Digitaal verkeer MCL ligt plat door cyberaanval: 'Het kan nog uren of dagen duren'

Het digitaal verkeer van ziekenhuis MCL in Leeuwarden ligt plat na een aanval van hackers. Ook het patiëntenportaal Mijnmcl is uit de lucht.

De cyberaanval is afgeslagen, meldt woordvoerder Frits Mostert, en heeft voor zover bekend geen schade toegebracht. De zorg gaat gewoon door.

Extern digitaal verkeer stilgelegd

Om het zekere voor het onzekere te nemen is al het externe digitale verkeer tijdelijk stilgelegd. Hoe lang dat gaat duren is nog onbekend. ,,Het kan uren duren maar ook dagen.’’

Patiënten kunnen zo lang niet gebruik maken van het patiëntenportaal. Voor vragen over afspraken of uitslagen moeten ze bellen. Het ziekenhuis kan zelf wel bij de gegevens via Epic, het elektronisch patiëntendossier.

Werknemers kunnen niet thuiswerken. Ook de digitale verbinding met collega-ziekenhuizen ligt er tijdelijk uit. ,,Maar gelukkig kunnen we veel telefonisch afdoen.’’

713 kwetsbare servers in Nederland

De hack werd dinsdag ontdekt. Kwaadwillenden probeerden toegang te krijgen tot de Citrix-servers, het systeem dat voor MCL de communicatie tussen ziekenhuis en de buitenwereld verzorgt. Mostert: ,,Kennelijk zat daar een kwetsbaarheid in. Kwaadwillenden probeerden daar misbruik van te maken.’’ Het ziekenhuis besloot na de aanval alle externe dataverkeer af te sluiten.

Producent Citrix waarschuwde in december zijn klanten al voor de kwetsbaarheid in de software. Een cybersecurity-bedrijf zocht vervolgens uit hoeveel machines gevaar lopen. Wereldwijd ontdekten ze 25.000 servers, 713 daarvan staan in Nederland.

Het lek in de software stelt hackers in staat om op het interne netwerk van een bedrijf te komen en vervolgens bijvoorbeeld de servers te infecteren met ransomware, software die het hele systeem platlegt en door de aanvallers verwijderd wordt na het betalen van losgeld.

Voor de problemen met Citrix bestaat nog geen beveiligingsupdate. Wel heeft het Amerikaanse softwarebedrijf codes gepubliceerd die systeembeheerders kunnen invoeren om de risico’s te beperken.