Veri İhlali Bildirimi, Veri Güvenliği, Sağlık Hizmetleri
Şirketler En Son Hackleri Ortaya Çıkaran En Son HIPAA İş Ortakları Arasında
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
12 Aralık 2025
Hastalara sağlık sigortası planları aracılığıyla ürünler sağlayan Rochester, New York merkezli bir tıbbi malzeme tedarik şirketi, müşterilerini ve 274.000’den fazla kişiyi Ağustos ayında, korunan sağlık bilgilerini tehlikeye atabilecek bir bilgisayar korsanlığı olayı hakkında bilgilendiriyor.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
Fieldtex Products, en az 274.363 kişinin etkilendiğini gösteren bilgisayar korsanlığı olayıyla ilgili olarak ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’ne biri 20 Kasım’da ve üçü 3 Aralık’ta olmak üzere dört ayrı ihlal raporu sundu.
Fieldtex, HIPAA iş ortağı olarak raporları federal düzenleyicilere sundu. Şirket, ihlal beyanında, Fieldtex’e doğrudan bildirimde bulunma yetkisi veren sağlık planı müşterileri adına etkilenen bireyleri bilgilendirdiğini söyledi.
Fieldtex’in yanı sıra, başka bir HIPAA iş ortağı olan Cognizant’a ait bir gelir döngüsü yönetimi yazılım firması olan TriZetto Provider Solutions da bu hafta, açıklanmayan sayıda müşteriyi ve hastalarını yakın zamanda meydana gelen bir bilgisayar korsanlığı olayı hakkında bilgilendirmeye başladığını doğruladı. Cuma günü itibarıyla şirketin olayla ilgili henüz kamuya açık bir ihlal bildirimi yayınlamadığı görülüyor.
Fieldtex İhlali
Fieldtex kendisini, sağlık planları aracılığıyla üyelere reçetesiz sağlıkla ilgili ürünler sağlayan bir tıbbi malzeme tedarik kuruluşu olarak tanımlıyor. Şirketin ihlal beyanında “Fieldtex, bu hizmetleri sunmak için üyelerin sağlık planlarından belirli korunan sağlık bilgileri aldı” denildi.
Fieldtex, 19 Ağustos’ta veya buna yakın bir tarihte bilgisayar sistemlerinde bazı izinsiz faaliyetler keşfettiğini söyledi. “Fieldtex, olayın ortaya çıkması üzerine derhal ağını güvence altına aldı ve olayın tüm niteliğini ve kapsamını belirlemek için hızla adli tıp araştırmacılarından oluşan üçüncü taraf bir ekiple iletişime geçti.”
Adli tıp soruşturması, bilinmeyen bir aktörün bireylerin PHI’sine erişmiş olabileceği ihtimalini göz ardı edemedi. Fieldtex, “Şu anda herhangi bir bilginin kötüye kullanıldığına dair hiçbir belirti yok” dedi.
Etkilenen verilerde yer alan bilgiler arasında hasta adları, adresleri, doğum tarihleri, sigorta üyesi kimlik numaraları, plan adları, geçerli şartlar ve cinsiyet yer alıyordu.
Şirket, Fieldtex’in 30 Eylül’de potansiyel olarak etkilenen verilere ilişkin analizini tamamladığını ve ilgili sağlık planlarını derhal bildirmeye başladığını söyledi.
Fieldtex, olayda bilgilerinin tehlikeye girmiş olabileceği kişilere ücretsiz kredi izleme hizmetleri sunduğunu söyledi.
Şirket, “Ayrıca, bu olaya yanıt olarak Fieldtex, ağında ek güvenlik önlemleri uygulamaya koydu ve veri güvenliğiyle ilgili mevcut politika ve prosedürlerini gözden geçiriyor” dedi.
Fieldtex, Bilgi Güvenliği Medya Grubu’nun, tehdit aktörlerinin verileri sızdırıp sızdırmadığı veya fidye talep edip etmediği de dahil olmak üzere bilgisayar korsanlığı olayıyla ilgili ek ayrıntılara yönelik talebine hemen yanıt vermedi.
Diğer Satıcı Hack’leri
TriZetto Sağlayıcı Çözümleri Cuma günü ISMG’ye yaptığı açıklamada, şirketin 2 Ekim’de bazı sağlık hizmeti sağlayıcısı müşterilerinin sistemlerine erişmek için kullandığı bir web portalında şüpheli etkinlikten haberdar olduğunu söyledi.
Açıklamada, “Hızla bir soruşturma başlattık, sorunu hafifletmek için adımlar attık ve çevreye yönelik tehdidi ortadan kaldırdık” dedi. “Ayrıca harici siber güvenlik uzmanlarıyla, Mandiant’la da iletişime geçtik ve kolluk kuvvetlerine bilgi verdik. Etkilenen müşteri ve hastaları bilgilendirdik ve onlara ihtiyaç duydukları desteği ve bilgileri sağladık.”
TriZetto, ISMG’nin olayla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi ve kamuya açık bir ihlal bildirimi yayınlamış gibi görünmüyor.
Yıllardır olduğu gibi, HIPAA korumalı sağlık bilgilerini işleyen iş ortakları, 2025’te şimdiye kadar bildirilen en büyük ihlallerin çoğunun merkezinde yer aldı. Cuma günü itibarıyla HHS OCR web sitesi, iş ortaklarını kapsayan ve yaklaşık 18,3 milyon kişiyi etkileyen 218 ihlal gösteriyor.
Cuma günkü HHS OCR rakamları, sağlık planları gibi işletmelere arka ofis hizmetleri sağlayan bir iş ortağı olan Conduent Business Services tarafından ilk kez Ekim ayında federal düzenleyicilere bildirilen bir bilgisayar korsanlığı olayından etkilenen kişilerin mevcut çetelesini yansıtmıyor.
Conduent, 8 Ekim’de HHS OCR’a olayın 42.616 kişiyi etkilediğini bildirdi. Ancak Conduent birkaç hafta sonra – ABD federal hükümetinin kapanmasının ortasında – Oregon eyaleti başsavcısına ihlalin aslında 10,5 milyon kişiyi etkilediğini bildirdi (bkz: Conduent Hack’te Davalar ve Soruşturmalar Birikiyor).
Cuma günü itibarıyla HHS OCR, HIPAA ihlal raporlama web sitesi Conduent’in saldırıdan etkilenen kişi sayısına ilişkin güncellenmiş rakamlarını henüz yayınlamadı.