Vreselijk! Laat deze gebeurtenis voor NL een voorbeeld zijn waarom informatiebeveiliging en zorg veel en veel beter moeten!

Psykoterapiakeskus Vastaamo

https://fi.wikipedia.org/wiki/Psykoterapiakeskus_Vastaamo

Cyberextortion

Case


https://en.wikipedia.org/wiki/Extortion#Cyberextortion

https://yle.fi/uutiset/osasto/news/extortionist_publishes_more_sensitive_data_on_psychotherapy_centres_patients/11608960

Vastaamo maakt voor 71% deel uit van Intera Partners Oy, een Finse private equity firma gevestigd in Helsinki, die voor €15M in de praktijk investeerde. Vastaamo is in Finland actief in 22 gemeenten. Het aantal medewerkers eind 2018 bedroeg 240, waarvan 221 psychotherapeuten, 10 artsen in de psychiatrie en 9 werkzaam in andere taken.

Vastaamo behandelt onder meer patiënten voor het Oulu en Tampere universitaire ziekenhuissysteem, waaronder ook kinderen en jongeren. Er is volgens de Finse berichtgeving naast het afpersen van de firma, de medewerkers en hun volwassen cliënten ook sprake van het uitlekken van gegevens van kwetsbare jongeren.

"De Finse politie raadt aan om geen losgeld te betalen, aangezien er geen garantie is dat de gestolen data niet alsnog wordt gepubliceerd."

Dat roept men altijd maar in de meeste gevallen komen de criminelen hun afspraak na. Anders halen ze namelijk hun hele verdienmodel onder uit.

Dit had gemakkelijk voorkomen kunnen worden door:

- In plaats van zeer gedetaileerde dossiervorming alleen cryptishe en korte notities in het dossier.
- Indien meerdere behandelaars en dus noodzaak details op te nemen, de details op papier opslaan.

Als het dan mis gaat (die serieuze kans is er altijd), dan is het veel minder pijnlijk.

#1 niet encrypted
#2 slechte algemene beveiliging
#3 geen melding datalek
#4 geen poging tot lekkage mitigatie

Ik zeg, trek hun vergunning in voor het behandelen van mensen. En iedereen in het bestuur verbieden om voor 5 jaar in een bestuursfunctie te mogen werken.

(dit is echt de enige manier om van die 'bazen' af te komen die zeggen 'nee, pietje, als je encryptie toepast kan ik er vanaf mijn bluberry phone uit 1997 niet meer bij'.

We moeten meer digitaal. Meer. MEER!

De ransomware afpersers zijn vrij rationeel en 'toekomst-gericht' - oftewel, die gaan ervan uit dat ze langduring 'in business' kunnen blijven, en dat hun toekomstige geldstroom afhangt van de reputatie dat betalen zin heeft .
En - het slachtoffer heeft meteen bewijs _dat_ een afspraak is nagekomen , namelijk een werkende decryptie key .

Maar die overweging hoeft helemaal niet op te gaan voor criminelen die denken dat ze "in één keer" de grote buit pakken, en dat ze op data zitten waar nóg een keer - en nóg een keer geld voor te vangen valt .
En- de ransomware gangs hebben feitelijk een 'reputatie' - je kunt zoeken of mensen hun data terugkregen als het een trojan van bla.blub was , en op die grond besluiten dat je mag verwachen dat betalen voor jou ook je data weer beschikbaar krijgt .

Daar is geen sprake van bij deze stijl afpersing - de afperser zal 'onbekend' zijn (ook als nick/reputatie), en bewijs dat de data vernietigd is, is niet te leveren.

Er is een groot verschil , in speltheorie, tussen de strategie voor een éénmalige interactie en een herhaalde interactie met dezelfde speler .

Inderdaad, dossiers op papier.
Sommige dingen moeten nu een maal niet met de tijd mee.

Optie 1 is alleen maar een obfuscatie .
Maar verder briljant advies hoor, om medische dossiers bewust zo onduidelijk mogelijk te maken. Wat kan er nou misgaan ...

Verder - het feit _dat_ er behandeld wordt is natuurlijk al erg vertrouwelijk.

Optie 2 - ja, vergeet niet om vanavond de lantaren aan te steken. Wel eerst de olie bijvullen.

Geloof je echt dat hier ook iemand iets van leert, echt niet het is gewoon de ver van mijn bed show, tot ze zelf slachtoffer
worden.


Weer zo'n typische opmerking.

Waarom gebruiken wij nog gewonen geweren die al honderden jaren geleden zijn uitgevonden wij moeten
toch met de tijd meegaan dus waarom niet gelijk kernwapens op het slagveld gebruiken, is toch veel moderner.

Het is echt nutteloos, want als je betaald komen ze volgende keer weer. Je hebt 0.0 garanties als je met criminelen in zee gaat.
Dus onderzoeken en oppakken.

En "papier" kan niet gewoon ook gestolen worden bij een inbraak??

Ik heb in grofweg de laatste tien jaar met twee GGZ-instellingen te maken gehad, om mezelf op autisme te laten testen en voor de behandeling van iemand die me na staat. Wat me in beide gevallen opviel was hoezeer de behandelaars ervan doordrongen waren dat ze geen vertrouwelijke zaken via e-mail mochten afhandelen, maar dat alles via een zorgportaal moest gaan.

Dat betekent dat zowel die organisaties als de medewerkers zich ervan bewust zijn dat er risico's zijn en dat ze ernaar handelen. Ik zie niet de ver-van-mijn-bedshow die jij veronderstelt.

Dat betekent echter niet dat psychologen, psychiaters, het management van die organisaties en administratieve medewerkers zelf ICT-deskundigen zijn. Voor de kwaliteit van de implementatie zijn ze afhankelijk van de competentie van hun leveranciers, en psychologie en psychiatrie zijn geen vakgebieden die de kennis opleveren waarmee je die leveranciers op hun technische competentie kan beoordelen.

De vergelijking tussen een psychologiepraktijk en een slagveld vind ik behoorlijk bizar.

Maar als je hem toch maakt is een betere vergelijking die tussen de musketten van honderden jaren geleden en moderne vuurwapens. Musketten moesten voor elk schot op een heel bewerkelijke manier moest herladen worden met los kruit, een prop en een loden kogel (die de musketier mogelijk zelf had gegoten), waarna een lont werd geplaatst en aangestoken. Een modern vuurwapen heeft patronen, een slagpin en een automatisch doorlaadmechanisme zodat na het vuren meteen de volgende patroon paraat staat voor het volgende schot. De toegevoegde waarde van automatisering is als het goed is dat een hoop omslachtige zaken er een stuk vlotter mee gaan.

Ook voor GGZ- en andere zorginstellingen heeft automatisering toegevoegde waarde. Het is onzinnig om te doen alsof dat daar niet zou gelden. Dat er nog heel wat aan de kwetsbaarheden van ICT-systemen moet worden verbeterd, niet alleen in de zorg maar over de hele linie, is duidelijk. Die verbeteringen komen er alleen niet als iedereen musketten blijft gebruiken, want verbeteringen komen voort uit ervaringen die worden opgedaan. Er zal nooit goede ICT in de zorg komen als de zorg nooit begint met ICT te gebruiken.

Je bedoelt dat wanneer je met de overheid in zee gaat je wel garanties hebt?

Probeer jij maar eens de papieren dossiers van 40.000 patiënten mee te nemen...

@anoniem:05:38 Dank voor je reactie, ik bedoelde vooral dat de politiek hier niet van leert, en bij die atoombom
wilde ik eigenlijk zeggen dat niet alle vernieuwingen positief zijn en dus niet moeten worden gebruikt.

Hoe beveilig je een database tegen (ongeoorloofd) kopiëren van (alle) data door een legitieme gebruiker?

Dat lijkt me onmogelijk!

Ook dank aan Anoniem@05:38. Het is ook mijn ervaring dat zorgverleners het belang van zorgvuldige omgang met patiëntengegevens beseffen. (En niet opgeleid zijn voor ICT-beveiliger.)

Je kunt selectief toegang tot de database toestaan; toegang loggen en de logbestanden auditen; het aantal bevragingen per uur beperken; ...

Maar dat is niet wat er in dit geval gebeurd is. De beveiliging van het systeem is omzeild (gehackt wachtwoord?) waardoor de complete ruwe database beschikbaar was. Een geval slecht systeembeheer.
De overheid houdt zich vrijwel altijd aan de wet. (Maar heeft als maker van de wet een voordelige positie.)

De gestolen patiëntgegevens van Vastaamo zijn waarschijnlijk niet langer alleen in handen van de oorspronkelijke afperser(s), zo vermoed Mikko Hyppönen, onderzoeksdirecteur bij het Finse beveiligingsbedrijf F-Secure. Hyppönen vermoed dat er bij aanvang (nog) sprake was van een amateur, in plaats van een professionele criminele bende.

Het zou om een bestand van 10 Gb gaan, dat op het ondergrondse Torilauta forum is uitgelekt. Volgens Hyppönen suggereert de grote omvang dat er meer was dan alleen platte tekst. Zelfs de medische dossiers van 40.000 mensen zouden geen tien gigabyte aan ruimte in beslag nemen als tekst.

Berichten geplaatst op het genoemde Finstalige forum duiden er op dat gedupeerden een beloning van € 100.000 hebben uitgeloofd, op het verstrekken van juiste gegevens aan de Finse politie die leiden tot de arrestatie van de dader(s). Het bedrag zou op een bankrekening van de Finse politie zijn gestort. Bel de Finse politie voor meer info.

https://yle.fi/uutiset/3-11615644

Liefdadigheidsinstellingen voor geestelijke gezondheid en slachtofferhulp in Finland meldden dat ze worden overweldigd door telefoontjes van mensen in nood, uit angst dat intieme gesprekken met hun therapeuten worden uitgelekt. De afperser heeft het zelfs gepresteerd Finse politici te chanteren:


https://www.theguardian.com/world/2020/oct/26/tens-of-thousands-psychotherapy-records-hacked-in-finland


https://twitter.com/kirsipiha/status/1320091258505887745

De rechtbank in Helsinki heeft, hangende het Finse politie onderzoek, uit voorzorg ex parte beslag laten leggen op de eigendommen van Ville Tapio, de ontslagen CEO, en zijn familie / ouders, voor een bedrag van 10 miljoen euro. Het bevel daartoe werd uitgevaardigd op verzoek van de meederheidsaandeelhouder van de dienstverlener, PTK Midco.

https://www.helsinkitimes.fi/finland/finland-news/domestic/18237-vastaamo-s-ex-ceo-and-his-parents-have-almost-10m-in-assets-seized.html

Het interne netwerk van Vastaamo, zou volgens de berichtgeving in de Finse media, reeds in november 2018 en nogmaals in maart 2019 zijn gehackt, en Ville Tapio, de ex-CEO, zou dat anderhalf jaar voor de Raad van Bestuur hebben verzwegen. De ontslagen CEO ontkent op Facebook van de hack in 2018 af te hebben geweten.

De familie van Tapio was tot mei 2019 nog eigenaar van Vastaamo. Daarna kocht Intera Partners de meerderheid van de aandelen op. PTK Midco is de houdstermaatschappij van Intera Partners. Het is niet waarschijnlijk dat Intera een meederheidsaandeel in Vastaamo zou hebben gekocht, als ze van de risico's hadden geweten.

Opmerkelijk

De ex-CEO zou volgens de Finse staatsomroep YLE in 2015 fraude met Google advertenties hebben gepleegd, door bewoners in de Finse gemeente Turku, die zochten naar vestigingsadressen van huisartsen, onterecht om te laten leiden naar de Vastaamo.fi website. Die zaak werd destijds door het OM geseponeerd wegens een verlopen termijn.

https://yle.fi/uutiset/3-11617234

Yle followed Vastamo's hacking: This is the regularly updated timeline how the blackmailer appeared on the Tor network forum, the Finnish police ask for consideration in publishing the relevant details:

https://yle.fi/uutiset/3-11612399