0
0
Mesmo para veteranos de investigações cibernéticas, a recente extorsão de uma prática de psicoterapia na Finlândia tem sido incomum — e perturbadora.
Em vez de se ater apenas à tática comum de tentar abater uma organização violada, os atacantes que roubaram dezenas de milhares de registros de pacientes da Vastaamo também exigiram resgates de pessoas individuais. Ao fazê-lo, os ladrões têm alavancado alguns dos dados médicos mais sensíveis imagináveis, e dificultando a resposta coletiva das vítimas.
“As notas terapêuticas estão em um nível diferente de problemas de privacidade”, disse Mikko Hypponen,diretor de pesquisa da empresa finlandesa de cibersegurança F-Secure. “Eu sei de um punhado de casos em que os pacientes foram chantageados por seus dados de saúde, mas essas foram violações muito menores. Nunca houve um crime na Finlândia com tantas vítimas como neste.”
Embora o incidente tenha abalado a Finlândia, provocando uma reunião de emergência do governo e custando ao ceo da Vastaamo seu trabalho, também pode ter repercussões muito além do país nórdico. Em causa estão as obrigações das organizações de saúde de defender suas redes de computadores, e a capacidade das vítimas de responsabilizar as organizações por não fazê-lo.
No caso de Vastaamo, a causa não era ransomware, como tem sido tão comum com organizações de saúde nos EUA e em outros lugares da Europa. A violação inicial teria ocorrido em 2018, com outro hack seguido em 2019. Mas as vítimas só começaram a receber mensagens exigindo pagamento em criptomoedas nas últimas semanas, ressaltando como os alvos de roubos de dados sensíveis às vezes são forçados a olhar por cima de seus ombros por anos.
“Esse tipo de esquema de extorsão torna evidente que o risco para as organizações não está apenas na proteção de dados corporativos, mas na garantia de que informações confidenciais dos clientes [neste caso, os pacientes] sejam protegidas para minimizar o risco do que poderia se tornar um esquema de extorsão dupla”, disse Lindsay Kaye, diretora de resultados operacionais da empresa de inteligência de ameaças Recorded Future. “Se isso for bem sucedido financeiramente, pode inspirar outros atores de ameaças a fazer algo semelhante.”
Para Ryan Louie, um psiquiatra com sede nos EUA que se concentra na indústria de cibersegurança, o incidente de Vastaamo é um lembrete cruel do que está em jogo na segurança cibernética das práticas de saúde mental.
“Quando há uma ameaça e dano tão visceral, acho que o termo ‘violado’ que ouço frequentemente mencionado pelas vítimas de dados e violações de privacidade também pode se aplicar ao sistema de saúde mental em geral”, disse Louie. “É um impacto direto não apenas na segurança cibernética, mas também na ‘psybersecurity’ — essa junção de se sentir seguro na saúde mental e no mundo digital.”
Nos meses desde que a pandemia do coronavírus estourou, houve inúmeros esquemas de extorsão digital voltados para organizações de saúde, desde pequenas clínicas até grandes hospitais. Mas o caso Vastaamo mostra que as consequências potenciais de tais ataques às vezes não são totalmente apreciadas até que os dados mais sensíveis sejam roubados.
Ajuda da comunidade infosec
Muito sobre quem estava por trás da brecha e como eles a realizaram permanece um mistério aos olhos do público. A polícia finlandesa ainda está investigando. O longo intervalo entre a violação e as exigências de extorsão só complica o assunto.
“Não podemos ter certeza de que a parte por trás da violação é a que extorquiu vítimas”, disse Tero Muurman, porta-voz do centro de crimes cibernéticos do National Bureau of Investigation (NBI) da Finlândia, em um e-mail. “Não sabemos se o suspeito/s está/está baseado na Finlândia ou no exterior.”
Vastaamo, que tem práticas em toda a Finlândia, pediu desculpas pela violação e ofereceu uma linha direta de crise e outras formas de apoio às vítimas.
A comunidade de cibersegurança do país também está se reunindo em resposta. KyberVPK, um grupo voluntário de profissionais de cibersegurança, publicou um guia em finlandês e inglês sobre como as vítimas da violação podem se recuperar. Inclui conselhos de saúde mental (“cuide-se”; ” você não está sozinho”) e dicas sobre como configurar autenticação de dois fatores para proteger contas.
“Testemunhei muitos de nós nos unindo para ajudar as vítimas deste crime desprezível”, disse Sami Tainio, um profissional cibernético finlandês.
Como o trabalho de KyberVPK tornou-se conhecido pelas vítimas, os membros estão recebendo mais pedidos de ajuda técnica. As pessoas estão “preocupadas se podem obter malware em seus computadores se abrirem o e-mail de resgate, ou mesmo se seus e-mails podem ter sido hackeados como resultado da violação”, disseram Markus Räty, Anu Laitila, Ossi Väänänen e Mikko Kenttälä ao CyberScoop em um e-mail conjunto.
KyberVPK está planejando transmitir uma sessão de perguntas e respostas nas mídias sociais para explicar uma situação tecnicamente complexa ao público. A polícia agradeceu aos hackers de chapéu branco pela ajuda.
“Muitos de nossos membros têm altas habilidades técnicas e conexões anteriores com as agências oficiais, e temos ajudado a NBI, engajando-nos na coleta de informações de código aberto e relatando nossas descobertas a eles”, disseram os representantes da KyberVPK.
As ramificações legais da violação de Vastaamo ainda estão se desenrolando. Há exigências para regulamentações de dados mais rigorosas na Finlândia, dada a dor que o incidente causou. O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, sob o qual as autoridades podem multar as empresas por violações, aplica-se à Finlândia.
Jukka Lang, um advogado com sede em Helsinque focado na privacidade de dados, disse que houve apenas um punhado de incidentes em que as autoridades de proteção de dados da Finlândia multaram as organizações por violações. “A consciência geral sobre a importância das obrigações do GDPR ainda está em um nível em desenvolvimento”, disse ele.
Compondo as questões, o direito processual finlandês não permite ações coletivas, disse Lang. Isso significa que o tipo de solidariedade oferecida no campo de segurança por KyberVPK pode ser evasiva no tribunal.
“Muitas das vítimas estão, no entanto, contemplando ações legais”, disse Lang. “O tempo para isso pode, no entanto, ser em um futuro distante onde as autoridades investigaram o assunto pela primeira vez.”
FONTE: CYBERSCOOP