Kyberturvallisuusjohtaja pidätettiin väitetysti asennettuaan haittaohjelmia sairaalan tietokoneille
Järkyttävässä luottamuspulassa, joka korostaa kasvavaa sisäpiirihyökkäysten uhkaa, kyberturvallisuusyrityksen toimitusjohtaja on pidätetty väitetysti haittaohjelmien asentamisesta sairaalan tietokoneille. Oklahomassa sijaitsevan Veritacon johtaja Jeffrey Bowie on saanut kaksi syytettä törkeästä rikoksesta Oklahoman tietoverkkorikoslain nojalla pidätyksensä jälkeen 14. huhtikuuta 2025.
Tapaus on lähettänyt aaltoja sekä terveydenhuoltoyhteisöön että kyberturvallisuusalalle ja herättänyt kriittisiä kysymyksiä haavoittuvuuksista, joita aiheuttavat yksilöt, joiden oletetaan puolustautuvan kyberuhkia vastaan – ei luovan niitä.
Sisällysluettelo
Väitteet häiritsevästä rikkomuksesta
Oikeusasiakirjojen mukaan väitetty hyökkäys tapahtui 6. elokuuta 2024 St. Anthony -sairaalassa, joka on merkittävä lääketieteellisen laitoksen osasto Oklahoma Cityssä. Turvakameratallenteiden kerrotaan tallentavan Bowien vaeltelevan sairaalan käytävillä ja yrittävän päästä eri toimistoihin ennen kuin löytäisi kaksi valvomatta olevaa tietokonetta. Hänen väitetään sen jälkeen asentaneen haittaohjelman, joka on suunniteltu ottamaan salaa kuvakaappauksia 20 minuutin välein ja lähettämään ne ulkoiseen IP-osoitteeseen.
Sairaalan henkilökunnan kuulustellessa Bowie väitti olevansa tapaamassa leikkauksessa olevaa perheenjäsentä ja tarvitsevansa tietokonetta. St. Anthony'sin IT-turvallisuustiimin suorittama rikostekninen tutkimus paljasti kuitenkin pian luvattoman haittaohjelman asennuksen.
”6. elokuuta 2024 tunnistettiin luvaton henkilö, joka käytti sairaalan tietokonetta väitetysti yrittäessään asentaa haittaohjelmia”, St. Anthony -sairaalaa ylläpitävä terveydenhuoltojärjestelmä SSM Health totesi virallisessa tiedotteessa. ”Varotoimenpiteiden ansiosta ongelmaan puututtiin välittömästi, eikä potilastietoihin päästy käsiksi.”
Syytetyn tausta
Ennen Veritacon perustamista elokuussa 2023 Jeffrey Bowie loi uran kyberturvallisuuden parissa työskennellen vanhempana kyberturvallisuusinsinöörinä High Point Networksilla ja useissa muissa turvallisuustehtävissä. Veritaco, jota LinkedInissä kuvaillaan kyberturvallisuuteen, digitaaliseen rikostutkintaan ja yksityiseen tiedusteluun erikoistuneeksi, oli pieni yritys, jossa oli vain kourallinen työntekijöitä.
Tietomurto on erityisen hälyttävä, koska Bowie olisi taustansa vuoksi ymmärtänyt kaikki haittaohjelmien asentamisen seuraukset sairaalaan – ympäristöön, jossa ihmishenkiä riippuu tietokonejärjestelmien eheydestä ja luotettavuudesta.
Mahdolliset rangaistukset ja meneillään oleva tutkinta
Oklahoman lain mukaan tietokonerikoslain rikkomukset voivat johtaa vakaviin seurauksiin, kuten 5 000–100 000 dollarin sakkoihin, jopa kymmenen vuoden vankeusrangaistukseen tai molempiin. Tällä hetkellä sekä FBI että paikalliset lainvalvontaviranomaiset jatkavat tapauksen tutkintaa.
Vaikka sairaalahenkilökunnan nopean toiminnan ansiosta potilastietoja ei vaarantunut, tapaus toimii karuna muistutuksena siitä, että sisäpiirin uhat voivat tulla odottamattomista lähteistä – jopa niiltä, joiden on tarkoitus suojella meitä.
Oppitunteja terveydenhuoltoalalle
Terveydenhuollon laitokset ovat jo nytensisijaisia kyberhyökkäysten kohteita niiden käsittelemien tietojen arkaluonteisuuden vuoksi. Tämä tapaus korostaa vahvan fyysisen turvallisuuden, tiukan pääsynvalvonnan, jatkuvan valvonnan ja tiukkojen tarkastusprosessien merkitystä kaikille – jopa toimittajille ja oletetuille asiantuntijoille – jotka ovat tekemisissä sisäisten järjestelmien kanssa.
Organisaatioiden on säilytettävä "luota, mutta tarkista" -ajattelutapa ja varmistettava, että edes erittäin pätevät henkilöt eivät saa valvomatonta pääsyä kriittiseen infrastruktuuriin. Nykymaailmassa kyberturvallisuus ei ole pelkästään ulkopuolisten hyökkääjien torjuntaa – sisäiset vaarat voivat olla aivan yhtä todellisia ja joskus jopa tuhoisampia.