Tiina Parikka była wpół ubrana, gdy przeczytała maila. Była sobota pod koniec października 2020 roku, a Parikka spędziła ranek na układaniu planów nauczania zdalnego po wybuchu pandemii Covid w szkole, której była dyrektorką. Wzięła saunę w swoim mieszkaniu w Vantaa, tuż za stolicą Finlandii, Helsinkami, a gdy weszła do sypialni, żeby się ubrać, odruchowo sprawdziła telefon. Była tam wiadomość zaczynająca się od jej imienia i nazwiska oraz numeru ubezpieczenia społecznego – unikalnego kodu używanego do identyfikacji Finów w opiece zdrowotnej, edukacji i bankowości. „Wtedy wiedziałam, że to nie jest gra” – mówi.
Mail był po fińsku. Był uderzająco grzeczny. „Zwracamy się do Pani, ponieważ korzystała Pani z usług terapeutycznych i/lub psychiatrycznych Vastaamo” – brzmiał. „Niestety, musimy poprosić Panią o zapłatę, aby zapewnić bezpieczeństwo Pani danych osobowych”. Nadawca żądał 200 euro w bitcoinach w ciągu 24 godzin, w przeciwnym razie cena wzrosłaby do 500 euro w ciągu 48 godzin. „Jeśli nadal nie otrzymamy naszych pieniędzy, Pani informacje zostaną opublikowane, aby każdy mógł je zobaczyć, w tym Pani imię i nazwisko, adres, numer telefonu, numer ubezpieczenia społecznego oraz szczegółowe zapisy zawierające transkrypcje Pani rozmów z terapeutami lub psychiatrami Vastaamo”.
Parikka przełyka ślinę, gdy odtwarza to wspomnienie. „Moje serce waliło. Naprawdę ciężko było oddychać. Pamiętam, że położyłam się na łóżku i powiedziałam mojemu małżonkowi: 'Chyba dostanę zawału serca'”.
Ktoś włamał się do Vastaamo, firmy, przez którą Parikka korzystała z psychoterapii. Zdobyli notatki terapeutyczne zawierające jej najbardziej prywatne, intymne uczucia i najciemniejsze myśli – i trzymali je w celu wymuszenia okupu. Myśli Parikki pędziły, gdy próbowała przypomnieć sobie wszystko, co powierzała podczas trzyletnich cotygodniowych sesji terapeutycznych. Jak zareagowałaby jej rodzina, gdyby wiedziała, co mówiła? Co powiedzieliby jej uczniowie? Poczucie ekspozycji i naruszenia było niezgłębione: „To było jak publiczny gwałt”.
Terapia była dla Parikki ratunkiem. Teraz, w wieku 62 lat, miała troje dzieci, zanim skończyła 25 lat, w tym bliźnięta, które urodziły się ekstremalnie przedwcześnie w latach 80., ważąc tylko po kilkaset gramów każde. Jedno dorastało z porażeniem mózgowym; drugie jest niewidome. Parikka spędziła lata żonglując nagłymi przypadkami medycznymi, operacjami i pobytami w szpitalu z wymagającą pracą i rozpadem małżeństwa. „W tamtych latach nikt nigdy nie zapytał mnie, matki: 'Jak się masz?'”
Rozwiodła się w 2014 roku i poznała swojego obecnego partnera rok później. Do tego czasu jej dzieci były dorosłe i prowadziły niezależne życie. Po dziesięcioleciach stawiania potrzeb wszystkich innych przed swoimi, powinna była w końcu móc odetchnąć. Zamiast tego załamała się. „Miałam pełnoskalowy lęk przebiegający przez moje ciało cały czas. Nie mogłam spać. Miałam ataki paniki. Nie mogłam jeść”. Pewnego dnia, jadąc z dużą prędkością po autostradzie, opadły ją mroczne myśli. „Myślałam: nie miałabym nic przeciwko, gdyby ten samochód się rozbił”.
W poszukiwaniu pilnej pomocy poszła do Google, co doprowadziło ją do Vastaamo, fińskiego jednoklikowego sklepu cyfrowego dla osób poszukujących psychoterapii. Nie było konieczne skierowanie od lekarza. Udało jej się zarezerwować sesję już na następny dzień. „To było takie proste”.
Możliwość zwierzenia się całkowicie obcej osobie była wyzwalająca. Powiedziała swojemu terapeucie rzeczy, których nigdy nie powiedziała nikomu innemu. „Trauma w związkach. Rozczarowanie i tragedia posiadania niepełnosprawnych dzieci oraz wpływ, jaki to miało na moje życie” – mówi. „Głupie rzeczy, dziecinne rzeczy. To bardzo ludzkie, by czuć nienawiść, złość, wściekłość”.
Po przeczytaniu maila, który sprawił, że ciężko jej było oddychać, Parikka nie miała pojęcia, gdzie zwrócić się o pomoc. Pobiegła... Zadzwoniła na numer alarmowy, ale policja kazała jej się rozłączyć; musieli utrzymać linię wolną dla prawdziwych nagłych przypadków. W szlafroku, z telefonem wciąż w dłoni, czuła się całkowicie sama.
Ale Parikka była daleka od bycia samą. W całej Finlandii 33 000 osób, które korzystały z Vastaamo, odkrywało, że haker zdobył ich notatki terapeutyczne i trzymał je w celu wymuszenia okupu. Były to z definicji osoby prawdopodobnie wrażliwe i potrzebujące pomocy. Każda przeżywała głęboko osobisty terror. W kraju liczącym zaledwie 5,6 miliona ludzi każdy znał kogoś, kto został zhakowany.
Notatki niektórych ofiar zostały już wybrane i opublikowane, aby świat mógł je zobaczyć. Trzy dni przed wysłaniem maili z szantażem ktoś używający pseudonimu „ransom_man” opublikował posty w dark webie, na r/Suomi (fińskojęzycznym subreddicie) i na Ylilauta, fińskim odpowiedniku 4chan. Tym razem post był po angielsku. „Witajcie, fińscy koledzy” – zaczynał się. „Zhackowaliśmy klinikę psychoterapii vastaamo.fi i przejęliśmy dziesiątki tysięcy rekordów pacjentów, w tym niezwykle wrażliwe notatki z sesji i numery ubezpieczenia społecznego. Zażądaliśmy niewielkiej zapłaty w wysokości 40 bitcoinów (nic dla firmy z rocznymi przychodami bliskimi 20 milionów euro), ale prezes przestał odpowiadać na nasze maile. Zaczynamy teraz stopniowo udostępniać rekordy ich pacjentów, 100 wpisów dziennie”.
Było tam link do dark webu, gdzie 100 rekordów było już wyświetlanych. Bezpośrednio pod nim ransom_man zakończył post jednym słowem: „Enjoy!” („Miłej zabawy!”).
100 rekordów obejmowało tych należących do polityków, policjantów i prominentnych osobistości publicznych. Ich nazwiska pojawiały się obok notatek terapeutycznych zawierających szczegóły cudzołóstwa, prób samobójczych, pedofilii i przemocy seksualnej. Niektóre rekordy należały do dzieci. I ktokolwiek stał za atakiem, dotrzymał słowa: następnego dnia przesłano kolejne 100 rekordów pacjentów.
Niektórzy ofiary desperacko przeszukiwali dark web, aby sprawdzić, czy ich rekordy tam są. Niektórzy zapłacili okup, gorączkowo starając się zdobyć bitcoiny, gdy tykał zegar. Prawnicy reprezentujący ofiary powiedzieli mi, że znają co najmniej dwa przypadki, w których osoby odebrały sobie życie po odkryciu, że ich notatki terapeutyczne zostały zhakowane.
Ale dla wszystkich było już za późno. O godzinie 2 w nocy 23 października 2020 roku – dzień przed tym, jak maile zaczęły docierać do dziesiątek tysięcy skrzynek odbiorczych – ransom_man przesłał znacznie większy plik. Zawierał on każdy rekord każdego pacjenta w bazie danych Vastaamo. Notatki terapeutyczne wszystkich zostały już opublikowane, za darmo, aby cały świat mógł je zobaczyć.
Kto stał za największą zbrodnią w historii Finlandii? I czy mogła nimi kierować coś innego niż pieniądze? Spędziłam 18 miesięcy, próbując odpowiedzieć na te pytania, podążając za tropami w całej Europie i USA. Kulminacją była wizyta w więzieniu i jedna z najbardziej mrożących krew w żyłach rozmów, jakie kiedykolwiek odbyłam.
Finlandia została uznana przez ONZ za najszczęśliwszy kraj na Ziemi przez ostatnie osiem lat z rzędu. Światowy lider w dziedzinie opieki nad dziećmi i edukacji, Finlandia jest również znana z wysokich technologii: to najbardziej zdigitalizowany kraj w Europie, znany z sektora komunikacyjnego (jako dom Nokii) i przodujący w innowacjach w dziedzinie cyberbezpieczeństwa i sztucznej inteligencji. Ale Finlandia to także miejsce ekstremów. Ma więcej zespołów heavy metalowych na mieszkańca niż jakikolwiek inny naród. Na dalekiej północy, przez kilka dni wokół przesilenia zimowego, słońce nie wschodzi.
Vastaamo od dawna uważane było za przykład tego, jak Finlandia radzi sobie z technologią cyfrową. Założona w 2008 roku przez przedsiębiorcę Ville Tapio i jego matkę Ninę, psychoterapeutkę, miała na celu udostępnienie terapii masom i usunięcie piętna związanego z proszeniem o pomoc. Platforma ułatwiała ludziom sprawdzenie, kto jest dostępny, gdzie i w jakim podejściu terapeutycznym się specjalizuje. Logo miało... Paletę kolorystyczną apteczki pierwszej pomocy, z białym napisem w zielonej chmurce dialogowej. „Vastaamo” oznacza „miejsce odpowiedzi”. Była to atrakcyjna platforma również dla terapeutów: nie musieli martwić się marketingiem ani fakturowaniem – Vastaamo zajmowała się tym wszystkim. Firma zapewniała nawet cyfrowy interfejs za kulisami, gdzie terapeuci mogli tworzyć i przechowywać swoje notatki. Ta formuła, w połączeniu z rosnącym zapotrzebowaniem na usługi terapeutyczne, oznaczała, że Vastaamo szybko rosło. Otworzyło własną sieć około 20 klinik w całej Finlandii, zatrudniając ponad 220 psychoterapeutów do 2018 roku, co skłoniło niektórych w Finlandii do nazywania go „McDonald'sem terapii”. W latach, zanim Zoom i Teams stały się częścią naszego codziennego życia, terapia zdalna również oferowana przez Vastaamo była przełomowa. W 2019 roku firma private equity kupiła pakiet większościowy w spółce, zarabiając rodzinie Tapio wypłatę w wysokości ponad 5 milionów euro.
Meri-Tuuli Auer, lat 30, opisuje korzystanie z Vastaamo jako „jak Uber dla terapii – wygodne, dostępne, stosunkowo tanie”. Wybrała swojego terapeutę, ponieważ oferował terapię poznawczo-behawioralną – i spodobało jej się jego zdjęcie. „Wyglądał miło. Wyglądał na przystępnego”.
Dom Auer na obrzeżach Helsinek to istna orgia różu. Na jej półkach są lalki Barbie, książki o Barbie i torebki w motywy Barbie, a także lśniący kabriolet Barbie. Drążek do pole dance zajmuje honorowe miejsce w centrum jej salonu.
„Mam mieszaną osobowość” – mówi mi przy herbacie w kubkach z Muminkami. „Uwielbiam przebywać wśród ludzi, ale mam to przeczucie, tę wątpliwość: może oni wszyscy myślą, że jestem pełna gówna, głupia i brzydka i nie mam pojęcia, co robię”. Auer zmagała się z depresją przez większą część życia. Kiedy miała 18 lat, była w tajnym, trudnym związku z mężczyzną o 29 lat starszym od niej, co sprawiło, że jej poczucie własnej wartości jeszcze bardziej spadło. Piła dużo. „Gdybym nie poszła na terapię, nie wiem, co by się ze mną stało. Może istnieje inny wszechświat, w którym nie dożyłam 30 lat”.
Większość kosztów leczenia Auer była pokrywana przez fiński system opieki zdrowotnej; płaciła tylko około 25 euro za każdą cotygodniową sesję. Robiła wielkie postępy. „Po terapii w 2018 i 2019 roku odzyskałam podstawowe poczucie bezpieczeństwa. To zostało utracone w 2020 roku”.
Prezes Vastaamo wiedział, że rejestr pacjentów firmy jest przetrzymywany w celu wymuszenia okupu na tygodnie przed tym, jak dowiedzieli się o tym klienci. 28 września 2020 roku Ville Tapio otrzymał maila żądającego równowartości 450 000 euro w bitcoinach, aby zapewnić jego bezpieczeństwo. Dołączone przykładowe rekordy pacjentów dowodziły, że szantażysta nie blefuje. Tapio wezwał firmę zajmującą się cyberbezpieczeństwem do zbadania sprawy.
Informacje medyczne są oczywistym celem dla potencjalnych szantażystów, mówi Antti Kurittu, specjalista ds. bezpieczeństwa zatrudniony przez Tapio. Ale to było coś innego: „Cokolwiek powiem terapeucie, jest z natury o wiele bardziej prywatne niż to, jakie jest moje ciśnienie krwi” – mówi sucho.
Kurittu był wcześniej detektywem, badającym cyberprzestępstwa dla fińskiej policji; mówi, że nalegał, aby poinformowano ich o próbie wymuszenia okupu, aby mogli rozpocząć równoległe śledztwo. Tymczasem zaczął badać serwer Vastaamo, szukając wskazówek, kto mógł stać za atakiem – i jedną z pierwszych rzeczy, które zauważył, było to, jak luźne było bezpieczeństwo. „Zdecydowanie nie nadawało się do przechowywania tego rodzaju informacji” – mówi. Mówi mi, że baza danych rekordów pacjentów była dostępna przez internet; nie było zapory ogniowej i, co może najbardziej rażące, była zabezpieczona pustym hasłem, więc każdy mógł po prostu nacisnąć enter i ją otworzyć. Kurittu ustalił, że ktokolwiek zhakował Vastaamo, prawdopodobnie po prostu skanował internet w poszukiwaniu źle zabezpieczonych... Hakerzy szukali wartościowych baz danych, z których mogliby czerpać zyski. „Testowali różne skarbce bankowe, aby zobaczyć, które są odblokowane, i przypadkowo znaleźli ten” – wyjaśnia Kurittu.
Nasze najbardziej prywatne sekrety – rzeczy, których nigdy nie chcielibyśmy ujawniać światu – są tam, w sieci.
Przez kilka tygodni haker i Vastaamo komunikowali się za pośrednictwem poczty elektronicznej, ale Vastaamo nigdy nie rozważało zapłacenia okupu. Zrobienie tego oznaczałoby zaufanie obietnicy przestępcy usunięcia rekordów. Ponadto, zauważa Kurittu, jest to sprzeczne z fińskim charakterem. „Finowie mogą być upartą zgrają.
