Sağlık kuruluşunda fidye yazılımı saldırısı

Kişisel Verileri Koruma Kurumu, Özbeyler Sağlık ve Özel Hastahane Medikal İthalat İhracat Sanayi ve Ticaret AŞ’ye ilişkin veri ihlali bildirimini kamuoyuna duyurdu. Kurum açıklamasında, fidye yazılımı saldırısı sonucu sağlık bilgileri, biyometrik veriler, ceza mahkûmiyeti ve güvenlik tedbirleri, cinsel hayat ile din ve inanç bilgileri dahil çok sayıda hassas veri kategorisinin etkilenmiş olabileceği belirtildi.

Tatil Beldesindeki hastanede siber kriz: Hastaların cinsel yaşam bilgileri sızdı

Kişisel Verileri Koruma Kurumu (KVKK), Özbeyler Sağlık ve Özel Hastahane Medikal İthalat İhracat Sanayi ve Ticaret AŞ’ye ilişkin veri ihlali bildirimini yayımladı. Kurumun internet sitesinde yer alan duyuruya göre ihlal 20 Ocak 2026’da gerçekleşti ve aynı gün tespit edildi.

Fidye yazılımı saldırısı aynı gün tespit edildi

KVKK açıklamasında, ihlalin kaynağının fidye yazılımı saldırısı olduğu bildirildi. Sanallaştırma altyapısında yer alan sunuculara erişim sağlanamaması üzerine yapılan incelemede, sunucular üzerindeki sistem dosyalarının fidye yazılımı uzantıları ile şifrelendiğinin tespit edildiği kaydedildi.

Sağlık ve biyometrik veriler de risk altında

Duyuruda, ihlalden etkilenen kişisel veri kategorileri arasında kimlik, iletişim, özlük, fiziksel mekân güvenliği, işlem güvenliği, finans, mesleki deneyim ve görsel-işitsel kayıtların yanı sıra özel nitelikli kişisel verilerden ırk ve etnik köken, felsefi inanç, din, mezhep ve diğer inançlar, kılık-kıyafet, sağlık bilgileri, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik verilerin de yer aldığı belirtildi. Ayrıca ünvan, imza bilgileri, çocuk sayısı ve yaş bilgileri, medeni hal, askerlik durumu ve seyahat bilgilerinin de etkilenen veriler arasında bulunduğu ifade edildi.

Etkilenen kişi sayısı henüz netleşmedi

KVKK’ya göre olaydan etkilenen ilgili kişi grupları arasında çalışanlar, öğrenciler, müşteri ve potansiyel müşteriler ile hastalar bulunuyor. Mevcut tespitler kapsamında çalışan adayı, çalışan yakını, dışarıdan hizmet veren doktor, misafir, hasta yakını, hizmet veren kişi temsilcisi, referans, donör, görgü tanığı, kamu kurum çalışanı, kimliği kaybolan kişi, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, veli/vasi/temsilci, ziyaretçi, kamera kaydı alınan kişi ve diğer ilgili kişi gruplarına ait kişisel verilere de erişim sağlanmış olabileceği bildirildi.

Duyuruda, ihlalden etkilenen kişi sayısının henüz tespit edilemediği ve bu yöndeki incelemelerin devam ettiği bilgisi paylaşıldı. İlgili kişilerin veri ihlali hakkında bilgi almak için veri sorumlusunun resmi internet sitesi, kurumsal sosyal medya hesapları, çağrı merkezi, şirket merkezindeki danışma birimi ve e-posta adresi üzerinden iletişime geçebileceği belirtildi.

KVKK açıklamasında, konuya ilişkin incelemenin sürdüğü, Kişisel Verileri Koruma Kurulunun 27 Ocak 2026 tarih ve 2026/138 sayılı kararıyla söz konusu veri ihlali bildiriminin Kurumun internet sitesinde ilan edilmesine karar verildiği kaydedildi.

“Bu tür veriler çok daha yüksek risk üretir”

Siber Güvenlik Uzmanı Mehmet Tolga Ertük, sağlık sektöründe yaşanan bu tür fidye yazılımı saldırılarının sıradan bir veri ihlalinden çok daha ağır sonuçlar doğurduğunu belirterek, “Burada risk yalnızca ad-soyad veya iletişim bilgisinin açığa çıkması değil. KVKK duyurusunda yer alan veri kategorilerine bakıldığında sağlık bilgileri, biyometrik veriler, ceza mahkûmiyeti ve güvenlik tedbirleri, cinsel hayat, din ve inanç gibi son derece hassas alanların etkilenmiş olabileceği görülüyor. Bu tür veriler kimlik doğrulama, mahremiyet, ayrımcılık, itibar kaybı ve hedefli dolandırıcılık açısından çok daha yüksek risk üretir. Özellikle sağlık verileri ile biyometrik verilerin aynı olay içinde risk altına girmesi, olayın hem hukuki hem operasyonel boyutunu büyütür” dedi.

“Sadece sistemi değil, hizmet sürekliliğini de hedef alıyor”

Govisec Kurucusu Ertürk, fidye yazılımı saldırılarının artık yalnızca sistemleri kilitlemeye odaklanmadığını vurgulayarak, “Bugün fidye yazılımı dediğimiz yapı çoğu zaman iki aşamalı ilerliyor: önce sisteme sızılıyor, ardından veriye erişiliyor ve son aşamada dosyalar şifrelenerek kurum operasyonu durduruluyor. Yani kurum aynı anda hem hizmet kesintisi hem de veri ihlali riskiyle karşı karşıya kalıyor. Sağlık kuruluşlarında bu durum daha kritik; çünkü sistemlere erişim kaybı yalnızca idari işleyişi değil, hasta süreçlerini ve hizmet sürekliliğini de etkileyebilir. Bu nedenle kurumların sadece antivirüs veya güvenlik ürünü satın alması yetmez; yedekleme, ağ segmentasyonu, erişim kontrolü, log izleme ve olay müdahale hazırlığını düzenli olarak test eden bir yapıya sahip olması gerekir” ifadelerini kullandı.

KVKK duyurusunda yer alan bilgilere göre olayla ilgili inceleme sürerken, etkilenen kişi sayısı ve ihlalin kapsamına ilişkin teknik değerlendirmelerin devam ettiği bildirildi.