Były prezes zhakowanej kliniki terapeutycznej skazany za niezapewnienie ochrony danych z sesji pacjentów

Fiński sąd skazał byłego prezesa sieci klinik psychoterapeutycznych Vastaamo na karę więzienia w zawieszeniu za to, że nie zapewnił odpowiedniej cyberochrony bardzo poufnych notatek z sesji terapeutycznych dziesiątek tysięcy pacjentów. Cyberprzestępca opublikował niektóre z nich w ciemnej sieci i zażądał okupu w wysokości 450 000 euro.

Niesłychany brak profesjonalizmu ze strony Vastaamo

Haker, który występował pod pseudonimem „Ransom Man”, nie poprzestał na próbie wymuszenia okupu za dane od sieci klinik psychoterapeutycznych. Wysłał także e-maile do samych poszkodowanych pacjentów, grożąc ujawnieniem zapisów ich indywidualnych sesji psychoterapeutycznych, jeśli nie zapłacą mu własnego okupu w Bitcoinach.

Ponadto haker wyśmiewał zły stan bezpieczeństwa antywirusowego Vastaamo, mówiąc, że firma użyła kombinacji nazwy użytkownika i hasła „root/root”. W ten sposób pogrążył wiarygodność i reputację fińskiego przedsiębiorstwa.

Późniejsze dochodzenie wykazało, że baza danych klientów Vastaamo i wrażliwe notatki z sesji zostały naruszone po raz pierwszy w listopadzie 2018 r., a następnie ponownie w połowie marca 2019 r. Mimo że dyrektor generalny Ville Tapio wiedział o złamaniu zabezpieczeń antywirusowych już od 2019 r., nie poinformował władz ani innych członków zarządu firmy. Prawda wyszła na jaw dopiero osiemnaście miesięcy później, co doprowadziło do zwolnienia Tapio.

Co gorsza, firmowa baza danych kontaktowych pacjentów i notatek z sesji terapeutycznych nie była odpowiednio zaszyfrowana, co ułatwiło szantażystom wykorzystanie tych informacji. Na skutek wspomnianych zaniedbań, a także błędów pracowników Vastaamo ogłosiło upadłość.

„Przykład Vastaamo pokazuje, do czego może doprowadzić nieprofesjonalne podejście do cyberbezpieczeństwa i niedostateczne zabezpieczenia antywirusowe. Szczególnie niezrozumiałe jest to, że firma znajdowała się na terenie Unii Europejskiej, więc podlegała restrykcyjnym prawom związanym z RODO. Pomimo tego, że pracownicy wiedzieli o bardzo dotkliwych potencjalnych karach, postanowili nie ujawnić wycieku danych przez półtora roku, co ostatecznie doprowadziło do upadku przedsiębiorstwa. Zespół Bitdefender zawsze podkreśla, że skuteczne zabezpieczenie antywirusowe i wdrożenie odpowiednich zasad higieny cybernetycznej są obecnie kluczowymi elementami niezbędnymi do rozwoju organizacji” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

Brak odpowiedniej ochrony danych – surowe konsekwencje

W tym tygodniu Sąd Okręgowy w Helsinkach skazał Ville’a Tapio na trzymiesięczne pozbawienie wolności w zawieszeniu. Sąd stwierdził, że z uwagi na powagę przestępstwa i okres czasu, w którym bardzo wrażliwe dane nie były odpowiednio chronione przed dostaniem się w niepowołane ręce, Tapio musi otrzymać karę więzienia. Fiński sąd uwzględnił jednak także wcześniejszą niekaralność oskarżonego, dlatego zdecydował się na zawieszenie wykonania powyższej kary.

Tapio zaprzeczył popełnieniu przestępstwa, zrzucając odpowiedzialność za naruszenie na barki byłych członków zespołu IT firmy.

W lutym tego roku francuskie władze ujawniły, że w związku z próbą wymuszenia aresztowały 25-letniego Juliusa „Zeekill” Kivimäki, samozwańczego członka gangu Lizard Squad. Władze fińskie zidentyfikowały Kivimäki jako prawdopodobnego sprawcę kradzieży danych po zbadaniu pliku z zapisami Vastaamo przesłanego do ciemnej sieci, który również (prawdopodobnie przypadkowo) zawierał całą zawartość folderu domowego z jego komputera.