Novo Nordisk neemt contact op met autoriteiten wegens vermeend datalek van 1 TB

Novo Nordisk neemt contact op met autoriteiten wegens vermeend datalek van 1 TB

Farmaceutisch concern Novo Nordisk heeft bevestigd dat het in contact staat met de relevante autoriteiten, nadat een hackersgroep beweerde meer dan een terabyte aan bedrijfsgegevens te hebben gestolen en openbaar gemaakt. Het geneesmiddelenbedrijf, vooral bekend van zijn diabetes- en afslankmedicatie, zegt zijn systemen te monitoren en de normale bedrijfsvoering voort te zetten terwijl het het gemelde incident onderzoekt.

De situatie roept urgente vragen op over hoe zorg- en farmaceutische bedrijven met gevoelige data omgaan, en wat patiënten en medewerkers kunnen doen wanneer organisaties die zij vertrouwen doelwit worden.

Wat Novo Nordisk tot nu toe heeft verklaard

Novo Nordisk reageert terughoudend. Het bedrijf bevestigde op de hoogte te zijn van de beweringen en gaf aan samen te werken met autoriteiten in het kader van zijn respons. Behalve de erkenning dat een hackersgroep vermeend data heeft gepubliceerd, heeft Novo Nordisk geen gedetailleerde bevestiging gegeven over welke informatie precies is getroffen of hoe de inbreuk heeft kunnen plaatsvinden.

Dergelijke voorzichtige, beperkte communicatie is gebruikelijk in de beginfase van een cyberincident bij een bedrijf. Organisaties staan onder tegenstrijdige druk: de wettelijke plicht om betrokkenen te informeren, de operationele noodzaak om eerst onderzoek te doen voordat definitieve uitspraken worden gedaan, en het reputatierisico van óf te veel communiceren óf juist een ernstige gebeurtenis te bagatelliseren. Het resultaat is vaak een wachttijd waarin mogelijk getroffen personen zonder duidelijk antwoord blijven.

Zoals afzonderlijk is gemeld, vertoont dit incident kenmerken die passen bij een cyberafpersingscampagne, waarbij aanvallers data stelen en dreigen deze te publiceren als niet aan hun eisen wordt voldaan. Dit patroon komt in diverse sectoren steeds vaker voor, maar het weegt extra zwaar in de zorg en farmacie, waar de data klinische dossiers, patiëntidentificatoren en bedrijfseigen onderzoek kunnen omvatten.

Voor bredere context over de beweringen rond dit lek, inclusief gerapporteerde details over de soorten data die vermoedelijk zijn buitgemaakt, biedt Novo Nordisk getroffen door datalek van 1,3 TB: klinische onderzoeksdata gestolen extra achtergrondinformatie.

Waarom datalekken bij farmaceutische bedrijven extra ernstig zijn

De meeste mensen associëren datalekken met financiële informatie, wachtwoorden of socialmedia-accounts. Een inbreuk bij een groot farmaceutisch bedrijf brengt andere en mogelijk blijvender gevolgen met zich mee.

Farmaceutische bedrijven bezitten een reeks gevoelige categorieën: dossiers van deelnemers aan klinisch onderzoek, medische voorgeschiedenissen, persoonlijke gegevens van medewerkers, bedrijfseigen geneesmiddelenonderzoek en, in sommige gevallen, informatie over zorgprofessionals die met het bedrijf samenwerken. In tegenstelling tot een gestolen creditcardnummer, dat kan worden geblokkeerd en vervangen, is gezondheidsinformatie permanent. Die kan worden gebruikt voor verzekeringsfraude, identiteitsdiefstal of gerichte phishingaanvallen die inspelen op de medische geschiedenis van een persoon.

De zorgsector is juist vanwege deze gevoeligheid steeds vaker het voornaamste doelwit van afpersingsgroepen. De belangen zijn zo groot dat organisaties onder druk kunnen komen te staan om losgeld te betalen, en toezichthouders in veel rechtsgebieden behandelen datalekken met gezondheidsgegevens bijzonder streng. Een vergelijkbare dynamiek speelde bij het iRhythm-lek waarbij cloudapps van derden betrokken waren, waar patiëntgegevens werden blootgesteld via systemen buiten de directe infrastructuur van het bedrijf.

Wat dit voor u betekent

Als u een patiënt bent die heeft deelgenomen aan klinische trials van Novo Nordisk, de medicatie ervan gebruikt, of als uw zorgverlener contact heeft gehad met het bedrijf, dan is de mogelijkheid dat uw gegevens deel uitmaken van de vermeende diefstal het waard om serieus te nemen, zelfs voordat er officiële meldingen binnenkomen.

Dit kunt u nu meteen doen:

Let op phishing. Afpersingsgroepen die gestolen data publiceren, verkopen of verspreiden deze vaak onder andere criminelen. U zou een toename kunnen zien van e-mails of berichten die verwijzen naar uw gezondheidstoestand, medicatie of persoonlijke details. Behandel ongevraagde berichten over uw gezondheid met extra veel wantrouwen.

Controleer uw zorgverzekeringsoverzichten. Frauduleuze declaraties met gestolen gezondheidsdata kunnen maanden na een inbreuk opduiken. Let op behandelingen die u niet hebt ondergaan of zorgverleners die u niet hebt bezocht.

Let op officiële kennisgevingen. Afhankelijk van waar u woont, kan Novo Nordisk wettelijk verplicht zijn om personen van wie de data is getroffen te informeren. Regelgevende instanties zoals de AVG in de EU en HIPAA in de VS (waar van toepassing) stellen termijnen voor kennisgeving. Houd officiële communicatie van het bedrijf of relevante gezondheidsautoriteiten in de gaten.

Gebruik sterke, unieke inloggegevens. Als u een account hebt bij Novo Nordisk of een gerelateerd zorgportaal, wijzig dan direct uw wachtwoord en schakel multi-factor authenticatie in.

Overweeg een privacy-audit. Dit incident vormt een nuttige aanleiding om na te gaan welke gegevens u met welke organisatie deelt, farmaceutisch of anderszins, en om onnodige gegevensdeling waar mogelijk te beperken.

Het bredere patroon om in de gaten te houden

Novo Nordisk is geen uitzondering. Grote farmaceutische en zorgbedrijven hebben de afgelopen jaren te maken gekregen met een toenemende golf van cyberafpersing en pogingen tot datadiefstal. Deze organisaties bezitten enorme hoeveelheden gevoelige informatie, vaak verspreid over complexe wereldwijde toeleveringsketens, partnernetwerken en verouderde IT-systemen die moeilijk uniform te beveiligen zijn.

Wat dit incident opvallend maakt, is de omvang van de vermeende diefstal en de betrokkenheid van autoriteiten in vermoedelijk meerdere rechtsgebieden, gezien de wereldwijde activiteiten van Novo Nordisk. De uitkomst van dit onderzoek zal waarschijnlijk van invloed zijn op hoe branchegenoten hun eigen beveiligingshouding ten aanzien van data vormgeven.

Voor individuen is de belangrijkste les dat privacybescherming niet volledig kan worden overgelaten aan de organisaties die uw gegevens bewaren. Het aanleren van persoonlijke gewoonten op het gebied van dataminimalisatie, zorgvuldig omgaan met inloggegevens en alertheid op social engineering wordt steeds essentiëler, of u nu in de technologiesector werkt of simpelweg medische zorg ontvangt. Blijf alert op officiële updates van Novo Nordisk en relevante toezichthouders naarmate deze situatie zich verder ontwikkelt.