Novo Nordisk kontaktuje się z organami w sprawie rzekomego wycieku danych o wielkości 1 TB

Novo Nordisk kontaktuje się z organami w sprawie rzekomego wycieku danych o wielkości 1 TB

Farmaceutyczny gigant Novo Nordisk potwierdził, że kontaktuje się z odpowiednimi organami po tym, jak grupa hakerska twierdzi, że ukradła i opublikowała ponad terabajt danych firmy. Producent leków, najbardziej znany ze swoich leków na cukrzycę i odchudzanie, twierdzi, że monitoruje swoje systemy i utrzymuje normalną działalność, badając zgłoszony incydent.

Sytuacja rodzi pilne pytania o to, jak firmy z branży opieki zdrowotnej i farmaceutycznej postępują z danymi wrażliwymi oraz co pacjenci i pracownicy mogą zrobić, gdy organizacje, którym ufają, stają się celem ataków.

Co dotychczas powiedział Novo Nordisk

Reakcja Novo Nordisk była wyważona. Firma potwierdziła, że jest świadoma tych twierdzeń i oświadczyła, że w ramach odpowiedzi współpracuje z organami. Poza przyznaniem, że grupa hakerska rzekomo opublikowała dane, Novo Nordisk nie przedstawił szczegółowego potwierdzenia, jakie dokładnie informacje zostały naruszone ani jak mogło dojść do wycieku.

Tego rodzaju ostrożne, ograniczone ujawnianie informacji jest powszechne na wczesnym etapie korporacyjnych incydentów cybernetycznych. Firmy stają w obliczu sprzecznych nacisków: obowiązku prawnego powiadomienia poszkodowanych, operacyjnej potrzeby zbadania sprawy przed wydaniem ostatecznych oświadczeń oraz ryzyka wizerunkowego związanego z nadmiernym komunikowaniem lub umniejszaniem powagi zdarzenia. Skutkiem często jest okres oczekiwania, który pozostawia potencjalnie poszkodowane osoby bez jednoznacznych odpowiedzi.

Jak informowano osobno, incydent ten ma cechy kampanii cyberwymuszenia, w której napastnicy kradną dane i grożą ich opublikowaniem, jeśli ich żądania nie zostaną spełnione. Ten schemat staje się coraz powszechniejszy w różnych branżach, ale nabiera szczególnego znaczenia w sektorze opieki zdrowotnej i farmaceutycznej, gdzie dane mogą obejmować dokumentację kliniczną, identyfikatory pacjentów i zastrzeżone wyniki badań.

Szerszy kontekst twierdzeń dotyczących tego wycieku, w tym podawane szczegóły na temat rodzajów danych, które rzekomo miały zostać skradzione, znajduje się w artykule Novo Nordisk Hit by 1.3TB Breach: Clinical Trial Data Stolen, który dostarcza dodatkowych informacji.

Dlaczego wycieki danych w branży farmaceutycznej są szczególnie poważne

Większość ludzi kojarzy wycieki danych z informacjami finansowymi, hasłami lub kontami w mediach społecznościowych. Wyciek z udziałem dużej firmy farmaceutycznej niesie ze sobą inne i potencjalnie trwalsze konsekwencje.

Firmy farmaceutyczne przechowują szereg wrażliwych kategorii danych: dokumentację uczestników badań klinicznych, historie zdrowia, dane osobowe pracowników, zastrzeżone badania nad rozwojem leków, a w niektórych przypadkach informacje o pracownikach służby zdrowia, którzy współpracują z firmą. W przeciwieństwie do skradzionego numeru karty kredytowej, który można anulować i zastąpić, informacje medyczne są trwałe. Mogą zostać wykorzystane do oszustw ubezpieczeniowych, kradzieży tożsamości lub ukierunkowanych ataków phishingowych wykorzystujących wiedzę o historii medycznej danej osoby.

Sektor opieki zdrowotnej coraz częściej staje się głównym celem grup wymuszających haracze właśnie z powodu tej wrażliwości. Stawka jest na tyle wysoka, że organizacje mogą odczuwać presję, by spełnić żądania, a organy regulacyjne w wielu jurysdykcjach podchodzą szczególnie poważnie do wycieków danych medycznych. Podobna sytuacja miała miejsce w przypadku wycieku iRhythm związanego z aplikacjami chmurowymi stron trzecich, gdzie dane pacjentów zostały ujawnione za pośrednictwem systemów spoza bezpośredniej infrastruktury firmy.

Co to oznacza dla Ciebie

Jeśli jesteś pacjentem, który brał udział w badaniach klinicznych Novo Nordisk, stosował jego leki lub jeśli Twój lekarz miał kontakt z tą firmą, warto poważnie potraktować możliwość, że Twoje dane znalazły się wśród rzekomo skradzionych informacji, nawet zanim nadejdą oficjalne powiadomienia.

Oto, co możesz zrobić już teraz:

Monitoruj próby phishingu. Grupy wymuszające okup, które publikują skradzione dane, często sprzedają je lub udostępniają innym podmiotom przestępczym. Możesz zauważyć wzrost liczby e-maili lub wiadomości odwołujących się do Twoich schorzeń, leków lub danych osobowych. Wszelkie niezamówione kontakty dotyczące Twojego zdrowia traktuj ze wzmożoną podejrzliwością.

Przeglądaj wyciągi z ubezpieczenia zdrowotnego. Fałszywe roszczenia wykorzystujące skradzione dane medyczne mogą pojawić się wiele miesięcy po wycieku. Zwracaj uwagę na usługi, z których nie korzystałeś, lub świadczeniodawców, których nie odwiedzałeś.

Sprawdzaj oficjalne powiadomienia. W zależności od miejsca zamieszkania, Novo Nordisk może być prawnie zobowiązany do powiadomienia osób, których dane zostały naruszone. Organy regulacyjne w UE na mocy RODO oraz w USA na mocy HIPAA (gdzie ma to zastosowanie) określają terminy powiadomień. Śledź wszelkie oficjalne komunikaty firmy lub odpowiednich organów ds. zdrowia.

Używaj silnych, unikalnych danych logowania. Jeśli posiadasz konto w Novo Nordisk lub powiązanym portalu medycznym, natychmiast zmień hasło i włącz uwierzytelnianie wieloskładnikowe.

Rozważ audyt prywatności. Ten incydent stanowi dobrą okazję, by przejrzeć, jakie dane udostępniasz jakiejkolwiek organizacji, farmaceutycznej czy innej, i w miarę możliwości ograniczyć niepotrzebne udostępnianie danych.

Szerszy wzorzec, który warto obserwować

Novo Nordisk nie jest odosobnionym przypadkiem. Duże firmy farmaceutyczne i medyczne w ostatnich latach mierzą się z rosnącą falą cyberwymuszeń i prób kradzieży danych. Podmioty te przechowują ogromne ilości wrażliwych informacji, często w skomplikowanych globalnych łańcuchach dostaw, sieciach partnerskich i na przestarzałych systemach informatycznych, które trudno jest zabezpieczyć w jednolity sposób.

To, co czyni ten incydent godnym uwagi, to skala rzekomej kradzieży oraz zaangażowanie organów prawdopodobnie z wielu jurysdykcji, zważywszy na globalną działalność Novo Nordisk. Wyniki tego dochodzenia najprawdopodobniej wpłyną na podejście podobnych firm do własnego poziomu bezpieczeństwa danych.

Dla osób fizycznych kluczowy wniosek jest taki, że ochrony prywatności nie można w pełni delegować na organizacje przechowujące nasze dane. Wykształcenie osobistych nawyków w zakresie minimalizacji danych, higieny danych logowania i czujności wobec socjotechniki staje się coraz bardziej niezbędne, niezależnie od tego, czy pracujesz w branży technologicznej, czy po prostu korzystasz z opieki medycznej. Bądź czujny na oficjalne informacje od Novo Nordisk i odpowiednich organów regulacyjnych w miarę rozwoju sytuacji.