המרכז הרפואי של אוניברסיטת מרילנד (UMMC) עומד בפני תביעה ייצוגית המאשימה רוקח בפריצה למחשבים כדי לצפות ברופאות מתפשטות ומניקות. התביעה, שהוגשה בשם כמה מעובדי UMMC בהווה ובעבר, מאשימה את הרוקח במציצנות סייבר וריגול סייבר במשך שנים. UMMC זיהתה את הרוקח כעובד לשעבר מתיו בטולה. בטולה תקף לכאורה כ- 80 עמיתים לעבודה, רובן נשים. לפי התביעה, הוא השתמש במידע אבטחה ממחשבי UMMC כדי לגשת לחשבונות ולתמונות של קורבנותיו.
סינדי ב. מורגן, עורכת דין בחברת Grant & Eisenhofer, אמרה בחדשות תחנת הטלויזיה WJZ כי במשך 8 שנים לפחות, השתמש בטולה לכאורה בתוכנת הקלטת מקלדת במחשבי UMMC כדי לאסוף את שמות המשתמשים והסיסמאות של העובדים. משם, אומרת מורגן, הוא הצליח להגיע למידע רב, ממספרי תעודת זהות ועד טקסטים ותמונות עירום. עוד נטען בתביעה כי בטולה ריגל אחר קורבנותיו באמצעות מצלמות אינטרנט בבתיהם וב- UMMC. הוא הפעיל את המצלמות בחדרי טיפול כדי לצפות בעמיתות לעבודה שידע שישאבו חלב אם וניגש למצלמות אבטחה ביתיות כדי לרגל אחר הקורבנות כשהם מתפשטים או עוסקים במעשים אינטימיים. מורגן טוענת כי: "הוא הצליח לכבות מרחוק את ההתראה על כך שהמצלמה שלהם דולקת, הוא היה מסוגל לשנות את ההגדרות ואז הוא ריגול אחריהם בבתיהם. הוא צפה בהן בזמן הנקה, ריגל אחריהן ברגעים אינטימיים עם בני הזוג שלהם בעירום ובעירום חלקי."
בתביעה נטען כי הפרות הפרטיות היו אפשריות רק בגלל תקלה בפרוטוקולי אבטחת הסייבר של UMMC. לפי מורגן: "הלקוחות שלנו הן נשים מקצועיות מיומנות מאוד שסמכו על המעסיק שלהן שיגן על פרטיותן. בכך שאפשרו לעמית לעבודה לפלוש באופן כה חודרני לרגעים הפרטיים המועטים שלהם עם משפחה, חברים ותינוקות, הפרה UMMC באופן יסודי את האמון הזה. UMMC נכשלו בכל דרך אפשרית באבטחת מידע של העובדים שלהם."
לדברי עורכי דין, לא הצליחה UMMC לעמוד בתקני אבטחת סייבר בסיסיים הנדרשים מכל ספק רפואי כדי לשמור על רישומי בריאות ולהגן מפני איומי סייבר. בתביעה נטען כי פרוטוקולי אבטחה היו מונעים מבטולה להתקין תוכנות ריגול ולהשיג מידע סודי. התביעה טוענת ש- UMMC ידעה על ההתנהלות הפסולה לכאורה מאז ספטמבר 2024. עם זאת, לא הוגשו נגד בטולה כתבי אישום פליליים וחלק מהקורבנות לא קיבלו הודעה. הקורבנות היחידים שנאמר להם שהם במוקד ריגול הסייבר היו אלו שהתראיינו ל- FBI. לפי התביעה, סיימה UMMC לכאורה את העסקתו של בטולה, אך הוא עדיין עובד כרוקח במתקן אחר במרילנד.
"למרות שהלקוחות שלנו מתכוונים לכבד ולשתף פעולה בחקירה הפדרלית, הם הגישו תלונה זו כדי להבטיח שהעבריין ימנע מיידית מלפגוע בחולים ו/או בעמיתים נוספים, כל קורבנותיו מקבלים מידע על כך ומוצעת להם הזדמנות לחפש צדק. ל- UMMC אחריות מלאה", אמר סטיבן ג'יי קלי מחברת Grant & Eisenhofer.
UMMC לא מסרה עדכונים כלשהם אודות חקירת כשלי האבטחה שלה. UMMC זיהתה את בטולה בהצהרה ששיתפה ביום חמישי ואמרה שהם עובדים עם ה- FBI ועם פרקליטות ארה"ב על חקירה פלילית. "זוהי התקווה והציפייה הכנה ביותר שלנו שהאדם שנטען כי הפר את אמון עמיתיו ושל הארגון שלנו יישא באחריות מלאה", אמרו גורמים ב- UMMC בהצהרתם והוסיפו: "אנו מבינים את הרגישות של חלק מהמידע המעורב בעניין זה ומביעים חרטה וחמלה עמוקים לאלו שהושפעו ממעשיו של האדם הזה." בהמשך ההצהרה נכתב: "ארגוני שירותי בריאות והאנשים העובדים בהם הפכו בתקופה האחרונה למרבה הצער לקורבנות של מתקפות סייבר מצד גורמי איומים ואנו ממשיכים לנקוט בצעדים משמעותיים כדי להגן על מערכות ה- IT שלנו בסביבה מאתגרת זו."
