Veri İhlali Bildirimi, Veri Gizliliği, Veri Güvenliği
Oglethorpe Haziran Ayında 92.000 Hastaya Ruh Sağlığı ve Bağımlılık Bilgilerini Bildiriyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
3 Kasım 2025
Üç eyalette yatılı akıl sağlığı ve bağımlılık tedavi tesisleri işleten Florida merkezli bir firma, 92.000’den fazla hastaya kişisel ve hassas sağlık bilgilerinin Haziran ayında keşfedilen bir veri hırsızlığı saldırısı nedeniyle ele geçirilmiş olabileceğini bildiriyor.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Cuma günü veri güvenliği olayını Maine başsavcılığına bildiren Oglethorpe Inc., web sitesinde kendisini psikiyatri hizmetleri, uyuşturucu ve alkolden arındırma ve rehabilitasyon, yeme bozukluğu terapisi ve davranışsal sağlık danışmanlığı konularında uzmanlaşmış sağlık merkezleri, sağlıklı yaşam klinikleri ve hastaneler için yönetim çözümleri sağlayıcısı olarak tanımlıyor.
Şirketin Florida, Ohio ve Louisiana’da, Deland, Florida’da bulunan ve bağımlılık, travma sonrası stres ve diğer psikolojik sorunlar yaşayan askerlik gazilerine akıl sağlığı sağlayan Heroes’ Mile tesisi de dahil olmak üzere tesisleri bulunmaktadır.
Oglethorpe, Maine düzenleyicilerine sunduğu örnek ihlal bildirim mektubunda, 6 Haziran’da veya buna yakın bir tarihte, yetkisiz bir üçüncü tarafın BT ortamına eriştiği bir ağ güvenliği olayı tespit ettiğini söyledi.
Oglethorpe, “Ağ ortamının güvenliğinin sağlanması ve herhangi bir yetkisiz etkinliğin boyutunun araştırılması konusunda bize yardımcı olmaları için hızlı bir şekilde üçüncü taraf adli tıp uzmanlarını görevlendirdik” dedi.
Soruşturma, tehdit aktörlerinin potansiyel olarak kişilerin adı ve soyadı, doğum tarihi, ehliyet numarası, Sosyal Güvenlik numarası ve tıbbi bilgileri dahil olmak üzere bazı kişisel bilgileri edindiğini ortaya çıkardı. Oglethorpe, “Bilgilerinizin özel olarak kötüye kullanıldığına dair hiçbir kanıt bulamadık” dedi ve etkilenen hastalara 12 ay boyunca ücretsiz kredi izleme olanağı sunduğunu da sözlerine ekledi.
Oglethorpe, olayı FBI’a da bildirdiğini ve soruşturmada işbirliği yaptığını söyledi.
Oglethorpe, olaya yanıt olarak etkilenen sistemleri “silip yeniden inşa ettiğini” ve ağ güvenliğini artırmak için başka adımlar attığını söyledi. “Ayrıca sistemlerimizin ve sunucularımızın güvenliğinin yanı sıra verileri nasıl sakladığımız ve yönettiğimizle ilgili politikalarımızı, prosedürlerimizi ve ağ güvenliği yazılımımızı da gözden geçiriyor ve değiştiriyoruz.”
Şirket, Bilgi Güvenliği Medya Grubu’nun hackle ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Hassas Sağlık Verileri Riskleri
Elbette Oglethorpe, bilgisayar korsanlığı olayı yaşayan ilk akıl sağlığı ve bağımlılık tedavisi hizmetleri sağlayıcısı değil. Aslında, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlali Raporlama Aracı, son yıllarda davranışsal sağlık tesisleri ve benzer kuruluşlar tarafından bildirilen düzinelerce büyük sağlık verisi ihlalini göstermektedir.
Bu, Arkansas merkezli zihinsel ve davranışsal sağlık hizmetleri sağlayıcısı Arisa Health tarafından Temmuz 2023’te HHS Sivil Haklar Bürosu’na bildirilen yaklaşık 375.000 kişiyi etkileyen bir veri hırsızlığı hackini de içermektedir (bkz.: Arkansas Ruh Sağlığı Sağlayıcısının Hacklenmesi 375.000 Kişiyi Etkiledi).
Ruh sağlığı hizmeti sağlayıcılarını ilgilendiren daha önceki bazı ihlaller, HHS OCR’nin düzenleyici yaptırım eylemleriyle de sonuçlanmıştı. Bu, HHS OCR’nin, uzun süreli bakım ve destekli yaşam tesisleri sakinlerine psikolojik ve psikiyatrik hizmetler sağlayan Teksas merkezli Deer Oaks’a karşı, kurumun ilgisiz iki veri ihlaline ilişkin soruşturmasının ardından 225.000 ABD doları tutarında federal para cezası ve düzeltici eylemi de içermektedir (bkz.: Ruh Sağlığı Sağlayıcısı Risk Analizi Eksikliği Nedeniyle 225 Bin Dolar Para Cezasına çarptırıldı).
Sağlık hizmetleri gizliliği ve güvenlik danışmanlığı Clearwater’da danışmanlık hizmetleri başkan yardımcısı Dave Bailey, “Davranışsal sağlık veya bağımlılık tedavisi verilerini içeren ihlaller, kişisel etki çok daha büyük olabileceğinden daha hassas bir mercekle inceleniyor” dedi.
“Etkilenen bireyler için bu tür verilerin açığa çıkması, kimlik hırsızlığının mali risklerinin çok ötesine geçen sosyal damgalama ve duygusal zarar taşır. Düzenleyiciler bunun farkındadır” dedi.
Soruşturmalar genellikle bir kuruluşun bu özellikle hassas veri ortamlarına bağlı riskleri ne kadar iyi anladığını ve azalttığını daha derinlemesine inceler. “Mesleki açıdan bakıldığında bu olaylar, hastaların en savunmasız olduğu bir anda güveni zedeliyor” dedi.
Çoğu büyük sağlık verisi ihlali gibi bu olaylar da toplu davaların mıknatısıdır. Pazartesi günü itibarıyla birçok hukuk firması, Oglethorpe veri ihlalini potansiyel toplu dava iddiaları açısından araştırdıklarını belirten kamuya açık duyurular yayınladı.
Bailey, akıl sağlığı ve madde bozukluğu verilerinin yanı sıra, doğurganlık ve üreme bakımı verileri, genetik test sonuçları ve pediatrik kayıtlar gibi özellikle hassas sağlık bilgilerinin diğer kategorilerinin de açığa çıkması durumunda uzun vadeli olası sonuçları nedeniyle daha fazla dikkat gerektirebileceğini söyledi.
“Bu tür bilgiler, derin kişisel veya hassas ayrıntılar taşıyabilir ve yanlış ellere geçtiğinde, finansal kimlik hırsızlığının ötesinde zarara yol açabilir. Sağlık kuruluşlarının, ortamlarındaki hangi verilerin tehlikeye atılması durumunda en önemli sonuçları doğurabileceğini değerlendirmesi ve bu alanların orantılı koruma almasını sağlaması önemlidir” dedi.
Bailey, tüm sağlayıcılar için önemli dersin “onay kutusu uyumluluğunun” ötesine geçmek olduğunu söyledi.
“En hassas verilerinizin nerede yaşadığını, nasıl hareket ettiğini ve ona kimlerin erişebileceğini belirlemek için gerçek, risk bazlı bir analiz yapın” dedi. “Bu sistemlerin etrafında katmanlı güvenlik önlemleri oluşturun, bunları düzenli olarak doğrulayın ve sorunlar ortaya çıktığında hastalara karşı şeffaf olun. Güven bir kez kaybolduğunda yeniden inşa edilmesi zor bir şeydir.”