Novo Nordisk kontaktuje úřady kvůli údajnému úniku dat o objemu 1 TB

Novo Nordisk kontaktuje úřady kvůli údajnému úniku dat o objemu 1 TB

Farmaceutický gigant Novo Nordisk potvrdil, že je v kontaktu s příslušnými úřady poté, co hackerská skupina prohlásila, že ukradla a zveřejnila více než jeden terabajt firemních dat. Výrobce léků, známý především svými léky na cukrovku a hubnutí, uvádí, že monitoruje své systémy a udržuje normální provoz, zatímco vyšetřuje nahlášený incident.

Situace vyvolává naléhavé otázky ohledně toho, jak zdravotnické a farmaceutické společnosti nakládají s citlivými údaji, a co mohou pacienti a zaměstnanci dělat, když se organizace, kterým důvěřují, stanou terčem útoku.

Co Novo Nordisk dosud řekl

Reakce společnosti Novo Nordisk byla zdrženlivá. Společnost potvrdila, že o tvrzeních ví, a uvedla, že v rámci reakce spolupracuje s úřady. Kromě potvrzení, že hackerská skupina údajně zveřejnila data, Novo Nordisk neposkytl podrobné potvrzení o tom, jaké konkrétní informace byly zasaženy nebo jak k úniku mohlo dojít.

Tento druh opatrného a omezeného zveřejňování informací je v raných fázích firemního kybernetického incidentu běžný. Společnosti čelí protichůdným tlakům: právní povinnosti informovat dotčené osoby, provozní potřebě vyšetřit incident před vydáním definitivních prohlášení a reputačnímu riziku plynoucímu z přílišné komunikace nebo naopak ze zdánlivého zlehčování závažné události. Výsledkem je často čekací doba, která potenciálně dotčené jedince nechává bez jasných odpovědí.

Jak bylo uvedeno samostatně, tento incident vykazuje rysy typické pro kybernetické vyděračské kampaně, při nichž útočníci odcizí data a vyhrožují jejich zveřejněním, pokud nebudou splněny jejich požadavky. Tento model se stal napříč odvětvími stále běžnějším, ale zvláštní váhu má ve zdravotnictví a farmacii, kde mohou zasažená data zahrnovat klinické záznamy, identifikátory pacientů a proprietární výzkum.

Pro širší kontext tvrzení obklopujících tento únik, včetně uváděných podrobností o typech dat, jichž se údajně týká, poskytuje další informace článek Novo Nordisk zasažen únikem 1,3 TB dat: Ukradena data z klinických studií.

Proč jsou úniky dat ve farmacii obzvlášť závažné

Většina lidí si úniky dat spojuje s finančními informacemi, hesly nebo účty na sociálních sítích. Únik týkající se velké farmaceutické společnosti s sebou nese odlišné a potenciálně trvalejší následky.

Farmaceutické společnosti uchovávají řadu citlivých kategorií: záznamy účastníků klinických studií, zdravotní historii, osobní údaje zaměstnanců, proprietární výzkum vývoje léčiv a v některých případech i informace o zdravotnických pracovnících, kteří se společností spolupracují. Na rozdíl od ukradeného čísla kreditní karty, které lze zrušit a nahradit, jsou zdravotní informace trvalé. Mohou být zneužity k pojistným podvodům, krádeži identity nebo cíleným phishingovým útokům, které využívají znalosti zdravotní historie dané osoby.

Zdravotnický sektor se stále více stává hlavním cílem vyděračských skupin právě kvůli této citlivosti. Sázky jsou tak vysoké, že organizace mohou cítit tlak na zaplacení požadavků a regulační orgány v mnoha jurisdikcích přistupují k únikům zdravotních údajů se zvláštní vážností. Podobná dynamika se projevila i v případu úniku dat společnosti iRhythm způsobeného aplikacemi třetích stran v cloudu, kdy byly zdravotní informace pacientů vystaveny prostřednictvím systémů mimo přímou infrastrukturu společnosti.

Co to znamená pro vás

Pokud jste pacientem, který se účastnil klinických studií společnosti Novo Nordisk, užíval její léky, nebo pokud váš poskytovatel zdravotní péče se společností jednal, je možnost, že vaše údaje byly součástí údajné krádeže, třeba brát vážně, a to ještě předtím, než dorazí oficiální oznámení.

Zde je, co můžete udělat právě teď:

• Sledujte phishing. Vyděračské skupiny, které zveřejňují ukradená data, je často prodávají nebo šíří dalším kriminálním aktérům. Může se zvýšit počet e-mailů nebo zpráv, které odkazují na váš zdravotní stav, léky nebo osobní údaje. K jakékoli nevyžádané komunikaci týkající se vašeho zdraví přistupujte se zvýšenou podezřívavostí.
• Kontrolujte výpisy ze zdravotního pojištění. Podvodné nároky využívající odcizené zdravotní údaje se mohou objevit měsíce po úniku. Hledejte služby, které jste nevyužili, nebo poskytovatele, které jste nenavštívili.
• Sledujte oficiální oznámení. V závislosti na tom, kde žijete, může být Novo Nordisk ze zákona povinen informovat osoby, jejichž údaje byly dotčeny. Regulační orgány v EU podle GDPR a v USA podle HIPAA (pokud se vztahuje) stanovují lhůty pro oznámení. Sledujte jakoukoli oficiální komunikaci od společnosti nebo příslušných zdravotních úřadů.
• Používejte silné a jedinečné přihlašovací údaje. Pokud máte účet u společnosti Novo Nordisk nebo na souvisejícím zdravotnickém portálu, ihned si změňte heslo a zapněte vícefaktorové ověřování.
• Zvažte audit ochrany soukromí. Tento incident je vhodnou příležitostí k přezkoumání toho, jaké údaje sdílíte s jakoukoli organizací, ať už farmaceutickou, či jinou, a k omezení zbytečného sdílení údajů, kde je to možné.

Širší vývoj, který stojí za pozornost

Novo Nordisk není výjimkou. Velké farmaceutické a zdravotnické společnosti čelily v posledních letech rostoucí vlně kybernetického vydírání a pokusů o krádež dat. Tyto organizace uchovávají obrovské objemy citlivých informací, často napříč složitými globálními dodavatelskými řetězci, partnerskými sítěmi a staršími IT systémy, které lze obtížně jednotně zabezpečit.

Tento incident je pozoruhodný rozsahem údajné krádeže a zapojením úřadů pravděpodobně napříč několika jurisdikcemi, vzhledem ke globálnímu působení společnosti Novo Nordisk. Výsledek tohoto vyšetřování pravděpodobně ovlivní, jak podobné společnosti přistupují k vlastnímu zabezpečení dat.

Pro jednotlivce plyne klíčové ponaučení: ochranu soukromí nelze zcela delegovat na organizace, které vaše údaje uchovávají. Vytváření osobních návyků v oblasti minimalizace údajů, hygieny přihlašovacích údajů a ostražitosti vůči sociálnímu inženýrství je stále důležitější bez ohledu na to, zda pracujete v technologiích, nebo jen využíváte lékařskou péči. Zůstaňte ve střehu a sledujte oficiální aktualizace od společnosti Novo Nordisk a příslušných regulačních orgánů, jak se situace bude dále vyvíjet.