Novo Nordisk kontaktirao nadležna tijela zbog navodne krađe podataka od 1 TB

Novo Nordisk kontaktirao nadležna tijela zbog navodne krađe podataka od 1 TB

Farmaceutski div Novo Nordisk potvrdio je da je u kontaktu s nadležnim tijelima nakon što je hakerska grupa tvrdila da je ukrala i objavila više od jednog terabajta podataka tvrtke. Proizvođač lijekova, najpoznatiji po svojim lijekovima za dijabetes i mršavljenje, kaže da prati svoje sustave i održava normalno poslovanje dok istražuje prijavljeni incident.

Situacija postavlja hitna pitanja o tome kako zdravstvene i farmaceutske tvrtke postupaju s osjetljivim podacima te što pacijenti i zaposlenici mogu učiniti kada organizacije kojima vjeruju postanu mete.

Što je Novo Nordisk do sada rekao

Reakcija Novo Nordiska bila je odmjerena. Tvrtka je potvrdila da je svjesna tvrdnji i izjavila da surađuje s nadležnim tijelima kao dio svog odgovora. Osim što je potvrdio da je hakerska grupa navodno objavila podatke, Novo Nordisk nije dao detaljnu potvrdu o tome koje su točno informacije ugrožene niti kako je do povrede podataka moglo doći.

Ovakva oprezna, ograničena objava uobičajena je u ranim fazama korporativnog cyber incidenta. Tvrtke se suočavaju s konkurentskim pritiscima: zakonskom obvezom obavještavanja pogođenih strana, operativnom potrebom za istragom prije davanja konačnih izjava te reputacijskim rizikom od pretjerane komunikacije ili dojma umanjivanja ozbiljnog događaja. Rezultat je često razdoblje čekanja koje potencijalno pogođene pojedince ostavlja bez jasnih odgovora.

Kako je zasebno izviješteno, ovaj incident ima karakteristike u skladu s kampanjom cyber iznude, u kojoj napadači kradu podatke i prijete njihovom objavom ako zahtjevi nisu ispunjeni. Ovaj je obrazac sve češći u svim industrijama, ali nosi posebnu težinu u zdravstvu i farmaceutici, gdje podaci mogu uključivati kliničke zapise, identifikatore pacijenata i vlasnička istraživanja.

Za širi kontekst o tvrdnjama vezanim uz ovu povredu podataka, uključujući prijavljene pojedinosti o vrstama podataka koji su navodno uključeni, Novo Nordisk pogođen povredom podataka od 1,3 TB: ukradeni podaci kliničkih ispitivanja pruža dodatne informacije.

Zašto su povrede podataka u farmaceutici posebno ozbiljne

Većina ljudi povezuje povrede podataka s financijskim informacijama, lozinkama ili računima na društvenim mrežama. Povreda podataka koja uključuje veliku farmaceutsku tvrtku nosi drugačije i potencijalno trajnije posljedice.

Farmaceutske tvrtke posjeduju niz osjetljivih kategorija: evidenciju sudionika kliničkih ispitivanja, zdravstvene povijesti, osobne podatke zaposlenika, vlasnička istraživanja razvoja lijekova te, u nekim slučajevima, informacije o zdravstvenim djelatnicima koji surađuju s tvrtkom. Za razliku od ukradenog broja kreditne kartice, koji se može poništiti i zamijeniti, zdravstvene informacije su trajne. Mogu se koristiti za prijevare s osiguranjem, krađu identiteta ili ciljane phishing napade koji iskorištavaju znanje o nečijoj medicinskoj povijesti.

Zdravstveni sektor sve je više postao glavna meta grupa za iznudu upravo zbog te osjetljivosti. Ulozi su dovoljno visoki da organizacije mogu osjetiti pritisak da plate zahtjeve, a regulatori u mnogim jurisdikcijama tretiraju povrede zdravstvenih podataka s posebnom ozbiljnošću. Slična dinamika odigrala se u povredi podataka tvrtke iRhythm koja je uključivala aplikacije trećih strana u oblaku, gdje su zdravstveni podaci pacijenata bili izloženi kroz sustave izvan izravne infrastrukture tvrtke.

Što ovo znači za vas

Ako ste pacijent koji je sudjelovao u kliničkim ispitivanjima Novo Nordiska, koristio njegove lijekove ili ako je vaš liječnik surađivao s tvrtkom, mogućnost da su vaši podaci bili uključeni u navodnu krađu vrijedi shvatiti ozbiljno, čak i prije nego što stignu službene obavijesti.

Evo što možete učiniti odmah:

Pratite phishing. Grupe za iznudu koje objavljuju ukradene podatke često ih prodaju ili distribuiraju drugim kriminalnim akterima. Možete primijetiti porast e-pošte ili poruka koje se pozivaju na vaša zdravstvena stanja, lijekove ili osobne podatke. Svaki neželjeni kontakt o vašem zdravlju tretirajte s pojačanim skepticizmom.

Pregledajte izvatke zdravstvenog osiguranja. Prijevarne prijave koje koriste ukradene zdravstvene podatke mogu se pojaviti mjesecima nakon povrede. Tražite usluge koje niste primili ili pružatelje koje niste posjetili.

Provjerite službene obavijesti. Ovisno o tome gdje živite, Novo Nordisk bi mogao biti zakonski obvezan obavijestiti pojedince čiji su podaci ugroženi. Regulatorna tijela u EU-u prema GDPR-u i u SAD-u prema HIPAA-i (gdje je primjenjivo) postavljaju rokove za obavještavanje. Pratite svaku službenu komunikaciju tvrtke ili relevantnih zdravstvenih tijela.

Koristite jake, jedinstvene vjerodajnice. Ako imate bilo kakav račun kod Novo Nordiska ili povezanog zdravstvenog portala, odmah promijenite lozinku i omogućite višefaktorsku autentifikaciju.

Razmislite o reviziji privatnosti. Ovaj incident koristan je poticaj da pregledate koje podatke dijelite s bilo kojom organizacijom, farmaceutskom ili drugom, i da minimizirate nepotrebno dijeljenje podataka gdje je to moguće.

Širi obrazac vrijedan pažnje

Novo Nordisk nije iznimka. Velike farmaceutske i zdravstvene tvrtke suočile su se s rastućim valom pokušaja cyber iznude i krađe podataka posljednjih godina. Te organizacije drže ogromne količine osjetljivih informacija, često kroz složene globalne opskrbne lance, mreže partnera i naslijeđene IT sustave koje je teško jednolično osigurati.

Ono što ovaj incident čini značajnim jest razmjer navodne krađe i uključenost nadležnih tijela u vjerojatno više jurisdikcija, s obzirom na globalno poslovanje Novo Nordiska. Ishod ove istrage vjerojatno će utjecati na to kako slične tvrtke pristupaju vlastitoj sigurnosti podataka.

Za pojedince, ključna je poruka da se zaštita privatnosti ne može u potpunosti delegirati organizacijama koje drže vaše podatke. Izgradnja osobnih navika oko minimizacije podataka, higijene vjerodajnica i opreza protiv društvenog inženjeringa sve je važnija, bez obzira na to radite li u tehnologiji ili jednostavno primate medicinsku skrb. Budite oprezni i pratite službena ažuriranja Novo Nordiska i relevantnih regulatornih tijela kako se ova situacija nastavlja razvijati.