En finsk hackare har börjat sprida patientjournaler på internet sedan denne utpressat både vårdgivaren och brottsoffren. Eftersom det rör känsliga personuppgifter är det en extra allvarlig form av dataintrång, anser expertisen.
Det är psykoterapicentret Vastaamo, som har mottagningar i 20 städer i Finland, som blivit utsatt för en hackerattack. Hackaren ska ha kommit över tiotusentals patientjournaler som denne hotade att sprida på darknet om inte en lösensumma på 40 bitcoin, värt ungefär 4,5 miljoner kronor i dagsläget, betalades ut. Efter att bolagets vd ska ha vägrat att tillmötesgå kraven har journalerna börjat spridas, och hoten har riktats mot de drabbade patienterna. Enligt Tero Muurman, chef för Centralkriminalpolisens it-brottsavdelning, kan man dock inte kan vara säker på att det är samma hackare som tog sig in i Vastaamos system som nu mejlar patienterna.
– Vi kan inte bortse från att andra aktörer inte skulle utnyttja de publicerade uppgifterna genom att ta rollen som utpressare, säger Muurman till Yle Uutiset.
Hittills har 200 journaler lagts ut och utpressarna hotar att lägga ut ännu fler. Centralkriminalpolisen uppger för nyhetsbyrån STT att man tagit emot fler än 200 anmälningar från personer som misstänker att deras patientuppgifter hamnat i orätta händer. En av de drabbade är riksdagsledamoten Eeva-Johanna Eloranta som skriver på sin Twitter att hon redan diskuterat med de andra ansvariga ministrarna inom Social- och hälsovårdsministeriet om hur man bäst kan ge akut stöd till offren, uppger TT. Regeringen kommer också att samlas för ett krismöte.
Unikt fall
Polisen och tillsynsinstansen för social- och hälsovården utreder fallet under rubriceringarna grovt dataintrång och grovt spridande av information som kränker privatlivet.
– Vi jobbar med flera olika utredningsalternativ just nu. Det är inte uteslutet att det kan handla om både inhemska och utländska aktörer. Vi har tills vidare inte gjort något genombrott i utredningen, säger kriminalkommissarie Marko Leponen som leder utredningen av fallet på Centralkriminalpolisen, till Hufvudstadsbladet.
Det som är unikt med fallet är det stora antalet brottsoffer och att det rör sig om känslig och personlig information. Polisen samarbetar med bland annat Transport- och kommunikationsverket Traficoms cybersäkerhetsexperter och ett flertal utländska aktörer och flera laglydiga hackare har också erbjudit sina tjänster.
David Sands är professor vid avdelningen för Informationssäkerhet på institutionen för Data- och Informationsteknik vid Chalmers. Han konstaterar att det finns dataläckage överallt men att det här är lite speciellt.
– Vi är mer vana vid läckage av lösenord, och kanske kreditkortsnummer. Det som är mycket värre här, och med integritet i allmänhet, är att vi kan byta lösenord och kortnummer i efterhand, men vi kan inte gör något åt patientdata som har kommit ut.
Läge för svenskt uppvaknande
Det tycks ännu inte ha kommit ut några uppgifter om vad det är i säkerhetssystemet som har brustit. Det går alltså inte att veta om attackerna har tagit sig förbi standardiserade försvarsmekanismer, eller om sådana har helt har saknats, säger David Sands.
I Sverige ska vårdgivaren enligt Socialstyrelsens föreskrifter säkerställa att obehöriga inte ska kunna ta del av personuppgifter. Det är Datainspektionens uppgift att kontrollera att vårdgivare vidtar säkerhetsåtgärder för att skydda patientuppgifterna. David Sands menar att det är svårt att säga om något liknande skulle kunna ske i Sverige som i fallet med de finska journalerna.
– Men jag hoppas att det blir ett wake up call för aktörer som har hand om känslig information – att det finns en ”marknad” för informationen som gör deras system till måltavla, och att konsekvenserna av intrång kan vara fruktansvärda för individen.
