Tiina Parikka var halvt påklædt, da hun læste e-mailen. Det var en lørdag i slutningen af oktober 2020, og Parikka havde brugt formiddagen på at få styr på fjernundervisningsplaner efter et Covid-udbrud på den skole, hvor hun var skoleleder. Hun havde taget et bad i sin lejlighed i Vantaa, lige uden for Finlands hovedstad Helsinki, og da hun kom ind på sit soveværelse for at tage tøj på, tjekkede hun tankeløst sin telefon. Der var en besked, der begyndte med hendes navn og hendes personnummer – den unikke kode, der bruges til at identificere finner til sundhedsydelser, uddannelse og bank. "Jeg vidste med det samme, at det her ikke er en spøg," siger hun.
E-mailen var på finsk. Den var foruroligende høflig. "Vi kontakter dig, fordi du har brugt Vastaamos terapi- og/eller psykiatriske tjenester," stod der. "Desværre er vi nødt til at bede dig betale for at holde dine personlige oplysninger sikre." Afsenderen krævede 200 euro i bitcoin inden for 24 timer, ellers ville prisen stige til 500 euro inden for 48 timer. "Hvis vi stadig ikke modtager vores penge efter dette, vil dine oplysninger blive offentliggjort for alle at se, inklusive dit navn, adresse, telefonnummer, personnummer og detaljerede optegnelser med transskriptioner af dine samtaler med Vastaamos terapeuter eller psykiatere."
Parikka synker svært, mens hun genoplever denne erindring. "Mit hjerte hamrede. Det var virkelig svært at trække vejret. Jeg kan huske, at jeg lagde mig på sengen og sagde til min ægtefælle: 'Jeg tror, jeg får et hjerteanfald.'"
Nogen havde hacket sig ind i Vastaamo, det firma, Parikka havde benyttet til psykoterapi. De havde fået fat i terapinoter med hendes mest private, intimeste følelser og mørkeste tanker – og de afpressede hende med dem. Parikkas tanker løb i hund, mens hun forsøgte at huske alt, hvad hun havde betroet i løbet af tre års ugentlige terapiseancer. Hvordan ville hendes familie reagere, hvis de vidste, hvad hun havde sagt? Hvad ville hendes elever sige? Følelsen af at blive blotlagt og krænket var ufattelig: "Det føltes som en offentlig voldtægt."
Terapi havde været Parikkas livline. Nu 62 år gammel havde hun fået tre børn, inden hun var 25, herunder tvillinger, der var født ekstremt for tidligt i 1980'erne og kun vejede et par hundrede gram hver. Den ene voksede op med cerebral parese; den anden er blind. Parikka brugte år på at jonglere med medicinske akuttsituationer, operationer og hospitalsophold sammen med et krævende job og et ægteskab, der var ved at falde fra hinanden. "I de år spurgte ingen nogensinde mig, moren: 'Hvordan har du det?'"
Hun blev skilt i 2014 og mødte sin nuværende partner et år senere. På det tidspunkt var hendes børn voksne med selvstændige liv. Efter årtier med at sætte alles andres behov før sine egne, burde hun endelig have kunnet ånde ud. I stedet fik hun et sammenbrud. "Jeg havde fuldskala angst, der løb gennem min krop hele tiden. Jeg kunne ikke sove. Jeg fik panikanfald. Jeg kunne ikke spise." En dag, da hun kørte med høj hastighed på motorvejen, sænkede mørke tanker sig. "Jeg tænkte, at jeg ikke ville have noget imod, hvis denne bil kørte galt."
I søgen efter akut hjælp gik hun til Google, hvilket førte hende til Vastaamo, Finlands digitale one-stop-shop for mennesker, der søger psykoterapi. Ingen lægehenvisning var nødvendig. Hun lykkedes med at booke en session allerede næste dag. "Så nemt var det."
At kunne betro sig til en total fremmed føltes befriende. Hun fortalte sin terapeut ting, hun aldrig havde fortalt et andet menneske. "Traumer i forhold. Skuffelsen og tragedien ved at have handicappede børn, og den indflydelse det havde på mit liv," siger hun. "Fjollede ting, barnlige ting. Det er meget menneskeligt at føle had, vrede, raseri."
Efter at Parikka havde læst e-mailen, der fik hende til at kæmpe for at trække vejret, anede hun ikke, hvor hun skulle søge hjælp. Hun løb... Hun ringede til nødnumrene, men politiet bad hende om at lægge på; de havde brug for at holde linjen fri til rigtige nødsituationer. I sin badekåbe, stadig med telefonen i hånden, følte hun sig helt alene.
Men Parikka var langt fra alene. Over hele Finland opdagede 33.000 mennesker, der havde brugt Vastaamo, at en hacker havde fået fat i deres terapinoter og afpressede dem med dem. Disse var mennesker, som per definition sandsynligvis var sårbare og havde brug for hjælp. Hver enkelt oplevede en dybt personlig terror. I et land med kun 5,6 millioner mennesker kendte alle nogen, der var blevet hacket.
Nogle ofres noter var allerede blevet udvalgt og offentliggjort for verden at se. Tre dage før afpresnings-e-mailene blev sendt, opslog nogen med aliaset "ransom_man" på det mørke net, på r/Suomi (det finsksprogede subreddit) og på Ylilauta, Finlands svar på 4chan. Denne gang var opslaget på engelsk. "Hej finske kolleger," begyndte det. "Vi har hacket psykoterapiklinikken vastaamo.fi og taget titusindvis af patientjournaler, inklusive ekstremt følsomme sessionnoter og personnumre. Vi anmodede om en lille betaling på 40 bitcoins (intet for et firma med årlige indtægter tæt på 20 millioner euro), men administrerende direktør er holdt op med at svare på vores e-mails. Vi begynder nu gradvist at frigive deres patientjournaler, 100 poster hver dag."
Der var et link til det mørke net, hvor 100 journaler allerede var vist. Lige under det afsluttede ransom_man opslaget med et enkelt ord: "Nyd det!"
De 100 journaler inkluderede politikeres, politibetjentes og fremtrædende offentlige personers. Deres navne stod sammen med terapinoter med detaljer om utroskab, selvmordsforsøg, pædofili og seksuel vold. Nogle af journalerne tilhørte børn. Og hvem end der stod bag hacken, holdt sit ord: næste dag blev yderligere 100 patientjournaler uploadet.
Nogle ofre søgte desperat på det mørke net for at se, om deres journaler var derude. Nogle betalte løsesummen og kæmpede for at få fat i bitcoin, mens tiden løb. Advokater, der repræsenterede ofrene, har fortalt mig, at de kender til mindst to tilfælde, hvor folk tog deres eget liv efter at have opdaget, at deres terapinoter var blevet hacket.
Men for dem alle var det allerede for sent. Klokken 2 om natten den 23. oktober 2020 – dagen før e-mailene begyndte at ankomme til titusindvis af indbakker – havde ransom_man uploadet en meget større fil. Den indeholdt hver eneste journal for hver eneste patient i Vastaamos database. Alles terapinoter var allerede blevet offentliggjort, gratis, for hele verden at se.
Hvem stod bag den største forbrydelse, Finland nogensinde havde kendt? Og kunne de være motiveret af noget andet end penge? Jeg brugte 18 måneder på at forsøge at besvare disse spørgsmål, fulgte spor på tværs af Europa og USA. De kulminerede i et besøg i et fængsel og en af de mest iskolde samtaler, jeg nogensinde har haft.
Finland er blevet rangeret som det lykkeligste land på jorden af FN de sidste otte år i træk. En verdensleder inden for børnepasning og uddannelse er Finland også berømt højteknologisk: det er det mest digitaliserede land i Europa, kendt for sin kommunikationssektor (som hjemsted for Nokia) og en førende rolle inden for cybersikkerhed og AI-innovation. Men Finland er også et sted med ekstremer. Det har flere heavy metal-band pr. indbygger end noget andet land. Langt mod nord står solen ikke op i de få dage omkring vintersolhverv.
Vastaamo var længe blevet betragtet som et eksempel på, hvordan Finland fik digital teknologi til at fungere. Grundlagt i 2008 af iværksætteren Ville Tapio og hans mor, Nina, en psykoterapeut, var målet at gøre terapi tilgængelig for masserne og fjerne stigmatiseringen ved at søge hjælp. Platformen gjorde det nemt for folk at se, hvem der var tilgængelig, hvor, og hvilken terapeutisk tilgang de specialiserede sig i. Logoet havde... Farvepaletten fra et førstehjælpskasse, med hvide bogstaver i en grøn taleboble. "Vastaamo" betyder "et sted for svar." Det var også en attraktiv platform for terapeuter: de behøvede ikke at bekymre sig om markedsføring eller fakturering – Vastaamo tog sig af alt det. Firmaet leverede endda et digitalt interface bag kulisserne, hvor terapeuter kunne lave og opbevare deres noter. Denne formel, kombineret med den stigende efterspørgsel efter terapitjenester, betød, at Vastaamo voksede hurtigt. Det åbnede sit eget netværk på omkring 20 klinikker over hele Finland og ansatte mere end 220 psykoterapeuter i 2018, hvilket fik nogle i Finland til at omtale det som "terapiens McDonald's." I årene før Zoom og Teams blev en del af vores dagligdag, var den fjernterapi, som Vastaamo også tilbød, banebrydende. I 2019 købte et private equity-selskab en majoritetsandel i firmaet, hvilket indbragte Tapio-familien en udbetaling på mere end 5 millioner euro.
Meri-Tuuli Auer, 30, beskriver brugen af Vastaamo som "som Uber for terapi – bekvemt, tilgængeligt, relativt billigt." Hun valgte sin terapeut, fordi han tilbød kognitiv psykoterapi – og hun kunne lide hans foto. "Han så sød ud. Han så imødekommende ud."
Auers hjem i udkanten af Helsinki er en flodbølge af pink. Der er Barbie-dukker, Barbie-bøger og Barbie-temahåndtasker på hendes hylder, samt en glitrende Barbie-sportsvogn med åbent tag. En stang til poledance har en fremtrædende plads midt i hendes stue.
"Jeg har en blandet personlighed," fortæller hun mig over te i Mumitrold-kopper. "Jeg elsker at være sammen med mennesker, men jeg får den anelse, den tvivl: måske synes de alle, at jeg er fuld af lort og dum og grim, og at jeg ikke aner, hvad jeg laver." Auer har kæmpet med depression i størstedelen af sit liv. Da hun var 18, var hun i et hemmeligt, vanskeligt forhold med en mand 29 år ældre end hende, hvilket fik hendes selvværd til at styrtdykke yderligere. Hun drak tungt. "Hvis jeg ikke var gået i terapi, ved jeg ikke, hvad der var blevet af mig. Måske er der et andet univers, hvor jeg ikke nåede at blive 30."
Størstedelen af omkostningerne ved Auers behandling blev dækket af det finske sundhedsvæsen; hun betalte kun omkring 25 euro for hver ugentlige session. Hun gjorde store fremskridt. "Efter at være gået i terapi i 2018 og 2019, havde jeg opnået en grundlæggende følelse af sikkerhed. Den gik tabt i 2020."
Vastaamos administrerende direktør vidste, at firmaets patientregister blev brugt til afpresning uger før hans kunder fandt ud af det. Den 28. september 2020 modtog Ville Tapio en e-mail, der krævede bitcoin svarende til 450.000 euro for at holde det sikkert. Eksempler på patientjournaler vedhæftet e-mailen beviste, at afpresseren ikke bluffede. Tapio indkaldte et cybersikkerhedsfirma til at undersøge sagen.
Medicinsk information er et oplagt mål for potentielle afpressere, siger Antti Kurittu, den sikkerhedsekspert, Tapio hyrede. Men dette var noget andet: "Hvad end jeg fortæller en terapeut, er i sin natur meget mere privat end hvad mit blodtryk er," siger han tørt.
Kurittu var tidligere efterforsker og undersøgte cyberkriminalitet for det finske politi; han siger, at han insisterede på, at de skulle informeres om afpresningsforsøget, så de kunne starte en parallel efterforskning. I mellemtiden begyndte han at inspicere Vastaamos server for at lede efter spor om, hvem der kunne stå bag hacket – og en af de første ting, han lagde mærke til, var, hvor slap sikkerheden havde været. "Den var bestemt ikke egnet til formålet at opbevare denne slags information," siger han. Han fortæller mig, at patientjournaldatabasen var tilgængelig via internettet; der var ingen firewall, og måske mest groft, den var sikret med et tomt password, så enhver kunne bare trykke enter og åbne den. Kurittu fastslog, at hvem end der havde hacket Vastaamo, sandsynligvis bare havde scannet internettet for at finde dårligt sikrede... Hackerne ledte efter værdifulde databaser, de kunne profitere fra. "De testede forskellige bankboks for at se, hvilke der var ulåste, og fandt tilfældigvis denne," forklarer Kurittu.
Vores mest private hemmeligheder – ting, vi aldrig ville have udstillet for verden – er derude online.
I flere uger kommunikerede hackeren og Vastaamo via e-mail, men Vastaamo overvejede aldrig at betale løsesummen. At gøre det ville betyde at stole på en forbryders løfte om at slette journalerne. Derudover bemærker Kurittu, at det går imod den finske karakter. "Finner kan være et stædigt folk. Vi er ikke kendt for at betale løsesum stille eller let, hvilket er et nationalt stolthedspunkt for mig."
Efter at hackeren, der brugte aliaset "ransom_man," begyndte at lække patientjournaler for at presse firmaet, overvågede Kurittu nøje den server, der blev b
