Veri İhlali Bildirimi, Veri Güvenliği, Sağlık Hizmetleri
Inotiv, SEC’e ‘Hala Tam Etkiyi Değerlendirdiğini ve İhlal Mağdurlarını Bildirdiğini’ Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Aralık 2025
İlaç araştırma firması Inotiv, federal düzenleyicilere sunduğu bir dosyada, fidye yazılımı çetesi Qilin ile bağlantılı olan ağustos ayında gerçekleşen siber saldırının tam mali ve operasyonel etkisini hâlâ değerlendirdiğini söyledi. Şirket ayrıca olayda verilerinin çalındığı iddia edilen yaklaşık 10.000 kişiye de bildirimde bulunuyor.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Inotiv, 3 Aralık’ta ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir başvuruda, 8 Ağustos’ta keşfedilen siber olaydan etkilenen belirli BT sistemlerinin kullanılabilirliğini ve erişimini yeniden sağladığını söyledi.
Inotiv, SEC’i 8 Ağustos’ta saldırıyla ilgili bilgilendirmiş ve o sırada olayla ilgili ön soruşturmada bir tehdit aktörünün belirli şirket sistemlerine eriştiğini ve bunları şifrelediğini ortaya çıkarmıştı (bkz.: İlaç Ar-Ge Firmasının BT’si, İddia Edilen Qilin Saldırısında Veriler Şifrelendi).
Şirket, 30 Eylül’de sona eren 2025 mali yılı dördüncü çeyrek dosyalarında SEC’e, son çeyrekte Inotiv’in siber olayla ve ayrı yasal sorunlarla bağlantılı olarak yaklaşık 2,48 milyon dolar maliyete maruz kaldığını bildirdi. Mali yıl için bu maliyetlerin toplamı yaklaşık 5,93 milyon dolardı.
Inotiv, SEC dosyasında şu ana kadar siber saldırı ve bunun sonucunda ortaya çıkan ihlalden kaynaklanan kesin maliyetleri belirtmedi.
Şirket ayrıca Bilgi Güvenliği Medya Grubu’nun olayla ilgili mali ve diğer ayrıntılara ilişkin taleplerine de hemen yanıt vermedi.
Inotiv, SEC’e “Şirket, geçerli yasal yükümlülüklere uygun olarak 2025 siber güvenlik olayına ilişkin bildirimler sağlama sürecindedir” dedi. “Olayın olası kapsamını belirlemiş olsak da, tüm operasyonel ve finansal etkileri hâlâ değerlendiriliyor. Buna göre, 2025 siber güvenlik olayının şirket üzerinde maddi bir etki yaratma ihtimalinin makul olup olmadığını henüz belirlemedik.”
Inotiv, 2 Aralık’ta Maine başsavcılığına sunduğu ihlal raporunda, olayın 9.542 kişiyi etkilediğini söyledi.
Şirketin Maine ve Kaliforniya başsavcılarına sunduğu örnek ihlal bildirim mektuplarında, Inotiv’in adli tıp soruşturmasında tehdit aktörlerinin 5 Ağustos ile 8 Ağustos arasında firmanın BT sistemlerine yetkisiz erişim elde ettiğinin ve bilgisayar korsanlarının “belirli verileri ele geçirmiş olabileceğinin” belirlendiği belirtildi.
Örnek mektuplar, isimlerin ve “diğer tanımlayıcıların” etkilendiğini belirtmenin ötesinde ele geçirilen bilgilerin ayrıntılarını içermiyor. Ancak mektuplar, ele geçirilen verilerin Inotiv’in mevcut ve eski çalışanlarına, onların aile üyelerine ve ayrıca “Inotiv ile etkileşime giren diğer kişilere veya satın aldığı şirketlere ait belirli verilere” ait olduğunu gösteriyor.
Inotiv, etkilenen kişilere 24 ay boyunca ücretsiz kredi izleme ve kimlik hırsızlığı koruma hizmetleri sunuyor. Şirket ayrıca olayı kolluk kuvvetlerine bildirdi ve kolluk kuvvetleri soruşturması nedeniyle ihlal bildiriminin gecikmediğini söyledi.
Çarşamba itibarıyla Inotiv, siber olay nedeniyle Indiana federal mahkemesinde şu ana kadar açılan en az üç toplu davanın birleştirilmesiyle karşı karşıyaydı.
Dava, saldırının arkasında şirketin 176 gigabaytlık verisini çalan fidye yazılımı grubu Qilin’in olduğuna inanıldığını iddia ediyor. Değiştirilen birleştirilmiş şikayette, “Siber saldırı iş operasyonlarında aksamalara neden oldu. Ayrıca, Qilin’in davacıların ve sınıf üyelerinin özel bilgilerini karanlık ağda yayınladığına inanılıyor.”
Mali tazminat talep eden davada, Inotiv’in davacıların ve grup üyelerinin şirkete emanet ettiği özel bilgileri gerektiği gibi güvence altına almadığı ve korumadığı iddia ediliyor.
Inotiv’e karşı açılan davada davacıları temsil eden avukatlar, ISMG’nin yorum taleplerine hemen yanıt vermedi.
30 Eylül’de sona eren 2025 mali yılında 513 milyon dolar gelir bildiren Indiana merkezli Inotiv, kardiyovasküler, sinir bilimi, onkoloji, akciğer hastalıkları, bulaşıcı hastalıklar ve çok daha fazlası dahil olmak üzere çok çeşitli terapötik alanlarda yeni ilaç keşfi ve geliştirilmesinde müşterilerle çalışan sözleşmeli bir araştırma kuruluşudur.