500 Bin Kişinin Verileri Çalındı mı? İddia Edilen Sağlık Veri İhlali ve KVKK Perspektifi
İddialara göre bir sağlık grubunun sistemlerine sızan saldırganlar ~500.000 kişi ve çalışan verisine ulaştı; ~2,5 milyon dosya ele geçirildi. Bu yazı; olayın olası kapsamını, KVKK yükümlülüklerini ve atılması gereken acil adımları özetler.
Şeffaflık Notu: Bu metin, kamuya yansıyan iddiaları esas alır ve kesin teknik bulgularla karıştırılmamalıdır. Resmî bildirimler yayımlandıkça sayfa güncellenmelidir.
Ne olduğu iddia ediliyor?
15 Mart tarihli yetkisiz erişim sonrasında, saldırganların bir gün sonra kurum içi bir yöneticiye kanıt niteliğinde dosya listeleri e-posta ettiği ve toplamda ~2,5 milyon dosyanın ele geçirildiğinin iddia edildiği belirtiliyor. Olayın klasik fidye yazılımı (ransomware) olmadığı, saldırı tipinin analizinin sürdüğü ifade ediliyor.
Hangi veri kategorileri etkilenmiş olabilir?
Kimlik & İletişim
Ad-soyad, T.C. kimlik no, adres, telefon, e-posta.
Sağlık & Genetik
Teşhis/prosedür bilgileri, laboratuvar sonuçları, genetik veriler (özel nitelikli).
Çalışan Verileri
Özlük, mesleki deneyim, vardiya/rol bilgileri.
Finans & Operasyon
Faturalama, ödeme, pazarlama/iletişim tercihleri, güvenlik logları.
Ceza Mahkûmiyeti vb.
Varsa adli kayıtlar (istisnai, sıkı tedbir gerektirir).
Önemli: Sağlık ve genetik veriler “özel nitelikli kişisel veri”dir; işleme ve güvenlik tedbirleri bakımından en yüksek koruma gerekir.
Hastalar ve çalışanlar için başlıca riskler nelerdir?
Kimlik hırsızlığı & dolandırıcılık
- Sahte randevu/ödeme talepli SMS-e-posta
- Sigorta suiistimali, sosyal mühendislik
Mahremiyet ihlali
- Sağlık bilgisi ifşası, kariyer/itibar riski
- İstenmeyen hedefli reklam/arama
Kurumlar böyle bir ihlalde ilk 72 saatte ne yapmalı?
Olayı sınırlama & delil koruma
Erişimi kes, kimlik bilgisi dökümlerini ve sistem loglarını koru; adli bilişim imajı al.
Etkilenen varlık & veri sınıflandırma
Hangi sistem/veri setleri etkilendi? Özel nitelikli kategoriler var mı?
Hukuki bildirim & iletişim
KVKK Kurumu’na ve ilgili kişilere en kısa sürede bildirim, net ve ölçülü kamuoyu metni hazırlığı.
Şifre/anahtar rotasyonu
Kimlik sağlayıcılar, VPN, e-posta, yedekler ve API anahtarları.
Kök neden & düzeltici aksiyon
IAM hataları, zafiyet yönetimi, yedeklerin izolasyonu, sürekli izleme.
Kalıcı önlem: Sıfır güven (Zero Trust), EDR/XDR, DLP ve veri sınıflandırma + şifreleme politikalarının zorunlu hale getirilmesi.
KVKK yükümlülükleri bu durumda ne gerektirir?
Madde 12 – Teknik/İdari Tedbirler
Veri sorumlusu; hukuka aykırı işlemeyi ve erişimi önlemek ile muhafazayı sağlamak için uygun güvenlik seviyesini temin eden her türlü tedbiri almakla yükümlüdür. (Örn. erişim kontrolü, log yönetimi, şifreleme, personel eğitimi). Resmî rehber ve sayfa için bkz. KVKK.
Veri İhlali Bildirimi
İhlal tespitinde Kurum’a ve ilgili kişilere en kısa sürede bildirim; Kurul kararıyla kamuoyu duyurusu yapılabilir. Bildirim; etkilenen veri kategorileri, kişi sayısı, olası etkiler ve alınan önlemleri içerir. KVKK duyuru pratiğine bakınız.
Not: Sağlık/genetik veriler “özel nitelikli” olduğundan, ek teknik-idari önlemler ve ayrı erişim kontrolü şarttır.
SSS – Sık Sorulan Sorular
Verim ihlalde ele geçirildiyse kurumdan ne talep edebilirim?
KVKK m.11 kapsamındaki haklarınızı kullanarak; hangi verilerinizin etkilendiğini, hangi önlemlerin alındığını ve ihlalin sonuçlarını öğrenmeyi isteyebilirsiniz.
İhlal olduğunda kurumun duyuru yapması şart mı?
Evet, Kurum’a ve ilgili kişilere bildirim esastır; Kurul uygun görürse kamuoyu duyurusu yapılır.
Hastalar kendini nasıl korur?
Parola değişimi, 2FA, bankacılık/SGK uyarıları, şüpheli arama-SMS doğrulaması, sosyal medya gizlilik kontrolleri.
Fidye yazılımı değilse ne olabilir?
Kimlik bilgisi hırsızlığı, oturum anahtarı sızıntısı, tedarik zinciri, hatalı erişim listeleri veya arka kapı (web-shell) vakaları.
Sonuç & İletişim
İddia edilen bu olay; sağlık verilerinin yüksek hassasiyeti nedeniyle acil ve şeffaf bir KVKK yaklaşımı gerektirir. Etkin müdahale; teknik sınırlama, hızlı bildirim ve net paydaş iletişimiyle başlar.
Nesil Teknoloji, sağlık kuruluşlarına olay müdahale (IR), KVKK bildirim yönetimi, teknik kök-neden analizi ve kalıcı siber dayanıklılık programları sunar.
