Hackare som kom åt tusentals patientjournaler kräver lösen
Drabbade psykoterapicentret Vastaamo är verksamt på 20 orter
Centralkriminalpolisen utreder ett fall där en tillsvidare okänd person säger sig ha fått tillgång till tiotusentals patientjournaler. Hackerattacken riktade sig mot psykoterapicentret Vastaamo och gärningsmannen har redan publicerat 200 journaler på darknet. Personen bakom attacken hotar med att publicera 100 journaler per dag om inte psykoterapicentret hörsammar kravet om en lösensumma på omkring 400 000 euro.
Förundersökningsledaren, kriminalkommissarie Marko Leponen vid Centralkriminalpolisen, säger att polisens utredning avancerar i rask takt. Polisens första prioritet är att avslöja vem som ligger bakom attacken.
Enligt Leponen fick polisen en anmälan om hackerattacken redan i september.
Vastaamos styrelseordförande Tuomas Kahri beklagar det skedda. Enligt Kahri är psykoterapi en mycket känslig bransch där patienterna måste kunna lita på att det de säger förblir hemligt.
Den person som genomförde hackerattacken mot psykoterapicentret Vastaamo har kommit åt tiotusentals patientjournaler, enligt egen utsago. Gärningsmannen har publicerat uppgifter om attacken på ett forum på darknet.
Darknet är ett anonymt internet som ligger bakom vanliga internet. För att komma åt darknet krävs specialiserad programvara.
Gärningsmannen, som kallar sig ”ransom_man”, kräver 40 bitcoin i lösen av Vastaamo (cirka 430 000 euro). Om lösen inte betalas kommer gärningsmannen att publicera journalerna på darknet.
Hittills har gärningsmannen publicerat 200 patienters konfidentiella terapijournaler. Hälften av dem publicerades på onsdagen, andra hälften tidigt på torsdagsmorgonen. SPT har sett journalerna och kunnat identifiera flera av personerna som de gäller.
Gärningsmannen skriver att hen kommer att publicera ytterligare 100 journaler per dag tills lösen betalas. Enligt gärningsmannen har Vastaamos vd tills vidare vägrat betala lösen.
Psykoterapicentret Vastaamo har mottagningar i tjugo städer i Finland, bland annat i Helsingfors, Esbo, Karleby, Tammerfors, Åbo, Vanda och Vasa.
Enligt Vastaamo är det fråga om journaler som gäller besök före november 2018. Gärningsmannen har inte kommit åt nyare journaler.
Två utredningsspår
Förundersökningsledaren, kriminalkommissarie Marko Leponen vid Centralkriminalpolisen, säger att polisens utredning avancerar i rask takt. De centrala brottsrubriceringarna är för närvarande grovt dataintrång och grovt spridande av information som kränker privatlivet.
– Jag vill inte avslöja de övriga brottsrubrikerna med hänvisning till behovet att skydda förundersökningen, säger Leponen.
Enligt honom är polisens första prioritet att avslöja vem som ligger bakom signaturen ransom_man och stoppa utpressningen.
– Vi har två utredningsspår. Det ena bygger på att gärningsmannen är finländare, det andra på att hen är utländsk, säger Leponen.
Enligt honom tog polisen emot en anmälan om hackerattacken redan i september.
Marko Leponen säger att polisen aldrig utgår från att betala lösen.
Lösen har ändå betalats under vissa omständigheter, till exempel i samband med Herlin-kidnappningen i Åbo 2009.
Leponen vill inte avslöja om gärningsmannen lämnat några spår i samband med hackerattacken.
– Jag kan inte gå in på detaljer, men i allmänhet blir det någon sorts spår på webben efter brott av det här slaget. Det är en annan sak om spåren går att följa.
Vastaamo beklagar
Vastaamos styrelseordförande Tuomas Kahri beklagar det skedda. Enligt Kahri är psykoterapi en mycket känslig bransch där patienterna måste kunna lita på att det de säger förblir hemligt.
– Vi beklagar djupt att de här journalerna har läckt. Att sprida patientjournaler är ett brott och vi
❞ Vi har två utredningsspår. Det ena bygger på att gärningsmannen är finländare, det andra på att hen är utländsk. Marko Leponen Kriminalkommissarie, Centralkriminalpolisen
samarbetar med myndigheterna för att utreda detta, säger Kahri.
Enligt honom har psykoterapicentret börjat kontakta alla dem som berörs av hackerattacken. Han vill inte säga hur personerna i fråga har reagerat på beskedet.
– Vi kontaktade polisen så fort utpressaren tog kontakt med oss. Dessutom kontaktade vi Valvira och Cybersäkerhetscentret.
Kahri säger inte om Vastaamo planerar att betala lösen för att stoppa utpressningen.
– Myndigheterna sköter utredningen, säger han.
Möjlighet till skadestånd
Advokat Jukka Lång vid advokatbyrån Dittmar & Indrenius har jobbat med datasäkerhetsjuridik i 15 år. Enligt honom är Vastaamo-fallet det allvarligaste i Finland hittills.
– Det är väldigt beklagligt. Jag hoppas att det skulle lösa sig utan att några fler journaler kommer ut, men det kan vi ännu inte veta.
Enligt honom är det möjligt för dem som har drabbats av attacken att söka skadestånd från Vastaamo i rätten. Det att uppgifterna kommit ut tyder på att företaget inte skött sin datasäkerhet, vilket det måste göra enligt den två år gamla allmänna dataskyddsförordningen GDPR.
– Vill man söka skadestånd måste man dock driva ärendet på egen hand. Datasäkerhetsombudsmannen kan bötfälla företaget, men boten betalas till staten och ombudsmannen kan inte driva privata skadeståndskrav.
Enligt Lång är det ändå möjligt att flera privatpersoner går ihop och att deras separata ärenden slås ihop i rätten till en slags grupptalan.
– Det som kan komma på fråga är kompensation för kostnader som uppstått på grund av attacken, till exempel terapi eller rådgivning, men också skadestånd för psykiskt lidande.
Tillstånds- och tillsynsverket för social- och hälsovården, Valvira, utreder också fallet.