Novo Nordisk kontakter myndigheder efter påstået databrud på 1 TB

Novo Nordisk kontakter myndigheder efter påstået databrud på 1 TB

Medicinalgiganten Novo Nordisk har bekræftet, at de er i kontakt med relevante myndigheder, efter at en hackergruppe hævdede at have stjålet og offentliggjort mere end én terabyte virksomhedsdata. Lægemiddelvirksomheden, der er bedst kendt for sine diabetes- og vægttabsmedicin, oplyser, at den overvåger sine systemer og opretholder normal drift, mens den undersøger den rapporterede hændelse.

Situationen rejser presserende spørgsmål om, hvordan sundheds- og medicinalvirksomheder håndterer følsomme data, og hvad patienter og ansatte kan gøre, når organisationer, de har tillid til, bliver mål.

Hvad Novo Nordisk har sagt indtil videre

Novo Nordisks reaktion har været afmålt. Virksomheden bekræftede kendskab til påstandene og oplyste, at den samarbejder med myndighederne som led i sin håndtering. Ud over at anerkende, at en hackergruppe angiveligt offentliggjorde data, har Novo Nordisk ikke givet en detaljeret bekræftelse af, præcis hvilke oplysninger der var berørt, eller hvordan bruddet kan være sket.

Denne form for forsigtig, begrænset offentliggørelse er almindelig i de tidlige faser af en virksomheds cyberhændelse. Virksomheder står over for modstridende pres: den juridiske forpligtelse til at underrette berørte parter, det operationelle behov for at undersøge, før de kommer med endelige udtalelser, og den omdømmemæssige risiko ved enten at overkommunikere eller at synes at bagatellisere en alvorlig hændelse. Resultatet er ofte en ventetid, der efterlader potentielt berørte personer uden klare svar.

Som rapporteret separat har denne hændelse karakteristika, der stemmer overens med en cyberafpresningskampagne, hvor angribere stjæler data og truer med at offentliggøre dem, medmindre kravene opfyldes. Dette mønster er blevet stadig mere almindeligt på tværs af brancher, men det har særlig vægt inden for sundhed og farma, hvor de involverede data kan omfatte kliniske journaler, patientidentifikatorer og proprietær forskning.

For en bredere kontekst omkring påstandene vedrørende dette brud, herunder rapporterede detaljer om de typer data, der angiveligt er involveret, giver Novo Nordisk ramt af 1,3 TB brud: Kliniske forsøgsdata stjålet yderligere baggrund.

Hvorfor databrud hos medicinalvirksomheder er særligt alvorlige

De fleste forbinder databrud med finansielle oplysninger, adgangskoder eller konti på sociale medier. Et brud, der involverer en stor medicinalvirksomhed, har andre og potentielt mere varige konsekvenser.

Farmacivirksomheder besidder en række følsomme kategorier: data om deltagere i kliniske forsøg, helbredshistorik, personoplysninger om ansatte, proprietær lægemiddeludviklingsforskning og i nogle tilfælde oplysninger om sundhedspersoner, der interagerer med virksomheden. I modsætning til et stjålet kreditkortnummer, som kan annulleres og udskiftes, er helbredsoplysninger permanente. De kan bruges til forsikringssvindel, identitetstyveri eller målrettede phishingangreb, der udnytter kendskab til en persons sygehistorie.

Sundhedssektoren er i stigende grad blevet et hovedmål for afpresningsgrupper netop på grund af denne følsomhed. Indsatsen er høj nok til, at organisationer kan føle sig presset til at betale krav, og tilsynsmyndigheder i mange jurisdiktioner behandler brud på helbredsdata med særlig alvor. En lignende dynamik udspillede sig i iRhythm-bruddet, der involverede tredjeparts cloud-applikationer, hvor patienters helbredsoplysninger blev eksponeret gennem systemer uden for virksomhedens egen infrastruktur.

Hvad dette betyder for dig

Hvis du er patient og har deltaget i Novo Nordisks kliniske forsøg, har brugt deres medicin, eller hvis din sundhedsudbyder har interageret med virksomheden, er det værd at tage muligheden for, at dine data var inkluderet i det påståede tyveri, alvorligt – selv før officielle meddelelser ankommer.

Her er, hvad du kan gøre lige nu:

Vær opmærksom på phishing. Afpresningsgrupper, der offentliggør stjålne data, sælger eller distribuerer dem ofte til andre kriminelle aktører. Du kan opleve en stigning i e-mails eller beskeder, der henviser til dine helbredstilstande, medicin eller personlige detaljer. Behandl enhver uopfordret henvendelse om dit helbred med øget skepsis.

Gennemgå dine sygeforsikringsopgørelser. Svigagtige krav, der bruger stjålne helbredsdata, kan dukke op måneder efter et brud. Hold øje med ydelser, du ikke modtog, eller udbydere, du ikke har besøgt.

Tjek for officielle meddelelser. Afhængigt af, hvor du bor, kan Novo Nordisk være juridisk forpligtet til at underrette personer, hvis data var berørt. Tilsynsorganer i EU under GDPR og i USA under HIPAA (hvor det er relevant) fastsætter tidsfrister for underretning. Hold øje med enhver officiel kommunikation fra virksomheden eller relevante sundhedsmyndigheder.

Brug stærke, unikke legitimationsoplysninger. Hvis du har en konto hos Novo Nordisk eller en relateret sundhedsportal, skal du ændre din adgangskode og aktivere flerfaktorgodkendelse med det samme.

Overvej et privatlivstjek. Denne hændelse er en god anledning til at gennemgå, hvilke data du deler med enhver organisation, farmaceutisk eller ej, og til at minimere unødvendig datadeling, hvor det er muligt.

Det bredere mønster, der er værd at følge

Novo Nordisk er ikke en undtagelse. Store medicinal- og sundhedsvirksomheder har stået over for en stigende bølge af cyberafpresning og datatyveriforsøg gennem de seneste år. Disse organisationer besidder enorme mængder følsomme oplysninger, ofte på tværs af komplekse globale forsyningskæder, partnernetværk og ældre it-systemer, der kan være vanskelige at sikre ensartet.

Det, der gør denne hændelse bemærkelsesværdig, er omfanget af det påståede tyveri og involveringen af myndigheder på tværs af, hvad der sandsynligvis er flere jurisdiktioner, givet Novo Nordisks globale aktiviteter. Resultatet af denne undersøgelse vil sandsynligvis præge, hvordan tilsvarende virksomheder griber deres egen datasikkerhedsposition an.

For enkeltpersoner er den vigtigste pointe, at beskyttelse af privatlivet ikke fuldt ud kan uddelegeres til de organisationer, der opbevarer dine data. At opbygge personlige vaner omkring dataminimering, legitimationshygiejne og årvågenhed over for social engineering er i stigende grad afgørende, uanset om du arbejder i tech-branchen eller blot modtager lægehjælp. Vær opmærksom på officielle opdateringer fra Novo Nordisk og relevante tilsynsmyndigheder, mens denne situation udvikler sig.