Prezes Ville Tapio skazany za zhakowanie Vastaamo
Prezes kliniki Vastaamo na własnej skórze przekonał się, że zaniedbywanie cyberbezpieczeństwa placówki przetwarzającej dane szczególnej kategorii może mieć przykre konsekwencje. Za atak hakerski na jego placówki i związane z nim wycieki danych został skazany 3 miesiące więzienia w zawieszeniu. Na początek jednak kilka słów o klinice. Vastaamo to fińska klinika oferująca usługi psychologiczne w tym terapię indywidualną i rodzinną, a także terapię on-line oraz konsultacje z psychologiami. Została założona w 2007 roku przez Villea Tapioa i ma swoje placówki w kilku fińskich miastach.
Kilka słów o ataku haherskim na Vastaamo
Do ataku doszło w październiku 2020 roku, zaś wykradzione dane medyczne pacjentów kliniki obejmowały okres 11/2018-03/2019. Przestępcy zdobyli dane pochodzące z kartotek pacjentów, zapisy rozmów z lekarzami oraz dane identyfikacyjne pacjentów. Kierownictwo mimo, że widziało o ataku nie poinformowało o nim władz ani zarządu firmy. Cyberataki na klinikę doprowadziły do wycieku poufnych zapisów dotyczących dziesiątek tysięcy pacjentów. Haker opublikował niektóre z nich w darknecie i zażądał od firmy 450 tys. euro okupu. Dodatkowo domagał się okupu od pacjentów, grożąc ujawnieniem zapisów ich sesji psychoterapeutycznych. Jedna z ofiar ataku powiedziała BBC, że szantażyści poinformowali ją, iż klinika odmówiła zapłaty okupu w wysokości 40 bitcoinów i teraz ona musi płacić – 200 euro. Po 24 godzinach zwłoki suma wzrośnie do 500 euro a po 72 godzinach akta trafią do sieci. – informuje Rzeczpospolita.
Osoba szantażująca Vastaamo, wyśmiewała niski poziom zabezpieczeń antywirusowych, twierdząc, że firma korzystała z łatwego do odgadnięcia hasła. W ten sposób naruszył on wiarygodność i renomę firmy. Baza danych zawierająca dane kontaktowe pacjentów i notatki z ich sesji terapeutycznych nie była odpowiednio zaszyfrowana, co ułatwiło szantażystom wykorzystanie tych informacji. Prezes Vastaamo działał nieodpowiedzialnie, narażając nie tylko dane ponad 30 tysięcy pacjentów kliniki, ale także osób korzystających z jej usług w ramach umów z publicznymi szpitalami. W wyniku tych zaniedbań oraz błędów pracowników, firma ogłosiła upadłość.
Wyrok za naruszenie RODO
Były prezes został uznanym winnym przestępstwa naruszenia ochrony danych. Sąd uznał, że naruszono przepisy RODO dotyczące anonimizacji i szyfrowania danych. Sędzia wyraził opinię, że w przypadku tak długiego naruszania przepisów kara finansowa nie jest wystarczająca. Na początku sędzia sugerował, że były prezes powinien zostać skazany bezwzględną karą więzienia, jednak później złagodził swoje stanowisko, biorąc pod uwagę fakt, że oskarżony nie był wcześniej karany. Prokurator żądał dziewięciu miesięcy więzienia w zawieszaniu. Warto dodać, że w Finlandii kara za naruszenie ochrony danych może wynosić do roku pozbawienia wolności, jednak może być to również jedynie kara finansowa. Ville Tapio nie przyznał się do winy i twierdził, że nie wiedział, że zabezpieczenia informatyczne firmy są w tak złym stanie. Próbował również zrzucić winę na pracowników działu IT.
Niefrasobliwość w zakresie cyberbezpieczeństwa
„Przykład Vastaamo pokazuje, do czego może doprowadzić nieprofesjonalne podejście do cyberbezpieczeństwa i niedostateczne zabezpieczenia antywirusowe. Pomimo tego, że pracownicy wiedzieli o bardzo dotkliwych potencjalnych karach, postanowili nie ujawnić wycieku danych przez półtora roku, co ostatecznie doprowadziło do upadku przedsiębiorstwa” – komentuje Mariusz Politowicz z Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Szkolenia z cyberbezpieczeństwa
CRN, Prezes skazany za zhakowanie jego placówki
Po więcej najświeższych informacji z zakresu ochrony danych osobowych zapraszamy do zakładki aktualności
~Aneta Zuchowska-Prygiel