Były prezes zhakowanej kliniki terapeutycznej Vastaamo w Finlandii został skazany za to, że nie zapewnił odpowiedniej ochrony danych z sesji pacjentów. Sąd wymierzył mu karę 3 miesięcy więzienia w zawieszeniu.

Ataki na klinikę spowodowały wyciek poufnych notatek dotyczących dziesiątek tysięcy pacjentów. Cyberprzestępca opublikował niektóre z nich w darknecie i zażądał od firmy 450 tys. euro okupu. Dodatkowo domagał się haraczu od pacjentów (miał ich e-maile), grożąc ujawnieniem zapisów ich sesji psychoterapeutycznych.

Szantażysta wyśmiewał zły stan bezpieczeństwa antywirusowego Vastaamo, mówiąc, że firma użyła kombinacji nazwy użytkownika i hasła „root/root”. W ten sposób pogrążył wiarygodność i reputację przedsiębiorstwa.

Późniejsze dochodzenie wykazało, że baza danych pacjentów kliniki i wrażliwe notatki z sesji zostały naruszone już w 2018 r. i w 2019 r. Mimo że CEO Ville Tapio od 2019 r. wiedział o złamaniu zabezpieczeń, nie poinformował o tym władz ani zarządu firmy. Prawda wyszła na jaw dopiero po 1,5 roku, co doprowadziło do jego zwolnienia.

Baza danych kontaktowych pacjentów i notatek z sesji terapeutycznych nie była odpowiednio zaszyfrowana, co ułatwiło szantażystom wykorzystanie tych informacji.

Nieodpowiedzialne postępowanie prezesa zaskakuje tym bardziej, że narażał on nie tylko dane ponad 30 tys. pacjentów kliniki, ale też osób korzystających z jej usług w ramach kontraktów z publicznymi szpitalami.

Na skutek wspomnianych zaniedbań, a także błędów pracowników Vastaamo ogłosiło upadłość.

Pod sąd za naruszenie RODO

Były prezes został uznany za winnego przestępstwa naruszenia ochrony danych. Sąd wskazał na naruszenie RODO w zakresie anonimizacji i szyfrowania danych.

Stwierdził, że biorąc pod uwagę tak długi czas łamania przepisów nie ma mowy, by skończyło się na karze finansowej. Najpierw twierdził, że to co wyprawiał prezes kwalifikuje się do wsadzenia go za kratki bez „zawiasów”, jednak potem złagodził stanowisko, biorąc pod uwagę m.in. to, iż podsądny nie był dotąd karany.

Prokurator domagał się 9 miesięcy więzienia w zawieszeniu.

W Finlandii kara za przestępstwo naruszenia ochrony danych, jakiego dopuścił się Tapio, wynosi do 1 roku bezwzględnego pozbawienia wolności, ale może to być też jedynie sankcja finansowa.

Ville Tapio nie przyznał się do winy. Utrzymywał, że nie wiedział iż zabezpieczenia informatyczne firmy są w tak fatalnym stanie i próbował zrzucić odpowiedzialność na pracowników działu IT.

Wyrok nie jest prawomocny. Obie strony procesu mogą wnieść apelację.

Przykład Vastaamo pokazuje, do czego może doprowadzić nieprofesjonalne podejście do cyberbezpieczeństwa i niedostateczne zabezpieczenia antywirusowe. Pomimo tego, że pracownicy wiedzieli o bardzo dotkliwych potencjalnych karach, postanowili nie ujawnić wycieku danych przez półtora roku, co ostatecznie doprowadziło do upadku przedsiębiorstwa” – komentuje Mariusz Politowicz z Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.