Генерального директора з кібербезпеки заарештовано після ймовірного встановлення шкідливого програмного забезпечення на комп'ютери лікарень
Шокуюче порушення довіри, яке підкреслює зростаючу загрозу інсайдерських атак, стало заарештування генерального директора фірми з кібербезпеки за нібито встановлення шкідливого програмного забезпечення на комп'ютери лікарень. Джеффрі Боуї, керівник компанії Veritaco з Оклахоми, зіткнувся з двома пунктами звинувачення у тяжких злочинах згідно із Законом Оклахоми про комп'ютерні злочини після арешту 14 квітня 2025 року.
Цей інцидент викликав резонанс як у медичній спільноті, так і в індустрії кібербезпеки, порушивши критичні питання щодо вразливостей, що виникають у людей, які повинні захищатися від кіберзагроз, а не створювати їх.
Зміст
Звинувачення у тривожному порушенні
Згідно з судовими документами, ймовірна атака сталася 6 серпня 2024 року в лікарні Святого Антонія, великому медичному закладі в Оклахома-Сіті. Записи з камер спостереження, як повідомляється, зафіксували Боуї, який блукав коридорами лікарні, намагаючись отримати доступ до різних кабінетів, перш ніж знайшов два комп'ютери, що залишилися без нагляду. Стверджується, що потім він встановив шкідливе програмне забезпечення, призначене для прихованого створення скріншотів кожні 20 хвилин та надсилання їх на зовнішню IP-адресу.
Коли персонал лікарні допитував Боуї, він стверджував, що відвідував члена сім'ї, який переносив операцію, і йому потрібно було скористатися комп'ютером. Однак, судово-медичне розслідування, проведене командою ІТ-безпеки лікарні Святого Антонія, невдовзі виявило встановлення несанкціонованого шкідливого програмного забезпечення.
«6 серпня 2024 року було виявлено неавторизовану особу, яка нібито намагалася встановити шкідливе програмне забезпечення на комп’ютер лікарні», – заявила SSM Health, система охорони здоров’я, яка керує лікарнею Святого Антонія, в офіційному прес-релізі. «Завдяки вжитим запобіжним заходам проблему було негайно вирішено, і доступ до інформації про пацієнтів не здійснювався».
Передумови щодо обвинуваченого
Джеффрі Боуї, до заснування Veritaco у серпні 2023 року, побудував кар'єру в галузі кібербезпеки, працюючи старшим інженером з кібербезпеки в High Point Networks та обіймаючи кілька інших посад у сфері безпеки. Veritaco, яку в LinkedIn описують як компанію, що спеціалізується на кібербезпеці, цифровій криміналістиці та приватній розвідці, була невеликою фірмою з кількома співробітниками.
Це порушення особливо тривожне, оскільки Боуї, враховуючи його досвід, розумів би всі наслідки встановлення шкідливого програмного забезпечення в лікарні — середовищі, де життя залежать від цілісності та надійності комп'ютерних систем.
Потенційні штрафи та поточне розслідування
Згідно із законодавством Оклахоми, тяжкі порушення Закону про комп’ютерні злочини можуть призвести до серйозних наслідків, включаючи штрафи від 5000 до 100 000 доларів США, позбавлення волі на строк до десяти років або те й інше. Наразі як ФБР, так і місцеві правоохоронні органи продовжують розслідування цієї справи.
Хоча завдяки швидким діям персоналу лікарні жодні записи пацієнтів не були скомпрометовані, цей випадок служить суворим нагадуванням про те, що внутрішні загрози можуть виходити з неочікуваних джерел — навіть від тих, хто повинен нас захищати.
Уроки для сектору охорони здоров'я
Заклади охорони здоров'я вже єголовними цілями кібератак через конфіденційний характер даних, які вони обробляють. Цей інцидент підкреслює важливість надійної фізичної безпеки, суворого контролю доступу, постійного моніторингу та ретельних процесів перевірки для всіх — навіть постачальників та ймовірних експертів — хто контактує з внутрішніми системами.
Організації повинні дотримуватися принципу «довіряй, але перевіряй», гарантуючи, що навіть висококваліфіковані особи не матимуть неконтрольованого доступу до критично важливої інфраструктури. У сучасному світі кібербезпека — це не лише захист від зовнішніх зловмисників — небезпеки зсередини можуть бути такими ж реальними, а іноді навіть більш руйнівними.