Ocak ayının başında ABD’de iki farklı eyaletteki İnsan Hizmetleri Departmanları (DHS – sosyal hizmetler bakanlığı benzeri) veri güvenliği olayı duyurdu.

İlk olay, Illinois İnsan Hizmetleri Departmanında (IDHS) yaşandı. Olay, 22 Eylül 2025’te tespit edilmiş, ancak kamuoyuna 2 Ocak 2026’da açıklandı. Açıklamaya göre, yalnızca kurum içinde kullanılması gereken bazı dokümanlar, yanlış gizlilik ayarları nedeniyle herkese açık şekilde görüntülenebilir durumdaydı.

IDHS’ye göre olay iki grubu etkileyebilir:

a) Rehabilitasyon Hizmetleri Birimi (DRS) hizmet alıcıları – yaklaşık 32.401 kişi (açığa çıkmış olabilecek bilgiler; ad soyad, adres, bölge/ofis bilgileri ve DRS alıcısı olma durumu vb.),

b) Medicaid ve Medicare programları yararlanıcıları – yaklaşık 672.616 kişi (bu grupta açığa çıkmış olabilecek bilgiler: adres, demografik bilgiler ve tıbbi yardım planı türü vb.).

Toplamda olayın yaklaşık 700.000 kişiyi etkilediği değerlendiriliyor.

İkinci veri güvenliği olayı, Minnesota İnsan Hizmetleri Departmanının (DHS) MnCHOICES sisteminde 16 Ocak 2026’da yaşandı. Sistem, üçüncü taraf bir tedarikçi (FEI) tarafından yönetiliyormuş. FEI, olayı 18 Kasım 2025’te tespit ettiğini ve bulgularını 19 Kasım 2025’te DHS’ye bildirdiğini açıkladı.

İncelemeye göre, lisanslı bir sağlık hizmeti sağlayıcısıyla ilişkili bir kullanıcı, sistemde sınırlı erişim yetkisi olmasına rağmen işi için gerekenden daha fazla veriye erişti.İlgili erişimin daha sonra kaldırıldığı belirtildi. Olaydan 303.965 kişinin etkilenmiş olabileceği bildirildi. Erişilmiş olabilecek veri türleri arasında ad-soyad, adres, e-posta, telefon numarası, cinsiyet, doğum tarihi, sosyal güvenlik numarasının son 4 hanesi vb. yer alıyor.

Illinois olayıyla birlikte değerlendirildiğinde, toplam etkilenen kişi sayısı 1 milyona yaklaşıyor.

Olayların tüm ayrıntılarını ve kurumların hangi güvenlik çözümlerini kullandığını bilmiyoruz. Bu nedenle, kamuoyuna yansıyan bilgiler üzerinden ilerleyerek bu tür olayların nasıl önlenebileceğini ele alacağız.

OLAYLAR NASIL ÖNLENEBİLİRDİ?

İki olayın ortak kök nedeni, veri yönetimindeki eksikliklerdir. Bu tür durumları önlemenin yolu, sıkı bir erişim yönetimi uygulamaktan geçer. Özellikle iki temel ilke öne çıkar:

• Need-to-know (kullanıcının yalnızca işi için gerekli olan veriye erişebilmesi),
• Least privilege (kullanıcıya yalnızca okuma gibi asgari yetkilerin verilmesi).

Bu prensipleri uygulayabilmek için verilerin sınıflandırılması gerekir. Bu işlem, DCAP sınıfı çözümlerle yapılabilir. Bu tür çözümler, sisteminizdeki dosyaları içeriklerine göre tarar, örneğin “ticari sır” veya “kişisel bilgiler” gibi türlere ayırır.

Ayrıca modern bir DLP sistemi, kullanıcı davranışlarını analiz ederek hangi kullanıcıların riskli bir davranış sergileyebileceğine dair işaretleri ortaya çıkarabilir. DLP ve/veya SIEM sistemleri ise anormal durumları ve kurum politikalarına aykırı işlemleri tespit ederek uyarı üretir.