Tiina Parikka byla napůl oblečená, když si přečetla ten e-mail. Byl konec října 2020, sobota, a Parikka strávila ráno řešením plánů distanční výuky po vypuknutí covidu ve škole, kde působila jako ředitelka. Vzala si saunu ve svém bytě ve Vantaa, na předměstí finského hlavního města Helsinek, a když vešla do ložnice, aby se oblékla, bezmyšlenkovitě zkontrolovala telefon. Byla tam zpráva začínající jejím jménem a rodným číslem – jedinečným kódem, který se ve Finsku používá k identifikaci lidí ve zdravotnictví, školství a bankovnictví. „Věděla jsem v tu chvíli, že tohle není hra,“ říká.
E-mail byl ve finštině. Byl až zarážejícím způsobem zdvořilý. „Oslovujeme vás, protože jste využili terapeutických a/nebo psychiatrických služeb společnosti Vastaamo,“ stálo v něm. „Bohužel vás musíme požádat o zaplacení, aby vaše osobní údaje zůstaly v bezpečí.“ Odesílatel požadoval 200 eur v bitcoinech do 24 hodin, jinak by se cena do 48 hodin zvýšila na 500 eur. „Pokud i poté peníze nedostaneme, vaše informace budou zveřejněny, aby je mohl vidět každý, včetně vašeho jména, adresy, telefonního čísla, rodného čísla a podrobných záznamů obsahujících přepisy vašich rozhovorů s terapeuty nebo psychiatry společnosti Vastaamo.“
Parikka se při vybavování této vzpomínky těžce nadechne. „Srdce mi bušilo. Bylo opravdu těžké dýchat. Pamatuji si, jak jsem si lehla na postel a řekla svému manželovi: ‚Myslím, že dostanu infarkt.‘“
Někdo se naboural do Vastaama, společnosti, přes kterou Parikka získala psychoterapii. Zmocnili se terapeutických zápisků obsahujících její nejosobnější, nejintimnější pocity a nejtemnější myšlenky – a drželi je jako výkupné. Parikce se v hlavě míhaly myšlenky, když se snažila vybavit si vše, co během tří let týdenních terapeutických sezení svěřila. Jak by reagovala její rodina, kdyby věděla, co říkala? Co by řekli její studenti? Pocit odhalení a znesvěcení byl nepopsatelný: „Bylo to jako veřejné znásilnění.“
Terapie byla pro Parikku záchranným lanem. Dnes je jí 62 let, a když jí bylo 25, měla již tři děti, včetně dvojčat, která se v 80. letech narodila extrémně předčasně a vážila jen několik set gramů každé. Jedno z nich vyrůstalo s dětskou mozkovou obrnou; druhé je slepé. Parikka strávila roky skloubováním lékařských pohotovostí, operací a pobytů v nemocnici s náročnou prací a rozpadajícím se manželstvím. „Během těch let se mě nikdo, ani jako matku, nezeptal: ‚Jak se máš?‘“
V roce 2014 se rozvedla a o rok později potkala svého současného partnera. Tehdy už byly její děti dospělé s vlastním životem. Po desetiletích, kdy dávala potřeby všech ostatních před své vlastní, by konečně měla být schopna vydechnout. Místo toho se zhroutila. „Celým mým tělem neustále proudila úzkost. Nemohla jsem spát. Měla jsem záchvaty paniky. Nemohla jsem jíst.“ Jednoho dne, když jela vysokou rychlostí po dálnici, ji přepadly temné myšlenky. „Přemýšlela jsem, že by mi nevadilo, kdyby toto auto havarovalo.“
V zoufalé snaze najít pomoc vyhledala Google, který ji dovedl k Vastaamu, finskému digitálnímu one-stop shopu pro lidi hledající psychoterapii. Nebylo nutné doporučení lékaře. Podařilo se jí domluvit si sezení již na následující den. „Bylo to tak snadné.“
Možnost svěřit se naprosto cizímu člověku byla osvobozující. Svému terapeutovi řekla věci, které nikdy neřekla ani duši. „Traumata ve vztazích. Zklamání a tragédie z toho, že mám postižené děti, a vliv, který to mělo na můj život,“ říká. „Hloupé věci, dětinské věci. Je velmi lidské cítit nenávist, vztek, zuřivost.“
Poté, co Parikka přečetla e-mail, který jí ztížil dýchání, nevěděla, na koho se obrátit o pomoc. Běžela... Zavolala na tísňovou linku, ale policie jí řekla, aby zavěsila; linku potřebovali volnou pro skutečné nouzové případy. V županu, s telefonem stále v ruce, se cítila naprosto opuštěná.
Ale Parikka nebyla zdaleka sama. Po celém Finsku 33 000 lidí, kteří využili služeb Vastaama, zjišťovalo, že hacker získal jejich terapeutické záznamy a drží je jako výkupné. Šlo o lidi, kteří byli z definice pravděpodobně zranitelní a potřebovali pomoc. Každý z nich prožíval hluboce osobní teror. V zemi s pouhými 5,6 miliony obyvatel znal každý někoho, kdo byl napaden.
Záznamy některých obětí už byly vybrány a zveřejněny, aby je svět mohl vidět. Tři dny před odesláním vyděračských e-mailů někdo pod přezdívkou „ransom_man“ zveřejnil příspěvek na dark webu, na r/Suomi (finsky mluvící subreddit) a na Ylilauta, finské obdobě 4chanu. Tentokrát byl příspěvek v angličtině. „Ahoj finští kolegové,“ začínal. „Napadli jsme psychoterapeutickou kliniku vastaamo.fi a získali jsme desítky tisíc záznamů pacientů, včetně extrémně citlivých poznámek ze sezení a rodných čísel. Požadovali jsme malou platbu 40 bitcoinů (nic pro společnost s ročními příjmy blížícími se 20 milionům eur), ale generální ředitel přestal na naše e-maily odpovídat. Nyní začínáme postupně zveřejňovat záznamy jejich pacientů, 100 záznamů každý den.“
Byl tam odkaz na dark web, kde už bylo zveřejněno 100 záznamů. Přímo pod ním ransom_man příspěvek podepsal jediným slovem: „Užijte si to!“
Mezi 100 záznamy byly i záznamy politiků, policistů a prominentních veřejných osobností. Jejich jména se objevila vedle terapeutických poznámek obsahujících podrobnosti o cizoložství, pokusech o sebevraždu, pedofilii a sexuálním násilí. Některé záznamy patřily dětem. A kdokoli stál za tímto útokem, dodržel slovo: další den bylo nahráno dalších 100 záznamů pacientů.
Některé oběti zoufale prohledávaly dark web, aby zjistily, zda tam nejsou jejich záznamy. Někteří výkupné zaplatili, snažili se sehnat bitcoiny, dokud tikaly hodiny. Právníci zastupující oběti mi řekli, že vědí alespoň o dvou případech, kdy si lidé vzali život poté, co zjistili, že jejich terapeutické záznamy byly napadeny.
Ale pro všechny už bylo pozdě. Ve 2 hodiny ráno 23. října 2020 – den předtím, než e-maily začaly přicházet do desítek tisíc schránek – nahrál ransom_man mnohem větší soubor. Obsahoval každý záznam každého jednotlivého pacienta v databázi Vastaama. Terapeutické poznámky všech už byly zveřejněny, zdarma, aby je mohl vidět celý svět.
Kdo stál za největším zločinem, jaký Finsko kdy poznalo? A mohlo je k němu vést něco jiného než peníze? Strávil jsem 18 měsíců snahou odpovědět na tyto otázky, sledoval jsem stopy napříč Evropou a USA. Vyvrcholilo to návštěvou vězení a jedním z nejděsivějších rozhovorů, jaké jsem kdy vedl.
Finsko bylo OSN za posledních osm let v řadě označeno za nejšťastnější zemi na Zemi. Finsko, světový lídr v oblasti péče o děti a vzdělávání, je také proslulé svou vyspělou technologií: je to nejdigitalizovanější země v Evropě, proslulá svým komunikačním sektorem (jako domov Nokie) a vede v oblasti kybernetické bezpečnosti a inovací v oblasti umělé inteligence. Ale Finsko je také zemí extrémů. Má na hlavu více heavymetalových kapel než kterákoli jiná země. Na dalekém severu se během několika dnů kolem zimního slunovratu slunce neobjeví.
Vastaamo bylo dlouho považováno za příklad toho, jak Finsko správně využívá digitální technologie. Společnost založil v roce 2008 podnikatel Ville Tapio a jeho matka Nina, psychoterapeutka, s cílem zpřístupnit terapii masám a odstranit stigma spojené s žádostí o pomoc. Platforma lidem usnadnila vidět, kdo je k dispozici, kde a jakému terapeutickému přístupu se specializuje. Logo mělo... Barevnou paletu lékárničky s bílým písmem v zelené bublině. „Vastaamo“ znamená „místo pro odpovědi“. Byla to atraktivní platforma i pro terapeuty: nemuseli se starat o marketing nebo fakturaci – Vastaamo se o to vše postaralo. Společnost dokonce poskytovala zákulisní digitální rozhraní, kde terapeuti mohli dělat a ukládat své poznámky. Tento vzorec v kombinaci s rostoucí poptávkou po terapeutických službách znamenal, že Vastaamo rychle rostlo. Otevřela si vlastní síť asi 20 klinik po celém Finsku, která v roce 2018 zaměstnávala více než 220 psychoterapeutů, což vedlo některé ve Finsku k tomu, že ji označovali za „McDonald's terapie“. V letech, kdy Zoom a Teams ještě nebyly součástí našeho každodenního života, byla i vzdálená terapie nabízená Vastaamem průlomová. V roce 2019 koupila soukromá kapitálová společnost většinový podíl ve společnosti, čímž rodina Tapio získala výplatu ve výši více než 5 milionů eur.
Třicetiletá Meri-Tuuli Auer popisuje využívání Vastaama jako „Uber pro terapii – pohodlné, dostupné, relativně levné“. Svého terapeuta si vybrala proto, že nabízel kognitivní psychoterapii – a líbil se jí jeho fotka. „Vypadal mile. Vypadal přístupně.“
Auerův dům na okraji Helsinek je vřava růžové. Na jejích policích jsou panenky Barbie, knihy o Barbie a kabelky s tématikou Barbie, stejně jako třpytivý kabriolet Barbie sport. Tyč na pole dance má čestné místo uprostřed jejího obývacího pokoje.
„Mám smíšenou osobnost,“ říká mi při čaji v hrncích s Muminky. „Miluji být mezi lidmi, ale mám tušení, tu pochybnost: možná si všichni myslí, že jsem plná sraček, hloupá a ošklivá a že nevím, co dělám.“ Auer většinu života bojovala s depresí. Když jí bylo 18 let, byla v tajném, obtížném vztahu s mužem o 29 let starším, což její sebevědomí ještě více propadlo. Hodně pila. „Kdybych nešla na terapii, nevím, co by se ze mě stalo. Možná existuje jiný vesmír, kde jsem se nedožila třiceti.“
Většinu nákladů na Auerinu léčbu hradil finský systém zdravotní péče; za každé týdenní sezení zaplatila jen asi 25 eur. Dělala velké pokroky. „Po terapii v letech 2018 a 2019 jsem získala základní pocit bezpečí. To se v roce 2020 ztratilo.“
Generální ředitel Vastaama věděl, že registr pacientů společnosti je držen jako výkupné, týdny předtím, než se to dozvěděli zákazníci. Dne 28. září 2020 obdržel Ville Tapio e-mail požadující ekvivalent 450 000 eur v bitcoinech, aby zůstal v bezpečí. Vzorky záznamů pacientů připojené k e-mailu dokázaly, že vyděrač neblufuje. Tapio povolal kybernetickou bezpečnostní firmu, aby případ prošetřila.
Lékařské informace jsou zřejmým cílem potenciálních vyděračů, říká Antti Kurittu, bezpečnostní specialista, kterého Tapio najal. Ale tohle bylo něco jiného: „Cokoli, co řeknu terapeutovi, je ze své podstaty mnohem soukromější než můj krevní tlak,“ říká suše.
Kurittu býval detektivem, vyšetřoval kybernetické zločiny pro finskou policii; říká, že trval na tom, aby byli o pokusu o vydírání informováni, aby mohli zahájit paralelní vyšetřování. Mezitím začal prohlížet server Vastaama a hledal stopy, kdo by mohl stát za útokem – a jednou z prvních věcí, které si všiml, bylo, jak laxní byla bezpečnost. „Rozhodně to nebylo vhodné pro ukládání tohoto druhu informací,“ říká. Říká mi, že databáze záznamů pacientů byla přístupná přes internet; nebyl tam žádný firewall a možná nejhorší bylo, že byla zabezpečena prázdným heslem, takže kdokoli mohl jen stisknout enter a otevřít ji. Kurittu zjistil, že kdokoli Vastaamo napadl, pravděpodobně jen prohledával internet a hledal jakékoli špatně zabezpečené... Hackeři hledali cenné databáze, ze kterých by mohli profitovat. „Testovali různé bankovní trezory, aby zjistili, které jsou odemčené, a náhodou našli tento,“ vysvětluje Kurittu.
Naše nejosobnější tajemství – věci, které bychom nikdy nechtěli vystavit světu – jsou tam venku online.
Několik týdnů hacker a Vastaamo komunikovali prostřednictvím e-mailu, ale Vastaamo nikdy neuvažovalo o zaplacení výkup
