Tiina Parikka var halvkle da hun leste e-posten. Det var en lørdag sent i oktober 2020, og Parikka hadde tilbrakt formiddagen med å rydde opp i planer for hjemmeundervisning etter et Covid-utbrudd på skolen der hun var rektor. Hun hadde tatt et bad i saunaen i leiligheten sin i Vantaa, like utenfor Finlands hovedstad Helsingfors, og da hun kom inn på soverommet for å kle på seg, sjekket hun tankeløst telefonen. Det var en melding som begynte med navnet hennes og personnummeret – den unike koden som brukes for å identifisere finner innen helsevesen, utdanning og banktjenester. «Da visste jeg at dette ikke er noe spill,» sier hun.
E-posten var på finsk. Den var påfallende høflig. «Vi tar kontakt med deg fordi du har benyttet deg av Vastaamos terapi- og/eller psykiatriske tjenester,» sto det. «Dessverre må vi be deg betale for å holde dine personopplysninger trygge.» Avsenderen krevde 200 euro i bitcoin innen 24 timer, ellers ville prisen stige til 500 euro innen 48 timer. «Hvis vi fortsatt ikke mottar pengene våre etter dette, vil informasjonen din bli publisert slik at alle kan se den, inkludert navnet ditt, adressen din, telefonnummeret ditt, personnummeret ditt og detaljerte journaler som inneholder transkripsjoner av dine samtaler med Vastaamos terapeuter eller psykiatere.»
Parikka svelger tungt mens hun gjenopplever dette minnet. «Hjertet mitt hamret. Det var veldig vanskelig å puste. Jeg husker at jeg la meg på sengen og sa til min ektefelle: 'Jeg tror jeg skal få et hjerteinfarkt.'»
Noen hadde hacket seg inn i Vastaamo, selskapet Parikka hadde benyttet seg av psykoterapi gjennom. De hadde fått tak i terapinotater som inneholdt hennes mest private, intime følelser og mørkeste tanker – og de holdt dem som gissel for løsepenger. Parikkas tanker jagde mens hun prøvde å huske alt hun hadde betrodd i løpet av tre år med ukentlige terapitimer. Hvordan ville familien hennes reagert hvis de visste hva hun hadde sagt? Hva ville elevene henne sagt? Følelsen av å bli blottlagt og krenket var ufattelig: «Det føltes som et offentlig voldtekt.»
Terapi hadde vært Parikkas livline. Nå 62 år gammel, hadde hun fått tre barn innen hun var 25, inkludert tvillinger som ble født ekstremt for tidlig på 1980-tallet, og som bare veide noen få hundre gram hver. Den ene vokste opp med cerebral parese; den andre er blind. Parikka tilbrakte år med å balansere medisinske kriser, operasjoner og sykehusopphold med et krevende arbeid og et ekteskap som raknet. «I løpet av de årene spurte ingen meg, moren, 'Hvordan har du det?'»
Hun ble skilt i 2014 og møtte sin nåværende partner et år senere. Da var barna hennes voksne med selvstendige liv. Etter tiår med å sette alle andres behov foran sine egne, burde hun endelig ha kunnet puste ut. I stedet fikk hun et sammenbrudd. «Jeg hadde fullskala angst som løp gjennom kroppen min hele tiden. Jeg kunne ikke sove. Jeg hadde panikkanfall. Jeg kunne ikke spise.» En dag mens hun kjørte i høy hastighet på motorveien, kom mørke tanker over henne. «Jeg tenkte, jeg ville ikke hatt noe imot om denne bilen krasjet.»
I søken etter akutt hjelp, gikk hun til Google, som ledet henne til Vastaamo, Finlands alt-i-ett digitale butikk for folk som søker psykoterapi. Ingen henvisning fra lege var nødvendig. Hun klarte å bestille en time allerede dagen etter. «Det var så enkelt.»
Å kunne betro seg til en fullstendig fremmed føltes befriende. Hun fortalte terapeuten sin ting hun aldri hadde fortalt noen andre. «Traumer i relasjoner. Skuffelsen og tragedien med å ha funksjonshemmede barn, og innflytelsen det hadde på livet mitt,» sier hun. «Tåpelige ting, barnslige ting. Det er veldig menneskelig å føle hat, sinne, raseri.»
Etter at Parikka leste e-posten som fikk henne til å kjempe for å puste, visste hun ikke hvor hun skulle vende seg for hjelp. Hun løp... Hun ringte nødnummeret, men politiet ba henne legge på; de måtte holde linjen fri for virkelige nødsituasjoner. I badekåpen, med telefonen fortsatt i hånden, følte hun seg helt alene.
Men Parikka var langt fra alene. Over hele Finland oppdaget 33 000 mennesker som hadde brukt Vastaamo at en hacker hadde fått tak i terapinotatene deres og holdt dem for løsepenger. Dette var mennesker som per definisjon sannsynligvis var sårbare og trengte hjelp. Hver enkelt opplevde en dypt personlig terror. I et land med bare 5,6 millioner innbyggere, kjente alle noen som hadde blitt hacket.
Noen ofres notater var allerede blitt utvalgt og publisert for verden å se. Tre dager før utpressingse-postene ble sendt, postet noen med brukernavnet «ransom_man» på dark web, på r/Suomi (det finskspråklige subreddit), og på Ylilauta, Finlands svar på 4chan. Denne gangen var innlegget på engelsk. «Hallo finske kolleger,» begynte det. «Vi har hacket psykoterapiklinikken vastaamo.fi og tatt titusenvis av pasientjournaler, inkludert ekstremt sensitive sesjonsnotater og personnummer. Vi ba om et lite beløp på 40 bitcoins (ingenting for et selskap med årlige inntekter nær 20 millioner euro), men administrerende direktør har sluttet å svare på e-postene våre. Vi begynner nå å gradvis frigjøre pasientjournalene deres, 100 oppføringer hver dag.»
Det var en lenke til dark web, hvor 100 journaler allerede var vist. Rett under signerte ransom_man av innlegget med ett enkelt ord: «Nyt!»
De 100 journalene inkluderte politikere, politifolk og fremtredende offentlige personer. Navnene deres dukket opp sammen med terapinotater som inneholdt detaljer om utroskap, selvmordsforsøk, pedofili og seksuell vold. Noen av journalene tilhørte barn. Og hvem som enn sto bak hacken, holdt de ord: dagen etter ble 100 flere pasientjournaler lastet opp.
Noen ofre søkte desperat på dark web for å se om journalene deres var der ute. Noen betalte løsepengene, og kjempet for å få tak i bitcoin mens tiden tikket ned. Advokater som representerer ofrene har fortalt meg at de kjenner til minst to tilfeller der mennesker tok sitt eget liv etter å ha oppdaget at terapinotatene deres var blitt hacket.
Men for dem alle var det allerede for sent. Klokken 02:00 den 23. oktober 2020 – dagen før e-postene begynte å ankomme titusenvis av innbokser – hadde ransom_man lastet opp en mye større fil. Den inneholdt alle journalene til hver eneste pasient i Vastaamos database. Alles terapinotater var allerede blitt publisert, gratis, for hele verden å se.
Hvem sto bak den største forbrytelsen Finland noensinne hadde kjent? Og kunne de ha blitt motivert av noe annet enn penger? Jeg tilbrakte 18 måneder med å prøve å svare på disse spørsmålene, fulgte spor over hele Europa og USA. De kulminerte i et besøk til et fengsel og en av de mest iskalde samtaler jeg noensinne har hatt.
Finland har blitt rangert som det lykkeligste landet på jorden av FN de siste åtte årene på rad. En verdensleder innen barneomsorg og utdanning, Finland er også kjent for å være høyteknologisk: det er det mest digitaliserte landet i Europa, kjent for sin kommunikasjonssektor (som hjemmet til Nokia) og leder an innen cybersikkerhet og AI-innovasjon. Men Finland er også et sted med ytterligheter. Det har flere heavy metal-band per innbygger enn noe annet land. Langt nord, i de få dagene rundt vintersolverv, står ikke solen opp.
Vastaamo hadde lenge blitt ansett som et eksempel på hvordan Finland fikk digital teknologi til å fungere. Grunnlagt i 2008 av entreprenøren Ville Tapio og moren hans, Nina, en psykoterapeut, var målet å gjøre terapi tilgjengelig for massene og fjerne stigmaet ved å be om hjelp. Plattformen gjorde det enkelt for folk å se hvem som var tilgjengelig, hvor, og hvilken terapeutisk tilnærming de spesialiserte seg i. Logoen hadde... Fargepaletten til et førstehjelpsskrin, med hvite bokstaver i en grønn snakkeboble. «Vastaamo» betyr «et sted for svar». Det var en attraktiv plattform for terapeuter også: de trengte ikke å bekymre seg for markedsføring eller fakturering – Vastaamo tok seg av alt det. Selskapet tilbød til og med et digitalt grensesnitt bak kulissene der terapeuter kunne lage og lagre notatene sine. Denne formelen, kombinert med den økende etterspørselen etter terapitjenester, betydde at Vastaamo vokste raskt. Det åpnet sitt eget nettverk på rundt 20 klinikker over hele Finland, og ansatte mer enn 220 psykoterapeuter innen 2018, noe som fikk noen i Finland til å referere til det som «terapiens McDonald's». I årene før Zoom og Teams ble en del av hverdagen vår, var fjernterapien som også ble tilbudt av Vastaamo banebrytende. I 2019 kjøpte et private equity-selskap en majoritetsandel i selskapet, noe som ga Tapio-familien en utbetaling på mer enn 5 millioner euro.
Meri-Tuuli Auer, 30, beskriver bruken av Vastaamo som «som Uber for terapi – praktisk, tilgjengelig, relativt billig». Hun valgte terapeuten sin fordi han tilbød kognitiv psykoterapi – og hun likte bildet hans. «Han så hyggelig ut. Han så imøtekommende ut.»
Auers hjem, i utkanten av Helsingfors, er et kaos av rosa. Det er Barbie-dukker, Barbie-bøker og Barbie-temaet håndvesker på hyllene hennes, samt en glitrende Barbie-sportsbil med åpent tak. En stang for stangdans har en fremtredende plass midt i stuen.
«Jeg er en blandet personlighet,» forteller hun meg over te i Mummi-kopper. «Jeg elsker å være sammen med folk, men jeg får den følelsen, den tvilen: kanskje de alle synes jeg er full av dritt og dum og stygg og at jeg ikke har peiling på hva jeg gjør.» Auer har slitt med depresjon store deler av livet. Da hun var 18, var hun i et hemmelighetsfullt, vanskelig forhold til en mann 29 år eldre enn henne, noe som fikk selvtilliten hennes til å stupe ytterligere. Hun drakk tungt. «Hvis jeg ikke hadde gått i terapi, vet jeg ikke hva som ville ha blitt av meg. Kanskje det finnes et annet univers der jeg ikke klarte å bli 30.»
Det meste av kostnadene for Auers behandling ble dekket av det finske helsevesenet; hun betalte bare rundt 25 euro for hver ukentlige time. Hun gjorde store fremskritt. «Etter å ha gått i terapi i 2018 og 2019, hadde jeg fått en grunnleggende følelse av trygghet. Det gikk tapt i 2020.»
Vastaamos administrerende direktør visste at selskapets pasientregister ble holdt som gissel for løsepenger uker før kundene hans fant det ut. Den 28. september 2020 mottok Ville Tapio en e-post som krevde bitcoin tilsvarende 450 000 euro for å holde det trygt. Eksempel på pasientjournaler vedlagt e-posten beviste at utpresseren ikke bløffet. Tapio kontaktet et cybersikkerhetsselskap for å undersøke.
Medisinsk informasjon er et åpenbart mål for potensielle utpressere, sier Antti Kurittu, sikkerhetsspesialisten Tapio ansatte. Men dette var noe annet: «Hva enn jeg forteller en terapeut er, av sin natur, mye mer privat enn hva blodtrykket mitt er,» sier han, tørt.
Kurittu var tidligere en etterforsker som undersøkte nettkriminalitet for det finske politiet; han sier han insisterte på at de måtte bli fortalt om løsepengeforsøket slik at de kunne starte en parallell etterforskning. I mellomtiden begynte han å inspisere Vastaamos server, på jakt etter spor om hvem som kunne stå bak hacken – og en av de første tingene han la merke til var hvor slapp sikkerheten hadde vært. «Den var definitivt uegnet til å lagre denne typen informasjon,» sier han. Han forteller meg at pasientjournaldatabasen var tilgjengelig via internett; det var ingen brannmur og, kanskje mest grovt, den var sikret med et tomt passord, så hvem som helst kunne bare trykke enter og åpne den. Kurittu fastslo at hvem som enn hadde hacket Vastaamo, sannsynligvis bare hadde skannet internett på jakt etter dårlig sikrede... Hackerne lette etter verdifulle databaser de kunne tjene penger på. «De testet forskjellige bankhvelv for å se hvilke som var ulåste, og fant tilfeldigvis dette,» forklarer Kurittu.
Våre mest private hemmeligheter – ting vi aldri ville ønske eksponert for verden – er der ute på nettet.
I flere uker kommuniserte hackeren og Vastaamo via e-post, men Vastaamo vurderte aldri å betale løsepengene. Å gjøre det ville bety å stole på en kriminells løfte om å slette journalene. I tillegg, bemerker Kurittu, går det imot den finske karakteren. «Finner kan være en sta gjeng. Vi er ikke kjent for å betale løsepenger stille eller lett, noe som er et nasjonalstolthetspunkt for meg.»
Etter at hackeren, som brukte aliaset «ransom_man», begynte å lekke pasientjournaler for å presse selskapet, overvåket Kurittu nøye serveren som ble brukt til å publisere dem. Han mistenkte at personen bak angrepet enten var finsk eller hadde bodd i Finland lenge, siden de visste hvilke bemerkelsesverdige navn de skulle fremheve fra pasientfilene.
Da Auer fikk vite om bruddet, lastet hun ned en nettleser for å få tilgang til dark web for første gang. «Jeg tenkte for meg selv, jeg må bare sjekke om journalene mine er der,» sier hun. Hun fant ikke navnet sitt i den første batchen som ble postet og lukket filen uten å lese andres journaler. Men hun så andre diskutere det de hadde sett. «Folk hadde allerede plukket ut det
