Het CDA en SP willen opheldering van minister De Jonge van Volksgezondheid over de aanval op de Citrix-servers van het Medisch Centrum Leeuwarden (MCL). Vanwege de aanval besloot het ziekenhuis het dataverkeer met de buitenwereld af te sluiten. Vandaag maakte het ziekenhuis bekend dat de aanval een zeer beperkt effect had en er geen aanwijzingen zijn dat de aanvallers toegang tot interne systemen van het MCL of patiëntgegevens hebben gekregen.

CDA-Kamerlid Van den Berg wil van de minister weten welke andere ziekenhuizen met Citrix-servers werken en of daar pogingen zijn gedaan om in te breken. Ook vraagt Van den Berg of het MCL de workaround van Citrix heeft toegepast en of dit ook bij andere ziekenhuizen het geval is die met Citrix werken. “Wordt met de ‘workaround’ van Citrix de kans op een cyberaanval en het hiermee hacken van gegevens voldoende beperkt? Zo nee, welke maatregelen dienen ziekenhuizen nog meer te nemen?”, wil het CDA-Kamerlid verder weten.

Afsluitend moet de minister duidelijk maken welke ziekenhuizen nog niet zijn aangesloten bij Z-Cert, het expertisecentrum op het gebied van cybersecurity in de zorg, en wat hij zal doen om dit te bevorderen. SP-Kamerlid Hijink vraagt aan De Jonge waarom er op de website van Z-Cert sinds december geen bericht te lezen is over de risico’s voor organisaties die werken met Citrix.

“Waarom heeft het ziekenhuis niet tijdig ingegrepen nadat Citrix al in december waarschuwde voor de mogelijke risico’s?”, vraagt het SP-Kamerlid verder. De minister moet ook duidelijk maken hoe het kan dat het ziekenhuis niet gehandeld heeft op de waarschuwing van het Nationaal Cyber Security Centrum (NCSC) dat aanvallers actief zochten naar de kwetsbaarheid. Tevens vraagt Hijink welke schade er bij het ziekenhuis is aangericht en of er patiëntgegevens of andere belangrijke data zijn gekomen. De minister heeft drie weken de tijd om de vragen te beantwoorden.

Source