschap zich zelf te vermeerderen, of zich uit te breiden richting medische apparatuur. Tenslotte zag PwC geen encryptie van gekoppelde cloud-systemen, zoals dat van het Corona-vaccinatiesysteem.

Zeer slecht voorbereid

Zoals ik in de eerste alinea al schreef had de HSE een netwerk van systemen die eigenlijk houtje-touwtje aan elkaar gekoppeld waren. Een “frêle” systeem noemt PwC het. Ontbrekende kennis van cyberaanvallen en het niet hebben van adequate noodplannen zorgde voor nog meer ellende. PwC gaf de HSE bij de Capability Maturity Model Integration beoordeling een zeer lage score t.a.v. de volwassenheid van de organisatie bij het reageren op cyberaanvallen.

Nu zult u zeggen, dat was Ierland en dat zal hier niet voorkomen. Vergeet dat maar. Ook hier komen cyberaanvallen voor en hebben bedrijven, maar ook zorginstellingen hun zaken vaak niet goed op orde. Ook hier zitten systemen aan elkaar geknoopt met kwetsbare koppelingen. Hier reageert men ook men traag of aanvankelijk niet op cyberdreigingen. De Citrix-affaire, en nu zeer recent de Apache Log4j-software laten dat zien.

Dus: be prepared!!

W.J. Jongejan, 17 december 2021

Afbeelding van Pete Linforth via Pixabay