Verden

Sensitive personopplysninger fra psykoterapisenter på avveie. Nå presses pasienter for penger.

Søndag holder den finske regjeringen krisemøte om skandalen som vokser i omfang.

Innenriksminister i Finland, Maria Ohisalo, etterlyser bedre datasikkerhet. Foto: Reuters

  • Adriane Lilleskare Lunde
    Adriane Lilleskare Lunde
    Journalist

Hackere har brutt seg inn i databasen til Vastaamo. Det er et privat selskap som tilbyr samtaleterapi til tusenvis av pasienter i Finland.

Sensitive opplysninger fra psykoterapisenteret skal være lekket på Tor-nettverket, også kalt det mørke nettet. Nå er flere pasienter presset for penger.

Så langt vet man om 300 personer som har fått sensitiv informasjon lekket, melder finske medier. Tallene kan være mye høyere.

I tillegg til informasjon som navn, adresse og personnummer inneholder lekkasjen journaler og hva pasientene har sagt til terapeutene i timene.

De siste dagene har flere pasienter mottatt e-poster der de presses for penger.

Den kjente parlamentarikeren Eeva-Johanna Eloranta har blant annet fått krav om å betale 500 euro i bitcoin for at taushetsbelagte opplysninger blir slettet.

Vastaamo tilbyr samtaleterapi. Ifølge politiet berører datainnbruddet titusenvis av pasienter. Foto: Selskapets hjemmeside

Titalls tusen kan være rammet

Det nøyaktige omfanget av skandalen er ikke kjent, men tusenvis av mennesker skal være berørt.

Anslag tilsier at 40.000 pasienter kan være rammet.

Tuomas Kahri er daglig leder i Vastaamo. Firmaet har kontorer 20 ulike steder i landet.

Han sier at det finske kriminalpolitiet etterforsker saken.

Kahri har ikke villet avsløre hvor mye personlig informasjon som ble lekket. Ei eller når selve innbruddet i databasen skal ha skjedd.

På selskapets hjemmesider skriver imidlertid Vastaamo at opplysninger fra tiden etter november 2018 skal være trygge.

Psykoterapisenteret opplyser at det ikke har vært mulig å gi ut informasjon om hendelsen tidligere. Årsaken skal være politiets etterforskning.

– Forbannet og skuffet

Vastaamo får kritikk for at de ikke har informert kundene sine tidligere og bedre. Pasienter klager på at de ikke får nok informasjon fra terapisenteret. I stedet må de lese i finsk presse.

Den finske sosialministeren skriver på Twitter at de leter etter måter å hjelpe ofrene for hackingen.

Finske Yle, tilsvarende NRK i Norge, har snakket med en person som er rammet av utpressingen. Vedkommende synes det er forferdelig hvor dårlig terapiselskapet har håndtert hendelsen.

– Jeg er forbannet og skuffet, sier vedkommende videre.

– Fremover kommer jeg til å tenke nøye over hvilke instanser som har informasjon om meg, og hvordan de håndterer det.

Personen skal ha fått et krav om å betale 200 euro i bitcoin innen 24 timer. Hvis ikke ville summen øke til 500 euro. Om ikke offeret betalte, ville alle opplysninger om pasienten bli publisert. Utpresseren skriver at informasjonen er detaljerte utdrag fra terapisamtaler.

I et intervju med Yle beklager daglig leder Kahri.

De jobber nå med å bedre datasikkerheten i selskapet. Ifølge Kahri skal rutinene endres når nødvendige undersøkelser er gjennomført. Selskapet har også åpnet en krisetelefon for å støtte pasienter som er rammet.

– Ikke gå med på kravene

Finsk politi sier til nyhetsbyrået STT at de har fått inn over 200 anmeldelser fra personer som frykter pasientopplysninger er på avveie.

– Dere bør ikke gå med på kravene i disse utpressingsmeldingene, sier Marko Leponen, sjefen for det finske kriminalpolitiet.

Lørdag kveld ble politiets systemer overbelastet fordi så mange anmeldte utpressingen.

I e-postene som pasienter har mottatt, står det at Vastaamos ledelse først ble presset for 40 bitcoins. Det tilsvarer nesten 5 millioner kroner. Summen ville de ha for å ikke publisere pasientjournalene på det mørke nettet.

Selskapet avviste kravet.

Dermed begynte lekkasjene, og pasienter mottok personlige trusselmeldinger på e-post.

Etterlyser bedre datasikkerhet

Søndag holdt regjeringen krisemøte.

– Dette er et ekstremt alvorlig databrudd, sier innenriksminister Maria Ohisalo til Yle.

Statsministeren har allerede fordømt hackingen. Skandalen tas dermed opp på høyeste nivå i Finland.

Ohisalo skriver på Twitter at ofrene trenger «akutt hjelp og støtte». Hun etterlyser bedre digitale sikkerhetsrutiner.

Foreningen Psykisk helse Finland varslet søndag at de setter inn ekstra ressurser på Krishjälpen. Det er en hjelpetelefon som nå får utvidet kapasitet.

Flere har lagt ut på sosiale medier at de er rammet av hackingen. Blant dem er tidligere riksdagsmedlem og EU-parlamentariker Kirsi Piha. Hun publiserte utpressingsmailen på Twitter og fortalte at hun ikke ville betale.

I kjølvannet av skandalen har flere vist støtte og solidaritet overfor ofrene. Hackere skal dessuten ha engasjert seg på frivillig basis i arbeidet med å finne ut hvem som står bak utpressingen.

– Kunne også skjedd i Norge

Cathrine Vånge Singstad er partner i Otte, hvor hun jobber med sikkerhet og personvern. For tiden er hun også innleid som informasjonssikkerhetsleder i Tolletaten.

Hun omtaler skandalen i Finland som alvorlig.

– Jeg kjenner den ikke inngående, men det er klart at dette er en svært alvorlig sak. Både for personene det gjelder, og for firmaet som er rammet.

Singstad sier at alle virksomheter som håndterer sensitive opplysninger, har en rekke plikter de må følge.

– Det finnes klare regler for sikkerheten i personvernregelverket. De omhandler blant annet om dataene er godt nok sikret, om man har god nok oversikt over opplysninger, og når det skal meldes fra til datatilsynet.

Singstad sier at tilsvarende hendelse også kunne ha skjedd i Norge.

– Slike angrep kan ramme hvem som helst, både virksomheter og privatpersoner i Norge. Selv de som jobber med datasikkerhet hver eneste dag, blir utsatt for slike innbrudd.

Hun sier at vi alle løper en risiko når vi ferdes på nettet, og peker på viktigheten av at offentlige og private selskaper er bevisste på datasikkerhet.

– Kriminelle ligger ofte ett steg foran. Jeg kan ikke få understreket nok hvor viktig det er at selskaper har en plan hvis noe tilsvarende skulle skje dem. Den må det øves på. Hvem skal du ringe? Hvor begynner du? Hvilke systemer må stenges? Øvelse gir mester også innenfor digital sikkerhet.

Les mer om

  1. Datasikkerhet
  2. Finland
  3. Hacking
  4. Personvern
  5. Datainnbrudd

Relevante artikler

  1. POLITIKK

    Lukket høring om Equinors skandaliserte USA-eventyr

  2. KULTUR

    Britisk overgriper ville sluppet unna med ny Facebook-kryptering. I Norge er Kripos bekymret.

  3. ØKONOMI

    Equinor har betalt 420 millioner kroner til et forskningssenter i Angola som aldri er bygget

  4. A-MAGASINET

    På innsiden av Oljefondet: Slik er det å jobbe for Norges pengebinge

  5. ØKONOMI

    I denne byen står syv av ti hotellrom tomme

  6. VERDEN

    Smitten øker. Sverige åpnet nattklubber. Danmark stopper ølkranene og innfører krav om munnbind.