מנכ"ל אבטחת סייבר נעצר לאחר שהתקין לכאורה תוכנה זדונית על מחשבי בית חולים

בהפרת אמונים מזעזעת המדגישה את האיום הגובר של מתקפות פנימיות, נעצר מנכ"ל חברת אבטחת סייבר בגין התקנת תוכנות זדוניות לכאורה על מחשבי בית חולים. ג'פרי בואי, ראש חברת Veritaco שבסיסה באוקלהומה, עומד בפני שני סעיפי אישום פליליים במסגרת חוק פשעי המחשב של אוקלהומה לאחר מעצרו ב-14 באפריל 2025.

התקרית שלח אדוות בקהילת הבריאות ובתעשיית אבטחת הסייבר כאחד, ועוררה שאלות קריטיות לגבי הפגיעויות שמציבים אנשים שאמורים להתגונן מפני איומי סייבר - לא ליצור אותם.

טענות על הפרה מטרידה

על פי מסמכי בית המשפט, ההתקפה לכאורה התרחשה ב-6 באוגוסט 2024, בבית החולים סנט אנתוני, מתקן רפואי גדול באוקלהומה סיטי. צילומי אבטחה דווחו כי בואי משוטט במסדרונות בית החולים, מנסה לגשת למשרדים שונים לפני שמצא שני מחשבים ללא השגחה. נטען כי לאחר מכן התקין תוכנה זדונית שנועדה לצלם בחשאי צילומי מסך כל 20 דקות ולשלוח אותם לכתובת IP חיצונית.

כאשר נשאל על ידי צוות בית החולים, טען בואי כי הוא מבקר בן משפחה שעובר ניתוח והיה זקוק להשתמש במחשב. עם זאת, חקירה משפטית שערך צוות אבטחת המידע של סנט אנתוני חשפה במהרה התקנת תוכנה זדונית בלתי מורשית.

"ב-6 באוגוסט 2024, זוהה אדם לא מורשה שניגש למחשב של בית חולים בניסיון לכאורה להתקין תוכנות זדוניות", הצהירה SSM Health, מערכת הבריאות המפעילה את בית החולים סנט אנתוני, בהודעה רשמית. "בשל אמצעי הזהירות שננקטו, הבעיה טופלה באופן מיידי, ולא ניגשה למידע על המטופל."

רקע על הנאשם

ג'פרי בואי, לפני שהקים את Veritaco באוגוסט 2023, בנה קריירה בתחום אבטחת הסייבר, עבד כמהנדס אבטחת סייבר בכיר ב-High Point Networks ומילא מספר תפקידי אבטחה נוספים. Veritaco, המתוארת בלינקדאין כחברה המתמחה באבטחת סייבר, פורנזיקה דיגיטלית ומודיעין פרטי, הייתה חברה קטנה עם קומץ עובדים בלבד.

הפריצה מדאיגה במיוחד משום שבואי, בהתחשב ברקע שלו, היה מבין את מלוא ההשלכות של שתילת תוכנות זדוניות בתוך בית חולים - סביבה שבה חיים תלויים בשלמות ובאמינות של מערכות מחשב.

עונשים פוטנציאליים וחקירה מתמשכת

על פי חוקי אוקלהומה, הפרות פליליות של חוק פשעי המחשב עלולות להוביל לתוצאות חמורות, כולל קנסות הנעים בין 5,000 ל-100,000 דולר, מאסר של עד עשר שנים, או שניהם. נכון לעכשיו, גם ה-FBI וגם רשויות אכיפת החוק המקומיות ממשיכות בחקירת המקרה.

למרות שאף רישומי מטופלים לא נחשפו הודות לפעולה מהירה של צוות בית החולים, המקרה משמש תזכורת חדה לכך שאיומים מבפנים יכולים להגיע ממקורות בלתי צפויים - אפילו מאלה שאמורים להגן עלינו.

לקחים למגזר הבריאות

מוסדות בריאות כבר עכשיו הםמטרות עיקריות להתקפות סייבר בשל האופי הרגיש של הנתונים שהם מטפלים בהם. תקרית זו מדגישה את החשיבות של אבטחה פיזית איתנה, בקרות גישה קפדניות, ניטור מתמיד ותהליכי סינון קפדניים עבור כל מי שבא במגע עם מערכות פנימיות - אפילו ספקים ומומחים לכאורה.

ארגונים חייבים לשמור על גישה של "אמון, אך אימות", ולהבטיח שגם אנשים בעלי הסמכה גבוהה לא יקבלו גישה בלתי מבוקרת לתשתיות קריטיות. בנוף של ימינו, אבטחת סייבר אינה רק הגנה מפני תוקפים חיצוניים - הסכנות מבפנים יכולות להיות אמיתיות באותה מידה, ולפעמים אף הרסניות יותר.