earth
Get a demo
Log in

Ziekenhuis ransomware-aanval België 2026: wat ging er mis en hoe voorkom je het?

Forensische analyse van de cyberaanval in AZ Monica (2026). Ontdek waarom traditionele VPN's faalden en hoe Zero Trust-architectuur downtime in ziekenhuizen voorkomt.
MRI scanner protected by a digital isolation shield, illustrating how Jimber Network Isolation Access Controllers (NIAC) prevent ransomware from disabling medical imaging equipment, as analyzed in the AZ Monica cyberattack case.

Op 13 januari 2026 werd het AZ Monica ziekenhuis in Antwerpen getroffen door ransomware. Binnen enkele uren annuleerde het personeel meer dan 70 operaties, werden zeven patiënten in kritieke toestand geëvacueerd en werden de hulpdiensten op twee campussen stilgelegd. MRI- en CT-scanners werden uitgeschakeld. De aanval dwong tot een volledige server shutdown die dagenlang duurde.

Dit was geen geïsoleerd incident. Belgische zorgorganisaties werden in het tweede kwartaal van 2025 geconfronteerd met gemiddeld 2.620 cyberaanvallen per week. De vraag is niet langer of ziekenhuizen het doelwit zullen zijn, maar of hun architectuur de schade kan beperken wanneer aanvallers binnendringen.

Hoe Zero Trust de aanval op AZ Monica had kunnen voorkomen

  1. Vervang VPN-toegang door op identiteit gebaseerde applicatietunnels die de interne infrastructuur verbergen voor aanvallers.
  2. Isoleer webbrowsing in cloudcontainers zodat phishing-links nooit eindpunten van ziekenhuizen bereiken.
  3. Plaats apparatuur voor medische beeldvorming achter hardwarematige netwerkisolatie om laterale verplaatsing te voorkomen.
  4. Segmenteer het netwerk standaard zodat infecties zich niet van het ene apparaat naar het andere kunnen verspreiden.
  5. Apparaatposture-controles implementeren om te voorkomen dat onbeheerde of gecompromitteerde apparaten verbinding maken.
  6. Gecentraliseerde logging voor snelle detectie van incidenten en naleving van NIS2.

Wat er tijdens de aanval gebeurde

De aanval begon in de vroege ochtenduren, een overgangsperiode tussen nacht- en dagdiensten waarin detectie doorgaans trager verloopt. IT-medewerkers ontdekten rond 06:32 ongewone encryptieactiviteit op centrale servers. De reactie was onmiddellijk en streng: een volledige uitschakeling van alle IT-infrastructuur op beide campussen.

De operationele impact was aanzienlijk. Radiologie verloor de toegang tot het PACS-systeem, waardoor beeldapparatuur onbruikbaar werd. Zeven patiënten die continue digitale bewaking nodig hadden, moesten worden overgebracht naar andere ziekenhuizen onder toezicht van het Rode Kruis. De ambulances werden door de provincie omgeleid.

Dit soort gedwongen uitschakeling legt een fundamenteel probleem bloot. Wanneer een organisatie een infectie niet kan indammen tot het punt waar deze is ontstaan, is de enige optie om de stekker uit alles te trekken. Die beslissing beschermde de patiëntgegevens, maar verlamde de patiëntenzorg.

Waarom traditionele IT-beveiliging faalt in ziekenhuizen

De meeste organisaties in de gezondheidszorg vertrouwen nog steeds op verdediging van de perimeter: firewalls aan de rand van het netwerk, VPN’s voor toegang op afstand en netwerksegmentatie om afdelingen van elkaar te scheiden. Dit model gaat ervan uit dat aanvallers buiten gehouden kunnen worden. Zodra ze die perimeter doorbreken, is het interne netwerk vaak plat en open.

VPN’s geven te veel toegang

Traditionele VPN’s verbinden gebruikers met netwerksegmenten in plaats van met specifieke applicaties. Een aanvaller met gestolen referenties kan die tunnel gebruiken om naar andere systemen te scannen, back-up servers te lokaliseren en in de richting van domeincontrollers te gaan. Het VPN behandelt een gecompromitteerde laptop in wezen als een vertrouwd werkstation in het datacenter van het ziekenhuis.

In het derde kwartaal van 2025 was bijna 48% van de ransomware-incidenten terug te voeren op gecompromitteerde VPN-referenties. Veel ziekenhuizen werken nog steeds met verouderde SSL-VPN-concentrators die zichtbaar zijn op het openbare internet en kwetsbaar zijn voor credential stuffing-aanvallen.

Platte netwerken maken laterale beweging mogelijk

Segmentatie klinkt effectief tot je onderzoekt hoe het in de praktijk werkt. Netwerksegmenten delen vaak een gemeenschappelijke infrastructuur. Administratieve werkstations hebben vaak toegang tot meerdere zones. Protocollen zoals SMB en RDP blijven open tussen segmenten om legitieme workflows te ondersteunen.

Ransomware maakt gebruik van deze omstandigheden. Eenmaal binnen, inventariseren aanvallers het netwerk, identificeren doelwitten van grote waarde, zoals domeincontrollers en back-upsystemen, en verplaatsen zich zijdelings totdat ze alles tegelijkertijd kunnen versleutelen. De uitschakeling van AZ Monica suggereert dat deze laterale beweging al aan de gang was toen het personeel de dreiging ontdekte.

Medische apparaten zijn blinde vlekken

MRI-scanners, CT-machines en patiëntmonitoren draaien meestal oudere besturingssystemen. Fabrikanten verbieden vaak beveiligingspatches of endpoint agents om de certificering van apparaten te behouden. Deze apparaten communiceren met behulp van protocollen zoals DICOM en HL7 die zijn ontworpen zonder authenticatie of encryptie.

Een gecompromitteerd werkstation op hetzelfde netwerksegment kan deze apparaten aftasten, kwaadaardige gegevens injecteren of ze gebruiken als springplank om andere systemen te bereiken. Als één enkel kwetsbaar beeldvormingsapparaat onbeschermd blijft, kan het de spil worden voor een hele ziekenhuiscompromittering.

Hoe Zero Trust-architectuur de vergelijking verandert

Zero Trust gaat uit van een andere aanname: het netwerk is al gecompromitteerd. Elk verzoek om toegang moet worden geverifieerd op basis van identiteit, apparaatstatus en context. Niets wordt standaard vertrouwd.

Toegang op applicatieniveau vervangt netwerktunnels

Zero Trust Network Access (ZTNA) verbindt gebruikers met specifieke applicaties in plaats van netwerksegmenten. De onderliggende infrastructuur blijft onzichtbaar. Aanvallers met gestolen referenties kunnen alleen de applicaties bereiken waartoe de gebruiker toegang had. Ze kunnen het netwerk niet scannen, geen back-upservers vinden en zich niet bewegen in de richting van domeincontrollers omdat die systemen vanuit hun perspectief gewoon niet bestaan.

Deze aanpak maakt de hele ziekenhuisinfrastructuur donker voor externe indringers. Er zijn geen open poorten om te ontdekken, geen VPN-concentrators om aan te vallen en geen netwerkpaden om op te sommen.

Browserisolatie stopt de initiële infectie

Veel aanvallen beginnen met een phishing-link. Een medewerker klikt door en malware wordt gedownload naar zijn werkstation. Van daaruit verspreidt de infectie zich.

Remote Browser Isolation (RBI) doorbreekt deze keten door webinhoud uit te voeren in wegwerpcloudcontainers. Gebruikers zien een interactieve stream van de pagina, maar er komt geen actieve code op hun apparaat terecht. Als iemand op een kwaadaardige link klikt, wordt de malware in de container uitgevoerd en vernietigd wanneer de sessie eindigt. Het werkstation van het ziekenhuis blijft schoon.

Hardware-isolatie beschermt medische apparatuur

Apparaten waarop geen beveiligingsagenten kunnen draaien, hebben een andere aanpak nodig. Network Isolation Access Controllers (NIAC) bevinden zich tussen medische apparatuur en de rest van het netwerk als hardwarematige poortwachters. Ze staan alleen de specifieke verkeersstromen toe die elk apparaat nodig heeft, zoals DICOM-beelden naar de PACS-server op de juiste poort, en blokkeren al het andere.

Zelfs als ransomware het administratieve netwerk overneemt, kan het geen beeldverwerkingsapparatuur achter NIAC-controllers bereiken. De infectie stopt bij de hardwaregrens. De scanners blijven werken en de patiëntenzorg gaat door.

Microsegmentatie beperkt de ontploffingsstraal

In een goed gesegmenteerde Zero Trust omgeving kunnen apparaten standaard niet met elkaar communiceren. Een werkstation bij de receptie heeft geen reden om verbinding te maken met de apotheekdatabase. Een laptop in de administratie kan het chirurgisch planningssysteem niet bereiken. Peer-to-peer verkeer wordt geblokkeerd.

Wanneer ransomware een enkel apparaat infecteert, is het geïsoleerd. Er zijn geen SMB-shares om te versleutelen op naburige machines, geen RDP-sessies om te kapen, geen pad naar de domeincontroller. De infectie treft één apparaat in plaats van het hele ziekenhuis. Een totale shutdown wordt onnodig.

NIS2-compliance vereist deze architectuur

De NIS2-richtlijn werd in België van kracht in oktober 2024. Ziekenhuizen worden geclassificeerd als essentiële entiteiten en zijn onderworpen aan de strengste verplichtingen. Bestuursleden kunnen persoonlijk aansprakelijk worden gesteld voor ontoereikende beveiligingsmaatregelen. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet.

Artikel 21 van NIS2 vereist risicoanalyse, mogelijkheden voor incidentafhandeling, bedrijfscontinuïteitsplanning en beveiliging van de toeleveringsketen. De Zero Trust-architectuur komt rechtstreeks tegemoet aan deze vereisten.

Gecentraliseerde logging biedt de zichtbaarheid die nodig is om incidenten te detecteren en te voldoen aan de 24-uurs rapportageverplichting aan het Centre for Cybersecurity Belgium. ZTNA maakt veilige toegang door derden mogelijk voor leveranciers van apparatuur zonder hen privileges op netwerkniveau te geven. Hardware-isolatie toont aan dat kritieke medische systemen kunnen blijven werken tijdens een aanval.

Het implementeren van deze controles zorgt voor gedocumenteerd bewijs van due diligence. Als toezichthouders vragen welke maatregelen er zijn genomen, kan de organisatie aantonen dat de beveiliging voldoet aan de Zero Trust-principes.

Wat de scenariovergelijking onthult

Beschouw het waarschijnlijke aanvalspad bij AZ Monica: aanvallers kregen aanvankelijk toegang via gecompromitteerde inloggegevens of een phishing e-mail, scanden het netwerk om doelen te identificeren, verplaatsten zich lateraal om servers en medische systemen te bereiken en implementeerden vervolgens ransomware op alles wat ze konden bereiken.

Met een Zero Trust architectuur breekt die keten op meerdere punten. ZTNA zou de initiële toegang hebben beperkt tot specifieke applicaties in plaats van het netwerk. Browserisolatie zou de levering van malware via phishing hebben gestopt. Microsegmentatie zou netwerkscanning en laterale beweging hebben voorkomen. Hardware-isolatie zou medische beeldvormingsapparatuur operationeel hebben gehouden.

In plaats van een ziekenhuisbrede crisis waarbij patiënten moesten worden overgeplaatst en operaties moesten worden geannuleerd, zou het incident beperkt zijn gebleven tot één gecompromitteerd apparaat. IT-medewerkers zouden dat apparaat hebben geïsoleerd, de inbreuk hebben onderzocht en de normale werkzaamheden hebben voortgezet.

FAQ

Kunnen middelgrote ziekenhuizen Zero Trust implementeren zonder grote projecten? Ja. Begin met ZTNA voor externe toegang en kritieke applicaties. Voeg browserisolatie toe voor webbrowsing door personeel. Zet NIAC-hardware in voor hoogwaardige medische apparatuur. Elk onderdeel biedt onmiddellijke waarde en bouwt tegelijkertijd aan uitgebreide dekking.

Moet je voor Zero Trust bestaande firewalls vervangen? Zero Trust voegt identiteitsgebaseerde controles en isolatiemogelijkheden toe aan de bestaande infrastructuur. Firewalls blijven het noord-zuid verkeer afhandelen terwijl ZTNA en microsegmentatie het interne netwerk aanpakken.

Hoe helpt dit met NIS2-compliance? Zero Trust biedt gedocumenteerd bewijs van toegang met minimale privileges, continue verificatie, mogelijkheden om incidenten in te dammen en veilig beheer van de toeleveringsketen. Gecentraliseerde registratie ondersteunt de 24-uurs meldingsplicht voor incidenten.

Hoe zit het met apparaten die geen beveiligingsagenten kunnen uitvoeren? NIAC-hardware biedt isolatie op netwerkniveau voor medische beeldvormingsapparatuur, IoT-apparaten en oudere systemen. Deze apparaten worden beschermd zonder dat er software op de apparaten zelf hoeft te worden geïnstalleerd.

Hoe lang duurt de implementatie? De eerste implementatie voor externe toegang en webbeveiliging kan binnen enkele weken worden voltooid. Volledige dekking, inclusief isolatie van medische apparaten, kan maanden duren, afhankelijk van de complexiteit en prioriteiten van de organisatie.

Voorkom de volgende ziekenhuiscrisis

De aanval in AZ Monica laat zien wat er gebeurt als traditionele perimeterbeveiliging faalt. Ziekenhuizen kunnen zich geen dagenlange downtime, overplaatsingen van patiënten en geannuleerde operaties veroorloven. De architectuur die deze crisis mogelijk maakte, draait nog steeds in zorgorganisaties in heel Europa.

Zero Trust biedt een ander model. Op identiteit gebaseerde toegang, browserisolatie en bescherming op hardwareniveau creëren meerdere barrières die aanvallers moeten overwinnen. Wanneer één controle faalt, houden de anderen de schade binnen de perken. De activiteiten gaan door, zelfs tijdens een actief incident.

Boek een demo om te zien hoe SASE in de cloud uw gezondheidszorgorganisatie kan beschermen zonder de operationele complexiteit te vergroten.

Find out how we can protect your business

In our demo call we’ll show you how our technology works and how it can help you secure your data from cyber threats.

Get a demo
Contact us
Cybersecurity
Are you an integrator or distributor?

Need an affordable cybersecurity solution for your customers?

We’d love to help you get your customers on board.

Explore our partnerships
checkmark

White glove onboarding

checkmark

Team trainings

checkmark

Dedicated customer service rep

checkmark

Invoices for each client

checkmark

Security and Privacy guaranteed