CEO an ninh mạng bị bắt sau khi bị cáo buộc cài đặt phần mềm độc hại vào máy tính của bệnh viện
Trong một vụ vi phạm lòng tin gây sốc làm nổi bật mối đe dọa ngày càng tăng của các cuộc tấn công nội gián, CEO của một công ty an ninh mạng đã bị bắt vì cáo buộc cài đặt phần mềm độc hại vào máy tính của bệnh viện. Jeffrey Bowie, người đứng đầu Veritaco có trụ sở tại Oklahoma, phải đối mặt với hai tội danh trọng tội theo Đạo luật Tội phạm Máy tính của Oklahoma sau khi bị bắt vào ngày 14 tháng 4 năm 2025.
Sự cố này đã gây chấn động trong cộng đồng chăm sóc sức khỏe cũng như ngành an ninh mạng, đặt ra những câu hỏi quan trọng về lỗ hổng bảo mật do những cá nhân được cho là có nhiệm vụ bảo vệ chống lại các mối đe dọa mạng chứ không phải tạo ra chúng.
Mục lục
Những cáo buộc về vi phạm đáng lo ngại
Theo hồ sơ tòa án, vụ tấn công bị cáo buộc xảy ra vào ngày 6 tháng 8 năm 2024, tại Bệnh viện St. Anthony, một cơ sở y tế lớn ở Oklahoma City. Đoạn phim an ninh được cho là đã ghi lại cảnh Bowie lang thang trong hành lang của bệnh viện, cố gắng truy cập vào nhiều phòng ban trước khi tìm thấy hai máy tính không có người trông coi. Người ta cáo buộc rằng sau đó anh ta đã cài đặt phần mềm độc hại được thiết kế để bí mật chụp ảnh màn hình sau mỗi 20 phút và gửi chúng đến một địa chỉ IP bên ngoài.
Khi bị nhân viên bệnh viện thẩm vấn, Bowie khai rằng anh ta đang đến thăm một thành viên gia đình đang phẫu thuật và cần sử dụng máy tính. Tuy nhiên, một cuộc điều tra pháp y do nhóm an ninh CNTT của St. Anthony tiến hành đã sớm phát hiện ra việc cài đặt phần mềm độc hại trái phép.
“Vào ngày 6 tháng 8 năm 2024, một cá nhân trái phép đã bị phát hiện truy cập vào máy tính của bệnh viện với cáo buộc cố gắng cài đặt phần mềm độc hại”, SSM Health, hệ thống chăm sóc sức khỏe điều hành Bệnh viện St. Anthony, cho biết trong một thông cáo chính thức. “Do các biện pháp phòng ngừa tại chỗ, vấn đề đã được giải quyết ngay lập tức và không có thông tin bệnh nhân nào bị truy cập”.
Bối cảnh của Bị cáo
Jeffrey Bowie, trước khi thành lập Veritaco vào tháng 8 năm 2023, đã xây dựng sự nghiệp trong lĩnh vực an ninh mạng, làm việc với tư cách là Kỹ sư an ninh mạng cao cấp tại High Point Networks và đảm nhiệm một số vai trò an ninh khác. Veritaco, được mô tả trên LinkedIn là chuyên về an ninh mạng, pháp y kỹ thuật số và tình báo tư nhân, là một công ty nhỏ chỉ có một số ít nhân viên.
Vụ vi phạm này đặc biệt đáng báo động vì Bowie, với lý lịch của mình, hẳn hiểu được toàn bộ hậu quả của việc cài phần mềm độc hại vào bên trong bệnh viện — một môi trường mà tính mạng con người phụ thuộc vào tính toàn vẹn và độ tin cậy của hệ thống máy tính.
Hình phạt tiềm tàng và cuộc điều tra đang diễn ra
Theo luật của Oklahoma, hành vi vi phạm trọng tội của Đạo luật về tội phạm máy tính có thể dẫn đến hậu quả nghiêm trọng, bao gồm tiền phạt từ 5.000 đến 100.000 đô la, án tù lên đến mười năm hoặc cả hai. Hiện tại, cả FBI và các cơ quan thực thi pháp luật địa phương đều đang tiếp tục điều tra vụ án.
Mặc dù không có hồ sơ bệnh nhân nào bị xâm phạm nhờ hành động nhanh chóng của nhân viên bệnh viện, vụ việc này là lời nhắc nhở nghiêm khắc rằng các mối đe dọa nội bộ có thể đến từ những nguồn không ngờ tới — ngay cả từ những người được cho là có trách nhiệm bảo vệ chúng ta.
Bài học cho ngành Y tế
Các tổ chức chăm sóc sức khỏe đã làmục tiêu chính của các cuộc tấn công mạng do tính chất nhạy cảm của dữ liệu mà họ xử lý. Sự cố này nhấn mạnh tầm quan trọng của bảo mật vật lý mạnh mẽ, kiểm soát truy cập chặt chẽ, giám sát liên tục và quy trình kiểm tra nghiêm ngặt đối với bất kỳ ai — ngay cả nhà cung cấp và chuyên gia được cho là — tiếp xúc với các hệ thống nội bộ.
Các tổ chức phải duy trì tư duy "tin tưởng nhưng phải xác minh", đảm bảo rằng ngay cả những cá nhân có trình độ cao cũng không được cấp quyền truy cập không kiểm soát vào cơ sở hạ tầng quan trọng. Trong bối cảnh ngày nay, an ninh mạng không chỉ là phòng thủ chống lại những kẻ tấn công bên ngoài — những mối nguy hiểm từ bên trong cũng có thể thực tế và đôi khi thậm chí còn tàn khốc hơn.