Veri ihlali bildirimi, veri güvenliği, HIPAA/Hitech
345 Binbaşı Hipaa İhlalleri Bu yıl şimdiye kadar bildirilen 29.9 milyonu etkiledi.
Marianne Kolbasuk McGee (Healthinfosec) •
7 Temmuz 2025
2025’in ortasında, ABD’deki büyük sağlık verileri ihlallerini listeleyen federal web sitesi tanıdık bir sahne göstermektedir: fidye yazılımı, düzinelerce üçüncü taraf satıcı olayları ve tehlikeye atılan kişisel verilerden etkilenen milyonlarca birey gibi birçok hack olayı.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Pazartesi itibariyle, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA Breach Raporlama Aracı web sitesinin bir anlık görüntüsü, 2025 yılında bildirilen 345 sağlık veri ihlali 500 veya daha fazla kişiyi etkiliyor. Bu 345 ihlal yaklaşık 29,9 milyon insanı etkiledi. Bu, 30 Haziran 2024’e kadar bildirilen 408 ihlalden daha az ve o zamanlar bu ihlaller yaklaşık 52.7 milyon insanı etkiledi – 2025’te aynı dönem için neredeyse iki kat daha fazla.
Hacking/BT olayları, 2025’te en yaygın olarak bildirilen sağlık verileri ihlali türüne öncülük eder. HHS OCR web sitesi, 28.8 milyon kişinin verilerini veya 2025’te şu ana kadar etkilenen kişilerin yaklaşık% 97’sinin, bu yılki hack olayından geçen 10 büyük sağlık veri ihraçından dokuzda yer alan 258 bu tür hackleri gösteriyor.
Şimdiye kadar HHS Sivil Haklar Ofisi’ne bu yıl yayınlanan ihlallerin en büyüğü, Nisan ayında Connecticut merkezli Yale New Haven Sağlık Sistemi tarafından 5,5 milyon hastayı etkileyen bir hack olayı olarak bildirildi (bakınız: Yale New Haven Health 5.5 milyon Mart Hack’i bildiriyor).
“Yetkisiz erişim/açıklamalar” olarak bildirilen ihlaller, en sık bildirilen ikinci ihlaldi ve 74 bu tür olay 950.000’den fazla kişiyi etkiledi.
Şimdiye kadar, bu yetkisiz erişim/ifşa olaylarının en büyüğü Serviceaid tarafından bildirildi – 483.000 kişiyi etkileyen bir ihlal. Mayıs ayında HHS OCR’ye, Web’deki verilerin yanlışlıkla maruz kalmasının, Batı New York’taki altı hastane ve düzinelerce diğer tesis ağı olan Müşteri Katolik Sağlığı hastalarını etkileyen olaya yol açtığını bildiren Ajan Yapay Zeka Tabanlı BT Yönetimi ve İş Akışı Yazılımının satıcısı (bakınız: bkz: Ajan AI teknoloji firması, sağlık veri sızıntısının 483.000’i etkilediğini söylüyor).
10 büyük sağlık verisi ihlali, yıl ortası 2025
| İhlal edilen varlık | Etkilenen bireyler |
|---|---|
| Yale New Haven Sağlık Sistemi | 5.55 milyon |
| Bölüm | 5,4 milyon |
| Kaliforniya mavi kalkan | 4.7 milyon |
| Lockton Cos Southeast serisi. | 1.1 milyon |
| Toplum Sağlığı Merkezi | 1 milyon |
| Frederick Health | 934.300 |
| Medusind | 701.500 |
| Kelly & Associates | 553.300 |
| Birleşik Oturma ve Hareketlilik (Numotion) | 494.300 |
| Serviceaide | 483.100 |
Şimdiye kadar 2025 yılında HHS OCR’ye bildirilen 345 ihlalden, 15.8 milyondan fazla kişiyi etkileyen 127 olayın üçüncü taraf iş ortaklarını içerdiği bildirildi.
Bu, iş ortaklarının 2025’te şu ana kadar büyük sağlık veri ihlallerinin% 37’sinin merkezinde bildirilmiş olsa da, bu olayların etkilenen kişilerin yarısından fazlasından sorumlu olduğu anlamına gelir.
Tıbbi kodlama ve risk ayarlama hizmetlerinden oluşan bir satıcı olan Episource, geçen ay bu olayların en büyüğünü bildirdi – 5.4 milyon kişiyi etkileyen bir fidye yazılımı hack.
Hack’ten etkilenen Episource’un sağlık sektörü müşterilerinin birçoğu, Kaliforniya’daki sağlık dağıtım sistemi Sharp Healthcare ve New Jersey’den sağlık sigortacı Horizon Blue Cross Blue Shield dahil olmak üzere olay hakkında kendi ihlal bildirimlerini de yayınladı.
Güvenlik firması Lumifi Cyber’den Mike Hamilton, “Kapsanan kuruluşlar iş ortaklarını kendi kuruluşlarıyla aynı gereksinimlere sahip olmalı ve kontrolleri her yıl gözden geçirilmelidir.” Dedi. “Bu, sözleşme dilinde, kontrollerin uygulanamaması ve kapsamlı kuruluş için sorumluluğu sınırlamak için açık sonuçlarla somutlaştırılmalıdır.” Dedi.
Daha Fazla Gelecek
Ayrıca, sağlık kuruluşlarının Pazartesi itibariyle, 2025 büyük sağlık verisinin en az 34’ünün sadece 500 veya 501 kişiyi etkilediğini bildirdiğini de belirtmek gerekir. Bu rakamlar genellikle yer tutucu numarası olarak kullanılırken, raporlama varlığı olayının tam analizini ve korunan sağlık bilgilerinin kapsamını tamamlar.
Bu ihlal raporları daha doğru sayılarla güncellendikten sonra, etkilenen bireylerin toplamı da önemli ölçüde artacaktır.
Birçok durumda, bir HIPAA ihlalinden etkilenen 500 ve 501 kişinin bir raporu, daha sonra kesinlikle göz kamaştırıcı bir figürle değiştirilir.
Change Healthcare’in büyük fidye yazılımı olayını Temmuz 2024’te HHS OCR’ye ilk kez 500 kişiyi etkileyen bir ihlal olarak bildirdiği durum böyleydi.
Bu sayı, UnitedHealth Group ‘BT Services Birimi’nin ihlal raporunu birkaç ay sonra HHS OCR’ye güncellediğinde rekor kıran 190 milyon kurbana dönüştü (bakınız: Sağlık Hizmetini Değiştirme artık 190 milyon veri ihlali kurbanını sayıyor).
HHS OCR web sitesi Eylül 2009’da başladığından beri, sağlık kuruluşları Pazartesi itibariyle yaklaşık 884.6 milyon kişiyi etkileyen 6.982 büyük sağlık veri ihlali bildirdi.