Izvršnega direktorja za kibernetsko varnost aretirali zaradi domnevne namestitve zlonamerne programske opreme na bolnišnične računalnike
V šokantnem primeru kršitve zaupanja, ki poudarja naraščajočo grožnjo notranjih napadov, je bil izvršni direktor podjetja za kibernetsko varnost aretiran zaradi domnevnega nameščanja zlonamerne programske opreme v bolnišnične računalnike. Jeffrey Bowie, vodja podjetja Veritaco s sedežem v Oklahomi, se po aretaciji 14. aprila 2025 sooča z dvema obtožbama kaznivega dejanja v skladu z zakonom o računalniški kriminaliteti v Oklahomi.
Incident je povzročil veliko razburjenja tako v zdravstveni skupnosti kot v industriji kibernetske varnosti ter sprožil kritična vprašanja o ranljivostih posameznikov, ki naj bi se branili pred kibernetskimi grožnjami – ne pa jih ustvarjali.
Kazalo
Obtožbe o moteči kršitvi
Glede na sodne dokumente se je domnevni napad zgodil 6. avgusta 2024 v bolnišnici St. Anthony, pomembnem zdravstvenem zavodu v Oklahoma Cityju. Posnetki varnostnih kamer naj bi Bowieja ujel, kako tava po hodnikih bolnišnice in poskuša dostopati do različnih pisarn, preden je našel dva neurejena računalnika. Domnevno naj bi nato namestil zlonamerno programsko opremo, namenjeno prikritemu zajemanju posnetkov zaslona vsakih 20 minut in njihovemu pošiljanju na zunanji IP-naslov.
Ko ga je bolnišnično osebje vprašalo, je Bowie trdil, da je obiskal družinskega člana, ki je bil na operaciji, in je moral uporabiti računalnik. Vendar pa je forenzična preiskava, ki jo je izvedla ekipa za IT-varnost bolnišnice St. Anthony, kmalu razkrila namestitev nepooblaščene zlonamerne programske opreme.
»6. avgusta 2024 je bila nepooblaščena oseba dostopala do bolnišničnega računalnika z domnevnim poskusom namestitve zlonamerne programske opreme,« je v uradni izjavi navedel SSM Health, zdravstveni sistem, ki upravlja bolnišnico sv. Antona. »Zaradi sprejetih previdnostnih ukrepov je bila težava takoj odpravljena in ni bil dostopan noben podatek o pacientih.«
Ozadje obtoženega
Jeffrey Bowie si je pred ustanovitvijo podjetja Veritaco avgusta 2023 zgradil kariero na področju kibernetske varnosti, kjer je delal kot višji inženir za kibernetsko varnost pri podjetju High Point Networks in opravljal več drugih varnostnih vlog. Veritaco, ki je na LinkedInu opisan kot specializirano podjetje za kibernetsko varnost, digitalno forenziko in zasebno obveščevalno dejavnost, je bilo majhno podjetje s le peščico zaposlenih.
Vdor je še posebej zaskrbljujoč, ker bi Bowie glede na svoje ozadje razumel vse posledice namestitve zlonamerne programske opreme v bolnišnico – okolje, kjer so življenja odvisna od integritete in zanesljivosti računalniških sistemov.
Možne kazni in tekoča preiskava
Po zakonodaji Oklahome lahko kršitve Zakona o računalniškem kriminalu povzročijo resne posledice, vključno z globami od 5000 do 100.000 dolarjev, zaporno kaznijo do desetih let ali obojim. Trenutno tako FBI kot lokalni organi pregona nadaljujejo preiskavo primera.
Čeprav zaradi hitrega ukrepanja bolnišničnega osebja ni bila ogrožena nobena pacientova dokumentacija, primer služi kot oster opomin, da lahko notranje grožnje prihajajo iz nepričakovanih virov – celo od tistih, ki naj bi nas varovali.
Lekcije za zdravstveni sektor
Zdravstvene ustanove so zaradi občutljive narave podatkov, s katerimi upravljajo, žetako ali tako glavne tarče kibernetskih napadov . Ta incident poudarja pomen robustne fizične varnosti, strogega nadzora dostopa, stalnega spremljanja in strogih postopkov preverjanja za vse – tudi za prodajalce in domnevne strokovnjake –, ki pridejo v stik z notranjimi sistemi.
Organizacije morajo ohranjati miselnost »zaupaj, a preveri«, s čimer zagotovijo, da tudi posamezniki z visoko stopnjo pooblastil nimajo neoviranega dostopa do kritične infrastrukture. V današnjem okolju kibernetska varnost ni le obramba pred zunanjimi napadalci – nevarnosti od znotraj so lahko prav tako resnične in včasih celo bolj uničujoče.