Novo Nordisk hatóságokhoz fordult egy állítólagos 1 TB-os adatlopási incidens kapcsán

Novo Nordisk hatóságokhoz fordult egy állítólagos 1 TB-os adatlopási incidens kapcsán

A Novo Nordisk gyógyszeripari óriás megerősítette, hogy kapcsolatban áll az illetékes hatóságokkal, miután egy hackercsoport azt állította, hogy ellopott és közzétett több mint egy terabájtnyi vállalati adatot. A cukorbetegség- és fogyókúrás gyógyszereiről legismertebb gyártó közölte, hogy figyeli rendszereit, és a működés zavartalan, miközben kivizsgálja a jelentett incidenst.

Az ügy sürgető kérdéseket vet fel azzal kapcsolatban, hogy az egészségügyi és gyógyszeripari vállalatok hogyan kezelik az érzékeny adatokat, és mit tehetnek a betegek és a munkavállalók, amikor az általuk megbízott szervezetek célponttá válnak.

Amit a Novo Nordisk eddig közölt

A Novo Nordisk reakciója visszafogott volt. A vállalat megerősítette, hogy tudomása van az állításokról, és közölte, hogy a hatóságokkal együttműködve reagál. Azon túl, hogy elismerte, egy hackercsoport állítólag adatokat tett közzé, a Novo Nordisk nem közölt részletes megerősítést arról, hogy pontosan milyen adatok érintettek, vagy hogyan következhetett be a jogsértés.

Ez a fajta óvatos, korlátozott tájékoztatás gyakori a vállalati kiberincidensek korai szakaszában. A cégeknek versengő nyomásoknak kell megfelelniük: jogi kötelezettségük értesíteni az érintetteket, működési igény, hogy kivizsgálják az ügyet, mielőtt egyértelmű nyilatkozatokat tennének, valamint a reputációs kockázat, ha túl sokat kommunikálnak, vagy ha egy súlyos eseményt lekicsinyelve tüntetnek fel. Az eredmény gyakran egy várakozási időszak, amely a potenciálisan érintett egyéneket egyértelmű válaszok nélkül hagyja.

Ahogy arról külön is beszámoltak, ennek az incidensnek a jellemzői egy zsarolóvírus-kampány jegyeit mutatják, amelyben a támadók adatokat lopnak, és azzal fenyegetőznek, hogy nyilvánosságra hozzák azokat, ha követeléseiket nem teljesítik. Ez a minta egyre gyakoribbá vált az iparágakban, de különösen súlyos az egészségügyben és a gyógyszeriparban, ahol az érintett adatok között klinikai nyilvántartások, betegazonosítók és saját kutatási eredmények is lehetnek.

Az adatlopással kapcsolatos állítások tágabb kontextusához, beleértve az állítólag érintett adattípusokról szóló részleteket is, további háttérinformációk találhatók itt: Novo Nordisk 1,3 TB-os adatlopás áldozata: klinikai vizsgálati adatokat loptak el.

Miért különösen súlyosak a gyógyszeripari adatlopások

A legtöbben az adatlopásokat pénzügyi információkkal, jelszavakkal vagy közösségi média fiókokkal társítják. Egy nagy gyógyszeripari vállalatot érintő incidens más és potenciálisan tartósabb következményekkel jár.

A gyógyszercégek számos érzékeny adatkategóriát birtokolnak: klinikai vizsgálatok résztvevőinek nyilvántartásait, egészségügyi előzményeket, munkavállalói személyes adatokat, saját tulajdonú gyógyszerfejlesztési kutatásokat, és bizonyos esetekben információkat a vállalattal kapcsolatba kerülő egészségügyi szakemberekről. Ellentétben egy ellopott hitelkártyaszámmal, amelyet törölni lehet és újat kiállítani, az egészségügyi adatok állandóak. Felhasználhatók biztosítási csaláshoz, személyazonosság-lopáshoz, vagy olyan célzott adathalász támadásokhoz, amelyek kihasználják egy személy kórtörténetének ismeretét.

Az egészségügyi szektor éppen ezen érzékenység miatt vált a zsarolócsoportok egyik elsődleges célpontjává. A tét olyan magas, hogy a szervezetek nyomás alatt érezhetik magukat a követelések kifizetésére, és a szabályozó hatóságok számos joghatóság területén különösen szigorúan kezelik az egészségügyi adatok megsértését. Hasonló dinamika játszódott le az iRhythm-incidens során, amely külső felhőalapú alkalmazásokat érintett, ahol a betegek egészségügyi adatai a vállalat közvetlen infrastruktúráján kívüli rendszereken keresztül kerültek nyilvánosságra.

Mit jelent ez Önnek

Ha Ön olyan beteg, aki részt vett a Novo Nordisk klinikai vizsgálataiban, használta a gyógyszereit, vagy ha egészségügyi szolgáltatója kapcsolatban állt a vállalattal, érdemes komolyan venni annak a lehetőségét, hogy adatai az állítólagos lopásban szerepeltek, még mielőtt a hivatalos értesítések megérkeznének.

A következőket teheti most azonnal:

Figyeljen az adathalászatra. A zsarolócsoportok, amelyek ellopott adatokat tesznek közzé, gyakran eladják vagy terjesztik azokat más bűnözőknek. Előfordulhat, hogy megszaporodnak azok az e-mailek vagy üzenetek, amelyek hivatkoznak az Ön egészségi állapotára, gyógyszereire vagy személyes adataira. Kezelje fokozott gyanakvással az egészségével kapcsolatos kéretlen megkereséseket.

Vizsgálja felül az egészségbiztosítási kimutatásait. A lopott egészségügyi adatok felhasználásával elkövetett csalárd kárigények hónapokkal az adatvédelmi incidens után is megjelenhetnek. Keresse az olyan szolgáltatásokat, amelyeket nem vett igénybe, vagy olyan szolgáltatókat, akiket nem keresett fel.

Ellenőrizze a hivatalos értesítéseket. Lakóhelyétől függően a Novo Nordisk jogilag kötelezhető lehet arra, hogy értesítse azokat a személyeket, akiknek az adatai érintettek. Az EU-ban a GDPR, az USA-ban pedig a HIPAA (ahol alkalmazandó) keretében működő szabályozó szervek határozzák meg az értesítési határidőket. Kísérje figyelemmel a vállalat vagy az illetékes egészségügyi hatóságok hivatalos kommunikációját.

Használjon erős, egyedi hitelesítő adatokat. Ha rendelkezik fiókkal a Novo Nordisknál vagy egy kapcsolódó egészségügyi portálon, azonnal változtassa meg jelszavát, és engedélyezze a többfaktoros hitelesítést.

Fontolja meg egy adatvédelmi auditot. Ez az incidens jó alkalmat kínál arra, hogy áttekintse, milyen adatokat oszt meg bármely szervezettel, legyen az gyógyszeripari vagy más, és ahol lehetséges, csökkentse minimálisra a felesleges adatmegosztást.

A tágabb mintázat, amire érdemes figyelni

A Novo Nordisk nem kivétel. A nagy gyógyszeripari és egészségügyi vállalatoknak az elmúlt években egyre növekvő számú zsarolóvírus- és adatlopási kísérlettel kellett szembenézniük. Ezek a szervezetek hatalmas mennyiségű érzékeny információt birtokolnak, gyakran bonyolult globális ellátási láncokon, partnerhálózatokon és olyan régi informatikai rendszereken keresztül, amelyeket nehéz egységesen biztosítani.

Ami ezt az incidenst figyelemre méltóvá teszi, az az állítólagos lopás mértéke és a hatóságok bevonása, vélhetően több joghatóság területén, tekintettel a Novo Nordisk globális tevékenységére. A nyomozás kimenetele valószínűleg befolyásolni fogja, hogy a hasonló cégek hogyan közelítik meg saját adatbiztonsági helyzetüket.

Az egyének számára a legfontosabb tanulság az, hogy a magánélet védelmét nem lehet teljes mértékben azokra a szervezetekre ruházni, amelyek az adataikat kezelik. Az adatminimalizálással, a hitelesítő adatok higiéniájával és a közösségi manipulációval szembeni éberséggel kapcsolatos személyes szokások kialakítása egyre alapvetőbb, függetlenül attól, hogy valaki a technológiai szektorban dolgozik, vagy egyszerűen egészségügyi ellátásban részesül. Maradjon figyelemmel a Novo Nordisk és az illetékes szabályozó szervek hivatalos frissítéseire, ahogy ez a helyzet tovább fejlődik.