Novo Nordisk kontakter myndighetene om påstått 1 TB datainnbrudd

Novo Nordisk kontakter myndighetene om påstått 1 TB datainnbrudd

Legemiddelgiganten Novo Nordisk har bekreftet at de er i kontakt med relevante myndigheter etter at en hackergruppe hevdet å ha stjålet og publisert mer enn én terabyte med selskapsdata. Legemiddelprodusenten, mest kjent for sine diabetes- og vektreduksjonsmedisiner, sier at de overvåker systemene sine og opprettholder normal drift mens de undersøker den rapporterte hendelsen.

Situasjonen reiser presserende spørsmål om hvordan helse- og legemiddelselskaper håndterer sensitive data, og hva pasienter og ansatte kan gjøre når organisasjoner de stoler på blir mål.

Hva Novo Nordisk har sagt så langt

Novo Nordisks respons har vært avmålt. Selskapet bekreftet at de er kjent med påstandene og uttalte at de samarbeider med myndigheter som en del av håndteringen. Utover å erkjenne at en hackergruppe angivelig har publisert data, har Novo Nordisk ikke gitt detaljert bekreftelse på nøyaktig hvilken informasjon som er berørt, eller hvordan innbruddet kan ha skjedd.

Denne typen forsiktig og begrenset offentliggjøring er vanlig i de tidlige fasene av en bedrifts cyberhendelse. Selskaper står overfor motstridende hensyn: den juridiske plikten til å varsle berørte parter, det operative behovet for å etterforske før man kommer med endelige uttalelser, og omdømmerisikoen ved enten å overkommunisere eller å fremstå som om man bagatelliserer en alvorlig hendelse. Resultatet er ofte en ventetid som etterlater potensielt berørte personer uten klare svar.

Som rapportert separat har denne hendelsen trekk som samsvarer med en cyberutpresningskampanje, der angripere stjeler data og truer med å publisere dem med mindre kravene innfris. Dette mønsteret har blitt stadig vanligere på tvers av bransjer, men det har særlig vekt i helsevesenet og legemiddelindustrien, der dataene som er involvert kan omfatte kliniske journaler, pasientidentifikatorer og proprietær forskning.

For en bredere kontekst om påstandene rundt dette innbruddet, inkludert rapporterte detaljer om hvilke typer data som angivelig er involvert, gir Novo Nordisk rammet av 1,3 TB datainnbrudd: Kliniske studiedata stjålet ytterligere bakgrunn.

Hvorfor datainnbrudd i legemiddelindustrien er spesielt alvorlige

De fleste forbinder datainnbrudd med finansiell informasjon, passord eller sosiale mediekontoer. Et innbrudd hos et stort legemiddelselskap har andre og potensielt mer varige konsekvenser.

Legemiddelselskaper oppbevarer en rekke sensitive kategorier: journaler fra deltakere i kliniske studier, sykehistorier, personopplysninger om ansatte, proprietær legemiddelutviklingsforskning og i noen tilfeller informasjon om helsepersonell som samhandler med selskapet. I motsetning til et stjålet kredittkortnummer, som kan avbrytes og erstattes, er helseinformasjon permanent. Den kan brukes til forsikringssvindel, identitetstyveri eller målrettede phishing-angrep som utnytter kjennskap til en persons sykehistorie.

Helsevesenet har i økende grad blitt et hovedmål for utpresningsgrupper nettopp på grunn av denne sensitiviteten. Innblandingen er høy nok til at organisasjoner kan føle seg presset til å betale, og regulatorer i mange jurisdiksjoner behandler datainnbrudd i helsesektoren med særlig alvor. En lignende dynamikk utspilte seg i iRhythm-datainnbruddet med tredjeparts skyapplikasjoner, der pasienthelseinformasjon ble eksponert gjennom systemer utenfor selskapets direkte infrastruktur.

Hva dette betyr for deg

Hvis du er en pasient som har deltatt i kliniske studier hos Novo Nordisk, brukt medisinene deres, eller hvis helsepersonellet ditt har samhandlet med selskapet, er muligheten for at dataene dine var inkludert i det påståtte tyveriet verdt å ta på alvor, selv før offisielle varsler kommer.

Her er hva du kan gjøre akkurat nå:

• Overvåk for phishing. Utpresningsgrupper som publiserer stjålne data selger eller distribuerer dem ofte til andre kriminelle aktører. Du kan oppleve en økning i e-poster eller meldinger som refererer til helsetilstandene dine, medisiner eller personlige detaljer. Behandle all uoppfordret henvendelse om helsen din med skjerpet skepsis.
• Gå gjennom helseforsikringsutskriftene dine. Svindelfordringer som bruker stjålne helsedata kan dukke opp måneder etter et innbrudd. Se etter tjenester du ikke mottok eller leverandører du ikke besøkte.
• Se etter offisielle varsler. Avhengig av hvor du bor, kan Novo Nordisk være juridisk forpliktet til å varsle enkeltpersoner hvis data ble berørt. Reguleringsorganer i EU under GDPR og i USA under HIPAA (der det er aktuelt) fastsetter varslingsfrister. Følg med på all offisiell kommunikasjon fra selskapet eller relevante helsemyndigheter.
• Bruk sterke, unike påloggingsdetaljer. Hvis du har en konto hos Novo Nordisk eller en tilknyttet helseportal, endre passordet ditt og aktiver tofaktorautentisering umiddelbart.
• Vurder en personvernrevisjon. Denne hendelsen er en nyttig påminnelse om å gjennomgå hvilke data du deler med enhver organisasjon, legemiddelselskap eller andre, og å minimere unødvendig datadeling der det er mulig.

Det større mønsteret verdt å følge med på

Novo Nordisk er ikke et unntak. Store legemiddel- og helseselskaper har møtt en økende flom av cyberutpressing og datatyveriforsøk de siste årene. Disse organisasjonene håndterer enorme mengder sensitiv informasjon, ofte på tvers av komplekse globale leverandørkjeder, partnernettverk og utdaterte IT-systemer som kan være vanskelige å sikre enhetlig.

Det som gjør denne hendelsen bemerkelsesverdig, er omfanget av det påståtte tyveriet og involveringen av myndigheter på tvers av sannsynligvis flere jurisdiksjoner, gitt Novo Nordisks globale virksomhet. Utfaltet av denne etterforskningen vil trolig påvirke hvordan lignende selskaper tilnærmer seg sin egen datasikkerhet.

For enkeltpersoner er hovedpoenget at personvern ikke kan delegeres fullstendig til organisasjonene som oppbevarer dataene dine. Å bygge personlige vaner rundt dataminimering, tilgangshygiene og årvåkenhet mot sosial manipulering blir stadig viktigere, uansett om du jobber i teknologibransjen eller bare mottar medisinsk behandling. Vær oppmerksom på offisielle oppdateringer fra Novo Nordisk og relevante tilsynsorganer etter hvert som denne situasjonen utvikler seg.