Fiński sąd skazał byłego prezesa sieci klinik psychoterapeutycznych Vastaamo na karę więzienia w zawieszeniu za to, że nie zapewnił odpowiedniej cyberochrony bardzo poufnych notatek z sesji terapeutycznych dziesiątek tysięcy pacjentów. Cyberprzestępca opublikował niektóre z nich w Darknecie i zażądał okupu w wysokości 450 tys. euro.
Haker, który występował pod pseudonimem „Ransom Man”, nie poprzestał na próbie wymuszenia okupu. Wysłał także e-maile do samych poszkodowanych pacjentów, grożąc ujawnieniem zapisów ich indywidualnych sesji psychoterapeutycznych, jeśli nie zapłacą mu własnego okupu w bitcoinach.
Wskazywal takze publicznie na zły stan bezpieczeństwa antywirusowego Vastaamo, informując wszystkich, że firma użyła kombinacji nazwy użytkownika i hasła „root/root”. W ten sposób pogrążył wiarygodność i reputację spółki
Późniejsze dochodzenie wykazało, że baza danych klientów Vastaamo i wrażliwe notatki z sesji zostały naruszone po raz pierwszy w listopadzie 2018 r., a następnie ponownie w połowie marca 2019 r. Mimo że dyrektor generalny Ville Tapio wiedział o złamaniu zabezpieczeń antywirusowych już od 2019 r., nie poinformował władz ani innych członków zarządu firmy. Prawda wyszła na jaw dopiero osiemnaście miesięcy później, co doprowadziło do zwolnienia Tapio.
Co gorsza, firmowa baza danych kontaktowych pacjentów i notatek z sesji terapeutycznych nie była odpowiednio zaszyfrowana, co ułatwiło szantażystom wykorzystanie tych informacji. Na skutek wspomnianych zaniedbań, a także błędów pracowników Vastaamo ogłosiło upadłość.
– Przykład Vastaamo pokazuje, do czego może doprowadzić nieprofesjonalne podejście do cyberbezpieczeństwa i niedostateczne zabezpieczenia antywirusowe. Szczególnie niezrozumiałe jest to, że firma znajdowała się na terenie Unii Europejskiej, więc podlegała restrykcyjnym prawom związanym z RODO. Pomimo tego, że pracownicy wiedzieli o bardzo dotkliwych potencjalnych karach, postanowili nie ujawnić wycieku danych przez półtora roku, co ostatecznie doprowadziło do upadku przedsiębiorstwa – komentuje ten przypadek Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
W tym tygodniu Sąd Okręgowy w Helsinkach skazał Ville'a Tapio na trzymiesięczne pozbawienie wolności w zawieszeniu. Sąd stwierdził, że z uwagi na powagę przestępstwa i okres czasu, w którym bardzo wrażliwe dane nie były odpowiednio chronione przed dostaniem się w niepowołane ręce, Tapio musi otrzymać karę więzienia. Fiński sąd uwzględnił jednak także wcześniejszą niekaralność oskarżonego, dlatego zdecydował się na zawieszenie wykonania powyższej kary.
Tapio zaprzeczył popełnieniu przestępstwa, zrzucając odpowiedzialność za naruszenie na barki byłych członków zespołu IT firmy.
W lutym tego roku francuskie władze ujawniły, że w związku z próbą wymuszenia aresztowały 25-letniego Juliusa „Zeekill” Kivimäki, samozwańczego członka gangu Lizard Squad. Władze fińskie zidentyfikowały Kivimäki jako prawdopodobnego sprawcę kradzieży danych z Vastaamo.
