Le piratage «choquant» de dossiers de psychothérapie en Finlande affecte des milliers de personnes | Finlande

26 octobre 2020 0 Par Village FSE

Les dossiers de traitement confidentiels de dizaines de milliers de patients en psychothérapie en Finlande ont été piratés et certains ont été divulgués en ligne, ce que le ministre de l'Intérieur a qualifié d '«acte choquant».

Les patients en détresse ont inondé les services d'aide aux victimes ce week-end alors que la police finlandaise a révélé que des pirates informatiques avaient accédé à des dossiers appartenant à la société privée Vastaamo, qui gère 25 centres de thérapie à travers la Finlande. Des milliers de personnes auraient porté plainte à la police pour cette violation.

De nombreux patients ont déclaré avoir reçu des e-mails avec une demande de 200 € (181 £) en bitcoin pour éviter que le contenu de leurs discussions avec les thérapeutes ne soit rendu public.

«La violation de données Vastaamo est un acte choquant qui nous frappe tous au plus profond de nous», a écrit lundi la ministre de l’Intérieur du pays, Maria Ohisalo, sur son site Web. La Finlande doit être un pays où «une aide pour les problèmes de santé mentale est disponible et accessible sans crainte», a-t-elle ajouté.

Les ministres se sont réunis pour des entretiens de crise ce week-end, et d'autres discussions d'urgence sont prévues pour la semaine à venir sur la violation de données sans précédent.

«Nous enquêtons sur une violation de la sécurité aggravée et une extorsion aggravée, entre autres accusations», a déclaré Robin Lardot, directeur du Bureau national d’enquête de Finlande, ce week-end.

Lardot a ajouté qu'ils pensaient que le nombre de patients dont les dossiers avaient été compromis s'élevait à des dizaines de milliers.

Vastaamo a déclaré qu'il avait lancé une enquête interne et que la sécurité de sa base de données des dossiers des patients avait été vérifiée. Il a noté que le vol réel aurait eu lieu il y a deux ans.

« Selon les informations actuelles, il est sécurisé et aucune donnée n'a été divulguée depuis novembre 2018 », a déclaré le président de la société, Tuomas Kahri, au journal Helsingin Sanomat.

Les experts en sécurité ont rapporté qu'un fichier de données de 10 gigaoctets contenant des notes privées entre au moins 2 000 patients et leurs thérapeutes était apparu sur des sites Web sur le «dark web».

Le piratage, qui a ciblé certains des plus vulnérables de la société – y compris les enfants – a provoqué un choc généralisé dans le pays nordique de 5,5 millions d'habitants, les ministres se réunissant dimanche pour discuter de la manière de soutenir les patients dont les données sensibles avaient été divulguées.

« Il est absolument clair que les gens sont à juste titre préoccupés non seulement pour leur propre sécurité et leur santé, mais aussi pour celles de leurs proches », a déclaré Ohisalo dimanche soir.

Lundi, les autorités ont lancé un site Web pour les victimes de la cyber-attaque, leur offrant des conseils et leur disant de ne pas payer la demande de rançon. « Ne communiquez pas avec l'extorsionneur, les données ont probablement déjà été divulguées ailleurs », a déclaré le site Web d'aide Data Leak.

Les organismes de bienfaisance de santé mentale et de soutien aux victimes ont déclaré avoir été submergés d'appels de personnes en détresse craignant que leurs conversations intimes avec leurs thérapeutes ne soient rendues publiques.

L'un des destinataires d'une menace de chantage, l'ancien député Kirsi Piha, a tweeté une capture d'écran du message de rançon avec une réponse provocante aux pirates. «À vous! Demander de l'aide n'est jamais quelque chose dont il faut avoir honte », a écrit Piha.

Mikko Hyppönen de la société de sécurité des données F-Secure a déclaré sur Twitter: «C'est un cas très triste pour les victimes, dont certaines sont mineures. L'attaquant n'a aucune honte. Il a ajouté que l'agresseur utilisait l'alias «ransom_man».

Lundi, le régulateur finlandais des soins sociaux a déclaré dans un communiqué qu'il enquêtait sur les pratiques de Vastaamo, notamment dans quelle mesure les patients étaient tenus informés de la violation.

Pendant ce temps, le chef de l'agence nationale de services numériques DVV, Kimmo Rousku, a déclaré que la cyber-attaque aurait pu être évitée si Vastaamo avait utilisé un meilleur cryptage.

«La direction doit se réveiller», a déclaré Rousku au diffuseur public Yle.