Veri Gizliliği, Veri Güvenliği, HIPAA/HITECH
Haritalama Platformunun Açığa Çıkan Adresleri ve Tıbbi Yardım Planları
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
9 Ocak 2026
Illinois İnsani Hizmetler Departmanı, 700.000’den fazla kişiye, Medicare, Medicaid ve rehabilitasyon hizmetleri alıcılarına ilişkin çevrimiçi verileri açığa çıkaran, birkaç yıldır yürürlükte kalan “yanlış gizlilik ayarları” içeren bir ihlal konusunda bildirimde bulunuyor.
Ayrıca bakınız: OnDemand I Uyumluluktan Siber Dayanıklılığa – Güvenliğin Ön Planda Olduğu Bir Çağda DPDP Yasasını Yorumlamak
Devlet kurumu 2 Ocak’ta yaptığı açıklamada, 22 Eylül 2025’te ortaya çıkan olayın Aile ve Toplum Hizmetleri Dairesi Planlama ve Değerlendirme Bürosu tarafından oluşturulan haritaların açığa çıkarılmasını içerdiğini söyledi.
IDHS, “Haritalar, yeni yerel ofislerin nerede açılacağının belirlenmesi gibi kaynak tahsisi kararlarında IDHS’ye yardımcı olmak için oluşturuldu ve yalnızca dahili IDHS kullanımına yönelikti” dedi.
IDHS ihlali iki kategorideki kişileri etkiliyor.
Buna yaklaşık 673.000 Medicaid ve Medicare Tasarruf Programı alıcısı da dahildir. Bu kişilerin bilgilerini içeren haritalar, Ocak 2022’den Eylül 2025’e kadar kamuya açıktı. Etkilenen bilgiler, alıcıların isimlerini içermiyordu ancak adreslerini, vaka numaralarını, demografik bilgilerini ve Medicaid ve Medicare gibi tıbbi yardım planlarının adını açığa çıkardı.
İhlalden etkilenen diğer kişi kategorisi, yaklaşık 32.401 rehabilitasyon hizmetleri müşterisini içeriyordu.
DRS müşteri bilgilerini içeren haritalar Nisan 2021’den Eylül 2025’e kadar kamuya açıktı ve isimler, adresler, vaka numaraları, vaka durumu, sevk kaynağı bilgileri, bölge ve ofis bilgileri ile DRS alıcılarının durumunu içeriyordu.
Bakanlık, açığa çıkan harita bilgilerini kimin görüntülediğini tespit edemediğini söyledi. IDHS, maruziyeti keşfettikten sonra, erişimi yalnızca yetkili çalışanlarla sınırlandırmak için tüm haritalardaki gizlilik ayarlarını derhal değiştirdiğini söyledi.
Olaydan bu yana departman, müşteri düzeyindeki verilerin halka açık haritalama web sitelerine yüklenmesini yasaklayan bir “güvenli harita politikası” geliştirdi ve uyguladı.
BT yanlış yapılandırma olayları, sağlık sektöründe yıllar içinde birçok büyük ihlale yol açan sık görülen bir sorundur. Güvenlik ve gizlilik danışmanlığı tw-Security’nin ortağı ve baş danışmanı Keith Fricke, sağlık verilerinin web’de aylarca veya yıllarca açığa çıkmasıyla sonuçlanan BT yanlış yapılandırma hatalarına genellikle çeşitli faktörlerin katkıda bulunduğunu söyledi.
“Birkaç yaygın neden var: Değişikliklerin beklendiği gibi uygulandığını onaylamayı içeren resmi değişiklik yönetimi süreçlerinin zayıf olması veya hiç olmaması, BT personelinin yapılacaklar listesindeki bir sonraki göreve geçmek için bir değişikliği tamamlamak için acele etmesi ve muhtemelen uygun yapılandırma ayarlarının anlaşılmaması” dedi.
Yanlış yapılandırmaların, bir sistemin işletim sistemi veya veri tabanı teknolojisi yükseltildiğinde ve varsayılan olarak etkinleştirilen gereksiz hizmetler ve protokoller kaldırılmadığında veya devre dışı bırakılmadığında da sıklıkla meydana geldiğini söyledi.
“Resmi bir değişiklik yönetimi süreci, uygulanan gerekli güvenlik yapılandırma ayarlarını gözden geçirmek için bir kontrol listesi içermelidir” dedi. “Bazen bir sistemde yapılan yükseltme veya güncelleme, güvenlik ayarlarını istenenden daha az güvenli olan varsayılan duruma geri döndürebilir. Değişiklikleri bir kişinin yapması ve diğer kişinin de çalışmalarını kontrol etmesi iyi bir uygulamadır.”
“Bu şekilde görev ayrımı, değişiklik yapan kişinin önemli bir şeyi gözden kaçırmama şansını azaltır.”
Fricke, BT değişikliklerinin yapılmasından üçüncü taraf bir tedarikçinin sorumlu olması durumunda aynı değişiklik yönetimi ilkelerinin geçerli olacağını söyledi. “Satıcı, hangi değişikliklerin ne zaman, nasıl, kim tarafından yapılacağı ve geri alma planının ne olduğu konusunda bildirimde bulunmalıdır. Ayrıca müşteri, mümkün olduğu ölçüde güvenlik ayarlarının gözden geçirilmesi de dahil olmak üzere, değişikliklerden sonra sistemin işlevselliğini test etmelidir.”