Une enquête sur une violation majeure de données de santé en Europe montre les difficultés à monter un gros dossier impliquant plusieurs milliers de victimes ainsi que les efforts qu’un pirate informatique peut faire pour extorquer de l’argent.
Suite à une cyberattaque contre un centre de traitement de psychothérapie à Helsinki en 2020, l’auteur a menacé de mettre en ligne des dossiers sensibles de patients à moins que la clinique Vastaamo ne paie 40 bitcoins, l’équivalent à l’époque d’environ 400 000 euros. Lorsque la clinique n’a pas payé, le pirate a pressé les patients de payer avec des e-mails d’intimidation.
“C’est un crime brutal”, a déclaré Pasi Vainio, le procureur du district finlandais chargé de l’affaire.
Les groupes de soins de santé du monde entier sont attaqués par des cybercriminels, et certains attaquants exploitent des informations intimes sur les patients. Des pirates ont publié en ligne des photos nues de patients atteints de cancer après une cyberattaque en février sur le réseau de santé Lehigh Valley basé à Allentown, en Pennsylvanie.
Dans l’affaire Vastaamo, une victime a déclaré que le pirate informatique lui avait donné 24 heures pour payer environ 200 euros en bitcoins, sinon son dossier de thérapie serait publié. Tiina Parikka, une formatrice en développement du leadership qui vit à l’extérieur d’Helsinki, a déclaré qu’elle avait eu des crises de panique, qu’elle était restée à la maison pendant deux semaines et qu’elle avait appelé une ligne d’assistance téléphonique à la suite de la tentative d’extorsion.
“C’était comme si quelqu’un venait chez moi et me menaçait avec un couteau”, a-t-elle déclaré.
Deux ans et demi après la cyberattaque, les forces de l’ordre finlandaises en sont maintenant aux dernières étapes de leur enquête criminelle.
La police française a arrêté un suspect dans l’affaire Vastaamo et l’a extradé vers la Finlande en février. Marko Leponen, inspecteur en chef détective au Bureau national d’enquête de Finlande, a déclaré que le suspect nie toute implication. Les enquêteurs doivent terminer la collecte des preuves ce mois-ci et doivent porter plainte d’ici octobre, la fin du délai de prescription.
L’affaire sera un test pour le système judiciaire finlandais, selon les enquêteurs, en raison du volume de rapports de police et du nombre de victimes. Quinze procureurs passeront en revue les preuves techniques et les déclarations d’environ 24 000 patients dont les données ont été exposées et dont certaines ont été publiées en ligne, ont déclaré des responsables finlandais. Au total, 33 000 patients ont été touchés.
Les enquêteurs disent qu’ils pensent que toutes les victimes sont originaires de Finlande, mais la récupération de données auprès de fournisseurs de technologie basés dans d’autres régions a pris beaucoup de temps, a déclaré M. Leponen. Il a refusé de nommer les pays, disant seulement que les autorités de certains ont répondu en deux ou trois semaines, tandis que celles des autres ont mis deux ans.
“Aller étape par étape et suivre ce que le suspect a fait, c’est très, très lent”, a-t-il déclaré.
Les procureurs passeront environ 10 minutes à examiner chaque rapport pour décider de l’utiliser ou non devant le tribunal, a déclaré M. Vainio. La logistique d’un procès sera difficile car la loi finlandaise exige que les tribunaux accueillent toutes les victimes qui souhaitent être présentes, a déclaré M. Vainio. De plus, les victimes d’une violation de données sur la santé se voient garantir l’anonymat, qui pourrait être compromis si des milliers de personnes se présentaient, a-t-il déclaré.
“Notre système judiciaire n’est pas fait pour ce genre de cas”, a-t-il déclaré.
Mme Parikka, quant à elle, a déclaré qu’elle n’avait pas payé le pirate informatique et ne savait pas si ses données personnelles avaient été publiées sur Internet. Par mesure de précaution, elle utilise désormais des services de gel de crédit pour bloquer les prêts contractés en son nom. “Je ne pense pas que quiconque puisse m’assurer que [the security of] toute base de données est fiable », a-t-elle déclaré.
Elle a demandé une indemnisation d’environ 11 000 euros pour le préjudice que lui a causé la cyberattaque, un chiffre qu’elle a calculé à l’aide des directives gouvernementales qui recommandent 1 500 à 5 000 euros pour une violation de la vie privée ayant diffusé des données à un très grand nombre de personnes, et 500 à 2 000 euros. pour une plus petite diffusion.
L’argent, cependant, ne résoudra pas tous les préjudices causés aux victimes, a déclaré M. Vainio. Au moins certaines données privées des patients resteront en ligne car les enquêteurs finlandais ne peuvent pas supprimer toutes les informations préjudiciables qui se sont propagées sur Internet, a-t-il déclaré. “Ce sera là indéfiniment.”
Écrivez à Catherine Stupp à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
