Nettsikkerhetssjef arrestert etter angivelig å ha installert skadelig programvare på sykehusdatamaskiner
I et sjokkerende tillitsbrudd som fremhever den økende trusselen fra innsideangrep, er administrerende direktør i et cybersikkerhetsfirma arrestert for angivelig å ha installert skadelig programvare på sykehusdatamaskiner. Jeffrey Bowie, sjefen for Oklahoma-baserte Veritaco, står overfor to forbrytelser i henhold til Oklahomas lov om datakriminalitet etter arrestasjonen 14. april 2025.
Hendelsen har sendt ringvirkninger gjennom både helsevesenet og cybersikkerhetsbransjen, og reist kritiske spørsmål om sårbarhetene som utgjøres av individer som skal forsvare seg mot cybertrusler – ikke skape dem.
Innholdsfortegnelse
Påstander om et forstyrrende brudd
Ifølge rettsdokumenter fant det angivelige angrepet sted 6. august 2024 på St. Anthony Hospital, et stort medisinsk anlegg i Oklahoma City. Overvåkingsopptakene skal ha fanget Bowie mens han vandret gjennom sykehusets korridorer og prøvde å få tilgang til forskjellige kontorer før han fant to uovervåkede datamaskiner. Det påstås at han deretter installerte skadelig programvare som i hemmelighet tar skjermbilder hvert 20. minutt og sender dem til en ekstern IP-adresse.
Da Bowie ble avhørt av sykehuspersonalet, hevdet han at han besøkte et familiemedlem som gjennomgikk en operasjon og trengte å bruke en datamaskin. En rettsmedisinsk undersøkelse utført av St. Anthony's IT-sikkerhetsteam avslørte imidlertid snart installasjon av uautorisert skadelig programvare.
«Den 6. august 2024 ble en uautorisert person identifisert som hadde tilgang til en sykehusdatamaskin i et angivelig forsøk på å installere skadelig programvare», uttalte SSM Health, helsevesenet som driver St. Anthony Hospital, i en offisiell pressemelding. «På grunn av forholdsregler som var på plass, ble problemet løst umiddelbart, og ingen pasientinformasjon ble åpnet.»
Bakgrunn om den tiltalte
Før Jeffrey Bowie grunnla Veritaco i august 2023, bygde han opp en karriere innen cybersikkerhet. Han jobbet som senior cybersikkerhetsingeniør hos High Point Networks og hadde flere andre sikkerhetsroller. Veritaco, beskrevet på LinkedIn som spesialisert innen cybersikkerhet, digital etterforskning og privat etterretning, var et lite firma med bare en håndfull ansatte.
Innbruddet er spesielt alarmerende fordi Bowie, gitt sin bakgrunn, ville ha forstått de fulle konsekvensene av å plante skadelig programvare inne på et sykehus – et miljø der liv avhenger av integriteten og påliteligheten til datasystemer.
Potensielle straffer og pågående etterforskning
I henhold til loven i Oklahoma kan grove brudd på Computer Crimes Act føre til alvorlige konsekvenser, inkludert bøter fra 5000 til 100 000 dollar, fengsel i opptil ti år, eller begge deler. Foreløpig fortsetter både FBI og lokale politimyndigheter etterforskningen av saken.
Selv om ingen pasientjournaler ble kompromittert takket være rask handling fra sykehuspersonalet, tjener saken som en sterk påminnelse om at innsidetrusler kan komme fra uventede kilder – selv fra de som skal beskytte oss.
Lærdommer for helsesektoren
Helseinstitusjoner er alleredehovedmål for cyberangrep på grunn av den sensitive naturen til dataene de håndterer. Denne hendelsen understreker viktigheten av robust fysisk sikkerhet, strenge tilgangskontroller, konstant overvåking og strenge kontrollprosesser for alle – selv leverandører og antatte eksperter – som kommer i kontakt med interne systemer.
Organisasjoner må opprettholde en «stol på, men verifiser»-tankegang, og sørge for at selv personer med høy autorisasjon ikke får ukontrollert tilgang til kritisk infrastruktur. I dagens landskap handler ikke cybersikkerhet bare om å forsvare seg mot angripere utenfra – farene innenfra kan være like reelle, og noen ganger enda mer ødeleggende.