Horror-scenario met afpersing door gehackte psychotherapie-data in Finland

Op de website Securityweek verscheen op 25 oktober 2020 een even opmerkelijk als afschuwelijk bericht. De kop luidt: “Finland Shocked by Therapy Center Hacking, Client Blackmail”. De systemen van een grote private psychotherapie-keten in Finland, Vastaamo, met vestigingen door het hele land blijken meermalen gehackt te zijn. Het bedrijf is bovendien subcontractor binnen het  publieke volksgezondheidssysteem in Finland.  Zorgdata van patiënten zijn buitgemaakt en patiënten worden gechanteerd met die gehorror-scenariogevens. Ze krijgen mededelingen dat de hacker hun gegevens openbaart als ze geen geld betalen. De minister van binnenlandse zaken heeft daarom met spoed het kabinet bijeengeroepen. Vastaamo heeft bekend gemaakt dat de chanterende hacker via het anonieme TOR-netwerk al rond de 300 dossiers heeft geopenbaard. Bedragen van 200 euro bij eerste aanschrijving tot 500 euro bij niet direct reageren eist de hacker. Vastaamo zelf kreeg een oproep om 450.00 euro in bitcoins te betalen.

Aard en omvang

Gebleken is dat de hacker(s) eind 2018 begonnen met inbreken in het systeem en tussen november 208 en maart 2019 langduriger wederrechtelijk grasduinden in de zorgdossiers. Het Finse nationale onderzoekinstituut liet weten dat mogelijk tienduizenden dossiers gecompromitteerd zijn. Het was trouwens niet onmiddellijk duidelijk dat de gestolen dat diagnoses, werkaantekeningen of andere potentieel schadelijke informatie bevatte. Inmiddels is dat wel duidelijk. Ook verbaast het dat er tussen de inbraak en de chantagepogingen toch een tijdsverloop van meer dan een jaar ligt. Mogelijk is dat te verklaren in pogingen van de hacker(s) om het bedrijf in eerste instantie alleen zelf te chanteren. Waarbij Vastaamo die poging mogelijk geheim hield.

Exceptioneel

Het hoofd research van het computerbeveiligingsbedrijf F-Secure gaf aan dat deze kwestie qua soort misdrijf als qua omvang zelfs op internationaal niveau een exceptionele is. De enige vergelijkbare hack met chantagepogingen in Florida in begin 2020 was veel kleinschaliger.

Nederland

Op kleine schaal hebben we in Nederland in 2018 een soortgelijk geval gehad. Toen braken hackers in op een onvoldoende beveiligd chatplatform voor jonge mensen met psychische problemen. Het ging om  www.pratenonline.nl. Dat chatforum is een initiatief van de jeugd-RIAGG Noord Holland Zuid en richt zich met name op jongeren tussen de 12 en 23 jaar die kampen met angst- en depressieve klachten. Toen is op klein schaal geprobeerd losgeld te vragen.

Grootste angst

Het is de grootste angst van de patiënt (en van de zorgverlener) dat zijn/haar zorgdata op enig moment op straat komen te liggen. Vaak spelen intieme details die een ander niets aangaan. Los van adequate beveiliging van systemen en zorgvuldig handelen van medewerkers bij het gebruik van die systemen is een adequate reactie een absolute vereiste. Dat betekent het onmiddellijk melden van een inbraak in systemen bij politie en toezichthoudende instanties en iet het op eigen houtje proberen uit te dokteren wie wat deed en wat de consequenties zullen zijn. Aangifte bij de politie doen van chantage door benadeelde cliënten is van groot belang.

Kwetsbaarheid

Deze casus laat weer zien hoe kwetsbaar zorgsystemen zijn en wat de impact kan zijn op de benadeelde patiënten, maar ook op de hele samenleving. Het vertrouwen om alles zonder terughoudendheid met een zorgverlener te delen krijgt door dit soort gebeurtenissen een stevige knauw. Cybersecurity in als zijn aspecten, van goed beveiligde systemen tot en met het niet laten slingeren van wachtwoorden door zorgverleners dient nageleefd te worden.

W.J. Jongejan, 27 oktober 2020.

Afbeelding van Gerd Altmann via Pixabay