Beperkte impact problemen Citrix bij ziekenhuizen

di 21 januari 2020 - 07:50
Cybersecurity-CitrixArtikel
Security
Nieuws

Afgelopen week kwam een groot beveiligingsprobleem in Citrix aan het licht. Die ontdekking en enkele daaraan gerelateerde hack's, onder andere bij het MCL, leidde er toe dat het Nederlands Cyber Security Center bedrijven en instellingen dringend adviseerde hun Citrix omgevingen uit te schakelen. Dat had, en heeft, ook gevolgen voor een aantal ziekenhuizen en andere zorginstellingen.

Een rondje langs de websites van cica 90 ziekenhuizen en zorginstellingen maakt duidelijk dat de gevolgen van de Citrix problemen weliswaar divers, maar ook redelijk beperkt, zijn. De deels geslaagde hack-poging bij het MCL lijkt daarop vooralsnog de enige uitzondering.

De maatregelen die genomen zijn, variëren van het compleet offline halen van de websites, externe werkomgevingen en patiëntenportalen tot en met het aanbieden van alternatieven. In de meeste gevallen hebben de Citrix problemen echter geen impact op de online dienstverlening naar patiënten. En in alle ziekenhuizen en zorginstellingen worden behandelingen en de zorgtaken zonder beperkingen uitgevoerd.

Er is één zorginstelling die meldt dat de Citrix problemen opgelost zijn. Dat laatste is zeker bijzonder te noemen. Temeer omdat diverse media maandag nog meldden dat het er alle schijn van heeft dat de problemen in bepaalde gevallen niet voor het eind van deze maand opgelost kunnen worden.

Websites MST en Gelre offline

Het Medisch Spectrum Twente (MST) nam voor de buitenwereld de meest ingrijpende maatregel. Zaterdag werd besloten de hele website offline te halen. Patiënten en andere personen of bedrijven die het MST willen bereiken moeten dat voorlopig telefonisch doen. Aanvankelijk werd verwacht dat de website maandag 20 januari weer online zou gaan. Echter, op het moment dat dit artikel gepubliceerd werd, dinsdag ochtend 21 januari, was de website van het MST nog altijd offline [update 8.55 uur: de website is weer online].

Ook de websites van de Gelre Ziekenhuizen (Zutphen en Apeldoorn) zijn offline gehaald. Op de homepage staat een korte mededeling, de bezoekadressen van beide ziekenhuizen en de telefoonnummers. Wanneer de websites weer normaal bereikbaar zullen zijn was dinsdag ochtend (21 januari, red.) nog niet bekend.

Veel Citrix-omgevingen uitgezet

De NZa had haar Citrix-omgeving uit voorzorg ook tijdelijk uitgeschakeld en is sinds vanmorgen weer actief. Het Máxima MC meldt op haar website dat de zorginstelling vooral via e-mail tijdelijk minder goed bereikbaar zal zijn.

Bij de Santiz Ziekenhuizen (Slingeland Ziekenhuis en Streekziekenhuis Koningin Beatrix) heeft het uitzetten van de Citrix-omgeving alleen gevolgen voor personeel dat op afstand wil inloggen. De patiëntenportalen en het EPD zijn verder normaal bereikbaar.

Patiëntportaal soms niet bereikbaar

De meeste ziekenhuizen en zorginstellingen die voor werken op afstand gebruik maken van een Citrix-omgeving hebben deze (tijdelijk) uitgeschakeld. Zo ook het Maasstad Ziekenhuis in Rotterdam. Bij het Amsterdam UMC kunnen medewerkers van beide locaties (VUmc en AMC) tijdelijk geen gebruik maken van de 'mijnwerkplek' omgeving waarmee extern ingelogd kan worden. De 'MijnDossier' omgeving waar patiënten op kunnen inloggen, werkt wel.

Het uitzetten van de Citrix-omgeving heeft ook bij het Haga Ziekenhuis geen gevolgen voor de website, het patiëntenportaal en zorgverlenersportaal. Daarvoor wordt een ander systeem gebruikt. Medewerkers kunnen daarentegen niet meer vanuit huis of via hun telefoon of tablet inloggen om gegevens te raadplegen, zo meldt het ziekenhuis.

Het Gelderse Vallei Ziekenhuis heeft de toegang tot haar externe netwerk eZorg tot nader order afgesloten. Dit betekent dat patiënten eventuele formulieren, vragenlijsten of dagboeken niet vooraf, maar alleen in het ziekenhuis zelf kunnen invullen. De zorg in het ziekenhuis gaat verder regulier door.

UMCG: Citrix-problemen opgelost

Ronduit bijzonder is de mededeling van het UMCG. Die zorginstelling zette maandag een bericht op haar website dat de beveiligingsproblemen met Citrix Netscaler zijn opgelost. Het UMCG heeft de afgelopen dagen updates van Citrix ontvangen, geïnstalleerd, getest en goed bevonden. Alle systemen werken weer en medewerkers van het UMCG kunnen ook weer van thuis inloggen. Dat geldt ook vroom mijnUMC, het patiëntenportaal dat door de Citrix problemen offline was.

Het St. Jansdal ziekenhuis besloot vrijdag (17 januari) om het patiëntenportaal, MijnStJansdal, ook offline te halen. Zondagmiddag ging het portaal weer online. Niet omdat de Citrix-problemen opgelost waren, maar omdat de ICT-afdeling van het ziekenhuis in het weekend een alternatief bedacht heeft die buiten het Citrix-platform om functioneert.

Bij meer dan tweederde van de websites van ziekenhuizen en zorginstellingen die we voor deze inventarisatie bezochten zijn geen meldingen met betrekking tot de beveiligingsproblemen van Citrix te vinden. Dat heeft natuurlijk vooral te maken met het feit dat lang niet alle ziekenhuizen Citrix gebruiken. Dat geldt ook voor de patiëntenportalen. Die zijn, op de uitzonderingen hierboven na, vrijwel allemaal normaal bereikbaar.