Tiina Parikka var halvklĂ€dd nĂ€r hon lĂ€ste mejlet. Det var en lördag i slutet av oktober 2020, och Parikka hade tillbringat förmiddagen med att ordna distansundervisningsplaner efter ett Covid-utbrott pĂ„ skolan dĂ€r hon var rektor. Hon hade tagit en bastu i sin lĂ€genhet i Vanda, strax utanför Finlands huvudstad Helsingfors, och nĂ€r hon kom in i sitt sovrum för att klĂ€ sig kollade hon lite slött pĂ„ sin telefon. DĂ€r fanns ett meddelande som började med hennes namn och hennes personnummer â den unika kod som anvĂ€nds för att identifiera finlĂ€ndare inom sjukvĂ„rd, utbildning och bankvĂ€sen. "DĂ„ visste jag att det hĂ€r inte Ă€r nĂ„got spel", sĂ€ger hon.
Mejlet var pÄ finska. Det var pÄfallande artigt. "Vi kontaktar dig eftersom du har anvÀnt Vastaamos terapi- och/eller psykiatriska tjÀnster", stod det. "TyvÀrr mÄste vi be dig betala för att dina personuppgifter ska förbli sÀkra." AvsÀndaren krÀvde 200 euro i bitcoin inom 24 timmar, annars skulle priset stiga till 500 euro inom 48 timmar. "Om vi fortfarande inte fÄr vÄra pengar efter detta kommer din information att publiceras för alla att se, inklusive ditt namn, adress, telefonnummer, personnummer och detaljerade journaler som innehÄller transkriptioner av dina samtal med Vastaamos terapeuter eller psykiatriker."
Parikka svÀljer hÄrt nÀr hon Äterupplever detta minne. "Mitt hjÀrta bultade. Det var riktigt svÄrt att andas. Jag minns att jag lade mig pÄ sÀngen och sa till min make: 'Jag tror jag ska fÄ en hjÀrtattack.'"
NĂ„gon hade hackat sig in i Vastaamo, företaget genom vilket Parikka hade fĂ„tt tillgĂ„ng till psykoterapi. De hade fĂ„tt tag i terapianteckningar som innehöll hennes mest privata, intimaste kĂ€nslor och mörkaste tankar â och de höll dem som gisslan. Parikkas tankar rusade medan hon försökte minnas allt hon hade anförtrott under tre Ă„r av veckovisa terapitillfĂ€llen. Hur skulle hennes familj reagera om de visste vad hon hade sagt? Vad skulle hennes elever sĂ€ga? KĂ€nslan av att bli blottad och krĂ€nkt var ofattbar: "Det kĂ€ndes som en offentlig vĂ„ldtĂ€kt."
Terapin hade varit Parikkas livlina. Nu 62 Är gammal hade hon fÄtt tre barn vid 25 Ärs Älder, inklusive tvillingar som föddes extremt för tidigt pÄ 1980-talet och vÀgde bara nÄgra hundra gram vardera. Den ena vÀxte upp med cerebral pares; den andra Àr blind. Parikka tillbringade Är med att jonglera medicinska akutsituationer, operationer och sjukhusvistelser tillsammans med ett krÀvande jobb och ett Àktenskap som föll sönder. "Under de Ären frÄgade aldrig nÄgon mig, mamman: 'Hur mÄr du?'"
Hon skilde sig 2014 och trÀffade sin nuvarande partner ett Är senare. Vid det laget var hennes barn vuxna med egna liv. Efter decennier av att sÀtta alla andras behov före sina egna borde hon Àntligen ha kunnat andas ut. IstÀllet fick hon ett sammanbrott. "Jag hade fullskalig Ängest som rusade genom kroppen hela tiden. Jag kunde inte sova. Jag fick panikattacker. Jag kunde inte Àta." En dag nÀr hon körde i hög hastighet pÄ motorvÀgen kom mörka tankar. "Jag tÀnkte: Jag skulle inte ha nÄgot emot om den hÀr bilen kraschade."
I jakt pÄ akut hjÀlp gick hon till Google, vilket ledde henne till Vastaamo, Finlands digitala one-stop-shop för personer som söker psykoterapi. Ingen lÀkarremiss var nödvÀndig. Hon lyckades boka en session redan nÀsta dag. "Det var sÄ enkelt."
Att kunna anförtro sig Ät en total frÀmling kÀndes befriande. Hon berÀttade saker för sin terapeut som hon aldrig hade berÀttat för nÄgon annan. "Trauman i relationer. Besvikelsen och tragedin med att ha funktionshindrade barn, och den inverkan det hade pÄ mitt liv", sÀger hon. "Löjliga saker, barnsliga saker. Det Àr vÀldigt mÀnskligt att kÀnna hat, ilska, raseri."
Efter att Parikka lÀst mejlet som fick henne att kÀmpa för att andas hade hon ingen aning om vart hon skulle vÀnda sig för hjÀlp. Hon sprang... Hon ringde till akutjouren, men polisen sa Ät henne att lÀgga pÄ; de behövde hÄlla linjen ledig för riktiga akutfall. I sin badrock, med telefonen fortfarande i handen, kÀnde hon sig helt ensam.
Men Parikka var lĂ„ngt ifrĂ„n ensam. Ăver hela Finland upptĂ€ckte 33 000 personer som hade anvĂ€nt Vastaamo att en hackare hade fĂ„tt tag i deras terapianteckningar och höll dem som gisslan. Dessa var mĂ€nniskor som per definition sannolikt var sĂ„rbara och behövde hjĂ€lp. Var och en upplevde en djupt personlig skrĂ€ck. I ett land med bara 5,6 miljoner invĂ„nare kĂ€nde alla nĂ„gon som hade blivit hackad.
NÄgra offerns anteckningar hade redan valts ut och publicerats för vÀrlden att se. Tre dagar innan utpressningsmejlen skickades publicerade nÄgon med anvÀndarnamnet "ransom_man" pÄ dark web, pÄ r/Suomi (den finsksprÄkiga subredditen) och pÄ Ylilauta, Finlands motsvarighet till 4chan. Den hÀr gÄngen var inlÀgget pÄ engelska. "Hej finska kollegor", började det. "Vi har hackat psykoterapikliniken vastaamo.fi och tagit tiotusentals patientjournaler, inklusive extremt kÀnsliga sessionsanteckningar och personnummer. Vi begÀrde en liten betalning pÄ 40 bitcoins (ingenting för ett företag med Ärliga intÀkter nÀra 20 miljoner euro), men VD:n har slutat svara pÄ vÄra mejl. Vi börjar nu gradvis slÀppa deras patientjournaler, 100 poster varje dag."
Det fanns en lÀnk till dark web, dÀr 100 journaler redan var upplagda. Direkt under det avslutade ransom_man inlÀgget med ett enda ord: "Njut!"
De 100 journalerna inkluderade politiker, poliser och framstÄende offentliga personer. Deras namn dök upp tillsammans med terapianteckningar som innehöll detaljer om otrohet, sjÀlvmordsförsök, pedofili och sexuellt vÄld. NÄgra av journalerna tillhörde barn. Och den som lÄg bakom hackningen höll sitt ord: nÀsta dag laddades ytterligare 100 patientjournaler upp.
NÄgra offer sökte desperat pÄ dark web för att se om deras journaler fanns dÀr. NÄgra betalde lösesumman och försökte frenetiskt fÄ tag i bitcoin medan klockan tickade. Advokater som representerar offren har berÀttat för mig att de kÀnner till minst tvÄ fall dÀr personer tog sina egna liv efter att ha upptÀckt att deras terapianteckningar hade hackats.
Men för dem alla var det redan för sent. Klockan 02:00 den 23 oktober 2020 â dagen innan mejlen började anlĂ€nda i tiotusentals inkorgar â hade ransom_man laddat upp en mycket större fil. Den innehöll varje journal för varje enskild patient i Vastaamos databas. Allas terapianteckningar hade redan publicerats, gratis, för hela vĂ€rlden att se.
Vem lÄg bakom det största brottet Finland nÄgonsin kÀnt till? Och kunde de ha motiverats av nÄgot annat Àn pengar? Jag tillbringade 18 mÄnader med att försöka besvara dessa frÄgor, följde ledtrÄdar över hela Europa och USA. Det kulminerade i ett besök till ett fÀngelse och ett av de mest iskalla samtal jag nÄgonsin haft.
Finland har utsetts till det lyckligaste landet pÄ jorden av FN de senaste Ätta Ären i rad. Som en vÀrldsledande nation inom barnomsorg och utbildning Àr Finland ocksÄ ökÀndt högteknologiskt: det Àr det mest digitaliserade landet i Europa, kÀnt för sin kommunikationssektor (som hem för Nokia) och ledande inom cybersÀkerhet och AI-innovation. Men Finland Àr ocksÄ en plats av ytterligheter. Det har fler heavy metal-band per capita Àn nÄgot annat land. LÄngt i norr, under de fÄ dagarna runt vintersolstÄndet, gÄr solen inte upp.
Vastaamo hade lĂ€nge ansetts vara ett exempel pĂ„ hur Finland fick digital teknik att fungera. Grundat 2008 av entreprenören Ville Tapio och hans mor Nina, som Ă€r psykoterapeut, var mĂ„let att göra terapi tillgĂ€nglig för massorna och ta bort stigmat kring att söka hjĂ€lp. Plattformen gjorde det enkelt för mĂ€nniskor att se vem som var tillgĂ€nglig, var och vilket terapeutiskt tillvĂ€gagĂ„ngssĂ€tt de specialiserade sig pĂ„. Logotypen hade... FĂ€rgpaletten frĂ„n en första hjĂ€lpen-lĂ„da, med vit text i en grön pratbubbla. "Vastaamo" betyder "en plats för svar". Det var ocksĂ„ en attraktiv plattform för terapeuter: de behövde inte oroa sig för marknadsföring eller fakturering â Vastaamo skötte allt det. Företaget tillhandahöll till och med ett digitalt grĂ€nssnitt bakom kulisserna dĂ€r terapeuter kunde göra och lagra sina anteckningar. Denna formel, kombinerad med den ökande efterfrĂ„gan pĂ„ terapitjĂ€nster, innebar att Vastaamo vĂ€xte snabbt. Det öppnade sitt eget nĂ€tverk med cirka 20 kliniker över hela Finland, anstĂ€llde mer Ă€n 220 psykoterapeuter 2018, vilket fick nĂ„gra i Finland att kalla det "terapins McDonald's". Under Ă„ren innan Zoom och Teams blev en del av vĂ„ra dagliga liv var den fjĂ€rrterapi som Vastaamo ocksĂ„ erbjöd banbrytande. 2019 köpte ett riskkapitalbolag en majoritetsandel i företaget, vilket gav familjen Tapio en utbetalning pĂ„ mer Ă€n 5 miljoner euro.
Meri-Tuuli Auer, 30, beskriver att anvĂ€nda Vastaamo som "Uber för terapi â bekvĂ€mt, tillgĂ€ngligt, relativt billigt". Hon valde sin terapeut för att han erbjöd kognitiv psykoterapi â och hon gillade hans foto. "Han sĂ„g trevlig ut. Han sĂ„g tillgĂ€nglig ut."
Auers hem, i utkanten av Helsingfors, Àr en explosion av rosa. Det finns Barbiedockor, Barbieböcker och Barbie-temahandvÀskor pÄ hennes hyllor, samt en glitterig öppen Barbie-sportbil. En pole dance-stÄng har hedersplatsen i mitten av hennes vardagsrum.
"Jag Àr en blandad personlighet", berÀttar hon för mig över te i Mumintroll-muggar. "Jag Àlskar att vara runt mÀnniskor, men jag fÄr den dÀr kÀnslan, det dÀr tvivlet: kanske tycker de alla att jag Àr full av skit och dum och ful och att jag inte har en aning om vad jag gör." Auer har kÀmpat med depression under större delen av sitt liv. NÀr hon var 18 Är var hon i ett hemligt, svÄrt förhÄllande med en man 29 Är Àldre, vilket fick hennes sjÀlvkÀnsla att sjunka Ànnu mer. Hon drack tungt. "Om jag inte hade gÄtt i terapi vet jag inte vad som hade blivit av mig. Kanske finns det ett annat universum dÀr jag inte klarade mig till 30."
Största delen av kostnaden för Auers behandling tÀcktes av det finska sjukvÄrdssystemet; hon betalade bara cirka 25 euro för varje veckovis session. Hon gjorde stora framsteg. "Efter att ha gÄtt i terapi 2018 och 2019 hade jag fÄtt en grundlÀggande kÀnsla av trygghet. Den försvann 2020."
Vastaamos VD visste att företagets patientregister hölls som gisslan veckor innan hans kunder fick veta det. Den 28 september 2020 fick Ville Tapio ett mejl som krÀvde bitcoin motsvarande 450 000 euro för att hÄlla det sÀkert. Exempel pÄ patientjournaler bifogade mejlet bevisade att utpressaren inte bluffade. Tapio kallade in ett cybersÀkerhetsföretag för att undersöka.
Medicinsk information Àr ett uppenbart mÄl för potentiella utpressare, sÀger Antti Kurittu, sÀkerhetsspecialisten som Tapio anstÀllde. Men det hÀr var nÄgot annat: "Vad jag Àn berÀttar för en terapeut Àr per sin natur mycket mer privat Àn vad mitt blodtryck Àr", sÀger han torrt.
Kurittu var tidigare kriminalare och undersökte cyberbrott för den finska polisen; han sĂ€ger att han insisterade pĂ„ att de skulle informeras om utpressningsförsöket sĂ„ att de kunde pĂ„börja en parallell utredning. Samtidigt började han inspektera Vastaamos server, letande efter ledtrĂ„dar om vem som kunde ligga bakom hackningen â och en av de första sakerna han lade mĂ€rke till var hur slapp sĂ€kerheten hade varit. "Den var definitivt olĂ€mplig för att lagra den hĂ€r typen av information", sĂ€ger han. Han berĂ€ttar för mig att patientjournaldatabasen var tillgĂ€nglig via internet; det fanns ingen brandvĂ€gg och, kanske mest grovt, den var sĂ€krad med ett tomt lösenord, sĂ„ vem som helst kunde bara trycka pĂ„ enter och öppna den. Kurittu faststĂ€llde att den som hade hackat Vastaamo förmodligen bara hade skannat internet pĂ„ jakt efter nĂ„gon dĂ„ligt sĂ€krad... Hackarna letade efter vĂ€rdefulla databaser de kunde tjĂ€na pengar pĂ„. "De testade olika bankvalv för att se vilka som var olĂ„sta och hittade av misstag det hĂ€r", förklarar Kurittu.
VĂ„ra mest privata hemligheter â saker vi aldrig skulle vilja exponera för vĂ€rlden â finns dĂ€r ute pĂ„ nĂ€tet.
Under flera veckor kommunicerade hackaren och Vastaamo via mejl, men Vastaamo övervÀgde aldrig att betala lösesumman. Att göra det skulle innebÀra att lita pÄ en brottslings löfte att radera journalerna. Dessutom, noterar Kurittu, gÄr det emot den finska karaktÀren. "FinlÀndare kan vara ett envist gÀng. Vi Àr inte kÀnda för att betala lösesummor tyst eller lÀtt, vilket Àr en punkt av nationell stolthet för mig."
Efter att hackaren, som anvÀnde aliaset "ransom_man", började lÀcka patientjournaler för att pressa företaget övervakade Kurittu noga servern som anvÀndes för att publicera dem. Han misstÀnkte att personen bakom attacken antingen var finsk eller hade bott i Finland lÀnge, eftersom de visste vilka anmÀrkningsvÀrda namn att lyfta fram frÄn patientfilerna.
NÀr Auer fick veta om intrÄnget laddade hon ner en webblÀsare för att komma Ät dark web för första gÄngen. "Jag tÀnkte för mig sjÀlv, jag mÄste bara kolla om mina journaler finns dÀr", sÀger hon. Hon hittade inte sitt namn i den första batchen som publicerades och stÀngde filen utan att lÀsa nÄgon annans journaler. Men hon sÄg andra diskutera vad de hade sett. "Folk hade redan plockat ut
