Son Mühür- Kişisel Verileri Koruma Kurumu (KVKK), sağlık dünyasını sarsan yeni bir veri ihlali bildirisini kamuoyuyla paylaştı. Muğla Bodrum'da bulunan Özbeyler Sağlık ve Özel Hastane Medikal bünyesinde gerçekleşen siber saldırı, dijital güvenliğin ne kadar kırılgan olduğunu bir kez daha gözler önüne serdi. Kurum tarafından yapılan resmi açıklamaya göre, "fidye yazılımı" (ransomware) yöntemiyle gerçekleştirilen bu saldırı sonucunda, hastaların ve çalışanların mahremiyetine dair en hassas bilgilerin kötü niyetli kişilerin eline geçmiş olabileceği endişesi yaşanıyor.
Fidye yazılımıyla gelen sistem kilidi
Siber saldırganların hedefindeki kurumda yaşanan aksaklık, 20 Ocak 2026 tarihinde sistemlere erişimin kesilmesiyle gün yüzüne çıktı. Yapılan teknik incelemeler, sanallaştırma altyapısındaki sunucuların tamamen devre dışı kaldığını ve sistem dosyalarının saldırganlar tarafından şifrelendiğini ortaya koydu. Bilgi işlem ekipleri tarafından aynı gün fark edilen ihlal, kurumun operasyonel kabiliyetini doğrudan hedef alırken, fidye yazılımı uzantılarının tüm kritik verilere sirayet ettiği anlaşıldı. Bu durum, sadece bir sistem arızası değil, organize bir siber suç girişiminin parçası olarak kayıtlara geçti.
Mahremiyet alarmı: Cinsel hayattan biyometrik verilere
İhlalin boyutlarını korkutucu kılan temel unsur, sızmış olma ihtimali bulunan verilerin niteliği oldu. KVKK'nın yayımladığı listeye göre; kimlik ve iletişim bilgilerinin çok ötesine geçilerek, özel nitelikli kişisel veriler kategorisindeki sağlık kayıtları, biyometrik veriler, cinsel yaşam bilgileri, dini inançlar ve ceza mahkumiyeti gibi son derece mahrem detaylar risk altına girdi. Ayrıca çalışanların ve hastaların finansal verileri, ailevi durumları, askerlik kayıtları ve seyahat geçmişleri gibi geniş bir veri setinin de siber korsanların erişimine açılmış olabileceği vurgulandı.
Etki alanı tahminlerin ötesinde: Kimler risk altında?
Saldırıdan etkilenen kitle, sadece mevcut hastalarla sınırlı kalmadı. İncelemeler; çalışanlardan stajyerlere, doktorlardan tedarikçi yetkililerine, hatta kamera kaydı alınan ziyaretçilerden kamu kurumu çalışanlarına kadar çok geniş bir yelpazenin bu ihlalden payını almış olabileceğini gösteriyor. Henüz net bir sayı verilememekle birlikte; donörler, refakatçiler, hissedarlar ve hatta kimlik belgesini kaybeden bireylerin dahi sistemdeki kayıtları nedeniyle risk grubunda bulunduğu bildirildi. Kurum, etkilenen kişi sayısını belirlemek için teknik analizlerini derinleştirerek sürdürüyor.
Siber uzmanlardan kritik uyarı: "Bu sıradan bir ihlal değil"
Konuyu değerlendiren Siber Güvenlik Uzmanı Mehmet Tolga Ertürk, sağlık kuruluşlarına yönelik saldırıların toplumsal risk çarpanının çok yüksek olduğuna dikkat çekti. Ertürk, özellikle biyometrik veriler ile sağlık geçmişinin aynı anda sızmasının, kişilerin itibar kaybı yaşamasına veya hedefli dolandırıcılık faaliyetlerine maruz kalmasına yol açabileceğini belirtti. Govisec Kurucusu Ertürk ise fidye yazılımlarının artık iki aşamalı bir şantaj mekanizmasına dönüştüğünü; önce verilerin çalındığını, ardından sistemlerin kilitlenerek kurumların hem hizmet veremez hale getirildiğini hem de veri ifşasıyla tehdit edildiğini ifade etti.
KVKK süreci yakından takip ediyor
Kişisel Verileri Koruma Kurulu, 27 Ocak 2026 tarihli ve 2026/138 sayılı kararıyla söz konusu ihlalin internet sitesi üzerinden ilan edilmesine hükmetti. Veri sorumlusu şirket, ihlalden etkilenmiş olabilecek kişilerin bilgi alabilmesi için çağrı merkezi, resmi web sitesi ve kurumsal e-posta kanallarını aktif hale getirdi. Hukuki ve teknik incelemeler devam ederken, uzmanlar sağlık kuruluşlarının sadece güvenlik yazılımlarına güvenmemesi; ağ segmentasyonu, log izleme ve düzenli yedekleme testleri gibi proaktif savunma mekanizmalarını hayata geçirmesi gerektiğini önemle hatırlatıyor.
