Generální ředitel pro kybernetickou bezpečnost zatčen po údajné instalaci malwaru do nemocničních počítačů
V šokujícím případě porušení důvěry, které zdůrazňuje rostoucí hrozbu útoků zevnitř, byl generální ředitel firmy zabývající se kybernetickou bezpečností zatčen za údajnou instalaci malwaru do nemocničních počítačů. Jeffrey Bowie, šéf společnosti Veritaco se sídlem v Oklahomě, čelí po svém zatčení 14. dubna 2025 dvěma obviněním ze závažných trestných činů podle zákona o počítačové kriminalitě státu Oklahomy.
Incident vyvolal vlnu otřesů ve zdravotnictví i v odvětví kybernetické bezpečnosti a vyvolal kritické otázky ohledně zranitelností, které představují jednotlivci, kteří se mají kybernetickým hrozbám bránit – nikoli je vytvářet.
Obsah
Obvinění ze znepokojivého porušení
Podle soudních dokumentů k údajnému útoku došlo 6. srpna 2024 v nemocnici St. Anthony, významném zdravotnickém zařízení v Oklahoma City. Bezpečnostní záznam údajně zachytil Bowieho, jak se potuluje po chodbách nemocnice a snaží se dostat do různých kanceláří, než našel dva bezobslužné počítače. Údajně si poté nainstaloval malware, který měl tajně pořizovat snímky obrazovky každých 20 minut a odesílat je na externí IP adresu.
Když se ho nemocniční personál ptal, Bowie tvrdil, že navštívil člena rodiny, který podstupoval operaci, a potřeboval použít počítač. Forenzní vyšetřování provedené bezpečnostním týmem IT nemocnice St. Anthony však brzy odhalilo instalaci neoprávněného škodlivého softwaru.
„Dne 6. srpna 2024 byla identifikována neoprávněná osoba, která přistupovala k nemocničnímu počítači s údajným pokusem o instalaci malwaru,“ uvedla v oficiální zprávě společnost SSM Health, systém zdravotní péče provozující nemocnici sv. Antonína. „Vzhledem k přijatým opatřením byl problém okamžitě vyřešen a nebyly zpřístupněny žádné informace o pacientech.“
Pozadí obviněného
Jeffrey Bowie si před založením společnosti Veritaco v srpnu 2023 vybudoval kariéru v oblasti kybernetické bezpečnosti, kde pracoval jako hlavní inženýr kybernetické bezpečnosti ve společnosti High Point Networks a zastával několik dalších bezpečnostních pozic. Veritaco, na LinkedInu popisované jako firma specializující se na kybernetickou bezpečnost, digitální forenzní analýzu a soukromé zpravodajství, byla malá firma s jen hrstkou zaměstnanců.
Toto narušení je obzvláště alarmující, protože Bowie by vzhledem ke svému zázemí chápal všechny důsledky instalace malwaru v nemocnici – prostředí, kde životy závisí na integritě a spolehlivosti počítačových systémů.
Potenciální sankce a probíhající vyšetřování
Podle zákonů státu Oklahoma může porušení zákona o počítačové kriminalitě vést k vážným následkům, včetně pokut v rozmezí od 5 000 do 100 000 dolarů, odnětí svobody až na deset let nebo obojího. V současné době FBI i místní orgány činné v trestním řízení pokračují ve vyšetřování případu.
Přestože díky rychlému zásahu nemocničního personálu nebyly ohroženy žádné záznamy pacientů, případ slouží jako drsná připomínka toho, že hrozby zevnitř mohou pocházet z neočekávaných zdrojů – dokonce i od těch, kteří by nás měli chránit.
Poučení pro sektor zdravotnictví
Zdravotnická zařízení jsou již nyníhlavním cílem kybernetických útoků kvůli citlivé povaze dat, která zpracovávají. Tento incident zdůrazňuje důležitost robustního fyzického zabezpečení, přísných kontrol přístupu, neustálého monitorování a důsledných prověřovacích procesů pro kohokoli – dokonce i pro dodavatele a údajné odborníky – kdo přijde do styku s interními systémy.
Organizace musí zachovat přístup „důvěřuj, ale prověřuj“ a zajistit, aby i vysoce kvalifikovaní jedinci neměli nekontrolovaný přístup ke kritické infrastruktuře. V dnešní době se kybernetická bezpečnost neomezuje jen na obranu před vnějšími útočníky – nebezpečí zevnitř mohou být stejně reálná a někdy i ničivější.