Olbrzymi wyciek danych z centrum psychoterapii – pacjenci szantażowani przez hakerów

W Finalndii doszło do olbrzymiego wycieku danych pacjentów, korzystających usług centrum psychoterapii Vastaamo. Zgodnie z informacjami zawartymi w oficjalnym komunikacie i medialnych doniesieniach firma padła ofiarą hakerów, którzy wykorzystują skradzione dane do szantażowania swoich ofiar. Na skutek incydentu pracę stracił prezes zarządu spółki.

Jak donoszą media, dane pacjentów miały zostać skradzione w trakcie ataku, a następnie opublikowane na kilku stronach tzw. dark webu, czyli niedostępnej publicznie części Internetu. Ważące 10 GB archiwum miało zawierać informacje o przebiegu terapii co najmniej 2000 pacjentów, wśród których znalazły się także osoby nieletnie. Liczba ta może być jednak zdecydowanie wyższa, gdyż pełna skala incydentu nie została jednoznacznie ustalona. Czarne scenariusze mówią nawet o kilkudziesięciu tysiącach poszkodowanych.

Skradzione dane przestępcy wykorzystują do szantażowania swoich ofiar, domagając się okupu w wysokości 200 euro pod groźba ujawnienia zgromadzonych materiałów.

Trzeba jednak pamiętać, że choć osoby poszkodowane znalazły się w trudnym położeniu, to pod żadnym pozorem nie powinny ulegać żądaniom przestępców. Nidy nie mamy pewności, co stanie się z naszymi danymi po zapłaceniu okupu. Nawet jeśli przestępcy nie ujawnią ich od razu, to mogą je wykorzystać do kolejnych szantaży. Należy się także liczyć z tym, że inne osoby już dawno mogły uzyskać dostęp do poufnych informacji, a wtedy płacąc haracz nie zyskamy absolutnie nic.

Gdzie leży odpowiedzialność?

Wiele pytań pojawia się także w kontekście okoliczności kradzieży danych. Zgodnie z pierwotnym oświadczeniem ze strony Vastaamo, do ataku miało dojść w listopadzie 2018, kiedy to hakerzy włamali się do sieci organizacji i zdobyli dostęp do nieustalonych bliżej danych. Jak podaje jednak lokalny portal Yle, był też drugi atak, do którego doszło w marcu 2019 roku, jednak informacje na jego temat zostały zatajone przez ówczesnego prezesa spółki, Ville Tapio. W związku z ujawnionymi zaniedbaniami w zakresie zapewnienia bezpieczeństwa danych spółki został on odwołany ze stanowiska w trybie natychmiastowym.

I z tym ostatnim faktem wiąże się chyba najważniejsza lekcja, dotycząca opisywanego incydentu. Często o konieczności zapewnienia bezpieczeństwa danych oraz związanej z tym odpowiedzialności myślimy bezosobowo, przypisując je wyłącznie firmie jako organizacji. Tymczasem taka odpowiedzialność dotyczy również osób decyzyjnych, które w przypadku zaniedbań również mogą ponieść wymierne konsekwencje, związane chociażby z utratą stanowiska.