Ransomware Ziekenhuizen kunnen door een hack via hun software van Chipsoft al dagen geen contact maken met de buitenwereld, zoals voor verwijzingen. Interne functies werken nog wel. De meeste ziekenhuizen gebruiken diensten van dit bedrijf.
Hoofdkantoor van softwareleverancier ChipSoft in Amsterdam.
Al drie dagen is softwarebedrijf Chipsoft online afgesloten van de buitenwereld. Dinsdagochtend werd bekend dat vooralsnog onbekende hackers met gijzelsoftware het bedrijf binnengedrongen zijn. Vrijdagmiddag was nog steeds onbekend, ook voor Chipsoft zelf, wat de hackers precies hebben meegenomen en of ze ook bij klanten van Chipsoft binnen zijn geweest. Wie die klanten onder meer zijn: ziekenhuizen. „Het onderzoek naar de oorzaak en reikwijdte van het ransome-incident is in volle gang”, schrijft het bedrijf donderdag aan zijn klanten.
Op zichzelf is een hack zoals deze niet zo opvallend, maar het gaat hier om het zenuwcentrum van de Nederlandse ziekenhuiszorg. 70 procent van de ziekenhuizen is afhankelijk van Chipsoft voor hun elektronische patiëntendossiers (alle medische gegevens van een paar miljoen patiënten), hun verwijsplatforms (de online verwijsplek tussen huisarts en ziekenhuizen onderling), hun planningsoftware (voor operaties, opname, afspraken, roosters) en patiëntenportalen (waar de patiënt labuitslagen kan inzien en vragen kan stellen). Chipsoft maakt ook software voor beademingsapparatuur, infuuspompen en CT-scanners, en voor voorraadbeheer, luchtmonitoring en patiëntenmonitoring in het ziekenhuis.
Alles functioneert gewoon, laten ziekenhuizen weten, behalve de verwijzingsportalen omdat die verbinding hebben met de buitenwereld. Huisartsen en specialisten in andere ziekenhuizen die patiënten onderling verwijzen, moeten dat nu handmatig doen via de telefoon of email. „Instellingen zetten extra capaciteit in bij servicebalies en telefonie”, schrijft Z-Cert erover, het expertisecentrum voor cybersecurity in de zorg.
De hackers zijn voorlopig doodstil. Anders dan de hackers die afgelopen zomer luidruchtig een deel van de buit die ze hadden gestolen bij het lab Clinical Diagnostics (met patiëntengegevens) toonden op het dark web.
In het hoge Crystal Tower, het hoofdkantoor van de Chipsoft, bij station Sloterdijk in Amsterdam, hangt donderdagmiddag een gespannen sfeer. Tientallen eigen én extern ingehuurde experts zijn 24/7 de knoop van de hack aan het proberen te ontrafelen. Ze gaan deze klus klaren, verzekert de woordvoerder. Aan de muren en op foto’s op de socialemediapagina’s van Chipsoft hangen inspirerende teksten als ‘ontdek, ontmoet, ontwikkel’. Twee weken geleden vierde de softwareproducent nog groots zijn veertig jarig bestaan tijdens een feest met 1.300 klanten, collega’s en partners.
De hack is pijnlijk voor het bedrijf dat al jaren bouwt aan een monopoliepositie. Goede software leveren ze wel, zeggen ziekenhuizen, maar hun prijzen voor softwarelicenties stijgen elk jaar, zonder dat ziekenhuisbestuurders duidelijk is waarom, zo vertelden ze eind 2022 aan NRC. De winstmarge van Chipsoft is met 38 procent, in 2024, uitzonderlijk hoog, die van ziekenhuizen is juist heel laag: hooguit 1,9 procent. En overstappen op een andere fabrikant is volgens de ziekenhuizen vrijwel onmogelijk doordat de hele interne infrastructuur van het ziekenhuis ervan afhankelijk is. „Die softwaresystemen zijn zo complex dat als je er eenmaal in zit, je eigenlijk niet meer weg kunt”, zei bestuurder van het Catharina Ziekenhuis Nardo van der Meer woensdag in NRC.
De monopoliepositie van Chipsoft werd in 2021 al onderzocht door concurrentiebewaker ACM, die een kritisch rapport schreef. Het bedrijf stapte naar de rechter: het wilde niet dat het rapport werd gepubliceerd omdat Chipsoft er „reputatieschade” door zou lijden. Eind 2023 oordeelde het College van Beroep voor het Bedrijfsleven dat het rapport mocht verschijnen. Eén conclusie: „Ziekenhuizen schakelen niet graag over op een ander systeem (…) omdat het systeem in hoge mate geïntegreerd is met de processen in een ziekenhuis en vanwege de hoge (implementatie)kosten.”
Voor een bedrijf dat reputatie belangrijk vindt, is Chipsoft behoorlijk gesloten. De eigenaren, oud-chirurg Gerrit Mulder en zijn zoon Hans, spreken vrijwel nooit met de pers. Ze zijn wel elk jaar te zien in de lijst multimiljonairs Quote 500, omdat ze een vermogen van 900 miljoen euro (Quote 2024) zouden hebben opgebouwd met de software voor ziekenhuizen.
Die glamour is donderdag ver weg. Chipsoft stuurde die middag voor het eerst instructies naar zijn klanten. „Na ontdekking van het ransomware-incident hebben wij direct stappen ondernomen om eventuele (verdere) toegang tot onze interne systemen te blokkeren”, schrijft Chipsoft.
Chipsoft kan zijn eigen systemen en software na de inbraak niet meer vertrouwen, blijkt uit de verspreide berichten. Het bedrijf vraagt ziekenhuizen „met urgentie” om „geen nieuwe hotfix meer te installeren”. Via hotfixes worden normaliter gaten of fouten in software gerepareerd, maar met hackers in het netwerk kan Chipsoft niet uitsluiten dat via de spoedreparaties ongemerkt juist nieuwe kwetsbaarheden gecreëerd worden in de systemen van hun klanten – een zogenaamde supply chain-aanval.
Ook accounts van Chipsoft-medewerkers zélf vormen een mogelijk risico voor de ziekenhuizen, blijkt uit de berichten die het bedrijf naar klanten stuurde. Ziekenhuizen moeten die verwijderen, adviseert Chipsoft. „Verwijder of disable de algemene beheeraccounts en persoonlijke beheeraccounts van onze consultants op uw systeem en voorzie deze van een nieuw wachtwoord.”
De impact van de hack is zo bezien groot. Chipsoft probeert momenteel zijn netwerk te zuiveren van de hackers, en verder misbruik zoveel mogelijk uit te sluiten. Maar uitzoeken waar hackers precies toegang toe hadden en wat voor gegevens ze dan buit konden maken, kost tijd. Systemen uitschakelen of afkoppelen van het internet is dan een verstrekkende, maar effectieve methode. Ook de hackers kunnen er dan geen toegang meer toe krijgen.
De site van het bedrijf is ook al dagen uit de lucht. Klanten die vragen hebben, kunnen het bedrijf zelf niet bereiken maar Chipsoft belt hen allemaal elke dag, onderstreept het bedrijf in het bulletin.
Het liefst zouden alle ziekenhuizen één type EPD hebben zodat ze makkelijker kunnen communiceren met elkaar over patiëntenzorg. Dat is in 2011 tegengehouden door de Eerste Kamer die vreesde voor risico’s rond patiëntenprivacy én beveiliging van medische gegevens. Intussen is de markt voor EPDs verdeeld tussen drie partijen, waarbij eentje veruit de grootste is: Chipsoft. Die heeft 55 van de 75 ziekenhuizen, Epic heeft er elf (straks dertien, vooral academische ziekenhuizen), Nexus heeft er zeven (straks vijf) en Cerner/Sap heeft er twee in Maastricht en Heerlen.
Communicatie tussen ziekenhuizen met verschillende systemen is ook weer lastig doordat de drie merken EPDs niet op elkaar aansluiten.
Reden voor twee Groningse zorginstellingen en het UMCG om samen een nieuw EPD te willen bouwen: Share Care Noord. Tien jaar geleden deden ze de verplichte aanbesteding ervoor, die Epic won. Ziekenhuis Ommelander en zorginstelling Treant stappen voor de nieuwe organisatie over van softwarebedrijf Nexus op Epic, wat een hele klus is. Maar Chipsoft besloot vorig jaar de manier waarop UMCG de zaak had aanbesteed aan te vechten bij de rechter. Op 6 februari dit jaar kreeg Chipsoft gelijk en moesten UMCG, ziekenhuis Ommelander en zorginstelling Treant de integratie stopzetten op straffe van een dwangsom van 100.000 euro per dag, te betalen aan Chipsoft, tot een maximum van twee miljoen euro.
In een ’turbo spoed kort geding’ bij het Hof in Leeuwarden, aangespannen door UMCG, kreeg Chipsoft op 11 maart weer ongelijk: de dwangsom ging niet door. De drie Groningse instellingen hadden in die maand geen cent aan Chipsoft betaald. Op 21 april besluit het hof of ze samen hun EPD mogen bouwen.
Met medewerking van Rik Wassens.
Economieredacteuren nemen je mee in de discussies die zij op de redactie voeren over actuele ontwikkelingen