Angripare utpressar psykoterapicenter och dess patienter

Det finska psykoterapicentret Vastaamo har utsatts för en ransomware-attack som av experter och myndigheter beskrivs som den värsta i landets historia.

Den 21 oktober uppdagades nyheten om att det finska privatägda psykoterapicentret Vastaamo har utsatts för en omfattande ransomware-attack. Angripare har lyckats lägga beslag på tusentals patientjournaler och krävt vårdföretaget på bitcoins motsvarande cirka 4,5 miljoner kronor för att inte publicera informationen på darknet. När inte Vastaamo gick med på att betala lösensumman vände sig angriparna istället direkt till patienterna och pressade dessa på pengar för att inte läcka deras personliga journaler.

Nicolas Gabriel-Robez arbetar som informationsäkerhetskonsult på Sentors finska kontor. Han har likt många andra i branschen fördjupat sig i händelsen, som han menar engagerar hela landet:

- Här i Finland har detta varit en huvudnyhet sedan incidenten blev offentlig. I princip hela IT-säkerhetsbranschen, tillsammans med högt uppsatta politiker, har kommenterat attacken, och det råder mer eller mindre konsensus om att den saknar motstycke i finsk historia.

Den läckta informationens karaktär gör händelsen känslig på flera sätt, menar Nicolas. Utöver att flera barn återfinns bland de drabbade kommer många av patienterna från små samhällen i Finland där alla känner alla. Flera av de berörda har polisanmält händelsen och kräver nu att personerna bakom attacken ska ställas inför rätta.

Oklara omständigheter kring vad som har skett

Vastaamo har fastställt att deras databas hackades redan i november 2018. Det finska IT-säkerhetsföretaget Nixu som anlitades för att utreda i intrånget upptäckte senare att organisationen utsattes för ytterligare en riktad attack i mars 2019. Det verkar dock råda en del oklarheter kring omständigheterna.

- Vastaamos före detta vd, Ville Tapio, fick sparken när nyheten om intrånget uppdagades. Företagets styrelse hävdar att Tapio kände till att Vastaamo var utsatt för en attack 18 månader innan det blev offentligt, men har valt att hålla informationen hemlig. Tapio menar i sin tur att han inte visste något om incidenten innan Nixus utredning.

Vastaamo har sagt att även om den exakta händelseförloppet fortfarande är delvis oklart, är det uppenbart att adekvata säkerhetsåtgärder har saknats, vilket gjorde det möjligt för angripare att infiltrera databasen.

- Än så länge kan vi förstås bara spekulera om hur det har gått till. Vi vet heller ingenting definitivt om angriparen i nuläget, utöver att han kallar sig själv “ransom_man” och driver en webbsida på Tor där han redan har publicerat innehåll från 300 patienters journaler. Han verkar dock komma härifrån Finland, eftersom meddelandena är skrivna på perfekt finska, menar Nicolas.

Efter att Vastaamo valt att inte betala den begärda lösensumman vände sig angriparen direkt till de berörda patienterna, som erbjöds möjligheten att betala 200 euros i bitcoins inom 24 h för att inte få sina journaler offentliggjorda. Om de inte betalade inom utsatt tid fick de ytterligare 24 timmar på sig, men då till ett pris av bitcoins värda 500 euros.

Finska myndigheter agerar

I onsdags sammanträdde berörda ministrar i Finlands regering för att diskutera cybersäkerhet och åtgärder för att detta inte ska hända igen. De utlovar också krisstöd till de tusentals personer som drabbats av intrånget.

- En effektiv lag skulle, i min mening, vara krav på att en oberoende tredje part årligen granskar säkerheten bland viktiga tjänsteleverantörer. Det skulle tillföra ett ytterligare lager av säkerhet jämfört med att granskningen, om sådana ens genomförs, sker internt, menar Nicolas.

Han påpekar även att incidenten är ett solklart fall av överträdelse av GDPR, som med stor sannolikhet kommer resultera i böter för Vastaamo.

Ökad medvetenhet bland invånarna

Finska invånare som har intervjuats i samband med attacken menar att de kommer bli mer restriktiva med vilken data de är villiga att dela med sig av i framtiden. Nicolas tror att incidenten, utöver de rättsliga aspekterna, kan få långlivade konsekvenser och leda till en ökad medvetenhet om riskerna med digitalisering.

- Vi har tagit mycket för givet när det kommer till vilken data vi delar med oss av när vi till exempel handlar på nätet eller använder digitala tjänster. En sådan här händelse gör förstås att vi börjar ifrågasätta säkerheten i de system vi använder oss av, i synnerhet hos de aktörer som hanterar vår allra känsligaste information.

Så undviker du att drabbas av utpressningsattacker

Ransomware-attacker är svåra att hantera och skydda sig emot. I många fall har angriparna haft åtkomst till systemen under lång tid innan de ger sig tillkänna, och har då hunnit försätta sig i ett överläge gentemot sina offer. Det finns dock åtgärder som minskar risken för att drabbas, menar Nicolas;

- Det första steget mot att skydda dina digitala tillgångar, men som många missar, är att göra en inventering av organisationens informationssystem, processer och de personer som underhåller dem. En sådan lista är mer känd som ett tillgångsregister (asset register), och det är det tillgångsregistret som utgör din attackyta. Utan ett tillgångsregister som uppdateras regelbundet saknar du information om din attackyta, och kan följaktligen inte bedöma och hantera de hot som påverkar dina affärskritiska informationssystem.