ארה״ב: מנכ"ל חברת סייבר נעצר בחשד להתקנת תוכנות זדוניות בבית חולים באוקלהומה
צילומי מצלמות האבטחה הראו, לכאורה, את בואי משוטט ברחבי בית החולים ומנסה להיכנס למשרדים שונים, עד שלבסוף הצליח לגשת לשני מחשבים
By Steve Morgan, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=112370752
ג'פרי בואי, מנכ"ל חברת הסייבר "וריטקו" (Veritaco) מאוקלהומה סיטי, נעצר ב-14 באפריל בחשד לשתי עבירות על חוקי המחשב של מדינת אוקלהומה. על פי החשד, בואי פרץ לבית החולים סנט אנתוני בעיר באוגוסט 2024 והתקין תוכנות זדוניות על מחשבי עובדים.
על פי דיווח בbankinfosecurity, עובד בבית החולים הבחין בבואי ניגש למחשב של עובד אחר. צילומי מצלמות האבטחה הראו, לכאורה, את בואי משוטט ברחבי בית החולים ומנסה להיכנס למשרדים שונים, עד שלבסוף הצליח לגשת לשני מחשבים. על פי החשד, הוא התקין על מחשבים אלו תוכנות זדוניות שנועדו לצלם מסך כל 20 דקות ולשלוח את התמונות לכתובת IP חיצונית.
משטרת אוקלהומה סיטי הפנתה את כלי התקשורת ל-FBI לקבלת תגובה נוספת, אך ה-FBI טרם הגיב לבקשת התגובה.
בית החולים סנט אנתוני, המונה 773 מיטות אשפוז, הוא חלק מרשת הבריאות SSM Health, מערכת בריאות קתולית ללא מטרות רווח הפועלת באוקלהומה, מיזורי, אילינוי וויסקונסין. בהצהרה שפרסמה SSM Health, נמסר כי מידע של מטופלים לא נחשף כתוצאה מהתקרית. בית החולים טרם הגיב לשאלה האם לבואי היו קשרים עסקיים או אישיים כלשהם לבית החולים סנט אנתוני.
פרופיל הלינקדאין של בואי מתאר את חברת וריטקו כחברת סייבר, פורנזיקה דיגיטלית ומודיעין פרטי, המעסיקה בין שניים לעשרה עובדים. אתר האינטרנט של וריטקו לא היה פעיל. אדם שענה לטלפון במשרדי החברה אמר כי יעביר לבואי הודעה לבקשת תגובה, אך בואי טרם הגיב.
בעוד שהקשר, אם בכלל, בין בואי לבית החולים סנט אנתוני טרם נחשף, המקרה הזה עולה לאורם של לפחות שני מקרים נוספים שאירעו לאחרונה וכללו גורמים פנימיים זדוניים בבתי חולים. מקרים אלה כללו פיזיותרפיסט שהואשם בשימוש בהרשאותיו כדי לגשת לרשומות רפואיות רגישות ותמונות קליניות של מטופלים בניתוחים פלסטיים בבית חולים שאינו קשור אליו, ומקרה נפרד שכלל רוקח בבית חולים שהואשם בהתקנת תוכנות ריגול על מחשבים כדי לרגל אחר עמיתיו בבתיהם ובעבודה במשך עשור.
עורכת הדין רייצ'ל רוז ציינה כי "אנשים העוסקים בהתנהגות מסוג זה מונעים על ידי תאוות בצע, פחד, מין או מצב נפשי כמו נרקיסיזם". היא הוסיפה כי ארגונים צריכים להטמיע אמצעי הגנה טכניים נאותים כדי לזהות תוכנות זדוניות המופעלות, בין אם על ידי גורם פנימי או חיצוני. "זה מחזיר אותנו ליסודות של עריכת ניתוח סיכונים שנתי, לוודא שהארגון יודע כמה זמן צילומי מצלמות האבטחה שלו מאוחסנים לפני שהם נמחקים, ולהבטיח שהצילומים אכן נבדקים ונשמרים", סיכמה רוז.
