Kibernetinio saugumo generalinis direktorius suimtas už tai, kad įtariamas kenkėjiškų programų įdiegimas ligoninės kompiuteriuose
Šokiruojantis pasitikėjimo pažeidimas, pabrėžiantis didėjančią vidinių atakų grėsmę, pabrėžia kibernetinio saugumo įmonės generalinio direktoriaus areštą už tai, kad įtariama įdiegus kenkėjiškas programas ligoninės kompiuteriuose. Jeffrey Bowie, Oklahomoje įsikūrusios „Veritaco“ vadovas, po jo arešto 2025 m. balandžio 14 d., susiduria su dviem sunkiais nusikaltimais pagal Oklahomos kompiuterinių nusikaltimų įstatymą.
Šis incidentas sukėlė ažiotažą tiek sveikatos priežiūros bendruomenėje, tiek kibernetinio saugumo pramonėje, iškeldamas svarbių klausimų apie pažeidžiamumus, kuriuos kelia asmenys, kurie turėtų gintis nuo kibernetinių grėsmių, o ne jas kurti.
Turinys
Įtarimai dėl nerimą keliančio pažeidimo
Teismo dokumentuose teigiama, kad tariamas išpuolis įvyko 2024 m. rugpjūčio 6 d. Šv. Antano ligoninėje, didelėje medicinos įstaigoje Oklahoma Sityje. Apsaugos kamerų įrašuose, kaip pranešama, užfiksuota, kaip Bowie klaidžioja ligoninės koridoriais, bandydamas patekti į įvairius kabinetus, kol rado du neprižiūrimus kompiuterius. Teigiama, kad tada jis įdiegė kenkėjišką programą, skirtą slapta kas 20 minučių daryti ekrano kopijas ir siųsti jas į išorinį IP adresą.
Ligoninės personalo apklausiamas Bowie teigė, kad lankė šeimos narį, kuriam buvo atliekama operacija, ir jam reikėjo naudotis kompiuteriu. Tačiau netrukus Šv. Antano IT saugumo komandos atliktas teismo ekspertizė atskleidė neleistinos kenkėjiškos programinės įrangos įdiegimą.
„2024 m. rugpjūčio 6 d. buvo nustatytas neįgaliotas asmuo, bandantis įdiegti kenkėjišką programą ligoninės kompiuteryje“, – oficialiame pranešime teigė Šv. Antano ligoninę valdanti sveikatos priežiūros sistema „SSM Health“. „Dėl taikomų atsargumo priemonių problema buvo nedelsiant išspręsta ir prieiga prie pacientų informacijos nebuvo atlikta.“
Kaltinamojo praeitis
Jeffrey Bowie, prieš įkurdamas „Veritaco“ 2023 m. rugpjūtį, sukūrė karjerą kibernetinio saugumo srityje, dirbdamas vyresniuoju kibernetinio saugumo inžinieriumi „High Point Networks“ ir eidamas kelias kitas su saugumu susijusias pareigas. „Veritaco“, „LinkedIn“ tinkle apibūdinama kaip besispecializuojanti kibernetinio saugumo, skaitmeninės teismo ekspertizės ir privačios žvalgybos srityse, buvo maža įmonė, kurioje dirbo vos keli darbuotojai.
Šis įsilaužimas kelia ypač didelį nerimą, nes Bowie, atsižvelgiant į jo patirtį, būtų supratęs visas kenkėjiškų programų diegimo ligoninėje pasekmes – aplinkoje, kurioje gyvybės priklauso nuo kompiuterinių sistemų vientisumo ir patikimumo.
Galimos baudos ir vykstantis tyrimas
Pagal Oklahomos įstatymus, sunkūs Kompiuterinių nusikaltimų įstatymo pažeidimai gali turėti rimtų pasekmių, įskaitant baudas nuo 5 000 iki 100 000 USD, laisvės atėmimą iki dešimties metų arba abi bausmes. Šiuo metu tiek FTB, tiek vietos teisėsaugos institucijos tęsia bylos tyrimą.
Nors dėl greitų ligoninės personalo veiksmų pacientų įrašai nebuvo pažeisti, šis atvejis yra rimtas priminimas, kad grėsmės iš vidaus gali kilti iš netikėtų šaltinių – net iš tų, kurie turėtų mus apsaugoti.
Pamokos sveikatos priežiūros sektoriui
Sveikatos priežiūros įstaigos jau yrapagrindiniai kibernetinių atakų taikiniai dėl jų tvarkomų duomenų jautrumo. Šis incidentas pabrėžia patikimo fizinio saugumo, griežtos prieigos kontrolės, nuolatinio stebėjimo ir griežtų visų – net tiekėjų ir tariamų ekspertų – kas liečiasi su vidinėmis sistemomis, tikrinimo svarbą.
Organizacijos privalo laikytis požiūrio „pasitikėk, bet patikrink“, užtikrindamos, kad net ir itin sertifikuoti asmenys neturėtų nekontroliuojamos prieigos prie kritinės infrastruktūros. Šiandien kibernetinis saugumas – tai ne tik gynyba nuo išorės užpuolikų – pavojai iš vidaus gali būti tokie pat realūs, o kartais net pražūtingesni.