2020年10月24日の朝、ジェレは目を覚ました。フィンランドの大学生が「ノルミ・パイヴァ(normi päivä )」と呼ぶ、ありふれた一日になるだろうと思っていた。土曜日で、彼は朝寝坊した。前の晩は友人たちとビーチで飲み歩き、安物のアップルリキュールをちびちび飲みながら、ラジカセでビリー・アイリッシュを聴いていた。さて、ジェレ(発音は「イェーレ」)は頭をすっきりさせる必要があった。このどんよりとした秋の日は、キャンパスで太陽エネルギーに関する物理学のグループプロジェクトを終わらせる予定だった。22歳のジェレは、ヘルシンキ郊外のアパート近くの湖畔を散歩した。そして、少し気分がすっきりしたので、バスに飛び乗った。
一日はあっという間に過ぎた。ジェレはパンデミックが始まって以来会っていなかった友人たちと再会した。クリスマスの予定について語り合い、地元のお気に入りのピザ屋からピザを注文し、カフェテリアで仕事に取り組んだ。
午後4時頃、ジェレはSnapchatをチェックした。画面にメールの通知がポップアップ表示された。彼の手が震え始めた。件名には彼のフルネーム、社会保障番号、そして10代の頃にメンタルヘルス治療を受けていたクリニックの名前「Vastaamo」が書かれていた。送信者は見覚えがなかったが、メールを開く前から内容は分かっていた。
数日前、ヴァスタアモは壊滅的なデータ侵害を発表した。同社のITシステムのセキュリティ上の欠陥により、患者データベース全体がインターネット上に公開されていたのだ。メールアドレスや社会保障番号だけでなく、セラピストが実際に書き留めたメモまでもが漏洩していた。ハッカー集団、あるいは複数のハッカーを装った集団がデータを入手したのだ。ジェレの受信箱に届いたメッセージは、身代金の要求だった。
「24時間以内に200ユーロ相当のビットコインを受け取った場合、あなたの情報はサーバーから永久に削除されます」とフィンランド語でメールには書かれていた。ジェレが最初の期限を過ぎた場合、さらに48時間以内に500ユーロ(約600ドル)を支払う必要がある。期限を過ぎると、「あなたの情報は公開され、誰でも閲覧できるようになります」
ジェレが初めてヴァスタアモに足を踏み入れたのは16歳の時だった。学校を中退し、自傷行為を始め、毎週「大量の」イェーガーマイスターを飲んでいたという。当時の恋人は彼に助けを求めるよう強く勧めた。それがジェレが18歳の誕生日を迎える唯一の方法だと彼女は信じていたのだ。
セラピーセッション中、ジェレは虐待的な両親について語った。幼い頃、学校から4マイル(約6.4キロメートル)近くも歩いて帰らされたことや、「期待外れ」の時は庭で寝泊まりさせられたことなどだ。マリファナ、LSD、DMTを使ったこともあったという。違法なレイブを企画し、麻薬を売っていたこと、自殺を考えたこともあるとジェレは語った。セッションのたびに、セラピストはジェレのメモをタイプし、Vastaamoのサーバーにアップロードした。「ただ正直に話しただけ」だとジェレは言う。両親がデジタルで情報をバックアップしていたとは「全く知らなかった」という。
カフェテリアでジェレはバッグを掴み、物理の課題の自分の分は明日提出すると友達に伝えた。バスで家に帰る途中、彼は必死に親友にメールを送って家に来るように頼んだ。すると母親から電話がかかってきた。彼の古いアカウントに登録されていた大人の名前通り、彼女も身代金要求の手紙を受け取っていたのだ。今は母親とジェレは良好な関係だが、もし彼女が介入すれば、彼がセッションで何を言ったかが分かってしまうかもしれない。そうなったら、おそらく彼女は完全に人生から消えてしまうだろう、と彼は言う。彼は母親に心配しないでと伝え、その日の午後、オンラインで警察に被害届を提出した。
ジェレはウォッカを一杯注ぎ、さらに二、三杯飲んだ。ベイプペンを見つけ、数年前に不安症の治療薬として処方されたザナックスを服用した。念のため寝室の引き出しに数錠保管していたが、二度と必要になるとは思っていなかった。友人が到着するとすぐに彼は意識を失った。
翌朝、ジェレはTwitterをチェックし、何千人もの人が同じ脅迫を受け取っていたことを知り、恐怖と安堵が入り混じった。「もし自分だけがメールを受け取ったら、もっと怖かっただろう」と彼は言う。
Vastaamoはフィンランドで最大の民間メンタルヘルスサービスネットワークを運営していました。人口わずか550万人(ミネソタ州とほぼ同じ)のフィンランドにおいて、Vastaamoは「心理療法のマクドナルド」だったと、あるフィンランド人ジャーナリストは私に語りました。そのため、同社への攻撃はフィンランド全土を揺るがしました。約3万人が身代金要求を受けたとみられ、約2万5000人が警察に通報しました。10月29日、ヘルシンキ・タイムズ紙は「Vastaamoハッキングはフィンランド史上最大の刑事事件になる可能性」という見出しを掲げました。この予測は現実のものとなったようです。
攻撃の規模が衝撃的であったならば、その残酷さもまた衝撃的であった。記録が非常に機密性が高いからというだけでなく、攻撃者(あるいは攻撃者ら)が患者をまるで傷ついた動物のように標的にしたからというだけでなく、地球上のあらゆる国の中で、フィンランドはこのような侵害を防ぐ能力が最も高かったはずだった。隣国エストニアと並んで、フィンランドはデジタルヘルスの先駆者として広く認識されている。1990年代後半以来、フィンランドの指導者たちは「市民中心のシームレスな」ケアの理念を追求し、技術インフラへの投資を支えてきた。今日、すべてのフィンランド国民はKantaと呼ばれる高度に安全なサービスにアクセスでき、自身の治療記録を閲覧したり、処方箋を注文したりすることができる。医療提供者はこのシステムを利用してケアを調整することができる。
Vastaamoは民間企業だったが、テクノロジーによる手軽さとアクセスのしやすさという点で、フィンランドと変わらない精神で運営されているようだった。数回クリックするだけでセラピストを予約でき、待ち時間も許容範囲内で、フィンランド社会保険庁がセッション料金の大部分を払い戻してくれる(ただし、精神疾患と診断されている場合)。同社を率いるのは、鋭い眉毛、オールバックの茶色の髪、そして引き締まった顎を持つ39歳のプログラマー兼起業家、ヴィレ・タピオだ。彼は両親と共に会社を共同設立した。彼らはVastaamoを、フィンランド国民全体のメンタルヘルス向上を目指す、質素な家族経営の企業として売り込んでいた。
同社は10年近くにわたり、成功に次ぐ成功を収めた。確かに、タピオ氏の動機の純粋さを疑問視する声もあった。フィンランド最古のメンタルヘルス非営利団体の開発ディレクター、クリスティアン・ワールベック氏は、タピオ氏は「少し冷淡に扱われていた」と述べ、「ビジネス志向が強すぎると思われていた」と付け加えた。また、イルタレヒティ紙が報じたように、ヴァスタアモがGoogle広告を使って大学のクリニックから見込み患者を奪おうとするなど、怪しい行為をしているという噂も時折流れた。しかし、登録者は後を絶たなかった。タピオ氏は自らが作り上げたものに強い自信を持っていたため、このモデルを海外展開することも検討していた。
「あの事件」以前、タピオ氏は「ヴァスタアモは多くの社会貢献を果たしていた」と語る。今、彼は元CEOであり、自身が設立した会社は売却されることになった。「これまでの努力と将来の機会が突然無駄になってしまうのを見るのは、本当に悲しい」と彼は言う。「あの終わり方は、ひどく、不必要で、不当だと感じます」
タピオは、深刻な不況のさなか、ヘルシンキ北部の「平和で緑豊かな」地域で育ちました。母のニーナはトラウマ心理療法士、父のペルトゥは司祭でした。10歳の時、祖父母から中古のコモドール64をもらい、それがきっかけでプログラミングに興味を持つようになりました。プログラミングの論理的な難しさに、脳のどこかで共鳴したと彼は言います。また、プログラミングを「何か本物のものを作るためのツール」と捉えていました。
タピオの執着はその後も続いた。中学校ではバスケットボールチームの統計システムをプログラミングし、高校ではヘルシンキ教育局で働き、教師たちにコンピューターの使い方を教えた。大学には進学せず、コンピューター部品を販売するオンラインショップを立ち上げた。これが彼の最初のビジネスで、資金は「数十ユーロ」だったとタピオは語る。数年後、20歳になった彼は、小さな経営コンサルティング会社に入社した。
Vastaamoのアイデアは、タピオ氏がフィンランド・イノベーション・ファンド(社会問題や環境問題の解決に投資する公的財団)で働いていた時に思いつきました。ファンドは彼を西ヨーロッパの医療制度の調査に派遣しました。母親を持つ彼は、オランダなどの国々がフィンランドよりもメンタルヘルスサービスの提供において優れていることに気づきました。フィンランドの公的制度は、カバー範囲が不均一で待ち時間が長いことで知られていました。プログラマーとして、彼はウェブベースのカウンセリングサービスが役立つのではないかと考えました。市町村にバウチャーを販売し、市町村が住民に無料でバウチャーを配布すれば、人々は匿名でサービスを利用できます。医療を求めることへの偏見を心配する必要もなく、いつでもどこでもアクセスできるようになります。
2009年、フィンランド・イノベーション基金はタピオ氏のアイデアに対し、約1万2000ドルの初期助成金を交付しました。タピオ氏と両親は、この資金と1万3000ドル以上の自己貯蓄を合わせ、フィンランド語で「答えが得られる場所」を意味するVastaamo社を設立しました。タピオ氏は同社を社会的企業として登録し、利益の大半をメンタルヘルスサービスの向上という使命に再投資することになりました。タピオ氏は株式の約60%を保有し、残りの大部分は両親が所有することになりました。CEOはペルトゥ氏が務めます。
利用者はVastaamoにメッセージを送ると、24時間以内に資格を持ったセラピストから個別に返信が届く。(メンタルヘルス関連の非営利団体Vastaamoのウォルベック氏は、こうしたサービスは政府によって規制されていないと指摘する。)しかし、インターネットでのカウンセリングだけでは「利用者にとって十分ではなかった」とタピオ氏は言う。多くの利用者は対面でのカウンセリングを必要としていたのだ。
このニーズに応える一つの方法は、Vastaamoを実店舗のクリニックのネットワークに成長させることでした。タピオ氏は、予約から請求書、医療記録まで、予約そのものを除くあらゆるものをデジタル化しようと計画しました。独立したセラピストがVastaamoに参加することで、煩雑な事務作業から解放されることを期待していました。自動化によって解放されたセラピストは、クライアントと過ごす時間(そして請求可能な時間)を増やすことができるのです。
このビジョンを実現するために、Vastaamoは電子医療記録システムを必要としていましたが、タピオ氏は見つけた選択肢が気に入りませんでした。既存のシステムは、無関係な機能が満載だったり、特定の医療分野に特化しすぎていたりしたのです。タピオ氏によると、優れたソフトウェアの不足が、Vastaamoが試みようとしていたことを誰も実行しなかった「主な理由」の一つだったのです。
ジェレが住んでいる近くのエスポーにある Vastaamo クリニックの場所。
イラスト: マーク・ハリス同社は既存のシステムを利用するのではなく、独自のシステムを設計した。2012年末、ヘルシンキのマルミ地区にヴァスタアモ初の対面診療所がオープンしたのとほぼ同時期に運用を開始した。タピオ氏はシステムの技術的な詳細には触れなかったが、裁判資料によると、ブラウザベースで患者の記録はMySQLサーバーに保存されていたという。ヴァスタアモにとってさらに重要なのは、インターフェースが使いやすかったことだ。セラピストたちが同社に応募した際、このシステムによって仕事がどれだけスピードアップするかという話を耳にしたという。
しかし、その洗練された外見の下には深刻な脆弱性が隠されていた。フィンランドの医療技術企業Onesys Medicalの研究開発責任者、ミカエル・コイヴカンガス氏は、Vastaamoのシステムが「サイバーセキュリティの第一原則」の一つに違反していると指摘する。記録を匿名化していなかったのだ。暗号化すらされていなかったのだ。患者の自白や秘密を守るのは、数個のファイアウォールとサーバーのログイン画面だけだった。コイヴカンガス氏によると、この分野の経験を持つ人なら誰でも、Vastaamoがより安全なシステムを設計できるよう支援できたはずだという。
しかし当時、タピオ氏は情報漏洩の懸念を全く抱いていませんでした。ヴァスタアモの最初のクリニックが開院した翌年の夏、彼はCEOに就任し、会社を拡大へと導きました。
2014年、Vastaamoの事業を取り巻く規制が変更されました。フィンランド議会は医療情報システムを2つのカテゴリーに分割することを決定しました。クラスAシステムは、国立医療データリポジトリであるKantaに接続するため、厳格なセキュリティと相互運用性の基準を満たす必要があります。患者の記録を長期電子ストレージに保存する予定のある人は、クラスAシステムを使用する必要があります。
マニラ封筒やファイリングキャビネットに重要記録を保管するような小規模組織は、クラスBシステムの使用が許可される。これらのシステムは、ハッカーにとって魅力的な標的とはならないこともあって、それほど厳しく規制されていない。クラスBの運用者は、自社のシステムが特定の要件を満たしていることを政府に自己証明するだけで済む。この場合の「政府」とは、フィンランド国内の280あるクラスBシステムすべてを管轄するアンティ・ハルコネンという一人の人物を指す。
新法は、Vastaamo社にクラスAシステムを導入するまでの数年の猶予を与えました。タピオ氏によると、問題はフィンランド政府が心理療法の診療所がデータをどのようにフォーマットすべきかを規定していなかったことです。Vastaamo社はクラスAシステムを構築し、Kantaに接続することはできましたが、「例えば、医療センターの一般開業医や産業医が治療記録にアクセスするのを阻止する方法がなかった」とタピオ氏は言います。
カンタのサービス責任者であるアウティ・レトカリ氏は、この主張に反論する。「タピオ氏はカンタの仕組みを誤解していた可能性があります」と彼女は言う。患者は自分の情報へのアクセスを制限する選択ができる。
いずれにせよ、Vastaamoは2017年6月29日にクラスBシステムを登録しました。タピオ氏の説明によると、同社は政府が心理療法のフォーマット仕様を発表した直後にクラスAへのアップグレードを熱望していました。しかし、それは実現しませんでした。仕様が公開された後も、VastaamoはクラスBのままでした。
タピオ氏によると、フィンランドの「監督当局」はその後数年にわたり「何度も」このシステムを承認したという。その監督当局の一人であるハルコネン氏は、クラスBのシステムすべてを注意深く監視することは「不可能に近い」と述べている。しかし、ハルコネン氏はさらに、「積極的な検査」をもっと行うべきだと付け加えている。
2018年までに、ヴァスタアモは約20のクリニックを運営し、約200人のセラピストとスタッフを雇用していました。2019年末までに、年間売上高は1,800万ドルを超えました。同社はフィンランドのプライベートエクイティファームであるインテラ・パートナーズの関心を引き、タピオ氏と両親の株式の過半数を買収しました。タピオ氏はこの取引で約400万ドルを手にしました。
新しいクリニックが開設されるたびに、当初のプロセスが繰り返された。ハーコーネンはヴァスタアモの自己認証を確認し、承認した。MySQLサーバーにはさらに多くの患者データが流入し、ダムの背後にある貯水池の水位は少しずつ上昇した。
タピオ氏がハッカーから初めて連絡を受けたのは2020年9月28日だった。要求額は40ビットコイン、当時のレートで約50万ドルだった。メッセージはタピオ氏と、2015年に雇った開発者2人、イラリ・リンド氏とサミ・ケスキネン氏に届いた。リンド氏はサーバーやファイアウォールを含む同社のITシステムの保守を担当し、ケスキネン氏はデータ保護責任者だった。
タピオ氏がヘルシンキ地方裁判所に提出した声明によると、彼は直ちに警察を含む複数の政府当局に通報した。リンド氏はVastaamoのネットワークトラフィックログを精査したが、ハッキングの証拠は見つからなかったと報告した。タピオ氏はさらなる調査のため、Nixuというセキュリティ企業を雇った。2日後、Intera PartnersのCOOでありVastaamoの取締役会長でもあるトゥオマス・カフリ氏は、タピオ氏にメールを送り、侵害への対応における彼の尽力に感謝の意を表した。カフリ氏は後に、自身の愛する人たちもこの攻撃の標的になったと語っている。
10月初旬、タピオは再び衝撃を受けた。ケスキネンとリンドが電話で自白したのだ。ヴァスタアモに入社する直前、フィンランド技術革新基金(Tekes)のセキュリティ侵害事件で逮捕されたのだ。リンドは、資金調達申請書のURLを変更するだけで、最大2万社の企業情報を含むTekesのデータベース全体をダウンロードできることを発見した。彼はTekesに報告し、Tekesは脆弱性を修正したが、同時にケスキネンにも報告し、ケスキネンはデータベースをダウンロードしてしまった。公判前捜査では、加重詐欺、守秘義務違反、住居侵入の容疑で捜査が行われたが、検察はリンドとケスキネンがデータベースを金銭目的で利用したという証拠を突き止めることができなかった。
タピオ氏は、もしこの二人の経歴を知っていたら、決して雇わなかっただろうと語る。(ケスキネン氏とリンド氏はコメントを控えた。)しかし実際は、彼にはもっと差し迫った問題があった。
10月21日水曜日の朝、ハッカーは匿名の公開掲示板「Ylilauta」にメッセージを投稿した。「vastaamoのCEOであるVille Tapio氏と交渉を試みたが、メールへの返信が途絶えてしまった」と英語で綴っていた。40ビットコインの身代金を受け取るまで、彼らは毎日100件の患者記録を漏洩させるつもりだった。最初の一群はすでにTorサーバー上にアップロードされており、誰でも閲覧可能だった。
ハッカーはイルタ・サノマット紙の記者、ヘンリック・カーカイネンとメールのやり取りを始めた。本物であることを証明するため、彼らはやり取りの断片をTorサーバーに「henrik.txt」というファイルとしてアップロードした。カーカイネン宛のメールの中で、ハッカーはヴァスタアモを軽蔑していた。「セキュリティ対策がこれほど脆弱な企業こそ真の犯罪者だ」と書かれていたとカーカイネンは記憶している。彼らは盗んだデータベースを18ヶ月も放置していたが、その価値に気づいていなかったと主張していた。
Ylilautaのモデレーターが投稿を削除すると、会話はダークウェブの人気ディスカッションフォーラムTorilautaに移行しました。ハッカーはransom_manという名前を名乗っていました。少なくとも1人の切羽詰まった人が40ビットコイン全額を支払うと申し出ました。別の人物は英語で「セラピストと非常にプライベートなことを話したので、もしそれが公開されたら、文字通り自分自身を殺します」と投稿しました。彼らはビットコインを用意しており、「数分で送金できます。このページを常に更新しています」と語りました。世界的なサイバーセキュリティ企業F-Secureの最高研究責任者、ミッコ・ヒッポネン氏によると、最終的に約30件の支払いがハッカーのビットコインウォレットに送金されました。ransom_manが実際に誰かの情報を削除したかどうかは不明です。
しかし、ハッカーはもう一つの約束を果たした。10月22日、彼らはさらに100件の患者記録を漏洩した。その中には政治家などの著名人のものも含まれており、不倫関係、自殺未遂、小児性愛の考えなどに関する詳細が含まれていた。次の漏洩は翌朝2時頃に行われた。ハッカーはこれまでに漏洩したすべての記録を「Vastaamo.tar」という一つのファイルにまとめた。
そして奇妙なことが起こった。Ransom_manは最初の「Vastaamo.tar」を、はるかに大きなファイルに置き換えたのだ。それは10.9GBで、漏洩したデータベース全体だった。このファイルには、ハッカーが治療記録を整理するために使用したPythonスクリプトも含まれていた。10.9GBのアップロードはミスだったようで、Torサーバー全体と共に数時間で消えてしまった。Vastaamoが40ビットコインを支払ったのではないかと推測する者もいたが、同社幹部はこれを否定している。
いずれにせよ、ransom_manはすぐに戦術を変え、個々の患者から金銭を巻き上げ始めた。これは異例のことだ。ヒッポネン氏によると、サイバー犯罪者は多くの場合、機関を狙う。彼が知る限り、患者が標的にされた事例は過去に1件だけだった。2019年末、フロリダ州ミラマーにある顔面修復センターで発生した侵入事件だ。(Vastaamo攻撃以降、整形外科クリニックの患者を狙ったハッキング事件が2件発生していると、彼は付け加えた。)「ほとんどの攻撃者は金銭を狙っており、医療データは直接的に金銭化できるものではない」とヒッポネン氏は言う。しかし、この犯罪が実際に成功した事例があることから、「今後、より一般的になる可能性がある」と彼は付け加えた。
ヴァスタアモは患者に無料カウンセリングセッションを提供することで対応した。セラピーは通常通り続けられた。ある患者は、セラピストからニュースで言われていることの全てが真実ではないことを考慮に入れるようアドバイスされたと話している。盗まれた内容を知るために、自分の記録のコピーを手に取った患者もいれば、被害者支援のためのFacebookグループに参加した患者もいた。しかし、ジェレはそうしなかった。オンラインでの存在感を最小限に抑えたかったからだ。電話番号を変更し、信用保護に加入した。ハッカーに金銭を支払うことは真剣に考えたことはなかったと彼は言う。なぜなら、彼らが自らの条件に従うという「保証は全くなかった」からだ。
トゥルクにあるヴァスタアモクリニックの場所。
イラスト: マーク・ハリス情報漏洩が明るみに出た翌月曜日、タピオ氏はヘルシンキにあるヴァスタアモ本社を訪れた。1ヶ月前にタピオ氏に感謝の意を表したインテラ社のCOO、トゥオマス・カフリ氏に呼び出されたのだ。カフリ氏はタピオ氏と直接話す代わりに、コンサルタントを通して手紙を渡した。その手紙には、タピオ氏のCEOとしての契約は解除されたと書かれていた。
数時間後、同社はタピオ氏の解雇を発表した。その後まもなく、インテラが提起した訴訟を受け、ヘルシンキ地方裁判所はタピオ家の資産1170万ドル相当の一時差し押さえを命じた。これは、インテラがヴァスタアモの株式取得のために支払った金額と全く同じである。カーリ氏はインテラの主張について何度かコメント要請を受けたが、いずれも拒否した。しかし、その主張は公開されている(ただし編集されている)裁判所文書に記載されている。
インテラは提出書類の中で、ヴァスタアモにおけるこれまで報告されていなかった2件の違反を2018年末と2019年春に認識したと述べている。2件目の違反は買収が成立する直前だった。「これまでに得られた情報に基づくと、ヴィレ・タピオ氏が違反を認識していたと推定するのが妥当だ」とインテラは主張する。それだけでなく、彼はそれを「隠蔽しようとした」。インテラは取引を解消し、買収価格の返還を求めていた。
被告であるタピオ氏は、反論として書面による証言を提出した。彼は2019年の侵害のニュースに驚愕したと主張している。当時、彼がそのことに気づかなかったのは、「システム設計者」であるケスキネン氏とリンド氏が彼にそのことを伝えなかったためだと述べている。
3月15日の朝、Vastaamoのサーバーがクラッシュし、患者データベースが脅迫メッセージに置き換えられました。タピオ氏は午前11時18分にスタッフにクラッシュを報告しましたが、政府に提出された報告書のいずれにも、侵入の可能性について言及した記述はありませんでした。
タピオ氏の証言によると、管理者アカウントを共有していたケスキネン氏とリンド氏は、クラッシュは直前に行った小さな調整が原因かもしれないとタピオ氏に伝えたという。しかし、9月に雇ったサイバーセキュリティ会社Nixu社は別の事実を発見したという。共有アカウントが身代金メッセージを読み取って削除していたのだ。
タピオ氏の説明によれば、そのアカウントを使っていた人物が3月の侵入を隠蔽したことになる。そして、その理由は、自ら作り出した脆弱性を隠すためだったとタピオ氏は主張する。その脆弱性によって、Vastaamoの患者データベースは1年以上も「ファイアウォール保護なし」の状態になっていたのだ。
タピオ氏によると、データベースを取り囲むセキュリティは3段階に分かれていたという。1つはネットワークレベルのファイアウォールで、公共のインターネットからの接続をブロックする。もう1つは患者データベースを保存している個々のサーバーを囲むファイアウォール、そしてもう1つはサーバー自体の設定で、外部アカウントからの接続をブロックするというものだった。2017年11月、リンド氏は数時間かけてサーバーを設定し、リモートアクセスを許可した。タピオ氏は、リンド氏とケスキネン氏はオフサイトからサーバーを管理できるようにしたかったため、VPNを設定する手間をかける代わりに、ファイアウォールを剥がしただけだと考えている。
「この二人は、ネットワーク、ファイアウォール、そしてサーバー管理について私よりもはるかに詳しい専門家です」とタピオ氏は言う。「私は責任を負っていません。」
ケスキネン氏とリンド氏は、インテラの訴訟で証言していない。タピオ氏の数々の主張についてコメントを拒否した。紛争が解決するまで、インテラが返還を求めている1170万ドル、つまりヴァスタアモ氏が築いた財産は凍結されたままとなる。
今年1月初旬、Vastaamoの患者データベースが、インターネット上の少なくとも11の匿名ファイル共有サービスに再び現れました。ファイルには以前と同じ記録がすべて含まれていましたが、サイズがほんのわずかだったため、容易に拡散しました。添付メッセージがないため、アップロードの動機は読み取れませんが、Vastaamoの取締役会が会社の将来について議論する予定の48時間以内に現れました。これは、会社を倒産させるための悪意のある仕業だったのでしょうか?
もしそうなら、それは成功だったと言えるでしょう。1月28日、Vastaamoは清算手続きに入り、2週間後に破産を申請しました。3月初旬、Vastaamoの従業員とサービスは、職業福祉サービスを提供するVerveに移管されました。この買収にはVastaamoの顧客データは含まれておらず、VerveはクラスAシステムを使用します。
ハッキング発生直後、議会はジェレのような被害者が深刻な情報漏洩の際に社会保障番号を変更できるようにする法案を迅速に可決した。しかし、あるカウンセラーはヘルシンギン・サノマット紙に対し、患者は不安を感じていたと語った。「助けを必要としている人が全員治療を受けたわけではないかもしれない」と彼は語った。セラピストがカンタにセッションの記録を入力することは決してあってはならないという意見もある。今こそ、患者は自分のデータが診察室の外に漏れるリスクを冒したくないはずだ。
コイヴカンガス氏によると、医療分野全般において、Vastaamoスキャンダルは、拡張性、使いやすさ、そして何よりもセキュリティに優れた電子医療記録システムに対する「満たされていない需要」を浮き彫りにしたという。これは破壊的な変化が起こりやすい分野であり、「今回の情報漏洩が発生する前は、Vastaamoがそうした破壊的変化をもたらす存在の一つになるだろうと多くの人が当然考えていた」という。市場が改善するまでは、より特注のソリューションと情報漏洩が増えると予想されている。
ランサムマンが逮捕され、フィンランド当局がヴァスタアモで起きたすべての出来事を整理しない限り、「事件」がどのように始まったのかを正確に知ることは不可能だろう。例えば、フィンランドが電子医療システムの監視にもっと積極的に取り組んでいたら、あるいはタピオがより安全なシステムを導入していたら、事件は起こらなかっただろうか? 確かなのは、事件がどのように終わったかだ。何万人もの患者にとって、これ以上ないほど辛い形で。世界中で医療システムのデジタル化が進むにつれ、このような結末を迎えるリスクは高まっている。
「自分のメンタルヘルスについて正直に話したことが、結局は間違いだった」とジェレは言う。彼は個人情報の盗難や、債権回収会社から突然電話がかかってきて数万ユーロを要求されるのではないかと心配している。10代の頃のアルコール依存症の過去はネット上にたくさん記録されているため、大人になってからやりがいのある仕事を見つけるのが難しくなるのではないかと心配している。そして、いつか母親が自分のファイルを読むかもしれないという不安もまだ残っている。ファイルはインターネット上のどこかにあり、誰でもアクセスできるのだ。
写真: アクセリ・ヴァルムネン。ゲッティイメージズ
この記事は5月号に掲載されています。 今すぐ購読をお願いします。
この記事についてのご意見をお聞かせください。 [email protected]までお手紙をお送りください。
