Firma Vastaamo znajdowała się w czołówce największych prywatnych klinik psychiatrycznych na terenie Finlandii. Miała około 20 placówek oraz tysiące pacjentów, wśród których znajdowały się również osoby małoletnie. Cyberprzestępcy uzyskali dostęp do danych szczególnie wrażliwych, takich jak: informacje zawarte w kartotekach pacjentów, zapisy rozmów z lekarzami oraz szczegółowe dane personalne, które pozwoliły na identyfikację pacjentów z imienia i nazwiska. Na skutek incydentu pracę stracił prezes zarządu spółki.
Fiński Rzecznik Ochrony Danych został powiadomiony o zdarzeniu przez ośrodek psychoterapii Vastaamo we wrześniu 2020 roku. W październiku tego samego roku zastępca Rzecznika Ochrony Danych nakazał spółce osobiście powiadomić o sytuacji pacjentów. Urząd Rzecznika Ochrony Danych wszczął dochodzenie w sprawie legalności działalności podmiotu. W lutym 2021 roku Sąd Okręgowy w Helsinkach ogłosił jego upadłość. Mimo, iż Vastaamo nie prowadzi już działalności gospodarczej to wciąż przechowuje dane osobowe.
PACJENCI BYLI SZANTAŻOWANI PRZEZ CYBERPRZESTĘPCÓW
Sprawa ujrzała światło dzienne, gdy pacjenci zaczęli dostawać e-maile od hackerów. Przestępcy wysyłali do ofiar wycieku wiadomości, w których znajdowały się pogróżki oraz żądania zapłaty okupy za zachowanie dyskrecji i niepublikowanie ich intymnych zwierzeń. Wysokość okupu ustalona była dla każdego pacjenta na poziomie 200 euro. Zgodnie z informacjami podanymi przez agencję AP około 300 plików, w których znajdowały się informacje z kart pacjentów zostało już opublikowanych w tzw. dark web. Archiwum miało rozmiar 10 GB i zawierało informację o przebiegu terapii co najmniej 2000 pacjentów, w tym także osób małoletnich. Liczba ofiar ataku może być większa, ponieważ nie ustalono dokładnie skali incydentu.
SPRAWĄ ZAINTERESOWAŁ SIĘ FIŃSKI RZĄD
Rząd Fiński spotkał się na specjalnym posiedzeniu, na którym omawiano atak cyberprzestępców. Minister spraw wewnętrznych skomentowała sprawę przyznając, że sytuacja jest wyjątkowa. Nigdy wcześniej nie doszło bowiem do sytuacji, że włamano się do zasobów placówki medycznej i zdobytymi informacjami szantażowano pacjentów. Vastaamo wraz z rządem zaoferowali pomoc ofiarom ataku w postaci specjalnej infolinii, a także darmowych sesji terapeutycznych. Inne kliniki również zaoferowały pomoc ofiarom i uruchomiły bezpłatne infolinie.
ZASKAKUJĄCE WYNIKI ŚLEDZTWA
Śledztwo technologiczne zostało przeprowadzone w październiku 2020 r. przez firmę Nixu zajmującą się bezpieczeństwem informacji. Ustalono, że włamanie do bazy danych nastąpiło co najmniej dwukrotnie – w grudniu 2018 roku oraz w marcu 2019 roku. Najprawdopodobniej baza, na której znajdowały się dane pacjentów została zniszczona i przywrócona w ciągu jednego dnia w marcu 2019 r.
Ponadto w toku śledztwa udało się ustalić, że na serwerze znajdowała się informacja o pobraniu przez osobę atakującą bazy danych. Na podstawie wyników śledztwa zastępca Rzecznika Ochrony Danych stwierdził, że firma Vastaamo musiała wiedzieć o zniknięciu informacji i o fakcie, że mogły znaleźć się w posiadaniu osób nieuprawnionych już w marcu 2019 r. Zgodnie z powyższym Vastaamo już wtedy powinna zgłosić sprawę, a nie dopiero we wrześniu 2020 r.
NIEPRZESTRZEGANIE PODSTAWOWYCH ZASAD PRZETWARZANIA DANYCH
Zgodnie z badaniami technicznymi przeprowadzonymi podczas śledztwa przez firmę Nixu, podczas konserwacji serwera systemu informacji o pacjentach firma Vastaamo nie przestrzegała najlepszych praktyk dotyczących konserwacji usług i metod ochrony, a to w następstwie narażało firmę na cyberataki. Ponadto Zastępca Rzecznika Ochrony Danych stwierdził, że Vastaamo nie chroniło odpowiednio danych osobowych przed nieuprawnionym i nielegalnym przetwarzaniem lub przypadkowym zaginięciem, zniszczeniem lub uszkodzeniem. Sieć klinik nie wdrożył również podstawowych środków bezpieczeństwa, które zapewniałyby bezpieczne przetwarzaniem danych osobowych. Firma nie posiadała też kompleksowej dokumentacji, na podstawie której mogłaby bronić się przed zarzutami, co stanowi naruszenie zasady rozliczalności.
VASTAAMO UKARANO KARĄ 608 000 EURO
Rada ds. sankcji Urzędu Ochrony Danych ukarała Vastaamo karą finansową w wysokości 608 000 euro. Zaznaczyła, że zaniedbania spółki są niezwykle poważne, a zaniechanie obowiązku powiadomienia osób oceniła jako celowe. Zaniedbanie uznano za zaostrzone, a naruszenia były długotrwałe. Ponadto Zastępca Rzecznika Ochrony Danych Osobowych udzielił spółce nagany za naruszenia RODO.
W całej sytuacji najbardziej naganne jest poniesienie szkód przez osoby, których dane zostały objęte wyciekiem w postaci narażenia ich na żądania szantażystów. Być może sytuacji tej można było uniknąć, albo zminimalizować jej negatywne skutki gdyby Vastaamo podjęła bez zbędnej zwłoki odpowiednie środku karne. Wpłynęłoby to nie tylko na zmniejszenie ryzyka dla pacjentów kliniki, ale również na wymiar kary nałożonej na spółkę.