Siber Güvenlik CEO'su Hastane Bilgisayarlarına Kötü Amaçlı Yazılım Yüklediği İddiasıyla Tutuklandı
İçeriden saldırıların artan tehdidini vurgulayan şok edici bir güven ihlali olayında, bir siber güvenlik firmasının CEO'su hastane bilgisayarlarına kötü amaçlı yazılım yüklediği iddiasıyla tutuklandı. Oklahoma merkezli Veritaco'nun başkanı Jeffrey Bowie, 14 Nisan 2025'te tutuklanmasının ardından Oklahoma Bilgisayar Suçları Yasası kapsamında iki ağır suçlamayla karşı karşıya.
Olay, sağlık camiasının yanı sıra siber güvenlik sektöründe de yankı uyandırdı ve siber tehditleri yaratmakla görevli olmayan, bunlara karşı savunma yapması gereken kişilerin oluşturduğu güvenlik açıkları hakkında kritik soruları gündeme getirdi.
İçindekiler
Rahatsız Edici Bir İhlal İddiaları
Mahkeme belgelerine göre, iddia edilen saldırı 6 Ağustos 2024'te Oklahoma City'deki büyük bir tıbbi tesis olan St. Anthony Hastanesi'nde gerçekleşti. Güvenlik görüntülerinin Bowie'yi hastanenin koridorlarında dolaşırken, çeşitli ofislere erişmeye çalışırken ve ardından iki gözetimsiz bilgisayar bulduğunu kaydettiği bildirildi. Daha sonra her 20 dakikada bir gizlice ekran görüntüsü almak ve bunları harici bir IP adresine göndermek üzere tasarlanmış kötü amaçlı yazılım yüklediği iddia ediliyor.
Hastane personeli tarafından sorgulandığında Bowie, ameliyata giren bir aile üyesini ziyaret ettiğini ve bir bilgisayar kullanması gerektiğini iddia etti. Ancak, St. Anthony'nin BT güvenlik ekibi tarafından yürütülen bir adli soruşturma kısa sürede yetkisiz kötü amaçlı yazılımların yüklendiğini ortaya çıkardı.
St. Anthony Hastanesi'ni işleten sağlık sistemi SSM Health, resmi bir duyuruda "6 Ağustos 2024'te, kötü amaçlı yazılım yükleme iddiasıyla bir hastane bilgisayarına erişen yetkisiz bir kişi tespit edildi" dedi. "Alınan önlemler nedeniyle sorun derhal ele alındı ve hiçbir hasta bilgisine erişilmedi."
Sanıkların Arkaplanı
Jeffrey Bowie, Ağustos 2023'te Veritaco'yu kurmadan önce siber güvenlik alanında kariyer yaptı, High Point Networks'te Kıdemli Siber Güvenlik Mühendisi olarak çalıştı ve birkaç başka güvenlik rolü üstlendi. LinkedIn'de siber güvenlik, dijital adli tıp ve özel istihbarat konusunda uzmanlaştığı belirtilen Veritaco, sadece bir avuç çalışanı olan küçük bir firmaydı.
Bu ihlal özellikle endişe verici çünkü Bowie, geçmişi göz önüne alındığında, bilgisayar sistemlerinin bütünlüğüne ve güvenilirliğine bağlı olan bir ortam olan hastanelere kötü amaçlı yazılım yerleştirmenin tüm sonuçlarını anlamış olmalı.
Olası Cezalar ve Devam Eden Soruşturma
Oklahoma yasalarına göre, Bilgisayar Suçları Yasası'nın ağır suç niteliğindeki ihlalleri, 5.000 ila 100.000 dolar arasında değişen para cezaları, on yıla kadar hapis cezası veya her ikisi de dahil olmak üzere ciddi sonuçlara yol açabilir. Şu anda, hem FBI hem de yerel kolluk kuvvetleri davayla ilgili soruşturmalarını sürdürüyor.
Hastane personelinin hızlı müdahalesi sayesinde hiçbir hasta kaydı tehlikeye atılmamış olsa da, bu dava içeriden gelen tehditlerin beklenmedik kaynaklardan, hatta bizi koruması gerekenlerden bile gelebileceğinin çarpıcı bir hatırlatıcısı niteliğindedir.
Sağlık Sektörü İçin Dersler
Sağlık kuruluşları, ele aldıkları verilerin hassas doğası nedeniyle zatensiber saldırıların başlıca hedefleridir . Bu olay, dahili sistemlerle temas kuran herkes için (hatta tedarikçiler ve sözde uzmanlar için bile) sağlam fiziksel güvenliğin, sıkı erişim kontrollerinin, sürekli izleme ve titiz inceleme süreçlerinin önemini vurgulamaktadır.
Kuruluşlar, "güven ama doğrula" zihniyetini korumalı ve son derece yetkili kişilere bile kritik altyapıya kontrolsüz erişim verilmemesini sağlamalıdır. Günümüz ortamında, siber güvenlik yalnızca dışarıdan gelen saldırganlara karşı savunma yapmakla ilgili değildir; içeriden gelen tehlikeler de aynı derecede gerçek olabilir ve bazen daha da yıkıcı olabilir.