深入了解芬兰私人心理健康提供商Vastaamo的赎金软件攻击中的退出，暴露了治疗师对患者的说明

Jere于2020年10月24日上午醒来，期待芬兰大学生称为NormiPäivä，这是一个平凡的一天。这是一个星期六，他睡了。前一天晚上，他和一些朋友一起去了海滩喝酒。他们啜饮了苹果利口酒，在他的繁荣盒上听到Billie Eilish。现在击球（发音为“Yeh-Reh”）需要清除他的头。他应该在校园里度过这个灰色的秋日，完成了一个关于太阳能的集体物理项目。在赫尔辛基以外的公寓附近，22岁的孩子在湖边散步。然后，感觉有点刷新，他跳上了公共汽车。

这一天迅速走了。乔治赶上了他的朋友，许多人以来，他从大流行开始以来他没有看到。他们聊了他们的圣诞节计划，从最喜欢的地方点订购比萨饼，并指定在自助餐厅的工作。

在晚上4点左右，哈雷检查了snapchat。在他的屏幕上弹出电子邮件通知。他的手开始摇晃。主题行包括他的全名，他的社会安全号码，以及他将心理健康待遇为少年的诊所的名称：Vastaamo。他没有认识到发件人，但他知道电子邮件在打开之前所说的话。

瓦斯塔姆宣布了几天前，宣布了灾难性的数据泄露。公司IT系统中的安全漏洞将整个患者数据库暴露给开放的互联网 - 不仅仅是电子邮件地址和社会安全号码，而且治疗师是否采取的实际书面指出。一群黑客或一个伪装成多重，已经掌握了数据。 jere收件箱中的消息是赎金需求。

“如果我们在24小时内收到价值200欧元的比特币，您的信息将永久删除我们的服务器，”电子邮件在芬兰语中表示。如果哈雷错过了第一个截止日期，他还有48个小时的叉子超过500欧元，或约600美元。之后，“您的信息将出版，以查看。”

他说，当他16岁的时候，Jere首先走到了瓦斯拉莫。他说，并开始自我伤害，并且每周都会消耗Jägermeister的“极端数量”。他的女朋友当时坚持他得到了帮助;她相信这是禁止他18岁生日的唯一途径。

在他的治疗课程中，Jere谈到了他辱骂的父母 - 他们如何迫使他，当他是一个小孩，从学校走近4英里的家里，或者如果他“是一个失望的话，让他在花园里睡觉。 “他谈到了使用大麻，LSD，DMT。他说他组织了一个非法狂欢，并销售毒品。他说他会想到杀人自己。在每次会话之后，Jere的治疗师键入了他的笔记并将其上传到瓦斯拉姆的服务器。 “我只是诚实，”杰尔说。他有“不知道”他们正在数字地支持信息。

在自助餐厅，杰尔抓起了他的包，告诉他的朋友，他第二天他会在他的物理项目中转身。在公共汽车上回家，他疯狂地发短信给他最好的朋友来过来。然后他的母亲叫;作为他旧账户上市的成年人，她也收到了赎金说明。她和震动现在是良好的术语，但如果她涉及她可能会学会他在他的课程中所说的话。然后，他说，他可能完全失去了她的生命。他告诉他的母亲不担心。那下午，他提交了一份在线警察报告。

杰尔倒了自己的伏特加，然后两三个。他找到了他的湿度笔，拿了一个Xanax，以前为他担心焦虑。他在他的卧室抽屉里储存了一些药丸，以防万一，但他从未相信他再次需要它们。在他的朋友到达后，他不久就过了。

第二天早上，Jere检查了Twitter，在那里他既吓坏过，又放心了解成千上万的其他人得到了同样的威胁。 “我一直是唯一一个收到邮件的人，我会更害怕，”他说。

Vastaamo Ran是芬兰最大的私人心理健康供应商网络。在一个仅为550万的国家 - 与明尼苏达州的国家 - 这是“心理治疗的麦当劳”，一位芬兰记者告诉我。因此，对公司的攻击摇晃着所有的芬兰。据信约有30,000人获得了赎金需求;约有25,000次向警方报案。 10月29日，赫尔辛基时报的标题读：“Vastaamo Hacking可能会成为芬兰历史上最大的刑事案例。”这种预测似乎已经成真。

如果袭击的规模很令人震惊，那么残忍也是如此。不仅因为记录如此敏感;不仅仅是因为攻击者或攻击者，挑选了像受伤的动物这样的患者;而且，因为，在地球上的所有国家，芬兰应该是最好的能够防止这种违约行为。与邻近的爱沙尼亚一起，它被广泛认为是数字健康的先驱。自20世纪90年代末以来，芬兰领导人追求“以市民为中心的无缝”护理的原则，通过技术基础设施投资支持。如今，每个芬兰公民都可以访问称为Kanta的高度安全的服务，在那里他们可以浏览自己的治疗记录和订单处方。他们的健康提供者可以使用该系统协调护理。

Vastaamo是一家私营公司，但它似乎以同样的方式运作，使能技术的能力和可访问性：您预订了几下点击的治疗师，等待时间是可忍受的，芬兰的社会保险机构偿还了一大批议会费用（如果您有诊断患有精神障碍）。该公司由Ville Tapio，一个39岁的编码器和企业家经营，拥有尖眉，遮光棕色头发和沉重的颌骨。他和父母一起举办了公司。他们作为一个谦虚的家庭经营企业倾向于改善所有芬兰人的心理健康。

近十年来，该公司从成功取得成功。当然，有些人质疑塔帕里奥的动机的纯洁;芬兰最古老的心理健康非营利组织的发展主任Kristian Wahlbeck表示，他“有点皱起眉头”和“被认为是太熟悉的。”是的，有偶尔关于瓦斯拉莫正在做阴影看似的东西的故事，例如使用谷歌广告试图从大学诊所偷猎患者，因为报纸Iltalehti报道。但人们一直在注册。 Tapio对他谈到的是在海外采取模范的人们谈到的事情非常有信心。

在您的收件箱中注册以获得最佳的长大功能，调查和思想挑衅散文。

通过注册即表示您同意我们的用户协议和隐私政策＆amp; cookie声明

在“事件发生”之前，Tapio说，“Vastaamo产生了很多社会善良。”现在他是一个前任首席执行官，而他成立的公司正在为零件出售。 “我很伤心地看到所有的工作完成，未来的机会突然去浪费，”他说。 “它结束的方式感觉很可怕，不必要，不合理。”

Tapio在赫尔辛基北部的一个令人糟糕的经济衰退期间，在北赫尔辛基的一个“和平和绿色”邻居中长大。他的母亲尼娜是一个创伤心理治疗师，他的父亲，父母，牧师。他的祖父母在10岁时给了他一个使用的商品64，这让他感兴趣的是编码。他说，他的大脑中的东西共鸣受到了逻辑挑战。他还认为它是一个“建立真实的工具”。

持久的痴迷：在中学Tapio为他的篮球队编码了一个统计系统，在高中他为赫尔辛基教育部门工作，展示了教师如何使用他们的计算机。他在他说的，他成立了一家网上商店，而不是上大学，他的第一个商业销售计算机零件 - 他的第一个业务资助了“几十欧元”。几年后，20岁时，他加入了一个小型管理咨询。

当他与芬兰创新基金合作时，瓦斯拉莫的想法来到了芬兰创新基金，该基金会投资社会和环境问题的解决方案。该基金派他在西欧的医疗保健系统调查。作为他母亲的儿子，他注意到荷兰和其他国家似乎比芬兰提供精神卫生服务更好的工作;家庭公共系统被掩盖覆盖范围和漫长的等待时间所知。曾经是编码者，他想知道基于网络的咨询服务是否有帮助。它可以向城市和城镇出售凭证，可以免费将优惠券分发给居民。人们可以匿名使用该服务。他们不必担心寻求护理的耻辱，他们可以随时访问，任何地方。

2009年，芬兰创新基金支持Tapio的想法，初步拨款约为12,000美元。他和他的父母使用了超过13,000美元的储蓄 - 开始瓦斯拉姆，芬兰语“一个你得到回答的地方”。 Tapio注册了公司作为社会企业，这意味着它的大部分利润将被倾注回其使命，以改善心理健康服务。他将拥有大约60％，大部分剩余部分都属于他的父母。 Perttu将作为首席执行官。

客户可以向Vastaamo发送信息，并在24小时内完成合格治疗师的个人回复。 （心理健康非营利组织的Wahlbeck，指出，这些服务不受政府监管。）但互联网的咨询“对客户来说是不够的，”Tapio说。他们中的许多人需要获得亲自治疗。

满足这种需求的一种方法是将Vastaamo扩展到砂砾诊所网络中。 Tapio计划在预约到医疗记录的预约，从预约到医疗记录，从预约自身的一切来数字化他可以。这个想法是，独立的治疗师将加入Vastaamo，避免处理自己的行政头​​痛。通过自动化释放，他们有更多的时间与客户共度（和收货时间）。

为了提供这一愿景，Vastaamo需要电子医疗记录系统，但Tapio不喜欢他发现的选项。系统繁殖的系统繁殖的功能或它们太紧定制到不同的药物区域。 Tapio说，缺乏良好的软件，是“主要原因”没有人已经做了瓦斯拉莫即将尝试的原因之一。

该公司设计自己而不是使用现有系统。它于2012年底推出，围绕同一时间瓦斯曼的第一个亲自诊所，在赫尔辛基马利斯区开业。 Tapio不会进入系统的技术细节，但在法庭上的文件中，他建议它是基于浏览器和存储的患者在MySQL服务器上的记录。更重要的是Vastaamo的目的，界面易于使用。当治疗师在公司申请工作时，他们听到了所有关于它会加快工作的一切。

但幻灯片外部隐藏了深厚的脆弱性。 Mikael Koivukangas，R＆amp; D在一个芬兰Medtech公司，叫做Onerys Medical的公司，指出，Vastaamo的系统违反了“一个网络安全的第一个原则”：它没有匿名记录。它甚至没有加密它们。保护患者的忏悔和信心的唯一是防火墙和服务器登录屏幕。 Koivukangas的任何有经验的人都说，可以帮助Visulaamo设计一个更安全的系统。

然而，当时，对违规的恐惧远非塔皮奥的思想。斯瓦西姆的第一个诊所开辟了大门之后，他将其作为首席执行官接任并将该公司置于扩张的路径上。

2014年，瓦斯塔姆商业周围的法规发生了变化。芬兰议会决定将医疗信息系统分为两类。 A类系统将与国民健康数据存储库连接康卡，因此他们需要满足严格的安全和互操作性标准。任何计划在长期电子存储中保持患者记录的人都必须使用一个系统。

较小的组织，在马尼拉信封和备料柜中保持重要记录的那种，将被允许使用B类系统。这些没有紧张，部分原因是他们不会为黑客制定非常有趣的目标。 B级运营商将简单地自我证明其设置符合某些要求。在这种情况下，“政府”在这种情况下，他们的Purview-其中芬兰的所有280级B类系统。

新法律给了瓦斯拉莫几年来采用一个阶级系统。 Tapio表示，问题是，芬兰政府没有规定心理治疗的做法如何格式化数据。他说，Vastaamo可以建立一个阶级系统并插入坎塔纳，但没有“卫生保健中心或职业健康医师从访问”治疗记录的普通从业人员。

Xanta的服务负责人Outi Lehtokari推动了此索赔。 “Tapio可能误解了Kanta如何工作，”她说。患者可以选择限制对其信息的访问。

在任何情况下，2017年6月29日，Vastaamo注册了B类系统。随着Tapio告诉它，一旦政府发布了心理治疗的格式规范，该公司渴望升级到A级。但这并没有发生。相反，当规格出来时，Vastaamo继续与它的B级一起去。

Tapio表示，芬兰的“监督当局”随后在未来几年的“无数次”中签署了系统。是那些当局之一的Härkönen表示，要仔细监控所有B类系统将为他“不可能的使命”。然而，他补充说，应该有更多的“主动检查”。

到2018年，Vastaamo经营近20个诊所，雇用大约200个治疗师和工作人员。截至2019年底，年收入上升至1800多万美元。该公司吸引了一个芬兰私募股权公司的Intera Partners的兴趣，该公司购买了大部分Tapio和父母的赌注。 Tapio从交易中回家了近400万美元。

随着每个新诊所打开，重复原始过程：Härkönen评论了Vastaamo的自我认证，并给出了竖起大拇指。更多患者数据流入MySQL服务器。大坝背后的水库上升了一点。

Tapio于2020年9月28日从黑客听到黑客。需求量为40比特币，当时大约有五百万美元。该消息来到了他，他在2015年雇用了一对开发人员，Ilari Lind和Sami Keskinen。 Lind负责维护公司的IT系统，包括其服务器和防火墙; Keskinen是数据保护官。

根据赫尔辛基地区法院所陈述的塔帕里奥，他立即通知各政府当局，包括警察。 Lind筛选通过Vastaamo的网络流量日志，但报告没有发现一个黑客的证据。 Tapio聘请了一家名为Nixu的安全公司进一步调查。两天后，Tuomas Kahri，Intera Partners和Vastaamo董事会主席，发了一封电子邮件给Tapio，感谢他在处理违约方面的勤奋。 Kahri稍后会说他自己的一些亲人在袭击中被瞄准了。

10月初，Tapio又震惊了。 Keskinen和Lind称呼忏悔：就在他们加入瓦斯拉姆，他们被捕，作为Tekes的安全漏洞的一部分，是技术和创新的芬兰资助机构。 Lind发现他可以通过改变资金应用程序的URL来下载Tekes的整个数据库，其中包含有关多达20,000家公司的信息。他告知Tekes，它修复了漏洞 - 但他还通知了下载数据库的Keskinen。对于加重欺诈，违反机密性和入室盗窃存在审前调查，但起诉无法建立Lind和Keskinen使用该数据库进行财务收益。

Tapio说，如果他知道这两个男人的历史，他永远不会雇用他们。 （Keskinen和Lind拒绝发表评论。但是，他有更多的迫切问题来担心。

10月21日星期三上午，黑客发布了一条匿名公共讨论委员会Ylilauta的一条消息。 “我们试图与Virtaam​​o的首席执行官与Ville Tapio谈判，但他已停止回复我们的电子邮件，”他们用英语写道。直到他们得到了40位比特币赎金，他们每天都会泄漏100名患者记录。第一个批处理已在Tor Server上。任何想要去读它们的人。

黑客开始通过报纸Ilta-Sanomat的记者电子邮件向HenrikKärkkäinen发送电子邮件。为了证明他们是真正的mccoy，他们将一个文件上传到名为“henrik.txt”-a代码的Tor Server。在电子邮件中到Kärkkäinen，黑客蔑视瓦斯拉莫：一家拥有安全实践的公司，弱者是真正的罪犯，他回忆起他们的写作。他们声称已经坐在被盗的数据库上18个月，不知道其价值。

当Ylilauta的主持人删除了帖子时，谈话迁移到Torilauta，这是一个暗网络的流行讨论论坛。黑客拿出一个名字：ransom_man。至少有一个绝望的人提供支付全新的40比特币。另一份写道，英文“我已经讨论了我的治疗师的非常私密的东西，如果他们被释放，就会熟悉自己。”他们准备好了：“我可以在几分钟内发送它，我经常刷新这个页面。” MikkoHyppönen是全球网络安全公司的首席研究官MikkoHyppönen的说法，大约30个付款结束了哈克的比特币钱包。目前尚不清楚Ransom_man是否实际上删除了任何人的信息。

然而，黑客确实遵循另一个承诺。 10月22日，他们泄露了100名患者的记录。一些属于政治家和其他公众人物。他们包含有关常见关系的细节，自杀企图，恋恋思想。下午凌晨2点下午凌晨2点，下午2点。黑客还将他们的所有记录放入到迄今为止泄露的所有记录中成一个名为“vastaamo.tar”的文件。

然后发生了奇怪的事情。 ransom_man用更大的一个更大的“vastaamo.tar”替换了第一个“瓦楞纸”。它是10.9千兆字节 - 整个泄露的数据库。此文件还包含了一个Python脚本，即黑客用于组织治疗记录。 10.9 GB上传似乎是一个错误，因为它在几小时内消失了，以及整个Tor Server。有人推测，瓦斯塔姆已经支付了40比特币，但公司官员否认了它。

一名受害者在准备就绪时有比特币赎金。 “我可以在几分钟内寄给它，”他们写道。 “我经常刷新这个页面。”

无论哪种方式，ransom_man很快就改变了策略并开始勒索个体患者。这是不寻常的。根据Hyppönen的说法，大多数时候，网络犯罪分子就会追求机构。在佛罗里达州Miramar的面部恢复中心违反突破后，他只知道2019年底被挑选的患者的一个早期患者的一个例子。 （自瓦片攻击以来，他补充说，另外两名黑客也有针对整形外科诊所的患者。）“大多数攻击者想要金钱，医疗保健数据并非直接可口可归，”Hyppönen说。但是，通过犯罪的现实世界的例子，他补充说：“它可能变得更加普遍。”

Vastaamo通过提供患者提供免费咨询会议。治疗继续正常。一名病人说她的治疗师建议她认为这不是在新闻中所说的一切都是真实的。有些患者挑选了他们记录的物理副本，以了解被盗的东西，其他人加入了致力于受害者支持的Facebook团体。然而，夹具选择不去;他想尽量减少他的在线存在。他改变了他的电话号码并购买了信贷保护。他永远不会认真

......