Hackaretik – och bristen därpå
Internet öppnar för ofantlig nytta och gränslösa fanstyg. Vastaamos dataläcka innebär ett nytt lågvattenmärke på alla punkter – också myndighetsövervakning.
Medierna tenderar – missvisande nog – att upprepa ordet hackare till lust och leda då man rapporterar om dataintrång och annat digitalt fanskap. Lyckligtvis drivs majoriteten av hackarna av nyfikenhet och etiska syften, inte av illvilja, girighet eller opportunism. På 1970-talet pillade en generation av fjuniga unga män som Bill Gates och Steve Wozniak med primitiva datorer i sovrummen, garagen och studenthemmen, för att snabbt växa sig in i näringslivet och omdefiniera historien med bolag som Microsoft och Apple. Boken Hackers – Heroes of the Computer Revolution av Stephen Levy (1984) sammanfattar den så kallade hackaretiken: delning, öppenhet och decentralisering. Genom att förstå och förbättra tekniken och lekfullt utvidga dess potential förbättrar man världen på kuppen. Så lydde åtminstone den idealistiska, snudd på anarkistiska visionen.
Men varje ljus kastar en skugga, och ju mer man närmar sig ljuset, desto större växer skuggan. Fallet Vastaamo och dess sorgliga efterspel visar hur professionella, djupt omoraliska brottsliga element vänder ut och in på hackaretiken och skapar nya hierarkier. Med hänsynslös, beräknande opportunism identifierar man svagheter i syfte att exploatera och utpressa. I kölvattnet kommer medlöparna, dessa osjälvständiga eftersägare som med glad villighet medverkar till att utnyttja de försvarslösa offren i repris. Den enfaldiga sadismen hos dessa karaktärer är så förutsägbar att ett dylikt manuskript knappast skulle få finansiering som b-rulle. Detta är dagens Finland, dagens internet.
Den tekniskt begåvade med moralisk ryggrad som ser en ny manick eller mjukvara börjar instinktivt utforska hur den fungerar, hur den kan förbättras. På webben jobbar hundratals kriminella ligor dygnet runt för att luska ut sårbarheter och tjäna en hacka. Cyberbrott lönar sig: riskerna är små och utdelningen potentiellt massiv.
Av allt att döma har det privata psykoterapicentret Vastaamo haft noll koll på hur klientuppgifterna har förvarats. Nu har upp till tiotusentals personuppgifter och patientjournaler läckt, uppenbarligen halvt av misstag under ett rutinmässigt, automatiserat dataintrång där angriparna kastade ut näten vitt och brett i förhoppning om att håva in något värdefullt.
Över 2 000 terapijournaler har legat ute på darknet, den anonyma, dubiösa delen av internet, och utgör nu fritt villebråd för utpressning i andra och tredje hand. Också minderåriga drabbas. Vastaamo är skyldiga till oförlåtlig nonchalans och brott mot alla tänkbara standarder. Otaliga frågetecken tornar upp sig, inte minst kring tillsynsverket Valviras övervakning av 10–20 motsvarande bolag på marknaden och hundratals privata mottagningar.
För att skydda våra data, förbättra integriteten och mana företag att se över hanteringen av personuppgifter trädde EU:s dataskyddsförordning GDPR i kraft i maj 2018. Den som slarvar riskerar saftiga böter: upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Sammanträffande eller ej – i Vastaamos fall låg lösensumman på 40 bitcoin i linje med beloppet.
Vastaamo, en pionjär inom privat psykoterapi, har marknadsfört snabb tillgång till vård inklusive digitala sessioner, en gräddfil förbi de långa offentliga vårdköerna som bara har vuxit under coronatider. Bolagets omsättning växte i fjol med imponerande 28 procent till 14 miljoner euro.
Enligt uppgift var journalerna okrypterade och lagrades inte ens åtskilt från det öppna internet. Vad värre: lösenordet till databasen lär ska ha legat kvar vid fabriksinställningar – som en post-it-lapp med koden på ett kassaskåp. Nu har en psykoterapeut-mor och hennes programmerar-son med enorm självtillit skapat ett hemvävt it-system och håvat in kunder med mottagningar i tjugo städer. Trots uppenbart svag ledning och administration har bolaget härjat fritt på en känslig marknad. Priset betalar klienterna – resten av sina liv.