Novo Nordisk ottaa yhteyttä viranomaisiin epäillystä 1 TB:n tietomurrosta

Novo Nordisk ottaa yhteyttä viranomaisiin epäillystä 1 TB:n tietomurrosta

Lääkejätti Novo Nordisk on vahvistanut olevansa yhteydessä asianomaisiin viranomaisiin sen jälkeen, kun hakkeriryhmä väitti varastaneensa ja julkaisseensa yli teratavun verran yrityksen tietoja. Diabetes- ja laihdutuslääkkeistään tunnetuin lääkevalmistaja kertoo seuraavansa järjestelmiään ja jatkavansa normaalia toimintaa tutkiessaan ilmoitettua tapausta.

Tilanne herättää kiireellisiä kysymyksiä siitä, miten terveydenhuolto- ja lääkeyritykset käsittelevät arkaluonteisia tietoja, ja mitä potilaat ja työntekijät voivat tehdä, kun heidän luottamansa organisaatiot joutuvat hyökkäyksen kohteeksi.

Mitä Novo Nordisk on toistaiseksi sanonut

Novo Nordiskin vastaus on ollut harkittu. Yhtiö vahvisti olevansa tietoinen väitteistä ja kertoi tekevänsä yhteistyötä viranomaisten kanssa osana vastaustaan. Sen lisäksi, että yhtiö myönsi hakkeriryhmän väitetysti julkaisseen tietoja, Novo Nordisk ei ole antanut yksityiskohtaista vahvistusta siitä, mitä tietoja tarkalleen ottaen on vaarantunut tai miten tietomurto on saattanut tapahtua.

Tällainen varovainen, rajattu tiedottaminen on yleistä yritysten kyberhäiriöiden alkuvaiheessa. Yritykset kohtaavat ristiriitaisia paineita: lakisääteinen velvollisuus ilmoittaa asianosaisille, toiminnallinen tarve tutkia ennen lopullisten lausuntojen antamista, ja maineriski joko liiallisesta viestinnästä tai vakavan tapahtuman vähättelystä. Lopputuloksena on usein odotusaika, joka jättää mahdollisesti vaikutuksen kohteeksi joutuneet ilman selkeitä vastauksia.

Kuten aiemmin on raportoitu, tällä tapauksella on piirteitä, jotka sopivat kyberkiristykseen, jossa hyökkääjät varastavat tietoja ja uhkaavat julkaista ne, ellei vaatimuksiin suostuta. Tämä toimintamalli on yleistynyt eri toimialoilla, mutta se on erityisen painava terveydenhuollossa ja lääketeollisuudessa, joissa tiedot voivat sisältää kliinisiä potilastietoja, potilaiden tunnisteita ja omaa tutkimustietoa.

Laajempaa taustaa tähän tietomurtoon liittyvistä väitteistä, mukaan lukien raportoidut tiedot väitetysti varastetuista tietotyypeistä, löytyy artikkelista Novo Nordisk Hit by 1.3TB Breach: Clinical Trial Data Stolen.

Miksi lääkealan tietomurrot ovat erityisen vakavia

Useimmat ihmiset yhdistävät tietomurrot taloustietoihin, salasanoihin tai sosiaalisen median tileihin. Suuren lääkeyhtiön tietomurrolla on erilaisia ja mahdollisesti pysyvämpiä seurauksia.

Lääkeyhtiöillä on hallussaan monenlaisia arkaluonteisia tietoja: kliinisten tutkimusten osallistujatietoja, terveyshistoriaa, työntekijöiden henkilötietoja, omaa lääkekehitystutkimusta ja joissakin tapauksissa tietoja yrityksen kanssa tekemisissä olevista terveydenhuollon ammattilaisista. Toisin kuin varastettua luottokortin numeroa, jonka voi sulkea ja korvata, terveystiedot ovat pysyviä. Niitä voidaan käyttää vakuutuspetoksiin, identiteettivarkauksiin tai kohdennettuihin tietojenkalasteluhyökkäyksiin, joissa hyödynnetään henkilön sairaushistorian tuntemista.

Terveydenhuoltosektorista on juuri tämän arkaluonteisuuden vuoksi tullut yhä houkuttelevampi kohde kiristysryhmille. Panokset ovat niin korkeat, että organisaatiot saattavat tuntea painetta maksaa vaatimukset, ja monien maiden sääntelyviranomaiset suhtautuvat terveystietomurtoihin erityisen vakavasti. Samankaltainen dynamiikka nähtiin iRhythm-tietomurrossa, jossa kolmannen osapuolen pilvisovellukset paljastivat potilastietoja, jossa potilaiden terveystietoja paljastui yrityksen suoran infrastruktuurin ulkopuolisten järjestelmien kautta.

Mitä tämä tarkoittaa sinulle

Jos olet potilas, joka on osallistunut Novo Nordiskin kliinisiin tutkimuksiin, käyttänyt sen lääkkeitä, tai jos terveydenhuollon tarjoajasi on ollut tekemisissä yrityksen kanssa, on syytä ottaa vakavasti mahdollisuus, että tietosi ovat mukana väitetyssä tietovarkaudessa, jo ennen virallisia ilmoituksia.

Tässä on, mitä voit tehdä heti:

Seuraa tietojenkalastelua. Kiristysryhmät, jotka julkaisevat varastettuja tietoja, myyvät tai jakavat niitä usein muille rikollisille toimijoille. Saatat havaita lisääntyneitä sähköposteja tai viestejä, joissa viitataan terveydentilaasi, lääkitykseesi tai henkilökohtaisiin tietoihisi. Suhtaudu terveyteesi liittyviin pyytämättömiin yhteydenottoihin erityisen epäilevästi.

Tarkista sairausvakuutuslaskelmasi. Varastetuilla terveystiedoilla tehtyjä petollisia korvaushakemuksia voi ilmetä kuukausia tietomurron jälkeen. Etsi palveluita, joita et ole saanut, tai palveluntarjoajia, joiden luona et ole käynyt.

Tarkista viralliset ilmoitukset. Asuinpaikastasi riippuen Novo Nordiskin voi olla lain mukaan pakko ilmoittaa henkilöille, joiden tietoja on vaarantunut. EU:n tietosuoja-asetus (GDPR) ja Yhdysvalloissa HIPAA (soveltuvin osin) asettavat ilmoitusaikatauluja. Pidä silmällä yrityksen tai asianomaisten terveysviranomaisten virallista viestintää.

Käytä vahvoja, ainutlaatuisia kirjautumistietoja. Jos sinulla on tili Novo Nordiskissa tai siihen liittyvässä terveysportaalissa, vaihda salasanasi ja ota monivaiheinen tunnistautuminen käyttöön välittömästi.

Harkitse yksityisyyden tarkastusta. Tämä tapaus on hyvä muistutus tarkistaa, mitä tietoja jaat minkä tahansa organisaation, lääkeyhtiön tai muun kanssa, ja minimoida tarpeeton tietojen jakaminen mahdollisuuksien mukaan.

Laajempi seurattava kehityskulku

Novo Nordisk ei ole poikkeus. Suuret lääke- ja terveydenhuoltoyritykset ovat viime vuosina kohdanneet kasvavan kyberkiristyksen ja tietovarkausyritysten aallon. Nämä organisaatiot säilyttävät valtavia määriä arkaluonteisia tietoja, usein monimutkaisissa maailmanlaajuisissa toimitusketjuissa, kumppaniverkostoissa ja vanhoissa IT-järjestelmissä, joita on vaikea suojata yhdenmukaisesti.

Tämä tapaus on huomionarvoinen väitetyn tietovarkauden laajuuden ja viranomaisten todennäköisesti usean maan yhteistyön vuoksi, kun otetaan huomioon Novo Nordiskin maailmanlaajuinen toiminta. Tutkinnan lopputulos todennäköisesti vaikuttaa siihen, miten muut alan yritykset suhtautuvat omaan tietoturvaansa.

Yksilöille tärkein opetus on, että yksityisyydensuojaa ei voi täysin ulkoistaa tietoja hallussaan pitäville organisaatioille. Henkilökohtaisten tapojen kehittäminen tietojen minimoinnin, kirjautumistietojen hygienian ja sosiaalisen manipuloinnin valppauden ympärille on yhä välttämättömämpää riippumatta siitä, työskenteleekö teknologia-alalla vai pelkästään sairaanhoidon piirissä. Pysy valppaana Novo Nordiskin ja asianomaisten sääntelyelinten virallisten päivitysten suhteen tilanteen kehittyessä.