What data did the hackers claim to have stolen from Novo Nordisk?

The hackers claimed to have stolen 1.3 terabytes of data, which reportedly includes clinical trial records and AI development materials.

Has Novo Nordisk confirmed whether patient or trial participant data was compromised?

As of the time of reporting, Novo Nordisk had not publicly confirmed whether patient or trial participant data was compromised.

Why are pharmaceutical companies frequent targets for cyberattacks?

They hold a dense combination of intellectual property, regulated health data, and commercial secrets, all of which provide attackers with multiple leverage points.

What makes clinical trial data especially sensitive?

Clinical trial data can include participant medical histories, dosage responses, adverse event records, and identifying details that are often far more granular than standard patient files.

How do third-party relationships increase the risk of data breaches at large pharma companies?

Large pharmaceutical organizations rely on complex networks of contract research organizations, third-party data processors, and academic collaborators, and each connection is a potential entry point for attackers.

Novo Nordisk pogođen hakiranjem od 1,3 TB: ukradeni podaci kliničkih ispitivanja

Novo Nordisk, danski farmaceutski div koji stoji iza bestselera Ozempic i Wegovy, suočava se s ozbiljnom krizom privatnosti zbog povrede podataka nakon što su hakeri tvrdili da su ukrali 1,3 terabajta osjetljivih internih datoteka. Skupina koja stoji iza napada tvrdi da plijen uključuje podatke kliničkih ispitivanja i materijale povezane s umjetnom inteligencijom, te je navodno počela objavljivati dijelove ukradenog sadržaja na internetu. Za tvrtku koja se nalazi u središtu jedne od komercijalno najznačajnijih kategorija lijekova u modernoj medicini, vrijeme i opseg ove povrede postavljaju ozbiljna pitanja o tome kako i najbogatije korporacije na svijetu postupaju s podacima pacijenata i sudionika istraživanja.

Što je ukradeno i što je Novo Nordisk potvrdio

Napadači tvrde da su izvukli 1,3 TB podataka, što je količina koja ukazuje na nešto daleko više od ciljane krađe. U procurjelom sadržaju navodno se nalaze datoteke opisane kao zapisi kliničkih ispitivanja i materijali za razvoj umjetne inteligencije. Podaci kliničkih ispitivanja spadaju među najosjetljivije kategorije zdravstvenih informacija koje postoje: oni mogu uključivati medicinsku povijest sudionika, odgovore na doze, evidenciju nuspojava te identifikacijske pojedinosti koje su često daleko detaljnije od onoga što se nalazi u standardnom pacijentskom kartonu.

U trenutku objave, Novo Nordisk nije javno potvrdio puni opseg povrede niti je li definitivno ugrožena privatnost pacijenata i sudionika ispitivanja. Ta šutnja, iako pravno oprezna, pojedincima ostavlja malu mogućnost da procijene vlastitu izloženost. Odluka hakera da počnu aktivno objavljivati datoteke povećava pritisak, budući da je procurjele podatke koji dospiju na kriminalna tržišta ili otvorene forume gotovo nemoguće povući natrag.

Zašto je velika farmacija visokovrijedna meta za ransomware skupine

Farmaceutske tvrtke postale su jedne od najprivlačnijih meta u ekosustavu cyber kriminala. Razlozi nadilaze puki oportunizam. Te organizacije posjeduju jedinstveno gustu kombinaciju intelektualnog vlasništva, reguliranih zdravstvenih podataka i poslovnih tajni, a sve to nosi različite poluge pritiska za napadače.

Za tvrtku poput Novo Nordiska, koja je ostvarila izvanredne prihode od agonista GLP-1 receptora i uložila ogromna sredstva u otkrivanje lijekova potpomognuto umjetnom inteligencijom, skladišta podataka iznimno su vrijedna. Podaci kliničkih ispitivanja mogu se iskoristiti za potkopavanje konkurencije, produti akterima pod pokroviteljstvom države zainteresiranima za ubrzanje vlastitih programa razvoja lijekova ili jednostavno upotrijebiti kao oružje u zahtjevu za otkupninu. Podaci za treniranje umjetne inteligencije i težine modela, ako su među ukradenim datotekama, predstavljaju godine istraživačkog ulaganja koje se ne može jednostavno ponovno izgraditi.

Farmaceutska industrija također pokazuje strukturne ranjivosti. Velike globalne organizacije oslanjaju se na složene mreže ugovornih istraživačkih organizacija, vanjskih obrađivača podataka i akademskih suradnika. Svaka je veza potencijalna ulazna točka. Čak i tvrtke sa snažnim unutarnjim sigurnosnim mjerama mogu biti ugrožene preko dobavljača ili partnera sa slabijom obranom.

Kako korporativne povrede podataka ugrožavaju osobne zdravstvene podatke

Većina ljudi koji su sudjelovali u kliničkim ispitivanjima povezanima s Ozempicom ili Novo Nordiskom vjerojatno je potpisala obavijesne pristanke i pretpostavila da će njihovi podaci biti zaštićeni prema standardnim okvirima istraživačke etike. Ono što ti okviri rijetko jasno komuniciraju jest preostali rizik koji postoji kada osjetljivi podaci neograničeno dugo leže na korporativnim poslužiteljima, dugo nakon završetka ispitivanja.

Kada dođe do povrede, ti podaci ne nestaju. Ulaze na sekundarno tržište gdje se mogu kombinirati s drugim procurjelim skupovima podataka, proces koji se ponekad naziva obogaćivanjem podataka, kako bi se izgradili detaljni profili pojedinaca koji daleko nadilaze ono što je izvorno prikupljeno. Zdravstveni podaci posebno su trajni jer se stanja, liječenja i genetski čimbenici ne mijenjaju onako kako se mijenja broj kreditne kartice.

Ovo je dio šireg obrasca u kojem su osobni podaci, jednom predani korporaciji, uglavnom izvan kontrole pojedinca. Kao što je pokazalo izvještavanje o umjetnoj inteligenciji i okvirima vladinog nadzora, granice između korporativnog prikupljanja podataka i institucionalnog pristupa sve su propusnije. Podaci koji poteknu iz kliničkog ispitivanja mogu, pod određenim pravnim uvjetima, završiti u kontekstima koje pojedinci nikada nisu očekivali.

Povreda u Novo Nordisku također naglašava nedovoljno cijenjenu dimenziju rizika podataka umjetne inteligencije. Ako su podaci za treniranje umjetne inteligencije bili među ukradenim datotekama, to bi moglo značiti da su bihevioralni, biološki ili prediktivni zdravstveni profili izgrađeni na stvarnim unosima pacijenata sada u nepoznatim rukama. Kao što je istraženo u izvještavanju o tome kako sustavi umjetne inteligencije prikupljaju i zadržavaju osobne podatke, razmjer i trajnost podataka povezanih s umjetnom inteligencijom stvaraju rizike s kojima tradicionalni okviri obavještavanja o povredi nikada nisu bili osmišljeni da se nose.

Koraci koje korisnici osviješteni o privatnosti mogu poduzeti kada se njihovi podaci nalaze na korporativnim poslužiteljima

Iskren odgovor glasi: jednom kada se vaši podaci nađu unutar korporativnog sustava, vaša je izravna kontrola nad njima ograničena. No postoje smisleni koraci koji smanjuju trajnu izloženost i pomažu vam reagirati ako se vaše informacije pojave u povredi podataka.

Zatražite brisanje podataka tamo gdje je to zakonski dopušteno. Ovisno o vašoj jurisdikciji, zakoni o privatnosti mogu vam dati pravo da od tvrtke zatražite brisanje vaših osobnih podataka. GDPR u Europi i različiti zakoni na razini saveznih država u Sjedinjenim Američkim Državama pružaju ta prava. Podnošenje formalnog zahtjeva za brisanje stvara pisani trag i, u nekim slučajevima, stvarno smanjuje količinu vaših podataka koju tvrtka čuva.

Pratite pojavljuju li se vaši podaci u bazama podataka o povredama. Usluge koje pretražuju poznate repozitorije povreda mogu vas upozoriti ako se vaša adresa e-pošte ili drugi identifikatori pojave u procurjelim skupovima podataka. To ne sprječava povredu, ali vam daje brži prozor za reakciju da promijenite vjerodajnice i obavijestite financijske institucije.

Ubuduće smanjite ono što dijelite s korporativnim subjektima. Kada se upisujete u studije, programe vjernosti ili zdravstvene aplikacije, pažljivo provjerite koji su podaci zaista potrebni, a koji se samo traže. Davanje minimalnih identifikacijskih informacija smanjuje vaš trag u svakoj eventualnoj povredi.

Razumite da zdravstveni podaci imaju dug rep. Za razliku od financijskih vjerodajnica, zdravstvene informacije ne istječu. Uzmite u obzir da bi podaci podijeljeni s bilo kojom tvrtkom povezanom sa zdravljem danas još uvijek mogli stajati na poslužitelju pet ili deset godina od sada, kada okruženje prijetnji izgleda vrlo drugačije.

Budite informirani o tome kako sustavi umjetne inteligencije koriste vaše podatke. Ako tvrtka objavi da koristi alate umjetne inteligencije u svojim istraživanjima ili poslovanju, to je signal da bi vaši podaci mogli ulaziti u sustave s vlastitim politikama zadržavanja i pristupa. Pregled našeg vodiča za 2026. godinu o zaštiti privatnosti od prikupljanja podataka umjetne inteligencije praktično je polazište za razumijevanje tih rizika u konkretnim okvirima.

Šira slika

Povreda u Novo Nordisku nije izolirani incident. Dio je dokumentiranog obrasca u kojem farmaceutske i zdravstvene organizacije ne uspijevaju adekvatno zaštititi osjetljive podatke koje su im povjerili pacijenti i sudionici istraživanja. Ono što ovaj slučaj čini značajnim jest sama količina podataka koja se navodi i činjenica da bi materijali povezani s umjetnom inteligencijom mogli biti među ukradenim datotekama, gurajući povredu u teritorij s kojim se postojeći okviri obavještavanja i odgovora teško nose.

Za pojedince, poruka nije bespomoćnost, već informirani skepticizam. Razumijevanje kako i gdje se vaši zdravstveni podaci pohranjuju, koja prava imate da zatražite njihovo brisanje i kako se korporativne povrede prevode u osobni rizik temelj je praktične privatnosti u svijetu u kojem vaše najosjetljivije informacije rutinski žive na tuđem poslužitelju. Počnite s resursima koji su vam dostupni, pregledajte svoju izloženost podataka i poduzmite barem jedan konkretan korak ovaj tjedan kako biste smanjili svoj trag u sustavima koje ne možete kontrolirati.