Hastanede siber kriz: Bu kez hastaların cinsel yaşam bilgileri sızdırıldı!

GAZETE PENCERE - Kişisel Verileri Koruma Kurumu (KVKK), Özbeyler Sağlık ve Özel Hastahane Medikal İthalat İhracat Sanayi ve Ticaret AŞ’ye ilişkin veri ihlali bildirimini yayımladı. Kurumun internet sitesinde yer alan duyuruya göre ihlal 20 Ocak 2026’da gerçekleşti ve aynı gün tespit edildi.

FİDYE YAZILIMI SALDIRISI TESPİT EDİLDİ

KVKK açıklamasında, ihlalin kaynağının fidye yazılımı saldırısı olduğu bildirildi. Sanallaştırma altyapısında yer alan sunuculara erişim sağlanamaması üzerine yapılan incelemede, sunucular üzerindeki sistem dosyalarının fidye yazılımı uzantıları ile şifrelendiğinin tespit edildiği kaydedildi.

VERİLER RİSK ALTINDA...

Duyuruda, ihlalden etkilenen kişisel veri kategorileri arasında kimlik, iletişim, özlük, fiziksel mekân güvenliği, işlem güvenliği, finans, mesleki deneyim ve görsel-işitsel kayıtların yanı sıra özel nitelikli kişisel verilerden ırk ve etnik köken, felsefi inanç, din, mezhep ve diğer inançlar, kılık-kıyafet, sağlık bilgileri, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik verilerin de yer aldığı belirtildi. Ayrıca ünvan, imza bilgileri, çocuk sayısı ve yaş bilgileri, medeni hal, askerlik durumu ve seyahat bilgilerinin de etkilenen veriler arasında bulunduğu ifade edildi.

KAÇ KİŞİ ETKİLENDİ BİLİNMİYOR

KVKK’ya göre olaydan etkilenen ilgili kişi grupları arasında çalışanlar, öğrenciler, müşteri ve potansiyel müşteriler ile hastalar bulunuyor. Mevcut tespitler kapsamında çalışan adayı, çalışan yakını, dışarıdan hizmet veren doktor, misafir, hasta yakını, hizmet veren kişi temsilcisi, referans, donör, görgü tanığı, kamu kurum çalışanı, kimliği kaybolan kişi, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, veli/vasi/temsilci, ziyaretçi, kamera kaydı alınan kişi ve diğer ilgili kişi gruplarına ait kişisel verilere de erişim sağlanmış olabileceği bildirildi.

Duyuruda, ihlalden etkilenen kişi sayısının henüz tespit edilemediği ve bu yöndeki incelemelerin devam ettiği bilgisi paylaşıldı. İlgili kişilerin veri ihlali hakkında bilgi almak için veri sorumlusunun resmi internet sitesi, kurumsal sosyal medya hesapları, çağrı merkezi, şirket merkezindeki danışma birimi ve e-posta adresi üzerinden iletişime geçebileceği belirtildi.

KVKK açıklamasında, konuya ilişkin incelemenin sürdüğü, Kişisel Verileri Koruma Kurulunun 27 Ocak 2026 tarih ve 2026/138 sayılı kararıyla söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği kaydedildi.

UZMANI AÇIKLADI: AĞIR SONUÇLAR DOĞURUR

Siber Güvenlik Uzmanı Mehmet Tolga Ertük, sağlık sektöründe yaşanan bu tür fidye yazılımı saldırılarının sıradan bir veri ihlalinden çok daha ağır sonuçlar doğurduğunu belirterek, “Burada risk yalnızca ad-soyad veya iletişim bilgisinin açığa çıkması değil. KVKK duyurusunda yer alan veri kategorilerine bakıldığında sağlık bilgileri, biyometrik veriler, ceza mahkûmiyeti ve güvenlik tedbirleri, cinsel hayat, din ve inanç gibi son derece hassas alanların etkilenmiş olabileceği görülüyor. Bu tür veriler kimlik doğrulama, mahremiyet, ayrımcılık, itibar kaybı ve hedefli dolandırıcılık açısından çok daha yüksek risk üretir. Özellikle sağlık verileri ile biyometrik verilerin aynı olay içinde risk altına girmesi, olayın hem hukuki hem operasyonel boyutunu büyütür” dedi.

Govisec Kurucusu Ertürk, fidye yazılımı saldırılarının artık yalnızca sistemleri kilitlemeye odaklanmadığını vurgulayarak, “Bugün fidye yazılımı dediğimiz yapı çoğu zaman iki aşamalı ilerliyor: önce sisteme sızılıyor, ardından veriye erişiliyor ve son aşamada dosyalar şifrelenerek kurum operasyonu durduruluyor. Yani kurum aynı anda hem hizmet kesintisi hem de veri ihlali riskiyle karşı karşıya kalıyor. Sağlık kuruluşlarında bu durum daha kritik; çünkü sistemlere erişim kaybı yalnızca idari işleyişi değil, hasta süreçlerini ve hizmet sürekliliğini de etkileyebilir. Bu nedenle kurumların sadece antivirüs veya güvenlik ürünü satın alması yetmez; yedekleme, ağ segmentasyonu, erişim kontrolü, log izleme ve olay müdahale hazırlığını düzenli olarak test eden bir yapıya sahip olması gerekir” ifadelerini kullandı.

KVKK duyurusunda yer alan bilgilere göre olayla ilgili inceleme sürerken, etkilenen kişi sayısı ve ihlalin kapsamına ilişkin teknik değerlendirmelerin devam ettiği bildirildi.