28. septembra 2020, v drugem valu epidemije, se je na Finskem, ki poleg Estonije velja za zibelko digitalizacije storitev za državljane, zgodilo nepredstavljivo. Hekerji so vdrli v bazo podatkov zasebne, družinsko vodene psihoterapevtske klinike Vastaamo in zahtevali visoko odkupnino, češ da bodo sicer vse ukradene podatke – imena, priimke, naslove, številke zdravstvenih zavarovanj, in kar je najhuje, zaupne zapiske, ki so jih terapevti vodili o svojih pacientih – javno objavili.
Ker se vodilni na zahteve niso odzvali in ker zahtevanih 40 bitcoinov (v takratni vrednosti približno 450.000 evrov) niso izplačali, so del dokumentov z osebnimi izpovedmi o psiholoških težavah različnih pacientov javno objavili in začeli izsiljevati paciente.
30.000 Fincev je prejelo grožnjo z zahtevo po odkupnini, 25.000 jih je izsiljevanje prijavilo policiji. 29. oktobra je časnik
Helsinki Times poročal, da se hekerski napad na Vastaamo lahko izkaže kot najobsežnejši kriminalni primer v celotni finski zgodovini in celo prehiti famozno ponzijevo shemo Wincapita, ki je med letoma 2005 in 2008 z obljubo o valutnih dobičkih 10.000 finskih državljanov oškodovala za sto milijonov evrov.
Na srečo se to ni zgodilo. Kot je za
Delo pojasnil
Perttu Halonen, višji specialist na Nacionalnem centru za kibernetsko varnost na Finskem, je odškodnino v višini med 200 in 500 evri izplačalo manj kot sto posameznikov, »zato napada ne moremo označiti za uspešnega v tem merilu, je pa najobsežnejši v številu žrtev, ki so prijavile izsiljevanje in utrpele hudo psihološko škodo«.
Od spletne psihološke svetovalnice
A pojdimo od začetka. Vastaamo je ustanovil Ville Tapio, programer in podjetnik. Kot navaja revija
Wired, je za deseti rojstni dan od starih staršev za darilo dobil commodore 64 in se navdušen nad programersko logiko zavezal temu, da bo programiranje uporabil kot »orodje za ustvarjanje nečesa pomembnega«. V srednji šoli je ustvaril statistično orodje za spremljanje tekem košarkarske ekipe, nekaj let kasneje, še vedno srednješolec, je sodeloval s Helsinškim odborom za izobraževanje in pomagal pri izobraževanju učiteljev o uporabi računalnikov.
- Finski primer ukradenih podatkov v Vastaamu še ni rešen.
- 30.000 Fincev je prejelo zahtevo po odkupnini.
- 25.000 jih je izsiljevanje prijavilo policiji.
- Okoli sto ljudi je odkupnino plačalo.
Namesto za študij se je odločil za podjetniško pot in z nekaj evri odprl spletno trgovino za preprodajo računalniških delov in se že pri 20 letih pridružil svetovalni družbi, prek katere je začel sodelovati s Finskim skladom za inovacije – javnim skladom, ki je investiralo v projekte, ki so prinašali rešitve za socialne in okoljske izzive. V svoji novi službi je moral preučiti stanje zdravstvenih sistemov v Zahodni Evropi.
Njegovo pozornost je pritegnilo dejstvo, da ima Nizozemska skupaj z nekaterimi drugimi državami veliko bolj urejen sistem za mentalno zdravje, kot ga ima Finska, ki se je spopadala z zelo nizkim javnim kritjem storitev in dolgimi čakalnimi vrstami. Tako je dobil idejo za spletno mesto, ki bi občinam prodajala kupone za psihološko pomoč in ti bi jih razdeljevali svojim občanom.
Obenem se ljudje s psihološkimi težavami ne bi soočali s stigmo pri iskanju pomoči, saj bi bila ta anonimna, dostop do nje pa bi imeli kadarkoli in kjerkoli. Leta 2009 je Ville Tapio od Finskega sklada za inovacije dobil 12.000 evrov in skupaj s starši (mama je bila po poklicu psihoterapevtka, specializirana za travme, oče pa duhovnik), ki so prispevali še dodatnih 13.000, ustanovil socialno podjetje Vastaamo.
Do 20 fizičnih klinik
Na začetku je platforma omogočala pacientom, da so postavili vprašanje in v 24 urah dobili odgovor kvalificiranega psihoterapevta, a zelo kmalu se je izkazalo, da ljudje potrebujejo tudi dostop do terapije s terapevtom na štiri oči. Zato so se lastniki (Ville Tapio je imel 60-odstotno lastništvo, njegova starša pa 40-odstotno) odločili, da bodo ustanovili tudi fizično mrežo klinik, kjer bodo digitalizirali vse podatke, le naročanje na terapijo bo ostalo anonimno, kot svetovalci pa se jim bodo pridružili terapevti z lastno dejavnostjo, ki jih bo Vastaamo razbremenil birokracije. Gre za klasičen primer platformne ekonomije, ki na enem mestu združi ponudnike in povpraševalce. Uspeh je bil neizbežen.
Ko so leta 2012 odprli prvo kliniko v Helsinkih, so za njeno delovanje razvili lastni informacijski sistem, ker obstoječi ponudniki niso ponujali dovolj specifičnih rešitev. Kot izhaja iz zapisov na sodišču, je Tapio razvil sistem, ki je temeljil na brskalniku, bazo podatkov o pacientih pa je shranjeval na strežniku NySQL. Sistem je bil zelo enostaven in uporabniku (terapevtom) prijazen, a je imel, kot se je izkazalo kasneje, zelo veliko ranljivost. Kot pojasnjuje Perttu Halonen, višji specialist na Nacionalnem centru za kibernetsko varnost na Finskem, »iz javnih izjav Vastaama in Villeja Tapia lahko sklepamo, da so bile pomanjkljivosti tako pri tehničnih zaščitnih ukrepih kot pri protokolih spremljanja varnosti informacijskih sistemov. Kljub temu pa z informacijsko-tehnološkega vidika obstaja še veliko drugih možnosti.«
Vsaj ena obupana oseba, ki je s terapevtom delila zaupne informacije, za katere nikakor ni želela, da pridejo v javnost, se je ponudila, da plača 40 bitcoinov. FOTO: Ozan Kose/AFP
Kaj točno je šlo narobe, da so hekerji prišli do baze podatkov več deset tisoč pacientov, ki je nastala v osmih letih, bo odkrila policijska preiskava, ki še traja. V IT-krogih se govori o marsičem. Za
Wired je, recimo, vodja raziskav in razvoja pri podjetju Onesys Medical Mikael Koivukangas kot glavno pomanjkljivost izpostavil dejstvo, da Vastaamov sistem ni imel anonimiziranih in šifriranih podatkov o pacientih. »Pred zaupnimi izpovedmi pacientov in očmi javnostmi je stalo le nekaj požarnih zidov in zaslon za prijavo na strežnik. Le malo več varnostnih ukrepov bi bilo potrebnih, to pa bi lahko storil vsakdo z le nekaj izkušnjami na tem področju,« je pojasnil.
Notranja izdaja?
Kako to, da je Ville Tapio, ki je bil s srcem in dušo predan IT in nekemu višjemu poslanstvu, storil tako osnovno napako? Leta 2014 se je na Finskem spremenila zakonodaja na področju obdelave zdravstvenih podatkov. Zdravstveni informacijski sistemi so bili razmejeni na dve kategoriji; razred A in razred B. Večje zdravstvene organizacije so morale biti povezane s Kanto, nacionalnim strežnikom za zdravstvene podatke, in so morali izpolnjevati zelo stroge varnostne zahteve ter biti kompatibilni z drugimi sistemi.
Manjše organizacije so padle v razred B, kar je pomenilo, da niso bile tako strogo regulirane, češ da niso zanimive tarče za hekerske napade. Te so regulatorju morale prijaviti varnostne standarde, vendar je za okoli 280 sistemov, ki so padli pod razred B, bil odgovoren le en državni uradnik, ki je za
Wired priznal, da je bil dejanski nadzor nad varnostjo informacijskih sistemov v tem razredu »misija nemogoče«. Vastaamo je padel v razred B, čeprav je Ville Tapia nameraval zgraditi sistem, ki bi se klasificiral v razred B takrat, ko bi regulatorji specificirali oblikovne zahteve za psihoterapijo. To se nikdar ni zgodilo, namesto tega je ob vsakokratnem odprtju klinike uradniku predložil varnostni načrt, ta pa ga je na podlagi zapisanega v dokumentu odobril.
Hekerji so objavili dokumente, ki so vsebovali osebne izpovedi pacientov prihoterapevtom, nekateri so pripadali politikom in drugim znanim osebnostim in so vsebovali promiskuitetne spolne prakse ali pedofilske in samomorilne misli.
Ko je imel leta 2018 Vastaamo zgrajenih že 20 klinik in več kot 200 zaposlenih, je družina Tapia 70 odstotkov podjetja prodala skladu tveganega kapitala Intera Partners za 11,7 milijona evrov, Ville Tapio pa je še vedno bil na položaju izvršnega direktorja. Leta 2019 je letni promet Vastaama znašal 18 milijonov evrov.
Ko je Ville Tapio 28. septembra dobil prvo elektronsko pošto od hekerjev, ki so zahtevali 40 bitcoinov, v takratni vrednosti skoraj polovice milijona evrov, je takoj obvestil policijo in druge vladne službe ter najel zasebno varnost službo Nixu, da bi raziskala vdor. Dva dni kasneje so se mu v Intera Partners zahvalili za sodelovanje in ga razrešili s položaja izvršnega direktorja, čez en mesec pa je njemu in njegovi družini sodišče na podlagi tožbe, ki jo je proti njim vložilo podjetje Intera Partners, začasno onemogočilo razpolaganje s celotnim premoženjem.
V tožbi so jim očitali, da so vedeli za varnostne pomanjkljivosti, a niso ukrepali. Še pred tem pa je Tapio po lastnih navedbah dobil pomembno informacijo, ki ga bo morda oprala krivde, da je zaradi malomarnega vedenja neskrbno ravnal z zaupnimi zdravstvenimi informacijami. Izvedel je, da sta bila Llari Lind in Sami Keskinen, dva njegova ključna sodelavca, ki sta skrbela za informacijski sistem in ju je zaposlil leta 2015, obtožena kršitve varnostnih protokolov v državnem podjetju za registracijo podjetij, kjer sta delala prej.
Eden od njiju je ugotovil ranljivost v sistemu in obvestil delodajalca, ki je pomanjkljivost odpravil, a obenem je informacijo o tem, kako lahko dostopaš in si preneseš vse podatke o podjetjih, vključenih v javno bazo, delil tudi s sodelavcem, ki je celotno bazo dokumentov tudi prenesel. Obsojena nista bila, ker jima tožilstvo ni uspelo dokazati finančnega motiva. Sta tokrat storila nekaj podobnega? Preiskava po besedah našega finskega sogovornika še vedno traja, dostop javnosti do podrobnosti v njej pa je zelo omejen, so pa finske oblasti oblikovale delovno skupino, ki je pripravila smernice za reformo zakona o kibernetski varnosti.
Kaj se je zgodilo z ukradenimi podatki
Ko Vastaamo ni hotel plačati odkupnine – ker hekerji tako in tako nikoli ne bi izbrisali podatkov –, je izsiljevalec, ki se je predstavljal z vzdevkom ransom_man, odprl razpravo na Torilauti, popularnem forumu na temnem spletu, pred tem pa je na Tor servis že naložil okoli sto dokumentov. Vsaj ena obupana oseba, ki je s terapevtom delila zaupne informacije, za katere nikakor ni želela, da pridejo v javnost, se je ponudila, da plača 40 bitcoinov. Ali ji je s hekerji uspelo vzpostaviti kupčijo, ni znano, a naš sogovornik o tem dvomi.
22. oktobra so hekerji objavili dodatnih sto dokumentov, nekateri so pripadali politikom in drugim znanim osebnostim in so vsebovali promiskuitetne spolne prakse ali pedofilske in samomorilne misli. Naslednji dan se je zgodilo še nekaj, za nekaj ur se je na strežniku Tor pojavila skoraj 11 gigabajtov velika datoteka, torej ukradeni dokumenti v celoti. Izbrisana je bila zelo hitro po objavi, skupaj s celotnim dostopom do strežnika.
Kriminalne združbe, ki so izsiljevale bolnišnice po vsem svetu, so doslej pokazale vsaj malo sočutja, ransom_man ni pokazal popolnoma nobenega.
Perttu Halonen, višji specialist na Nacionalnem centru za kibernetsko varnost na Finskem
Kot je za
Delo komentiral Halonen, je bila to očitna napaka hekerjev, saj so mapo nemudoma skopirali in celotni podatki, ki so bili ukradeni, so vse od takrat dalje na črnem spletu dostopni vsakomur, kar je znatno zmanjšalo uspešnost nadaljnjega izsiljevanja pacientov. Kot opozarjajo strokovnjaki po vsem svetu, je ravno višina plačanih odkupnin v takšnih primerih spodbuda nepridipravom za nadaljnje primere.
Zelo kmalu po Vastaamu sta se na Finskem zgodila še dva manjša napada, ki sta zdravstvene podatke, tokrat klinik za plastično kirurgijo, želela izkoristiti kot sredstvo za odkupnino. Napadi, ki so usmerjeni proti zdravstvenim ustanovam, niso novost, po svetu so povzročili že za več deset milijonov evrov škode. Kar je zanimivo pri primeru Vastaamo, je, kot pravi naš sogovornik, da ljudem, ki so ukradli Vastaamovo bazo podatkov o bolnikih in izsiljevali Vastaamo in njihove bolnike, »zelo očitno primanjkuje empatije do ljudi, ki imajo težave z mentalnim zdravjem. Kriminalne združbe, ki so izsiljevale bolnišnice po vsem svetu, so doslej pokazale vsaj malo sočutja, ransom_man ni pokazal popolnoma nobenega.«
Komentarji