ซีอีโอด้านความปลอดภัยไซเบอร์ถูกจับกุมหลังจากถูกกล่าวหาว่าติดตั้งมัลแวร์บนคอมพิวเตอร์ของโรงพยาบาล

ซีอีโอของบริษัทรักษาความปลอดภัยทางไซเบอร์ถูกจับกุมในข้อหาติดตั้ง มัลแวร์ บนคอมพิวเตอร์ของโรงพยาบาล โดยเกิดการละเมิดความไว้วางใจอย่างน่าตกตะลึง ซึ่งแสดงให้เห็นถึงภัยคุกคามจากการโจมตีจากภายในที่เพิ่มขึ้น Jeffrey Bowie หัวหน้าบริษัท Veritaco ซึ่งตั้งอยู่ในโอคลาโฮมา ถูกตั้งข้อหาอาญาสองกระทงภายใต้พระราชบัญญัติอาชญากรรมคอมพิวเตอร์ของรัฐโอคลาโฮมา หลังจากถูกจับกุมเมื่อวันที่ 14 เมษายน 2025

เหตุการณ์ดังกล่าวทำให้เกิดกระแสสะเทือนไปทั่วทั้งชุมชนด้านการดูแลสุขภาพและอุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ ทำให้เกิดคำถามสำคัญเกี่ยวกับช่องโหว่ที่เกิดจากบุคคลที่ควรป้องกันภัยคุกคามทางไซเบอร์ ไม่ใช่สร้างมันขึ้นมา

ข้อกล่าวหาการละเมิดที่น่ากังวล

ตามเอกสารของศาล การโจมตีที่ถูกกล่าวหาเกิดขึ้นเมื่อวันที่ 6 สิงหาคม 2024 ที่โรงพยาบาลเซนต์แอนโธนี ซึ่งเป็นสถานพยาบาลหลักในโอคลาโฮมาซิตี้ ภาพจากกล้องวงจรปิดจับภาพโบวีเดินเตร่ไปตามทางเดินของโรงพยาบาล พยายามเข้าถึงสำนักงานต่างๆ ก่อนจะพบคอมพิวเตอร์ที่ไม่มีคนดูแล 2 เครื่อง มีการกล่าวหาว่าเขาติดตั้งมัลแวร์ที่ออกแบบมาเพื่อจับภาพหน้าจอทุก 20 นาทีและส่งไปยังที่อยู่ IP ภายนอก

เมื่อถูกเจ้าหน้าที่โรงพยาบาลซักถาม โบวี่อ้างว่าเขาไปเยี่ยมญาติที่เข้ารับการผ่าตัดและจำเป็นต้องใช้คอมพิวเตอร์ อย่างไรก็ตาม การสืบสวนทางนิติวิทยาศาสตร์ที่ดำเนินการโดยทีมรักษาความปลอดภัยด้านไอทีของโรงพยาบาลเซนต์แอนโธนีได้เปิดเผยในไม่ช้าว่ามีการติดตั้งซอฟต์แวร์ที่เป็นอันตรายโดยไม่ได้รับอนุญาต

“เมื่อวันที่ 6 สิงหาคม 2024 มีการระบุบุคคลที่ไม่ได้รับอนุญาตเข้าถึงคอมพิวเตอร์ของโรงพยาบาลโดยถูกกล่าวหาว่าพยายามติดตั้งมัลแวร์” SSM Health ซึ่งเป็นระบบการดูแลสุขภาพที่ดำเนินการโรงพยาบาลเซนต์แอนโธนี กล่าวในข่าวประชาสัมพันธ์อย่างเป็นทางการ “เนื่องจากมีมาตรการป้องกัน ปัญหาดังกล่าวจึงได้รับการแก้ไขในทันที และไม่มีการเข้าถึงข้อมูลของผู้ป่วย”

ความเป็นมาของผู้ถูกกล่าวหา

ก่อนที่จะก่อตั้ง Veritaco ในเดือนสิงหาคม 2023 Jeffrey Bowie ได้สร้างอาชีพในด้านความปลอดภัยทางไซเบอร์ โดยทำงานเป็นวิศวกรความปลอดภัยทางไซเบอร์อาวุโสที่ High Point Networks และดำรงตำแหน่งด้านความปลอดภัยอื่นๆ อีกหลายตำแหน่ง Veritaco ซึ่งระบุใน LinkedIn ว่าเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ นิติวิทยาศาสตร์ดิจิทัล และข่าวกรองส่วนบุคคล เป็นบริษัทขนาดเล็กที่มีพนักงานเพียงไม่กี่คน

การละเมิดนี้น่าตกใจเป็นพิเศษ เพราะว่า Bowie ซึ่งมีประสบการณ์มาก่อน น่าจะเข้าใจถึงผลที่ตามมาทั้งหมดของการปลูกมัลแวร์ภายในโรงพยาบาล ซึ่งเป็นสภาพแวดล้อมที่ชีวิตขึ้นอยู่กับความสมบูรณ์และความน่าเชื่อถือของระบบคอมพิวเตอร์

บทลงโทษที่อาจเกิดขึ้นและการสอบสวนอย่างต่อเนื่อง

ตามกฎหมายของรัฐโอคลาโฮมา การละเมิดกฎหมายอาชญากรรมคอมพิวเตอร์อาจนำไปสู่ผลที่ร้ายแรง เช่น ค่าปรับตั้งแต่ 5,000 ถึง 100,000 ดอลลาร์ จำคุกไม่เกิน 10 ปี หรือทั้งสองอย่าง ขณะนี้ทั้งเอฟบีไอและหน่วยงานบังคับใช้กฎหมายในพื้นที่ยังคงดำเนินการสืบสวนคดีนี้ต่อไป

ถึงแม้จะไม่มีการละเมิดข้อมูลผู้ป่วยแต่อย่างใดเนื่องมาจากการดำเนินการอย่างรวดเร็วของเจ้าหน้าที่โรงพยาบาล แต่คดีนี้ถือเป็นการเตือนใจที่ชัดเจนว่าภัยคุกคามจากภายในอาจมาจากแหล่งที่ไม่คาดคิด แม้แต่จากผู้ที่ควรปกป้องเราก็ตาม

บทเรียนสำหรับภาคส่วนการดูแลสุขภาพ

สถาบันดูแลสุขภาพเป็นเป้าหมายหลักของการโจมตีทางไซเบอร์ อยู่แล้วเนื่องจากข้อมูลที่พวกเขาจัดการมีลักษณะละเอียดอ่อน เหตุการณ์นี้เน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยทางกายภาพที่แข็งแกร่ง การควบคุมการเข้าถึงที่เข้มงวด การตรวจสอบอย่างต่อเนื่อง และกระบวนการตรวจสอบที่เข้มงวดสำหรับทุกคน แม้กระทั่งผู้ขายและผู้ที่ถูกกล่าวหาว่าเป็นผู้เชี่ยวชาญ ที่ติดต่อกับระบบภายใน

องค์กรต่างๆ ต้องรักษาแนวคิด "ไว้วางใจ แต่ต้องตรวจสอบ" เพื่อให้แน่ใจว่าแม้แต่บุคคลที่มีคุณสมบัติสูงก็ไม่ได้รับสิทธิ์ในการเข้าถึงโครงสร้างพื้นฐานที่สำคัญโดยไม่มีการตรวจสอบ ในภูมิทัศน์ปัจจุบัน การรักษาความปลอดภัยทางไซเบอร์ไม่ได้หมายความถึงการป้องกันการโจมตีจากภายนอกเท่านั้น แต่อันตรายจากภายในก็อาจเกิดขึ้นได้จริง และบางครั้งอาจร้ายแรงกว่าด้วยซ้ำ