Finland har utfärdat en internationell efterlysning av Aleksanteri Kivimäki, mannen som dömdes för intrånget hos Vastaamo, en finländsk psykoterapileverantör, där konfidentiella terapianteckningar för omkring 33 000 patienter exponerades. Kivimäkis dom har nu vunnit laga kraft. Han tros befinna sig utanför Finland, men myndigheterna har inte bekräftat var han befinner sig.
Själva intrånget går tillbaka till slutet av 2018 och fortsatte in i början av 2019. Kivimäki stal inte bara administrativa uppgifter. Han kom över anteckningar från terapisessioner, den typ av information som patienter delar i förtroende med en terapeut och förväntar sig aldrig ska lämna rummet. Därefter försökte han utpressa Vastaamo direkt och krävde en lösensumma på 450 000 euro. När företaget inte betalade riktade han sig i stället till patienterna själva, kontaktade tusentals personer individuellt och hotade att publicera deras uppgifter om de inte betalade.
Marko Lepponen, utredaren som ledde förundersökningen, sade vid den tiden: ”Jag kunde inte ens föreställa mig omfattningen. Det här är inte ett vanligt fall.” Han hade rätt. Intrånget hos Vastaamo tillhör en annan kategori än de flesta dataincidenter. De exponerade uppgifterna var inte ekonomiska uppgifter eller e-postadresser i abstrakt mening. Det handlade om berättelser om trauma, övergrepp och psykisk ohälsa som hade delats i en klinisk miljö.
Trettio tusen patienter. Ett intrång. År av utsatthet.
Have I Been Pwned registrerar 30 000 unika e-postadresser i Vastaamo-datasetet. Det totala antalet patienter som drabbades av exponeringen av terapianteckningar uppskattas till omkring 33 000, enligt rapportering från The Record via Recorded Future News. Vastaamo drev 25 mottagningar runt om i Finland och var vid den tiden en av landets största privata psykoterapileverantörer.
Lösenkravet till Vastaamo kom först, under hösten 2020. När det misslyckades började Kivimäki kontakta patienterna direkt via en Tor-baserad webbplats och kräva mindre individuella betalningar, vanligtvis omkring 200 euro, för att hålla deras journaler privata. Vissa patienter fick e-postmeddelanden med utdrag ur sina egna terapianteckningar som bevis på att angriparen hade tillgång till uppgifterna.
BBC dokumenterade flera patienters berättelser i detalj. Den gemensamma nämnaren var inte bara själva intrånget, utan också de år av osäkerhet som följde. Patienterna visste inte om journalerna hade publicerats, om arbetsgivare hade sett dem eller om någon i deras privatliv hade hittat de läckta filerna. Det är denna långvariga utsatthet som utgör den verkliga skadan, och ingen säkerhetsuppdatering kan undanröja den.
En dom som tog flera år och fortfarande saknar ett avslut
Kivimäki åtalades för närmare 30 000 brottspunkter kopplade till intrånget, enligt The Records tidigare rapportering om fallet. De finländska domstolarna dömde honom, och domen har nu vunnit laga kraft efter att möjligheterna till överklagande har uttömts. Det maximala straff han riskerar, om han utlämnas och ställs inför rätta, är sju års fängelse.
Sju år är ett betydande straff. Men det är inte självklart att det blir verklighet. Utlämningsprocesser från många länder är långsamma, omtvistade och beroende av var Kivimäki faktiskt befinner sig. Finländska myndigheter har inte uppgett vilket land de tror att han befinner sig i. Efterlysningen har utfärdats genom vanliga internationella kanaler, enligt Yle Nyheter, men det finns ingen bekräftad tidsplan för ett gripande eller en utlämningsprocess.
Kivimäki var känd av europeiska brottsbekämpande myndigheter långt före Vastaamo-fallet. År 2015 dömdes han i Finland för en rad databrott som han begick som minderårig, bland annat deltagande i överbelastningsattacker mot spelinfrastruktur och andra nätverksintrång. Han fick då en villkorlig dom. Intrånget hos Vastaamo inträffade efter den domen.
Vad Vastaamo-fallet faktiskt säger vårdgivare
Det källmaterial som hör till den här berättelsen innehåller generella rekommendationer om kryptering, åtkomstkontroller och penetrationstester. Jag väljer att lägga dem åt sidan. De är inte fel, men de handlar inte om vad det här fallet egentligen visar.
Intrånget hos Vastaamo var inte i första hand ett misslyckande med kryptering. Det var ett misslyckande med grundläggande databassäkerhet. Enligt Wikipedias dokumenterade redogörelse för incidenten kunde Vastaamos patientdatabas nås med ett root-lösenord som inte hade ändrats från standardvärdet. Databasen var dessutom exponerad mot internet. Det här var inte en sofistikerad attack som krävde avancerade säkerhetsåtgärder för att förhindras. Det krävdes att någon kontrollerade om standarduppgifterna hade ändrats och om databasen kunde nås utanför det interna nätverket.
Vårdgivare i hela Norden som hanterar känsliga patientuppgifter bör ställa en direkt fråga: Vem har under de senaste tolv månaderna verifierat att era patientdatabaser inte kan nås från det öppna internet? Inte antagit. Verifierat. Vastaamo-fallet visar vad som händer när den frågan aldrig ställs.
Finlands dataskyddsmyndighet, Dataombudsmannens byrå, bötfällde till slut företaget med 608 000 euro, och Vastaamo försattes i konkurs 2021. Patienterna lever fortfarande med konsekvenserna.
Referenser
- Finland Issues Wanted Notice for Hacker Behind Massive Psychotherapy Data Breach
- Police Issue Wanted Notice for Vastaamo Hacker Aleksanteri Kivimäki
- Hacker accused of breaching Finnish psychotherapy center facing 30,000 counts
- Vastaamo Data Breach
- Vastaamo Data Breach
- Vastaamo Hack My Darkest Secrets Were Revealed to the World
This post is also available in: