Türkiye’nin en büyük hastane zincirlerinden Medical Park, siber güvenlik platformlarında yer alan “3,3 TB veri sızdırıldı” iddialarını jet hızıyla yalanladı. Yapılan resmi açıklamada, sistemlerin güvenli olduğu ve herhangi bir veri ihlalinin yaşanmadığı vurgulandı.
Siber güvenlik dünyasında geniş yankı uyandıran “Medical Park’a fidye yazılımı (ransomware) saldırısı” iddialarına kurumdan beklenen açıklama geldi. “BLACKWATER” adlı bir tehdit grubu tarafından ortaya atılan; 36 hastane, 14 bin çalışan ve milyonlarca hastanın verilerinin ele geçirildiği yönündeki iddialar, hastane yönetimi tarafından kesin bir dille reddedildi.
Sistemlerimizde herhangi bir sorun yok
Medical Park Hastaneler Grubu tarafından yapılan kamuoyu açıklamasında, iddiaların ardından teknik ekiplerin anında kapsamlı bir inceleme başlattığı belirtildi. Açıklamada şu ifadelere yer verildi:
“Yapılan tüm incelemeler sonucunda sistemlerimizde herhangi bir sorun tespit edilmemiştir. Verilerimize dışarıdan herhangi bir yetkisiz erişim sağlanmamış ve hiçbir veri sızdırılmamıştır. Tüm sistemlerimiz aktif izleme altında ve uluslararası bilgi güvenliği standartlarıyla korunmaya devam etmektedir.”
3,3 TB veri iddiası ve BLACKWATER tehdidi
Siber tehdit izleme platformları FalconFeeds.io ve ransomware.live üzerinden yayılan iddiaya göre; BLACKWATER grubu, Medical Park sistemlerinden 3,3 terabayt boyutunda kritik veri çektiğini öne sürmüştü. Bu veriler arasında hasta kayıtları, tıbbi geçmişler ve finansal dökümlerin yer aldığı iddia edilmişti. Ancak uzmanlar, fidye yazılımı gruplarının bazen baskı oluşturmak veya itibar sarsmak amacıyla bu tür abartılı iddialarda bulunabileceğine dikkat çekiyor.
Sağlık Sektörü Neden Siber Saldırıların Hedefinde?
Dünya genelinde ve Türkiye’de sağlık kuruluşları, siber korsanlar için birincil hedef konumunda. Bunun temel nedenleri:
- Hassas Veriler: Sağlık verileri (T.C. kimlik no, tanı, tedavi) karanlık web’de (dark web) finansal verilerden daha yüksek fiyata alıcı buluyor.
- Kritik Altyapı: Hastaneler 7/24 hizmet vermek zorunda olduğu için sistemlerin kilitlenmesi (fidye yazılımı), kurumları ödeme yapmaya zorlayan büyük bir baskı oluşturuyor.
- Eski Altyapılar: Bazı sağlık kurumlarının güncellenmemiş yazılımları, korsanlar için açık kapı bırakabiliyor.
Yanıltıcı haberlere hapis cezası
Türkiye’de Mart 2025’te yürürlüğe giren Siber Güvenlik Kanunu, bu tür olaylarda dezenformasyonun önüne geçmeyi hedefliyor. Yasaya göre; gerçeğe aykırı veri sızıntısı iddialarını yayarak kamuoyunda panik yaratanlar hakkında 2 ila 5 yıl arasında hapis cezası istenebilecek. Öte yandan, gerçek bir ihlali bildirmeyen kurumlara da ağır idari para cezaları öngörülüyor.
BLACKWATER kimdir?
BLACKWATER, ransomware.live ve FalconFeeds.io gibi siber tehdit izleme platformlarında takip edilen ve dünya genelinde çeşitli kurumlara yönelik fidye yazılımı saldırısı iddialarıyla gündeme gelen bir tehdit aktörüdür. Bu tür gruplar tipik olarak karanlık web üzerindeki sızıntı sitelerinde saldırı iddialarını yayımlar; kimi zaman fidye ödenmesi için baskı amacıyla gerçek veya abartılmış iddialar öne sürerler. Grubun Medical Park’a yönelik iddiası bağımsız siber güvenlik kuruluşları tarafından henüz doğrulanmamıştır.
Fidye yazılımı gruplarının saldırı iddiası ile gerçek veri ihlali her zaman aynı şey değildir. Bu gruplar zaman zaman sisteme gerçekten sızmadan ya da çok sınırlı veriye ulaşarak baskı oluşturmak amacıyla büyük hacimli veri iddiasında bulunabilir. Sonucun ne olduğunu ancak bağımsız adli bilişim incelemesi ve KVKK bildirimi netleştirebilir.
Benzer güncel vakalar
Edremit Özel Hastanesi
KVKK’ya bildirilen fidye yazılımı saldırısında sağlık, biyometrik ve cinsel yaşam verileri dahil hassas kategoriler risk altına girdi.
Türkiye / Ağustos 2025
Türk Tabipleri Birliği
Siber saldırı sonucu 107.000 kişiyi etkileyebilecek veri ihlali yaşandı; kimlik, iletişim ve hukuki işlem verileri etkilendi.
ABD / Nisan 2026
Signature Healthcare
Anubis fidye grubu, hastaneye yönelik saldırıda 2 TB kritik hasta verisi ele geçirdiğini iddia etti.
Belçika / 2026
AZ Monica Hastanesi
DDoS saldırısıyla tüm sunucular kapatıldı; 70’ten fazla ameliyat iptal edildi, acil servis aksadı.
Türkiye’de Mart 2025’te yürürlüğe giren Siber Güvenlik Kanunu kapsamında, yalan veri sızıntısı iddiasını kamuoyuyla paylaşanlara 2–5 yıl hapis cezası öngörülüyor. Gerçek veri ihlalini kurumlara bildirmeyenlere ise 1.000.000 TL ile 10.000.000 TL arasında idari para cezası uygulanabiliyor.
Sıkça Sorulan Sorular
Medical Park siber saldırı iddiası doğrulandı mı? Hayır. Medical Park resmi bir açıklama yaparak sistemlerinde sızıntı olmadığını ve verilerin güvenli olduğunu duyurdu.
Kullanıcılar ne yapmalı? Resmi makamlar ve KVKK’dan bir doğrulama gelmediği sürece panik yapılmamalıdır. Ancak önlem olarak e-Devlet ve banka şifrelerinin güncellenmesi her zaman tavsiye edilen bir güvenlik adımıdır.
BLACKWATER grubu kimdir? Dünya genelinde çeşitli kurumlara siber saldırı iddialarıyla gündeme gelen bir fidye yazılımı grubudur. İddiaları genellikle doğrulanmaya muhtaçtır.
Kaynak: Haber Merkezi