Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Olaylar 2025’te ilk beş sağlık veri ihlali arasında yer alıyor – şimdiye kadar
Marianne Kolbasuk McGee (Healthinfosec) •
17 Temmuz 2025

Maryland merkezli bir dermatoloji uygulaması ve Virginia merkezli bir tıbbi görüntüleme ve radyoloji varlığı, federal düzenleyicilere 3,3 milyondan fazla hastanın korunan sağlık bilgilerini etkileyen hack olaylarını ayrı olarak bildirmiştir.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Perşembe günü, Anne Arundel Dermatoloji ve Richmond Radyoloji Ortakları tarafından bildirilen Hack’lerin her biri, 2025 yılında Sağlık ve İnsan Hizmetleri Departmanı’nın HIPAA Breach Raporlama Aracı Web Sitesi’nin 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listeleyen en büyük beş sağlık veri ihlali arasında yer aldı.
Web sitesinde yedi eyalette 100’den fazla hasta bakımı lokasyonunu listeleyen Md. Merkezli Anne Arundel Dermatology, 11 Temmuz’da Hacking olayının bir ağ sunucusu içerdiğini ve 2025’teki dördüncü en büyük sağlık verileri ihlalini potansiyel olarak tehlikeye attığını bildirdi.
Anne Arundel Dermatology, Maryland, Florida, Georgia, Kuzey Carolina, Virginia, Pennsylvania ve Tennessee’de tıbbi, cerrahi ve kozmetik prosedürlerden bir dizi cilt hizmeti sunmaktadır.
Bu arada, Richmond’un Va merkezli Radyoloji Associates Richmond, 1 Temmuz’da HHS OCR’ye, hackleme olayının aynı zamanda bir ağ sunucusunu içerdiğini ve Perşembe günü 2025’te şimdiye kadarki beşinci büyük HIPAA ihlali olan yaklaşık 1.42 milyon kişiyi etkilediğini bildirdi.
Anne Arundel Dermatology Hack
Vermont devlet düzenleyicilerine verilen örnek bir ihlal bildirim mektubunda, dermatoloji uygulaması, bazı BT sistemlerinde yetkisiz bir üçüncü taraf tarafından “son zamanlarda” bir saldırı tespit ettiğini söyledi.

Uygulamanın olayla ilgili değerlendirmesi, sistemlerine yetkisiz erişimin 14 Şubat – 13 Mayıs tarihleri arasında yaklaşık üç ay sürdüğünü belirledi.
AAD, etkilenen dosyaların potansiyel olarak hasta isimlerini, adresleri, doğum tarihlerini, tıbbi bilgileri, sağlık sigortası bilgilerini ve diğer detayları içeren kişisel ve sağlık bilgileri içerdiğini belirledi.
Uygulama, tehdit aktörlerinin hasta verilerini gerçekten görüntüleyip görüntülemediğini veya söndürülmediğini ve kimsenin bilgileriyle ilgili herhangi bir kötüye kullanımdan veya hileli faaliyetin farkında olmadığını “bilmediğini” söyledi.
AAD, Saldırganların fidye yazılımı şifrelemesini kullanıp kullanmadığı veya gasp ödemesi isteyip istemedikleri de dahil olmak üzere, bilgi güvenliği medya grubunun olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Perşembe itibariyle Anne Arundel Dermatology, veri ihlali ile ilgili olarak, hepsi bu hafta açılan en az dokuz federal sınıf eylem davası ile karşı karşıya kaldı.
Davalar, uygulamanın hastaların hassas kişisel ve sağlık bilgilerini korumamada ihmalkar olduğu iddiaları da dahil olmak üzere finansal zararlar arar ve benzer iddialarda bulunmaktadır.
Richmond ihlalinin radyoloji ortakları
Web sitesinde Richmond Breach Radyology Associates, Orta Virginia’daki yedi hastanede çeşitli tıbbi görüntüleme ve teşhis hizmetleri ve üç poliklinik görüntüleme merkezi sağlayan 63 radyolog olduğunu söyledi.

Bu hastaneler arasında Chippenham Tıp Merkezi, Johnston -Willis Hastanesi, Henrico Doktorlar Hastanesi – Orman Kampüsü, Henrico Doktorlar Hastanesi – Parham Kampüsü, John Randolph Tıp Merkezi, Retreat Hastanesi ve Spotsylvania Bölgesel Tıp Merkezi bulunmaktadır.
Ayakta tedavi tesisleri arasında Chesterfield Imaging Center, Independence Park Imaging Center ve Appomattox Görüntüleme Merkezi bulunmaktadır.
Web sitesinde yayınlanan bir ihlal bildirisindeki radyoloji grubu, olayın geçen yıl birkaç gün boyunca sistemlerine yetkisiz erişim içerdiğini söyledi – 2 Nisan – 6 Nisan 2024.
RAR, siber güvenlik olayını ilk kez keşfettiğini göstermedi.
“Bu konuyu öğrendikten sonra hemen tehdidi içermek ve iç ortamımızı güvence altına almak için çalıştık.” Dedi. Uygulama, bu olay sonucunda ne tür kişisel veya hassas verilerin tehlikeye atılmış olabileceğini belirlemek için dış siber güvenlik uzmanlarıyla çalıştı.
Potansiyel olarak etkilenen bilgiler arasında hastaların adı, doğum tarihi, e -posta adresi, sosyal güvenlik numarası, hesap numarası, yönlendirme numarası, tıbbi bilgiler ve sağlık sigortası bilgileri bulunmaktadır.
“RAR, bu olayın doğrudan bir sonucu olarak herhangi bir kişisel bilginin kötüye kullanıldığına dair hiçbir kanıtı yoktur.” Dedi.
Perşembe itibariyle, Richmond Breach Radyoloji Ortakları da hack ile ilgili önerilen birkaç federal sınıf eylem davası ile karşı karşıya kaldı.
Şirket, ISMG’nin yorum talebine ve hack hakkında ek ayrıntılara hemen yanıt vermedi.