Tiina Parikka var halvklädd när hon läste mejlet. Det var en lördag i slutet av oktober 2020, och Parikka hade tillbringat förmiddagen med att ordna distansundervisningsplaner efter ett Covid-utbrott på skolan där hon var rektor. Hon hade tagit en bastu i sin lägenhet i Vanda, strax utanför Finlands huvudstad Helsingfors, och när hon kom in i sitt sovrum för att klä sig kollade hon lite slött på sin telefon. Där fanns ett meddelande som började med hennes namn och hennes personnummer – den unika kod som används för att identifiera finländare inom sjukvård, utbildning och bankväsen. "Då visste jag att det här inte är något spel", säger hon.
Mejlet var på finska. Det var påfallande artigt. "Vi kontaktar dig eftersom du har använt Vastaamos terapi- och/eller psykiatriska tjänster", stod det. "Tyvärr måste vi be dig betala för att dina personuppgifter ska förbli säkra." Avsändaren krävde 200 euro i bitcoin inom 24 timmar, annars skulle priset stiga till 500 euro inom 48 timmar. "Om vi fortfarande inte får våra pengar efter detta kommer din information att publiceras för alla att se, inklusive ditt namn, adress, telefonnummer, personnummer och detaljerade journaler som innehåller transkriptioner av dina samtal med Vastaamos terapeuter eller psykiatriker."
Parikka sväljer hårt när hon återupplever detta minne. "Mitt hjärta bultade. Det var riktigt svårt att andas. Jag minns att jag lade mig på sängen och sa till min make: 'Jag tror jag ska få en hjärtattack.'"
Någon hade hackat sig in i Vastaamo, företaget genom vilket Parikka hade fått tillgång till psykoterapi. De hade fått tag i terapianteckningar som innehöll hennes mest privata, intimaste känslor och mörkaste tankar – och de höll dem som gisslan. Parikkas tankar rusade medan hon försökte minnas allt hon hade anförtrott under tre år av veckovisa terapitillfällen. Hur skulle hennes familj reagera om de visste vad hon hade sagt? Vad skulle hennes elever säga? Känslan av att bli blottad och kränkt var ofattbar: "Det kändes som en offentlig våldtäkt."
Terapin hade varit Parikkas livlina. Nu 62 år gammal hade hon fått tre barn vid 25 års ålder, inklusive tvillingar som föddes extremt för tidigt på 1980-talet och vägde bara några hundra gram vardera. Den ena växte upp med cerebral pares; den andra är blind. Parikka tillbringade år med att jonglera medicinska akutsituationer, operationer och sjukhusvistelser tillsammans med ett krävande jobb och ett äktenskap som föll sönder. "Under de åren frågade aldrig någon mig, mamman: 'Hur mår du?'"
Hon skilde sig 2014 och träffade sin nuvarande partner ett år senare. Vid det laget var hennes barn vuxna med egna liv. Efter decennier av att sätta alla andras behov före sina egna borde hon äntligen ha kunnat andas ut. Istället fick hon ett sammanbrott. "Jag hade fullskalig ångest som rusade genom kroppen hela tiden. Jag kunde inte sova. Jag fick panikattacker. Jag kunde inte äta." En dag när hon körde i hög hastighet på motorvägen kom mörka tankar. "Jag tänkte: Jag skulle inte ha något emot om den här bilen kraschade."
I jakt på akut hjälp gick hon till Google, vilket ledde henne till Vastaamo, Finlands digitala one-stop-shop för personer som söker psykoterapi. Ingen läkarremiss var nödvändig. Hon lyckades boka en session redan nästa dag. "Det var så enkelt."
Att kunna anförtro sig åt en total främling kändes befriande. Hon berättade saker för sin terapeut som hon aldrig hade berättat för någon annan. "Trauman i relationer. Besvikelsen och tragedin med att ha funktionshindrade barn, och den inverkan det hade på mitt liv", säger hon. "Löjliga saker, barnsliga saker. Det är väldigt mänskligt att känna hat, ilska, raseri."
Efter att Parikka läst mejlet som fick henne att kämpa för att andas hade hon ingen aning om vart hon skulle vända sig för hjälp. Hon sprang... Hon ringde till akutjouren, men polisen sa åt henne att lägga på; de behövde hålla linjen ledig för riktiga akutfall. I sin badrock, med telefonen fortfarande i handen, kände hon sig helt ensam.
Men Parikka var långt ifrån ensam. Över hela Finland upptäckte 33 000 personer som hade använt Vastaamo att en hackare hade fått tag i deras terapianteckningar och höll dem som gisslan. Dessa var människor som per definition sannolikt var sårbara och behövde hjälp. Var och en upplevde en djupt personlig skräck. I ett land med bara 5,6 miljoner invånare kände alla någon som hade blivit hackad.
Några offerns anteckningar hade redan valts ut och publicerats för världen att se. Tre dagar innan utpressningsmejlen skickades publicerade någon med användarnamnet "ransom_man" på dark web, på r/Suomi (den finskspråkiga subredditen) och på Ylilauta, Finlands motsvarighet till 4chan. Den här gången var inlägget på engelska. "Hej finska kollegor", började det. "Vi har hackat psykoterapikliniken vastaamo.fi och tagit tiotusentals patientjournaler, inklusive extremt känsliga sessionsanteckningar och personnummer. Vi begärde en liten betalning på 40 bitcoins (ingenting för ett företag med årliga intäkter nära 20 miljoner euro), men VD:n har slutat svara på våra mejl. Vi börjar nu gradvis släppa deras patientjournaler, 100 poster varje dag."
Det fanns en länk till dark web, där 100 journaler redan var upplagda. Direkt under det avslutade ransom_man inlägget med ett enda ord: "Njut!"
De 100 journalerna inkluderade politiker, poliser och framstående offentliga personer. Deras namn dök upp tillsammans med terapianteckningar som innehöll detaljer om otrohet, självmordsförsök, pedofili och sexuellt våld. Några av journalerna tillhörde barn. Och den som låg bakom hackningen höll sitt ord: nästa dag laddades ytterligare 100 patientjournaler upp.
Några offer sökte desperat på dark web för att se om deras journaler fanns där. Några betalde lösesumman och försökte frenetiskt få tag i bitcoin medan klockan tickade. Advokater som representerar offren har berättat för mig att de känner till minst två fall där personer tog sina egna liv efter att ha upptäckt att deras terapianteckningar hade hackats.
Men för dem alla var det redan för sent. Klockan 02:00 den 23 oktober 2020 – dagen innan mejlen började anlända i tiotusentals inkorgar – hade ransom_man laddat upp en mycket större fil. Den innehöll varje journal för varje enskild patient i Vastaamos databas. Allas terapianteckningar hade redan publicerats, gratis, för hela världen att se.
Vem låg bakom det största brottet Finland någonsin känt till? Och kunde de ha motiverats av något annat än pengar? Jag tillbringade 18 månader med att försöka besvara dessa frågor, följde ledtrådar över hela Europa och USA. Det kulminerade i ett besök till ett fängelse och ett av de mest iskalla samtal jag någonsin haft.
Finland har utsetts till det lyckligaste landet på jorden av FN de senaste åtta åren i rad. Som en världsledande nation inom barnomsorg och utbildning är Finland också ökändt högteknologiskt: det är det mest digitaliserade landet i Europa, känt för sin kommunikationssektor (som hem för Nokia) och ledande inom cybersäkerhet och AI-innovation. Men Finland är också en plats av ytterligheter. Det har fler heavy metal-band per capita än något annat land. Långt i norr, under de få dagarna runt vintersolståndet, går solen inte upp.
Vastaamo hade länge ansetts vara ett exempel på hur Finland fick digital teknik att fungera. Grundat 2008 av entreprenören Ville Tapio och hans mor Nina, som är psykoterapeut, var målet att göra terapi tillgänglig för massorna och ta bort stigmat kring att söka hjälp. Plattformen gjorde det enkelt för människor att se vem som var tillgänglig, var och vilket terapeutiskt tillvägagångssätt de specialiserade sig på. Logotypen hade... Färgpaletten från en första hjälpen-låda, med vit text i en grön pratbubbla. "Vastaamo" betyder "en plats för svar". Det var också en attraktiv plattform för terapeuter: de behövde inte oroa sig för marknadsföring eller fakturering – Vastaamo skötte allt det. Företaget tillhandahöll till och med ett digitalt gränssnitt bakom kulisserna där terapeuter kunde göra och lagra sina anteckningar. Denna formel, kombinerad med den ökande efterfrågan på terapitjänster, innebar att Vastaamo växte snabbt. Det öppnade sitt eget nätverk med cirka 20 kliniker över hela Finland, anställde mer än 220 psykoterapeuter 2018, vilket fick några i Finland att kalla det "terapins McDonald's". Under åren innan Zoom och Teams blev en del av våra dagliga liv var den fjärrterapi som Vastaamo också erbjöd banbrytande. 2019 köpte ett riskkapitalbolag en majoritetsandel i företaget, vilket gav familjen Tapio en utbetalning på mer än 5 miljoner euro.
Meri-Tuuli Auer, 30, beskriver att använda Vastaamo som "Uber för terapi – bekvämt, tillgängligt, relativt billigt". Hon valde sin terapeut för att han erbjöd kognitiv psykoterapi – och hon gillade hans foto. "Han såg trevlig ut. Han såg tillgänglig ut."
Auers hem, i utkanten av Helsingfors, är en explosion av rosa. Det finns Barbiedockor, Barbieböcker och Barbie-temahandväskor på hennes hyllor, samt en glitterig öppen Barbie-sportbil. En pole dance-stång har hedersplatsen i mitten av hennes vardagsrum.
"Jag är en blandad personlighet", berättar hon för mig över te i Mumintroll-muggar. "Jag älskar att vara runt människor, men jag får den där känslan, det där tvivlet: kanske tycker de alla att jag är full av skit och dum och ful och att jag inte har en aning om vad jag gör." Auer har kämpat med depression under större delen av sitt liv. När hon var 18 år var hon i ett hemligt, svårt förhållande med en man 29 år äldre, vilket fick hennes självkänsla att sjunka ännu mer. Hon drack tungt. "Om jag inte hade gått i terapi vet jag inte vad som hade blivit av mig. Kanske finns det ett annat universum där jag inte klarade mig till 30."
Största delen av kostnaden för Auers behandling täcktes av det finska sjukvårdssystemet; hon betalade bara cirka 25 euro för varje veckovis session. Hon gjorde stora framsteg. "Efter att ha gått i terapi 2018 och 2019 hade jag fått en grundläggande känsla av trygghet. Den försvann 2020."
Vastaamos VD visste att företagets patientregister hölls som gisslan veckor innan hans kunder fick veta det. Den 28 september 2020 fick Ville Tapio ett mejl som krävde bitcoin motsvarande 450 000 euro för att hålla det säkert. Exempel på patientjournaler bifogade mejlet bevisade att utpressaren inte bluffade. Tapio kallade in ett cybersäkerhetsföretag för att undersöka.
Medicinsk information är ett uppenbart mål för potentiella utpressare, säger Antti Kurittu, säkerhetsspecialisten som Tapio anställde. Men det här var något annat: "Vad jag än berättar för en terapeut är per sin natur mycket mer privat än vad mitt blodtryck är", säger han torrt.
Kurittu var tidigare kriminalare och undersökte cyberbrott för den finska polisen; han säger att han insisterade på att de skulle informeras om utpressningsförsöket så att de kunde påbörja en parallell utredning. Samtidigt började han inspektera Vastaamos server, letande efter ledtrådar om vem som kunde ligga bakom hackningen – och en av de första sakerna han lade märke till var hur slapp säkerheten hade varit. "Den var definitivt olämplig för att lagra den här typen av information", säger han. Han berättar för mig att patientjournaldatabasen var tillgänglig via internet; det fanns ingen brandvägg och, kanske mest grovt, den var säkrad med ett tomt lösenord, så vem som helst kunde bara trycka på enter och öppna den. Kurittu fastställde att den som hade hackat Vastaamo förmodligen bara hade skannat internet på jakt efter någon dåligt säkrad... Hackarna letade efter värdefulla databaser de kunde tjäna pengar på. "De testade olika bankvalv för att se vilka som var olåsta och hittade av misstag det här", förklarar Kurittu.
Våra mest privata hemligheter – saker vi aldrig skulle vilja exponera för världen – finns där ute på nätet.
Under flera veckor kommunicerade hackaren och Vastaamo via mejl, men Vastaamo övervägde aldrig att betala lösesumman. Att göra det skulle innebära att lita på en brottslings löfte att radera journalerna. Dessutom, noterar Kurittu, går det emot den finska karaktären. "Finländare kan vara ett envist gäng. Vi är inte kända för att betala lösesummor tyst eller lätt, vilket är en punkt av nationell stolthet för mig."
Efter att hackaren, som använde aliaset "ransom_man", började läcka patientjournaler för att pressa företaget övervakade Kurittu noga servern som användes för att publicera dem. Han misstänkte att personen bakom attacken antingen var finsk eller hade bott i Finland länge, eftersom de visste vilka anmärkningsvärda namn att lyfta fram från patientfilerna.
När Auer fick veta om intrånget laddade hon ner en webbläsare för att komma åt dark web för första gången. "Jag tänkte för mig själv, jag måste bara kolla om mina journaler finns där", säger hon. Hon hittade inte sitt namn i den första batchen som publicerades och stängde filen utan att läsa någon annans journaler. Men hon såg andra diskutera vad de hade sett. "Folk hade redan plockat ut
