Финский суд приговорил бывшего генерального директора сети психотерапевтических клиник к условному тюремному заключению за неспособность надлежащим образом защитить записи сеансов терапии пациентов от попадания в руки хакеров-шантажистов.
Вилле Тапио, тогдашний генеральный директор терапевтической клиники Vastaamo, был бесцеремонно уволен после того, как хакер украл записи сеансов психотерапии, относящиеся к десяткам тысяч пациентов, опубликовал некоторые из них в dark Web и потребовал выкуп в размере 450 000 евро.
Чтобы усилить давление на невинных жертв, хакер, известный под псевдонимом “Ransom Man”, затем фактически отправлял пациентам электронные письма, угрожая опубликовать записи их индивидуальных сеансов психотерапии, если они не заплатят ему выкуп в биткоинах.
Чтобы подсыпать соль на рану, хакер похвастался плохим состоянием безопасности Vastaamo, заявив, что компания использовала комбинацию имени пользователя и пароля “root / root”.
Последующее расследование показало, что база данных клиентов Vastaamo и конфиденциальные записи сеансов были впервые взломаны в ноябре 2018 года, а затем снова в середине марта 2019 года. Несмотря на то, что генеральный директор Вилле Тапио знал о взломе в 2019 году, он не сообщил властям или другим членам правления компании – и это стало достоянием общественности только 18 месяцев спустя, что привело к увольнению Тапио.
Что еще хуже, база данных компании с контактными данными пациентов и записями о сеансах терапии не была должным образом зашифрована, что облегчило вымогателям использование информации.
Неудивительно, что Vastaamo объявила себя банкротом в результате скандала.
На этой неделе окружной суд Хельсинки приговорил Вилле Тапио к трем месяцам условно. Суд заявил, что тяжесть преступления и продолжительность времени, в течение которого особо конфиденциальные данные не были должным образом защищены от попадания в чужие руки, означали, что “Тапио должен получить тюремный срок за это деяние.
Однако затем суд заявил, что у Тапио не было предыдущего судимости, вместо этого он назначит условный срок.
Со своей стороны, Тапио отрицает совершение преступления и утверждает, что ответственность за нарушение легла на плечи бывших членов ИТ-команды компании.
В феврале этого года французские власти сообщили, что они арестовали 25-летнего Джулиуса “Зикилла” Кивимяки, самопровозглашенного члена банды Lizard Squad, в связи с попыткой вымогательства.
Финские власти определили Кивимяки как возможного “человека с целью получения выкупа” после того, как было обнаружено, что 10-гигабайтный файл записей Vastaamo, загруженный в dark Web, также включил (предположительно случайно) все содержимое домашней папки с его компьютера.
Еще раз, ясно, что не обязательно быть гением, чтобы быть киберпреступником. Или генеральный директор терапевтической клиники, если уж на то пошло.