Novo Nordisk contatta le autorità per una presunta violazione di dati da 1 TB

Novo Nordisk contatta le autorità per una presunta violazione di dati da 1 TB

Il colosso farmaceutico Novo Nordisk ha confermato di essere in contatto con le autorità competenti dopo che un gruppo di hacker ha dichiarato di aver rubato e pubblicato oltre un terabyte di dati aziendali. L'azienda farmaceutica, nota soprattutto per i suoi farmaci contro il diabete e per la perdita di peso, afferma di monitorare i propri sistemi e di mantenere le normali operazioni mentre indaga sull'incidente segnalato.

La situazione solleva domande urgenti su come le aziende sanitarie e farmaceutiche gestiscono i dati sensibili, e su cosa possono fare pazienti e dipendenti quando le organizzazioni di cui si fidano diventano bersagli.

Cosa ha dichiarato finora Novo Nordisk

La risposta di Novo Nordisk è stata misurata. L'azienda ha confermato di essere a conoscenza delle affermazioni e ha dichiarato di collaborare con le autorità nell'ambito della sua risposta. Oltre a riconoscere che un gruppo di hacker avrebbe pubblicato dei dati, Novo Nordisk non ha fornito una conferma dettagliata su quali informazioni siano state esattamente compromesse o su come possa essere avvenuta la violazione.

Questo tipo di comunicazione cauta e limitata è comune nelle fasi iniziali di un incidente informatico aziendale. Le aziende devono affrontare pressioni contrastanti: l'obbligo legale di informare le parti interessate, la necessità operativa di indagare prima di rilasciare dichiarazioni definitive e il rischio reputazionale di comunicare in eccesso o di sembrare minimizzare un evento grave. Il risultato è spesso un periodo di attesa che lascia le persone potenzialmente coinvolte senza risposte chiare.

Come riportato separatamente, questo incidente presenta caratteristiche coerenti con una campagna di estorsione informatica, in cui gli aggressori rubano dati e minacciano di pubblicarli se le richieste non vengono soddisfatte. Questo schema è diventato sempre più comune in tutti i settori, ma assume un peso particolare in ambito sanitario e farmaceutico, dove i dati coinvolti possono includere cartelle cliniche, identificativi dei pazienti e ricerca proprietaria.

Per un contesto più ampio sulle affermazioni relative a questa violazione, inclusi i dettagli riportati sui tipi di dati presumibilmente coinvolti, Novo Nordisk colpita da una violazione da 1,3 TB: rubati dati di studi clinici fornisce ulteriori informazioni di base.

Perché le violazioni di dati farmaceutici sono particolarmente gravi

La maggior parte delle persone associa le violazioni di dati a informazioni finanziarie, password o account di social media. Una violazione che coinvolge un'importante azienda farmaceutica comporta conseguenze diverse e potenzialmente più durature.

Le aziende farmaceutiche detengono una serie di categorie sensibili: registri dei partecipanti agli studi clinici, anamnesi mediche, dati personali dei dipendenti, ricerca proprietaria sullo sviluppo di farmaci e, in alcuni casi, informazioni sugli operatori sanitari che interagiscono con l'azienda. A differenza del numero di una carta di credito rubata, che può essere bloccata e sostituita, le informazioni sanitarie sono permanenti. Possono essere utilizzate per frodi assicurative, furti d'identità o attacchi di phishing mirati che sfruttano la conoscenza della storia medica di una persona.

Il settore sanitario è diventato sempre più un obiettivo primario per i gruppi di estorsione proprio a causa di questa sensibilità. La posta in gioco è così alta che le organizzazioni possono sentirsi sotto pressione per pagare le richieste, e le autorità di regolamentazione in molte giurisdizioni trattano le violazioni di dati sanitari con particolare severità. Una dinamica simile si è verificata nella violazione di iRhythm che ha coinvolto applicazioni cloud di terze parti, dove i dati sanitari dei pazienti sono stati esposti attraverso sistemi al di fuori dell'infrastruttura diretta dell'azienda.

Cosa significa questo per te

Se sei un paziente che ha partecipato a studi clinici di Novo Nordisk, ha usato i suoi farmaci, o se il tuo medico ha interagito con l'azienda, vale la pena prendere sul serio la possibilità che i tuoi dati fossero inclusi nel presunto furto, anche prima che arrivino le notifiche ufficiali.

Ecco cosa puoi fare subito:

Attenzione al phishing. I gruppi di estorsione che pubblicano dati rubati spesso li vendono o li distribuiscono ad altri attori criminali. Potresti notare un aumento di e-mail o messaggi che fanno riferimento alle tue condizioni di salute, ai farmaci o a dettagli personali. Tratta qualsiasi contatto non richiesto relativo alla tua salute con maggiore scetticismo.

Controlla gli estratti conto dell'assicurazione sanitaria. Richieste di rimborso fraudolente che utilizzano dati sanitari rubati possono apparire mesi dopo una violazione. Cerca servizi che non hai ricevuto o fornitori che non hai visitato.

Verifica le notifiche ufficiali. A seconda di dove vivi, Novo Nordisk potrebbe essere legalmente obbligata a notificare le persone i cui dati sono stati compromessi. Gli organismi di regolamentazione nell'UE ai sensi del GDPR e negli Stati Uniti ai sensi dell'HIPAA (ove applicabile) stabiliscono le tempistiche per le notifiche. Tieni d'occhio qualsiasi comunicazione ufficiale da parte dell'azienda o delle autorità sanitarie competenti.

Usa credenziali forti e uniche. Se hai un account con Novo Nordisk o un portale sanitario correlato, cambia immediatamente la password e attiva l'autenticazione a più fattori.

Considera una verifica della privacy. Questo incidente è un utile stimolo per rivedere quali dati condividi con qualsiasi organizzazione, farmaceutica o meno, e per ridurre al minimo la condivisione non necessaria di dati ove possibile.

Lo schema più ampio da osservare

Novo Nordisk non è un caso isolato. Le principali aziende farmaceutiche e sanitarie hanno affrontato un'ondata crescente di tentativi di estorsione informatica e furto di dati negli ultimi anni. Queste organizzazioni detengono enormi volumi di informazioni sensibili, spesso attraverso complesse catene di approvvigionamento globali, reti di partner e sistemi IT legacy che possono essere difficili da proteggere in modo uniforme.

Ciò che rende questo incidente degno di nota è la portata del presunto furto e il coinvolgimento delle autorità in quella che è probabilmente una molteplicità di giurisdizioni, date le operazioni globali di Novo Nordisk. L'esito di questa indagine probabilmente influenzerà il modo in cui le aziende concorrenti affronteranno la propria postura di sicurezza dei dati.

Per gli individui, il messaggio chiave è che la protezione della privacy non può essere delegata interamente alle organizzazioni che detengono i tuoi dati. Costruire abitudini personali incentrate sulla minimizzazione dei dati, l'igiene delle credenziali e la vigilanza contro l'ingegneria sociale è sempre più essenziale, indipendentemente dal fatto che tu lavori nel settore tecnologico o semplicemente riceva cure mediche. Resta vigile per gli aggiornamenti ufficiali da parte di Novo Nordisk e degli organismi di regolamentazione competenti mentre questa situazione continua a evolversi.