Bij de aanval op de Citrix-servers van het Medisch Centrum Leeuwarden (MCL) zijn geen patiëntgegevens gestolen en is de aanvaller niet doorgedrongen tot de interne systemen van het MCL. Dat laat het ziekenhuis in een vandaag gepubliceerde verklaring weten.

Afgelopen woensdag meldde het MCL, één van de grootste ziekenhuizen in Nederland, dat het een aanval op de Citrix-servers van het ziekenhuis had waargenomen. De aanvaller probeerde binnen te komen via een kwetsbaarheid waar nog altijd geen oplossing voor beschikbaar is. Daarop werd besloten het verkeer met de buitenwereld af te sluiten. "Uit het diepgaande onderzoek naar de cyberaanval op de systemen van het MCL is gebleken dat de aanval niet is doorgedrongen tot de interne systemen van het MCL of patiëntgegevens. Deze zijn veilig", zo stelt het ziekenhuis.

Op advies van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid is besloten om te wachten met het inschakelen van de Citrix-systemen. Volgens het NCSC bieden de workarounds van Citrix in afwachting van een beveiligingsupdate geen voldoende bescherming. Dit houdt in dat patiënten dit weekend nog niet bij hun patiëntendossier kunnen en medewerkers van het MCL niet thuis kunnen werken.

Naar aanleiding van de aanval op het ziekenhuis hebben CDA, SP en VVD Kamervragen gesteld. "Bent u van mening dat het ziekenhuis direct actie had moeten ondernemen toen het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid Citrix-gebruikers waarschuwde voor de kwetsbaarheid van deze servers voor aanvallen van hackers?" is één van de vragen die VVD-Kamerlid Veldman stelde aan minister Grapperhaus van Justitie en Veiligheid en minister De Jonge van Volksgezondheid.