Novo Nordisk обратилась в органы власти в связи с предполагаемой утечкой данных объёмом 1 ТБ

Novo Nordisk обратилась в органы власти в связи с предполагаемой утечкой данных объёмом 1 ТБ

Фармацевтический гигант Novo Nordisk подтвердил, что находится в контакте с соответствующими органами власти после того, как хакерская группа заявила о краже и публикации более одного терабайта данных компании. Производитель лекарственных препаратов, наиболее известный своими средствами от диабета и для снижения веса, сообщает, что отслеживает работу своих систем и продолжает деятельность в обычном режиме, пока расследует заявленный инцидент.

Ситуация поднимает острые вопросы о том, как медицинские и фармацевтические компании обращаются с конфиденциальными данными, и что могут сделать пациенты и сотрудники, когда организации, которым они доверяют, становятся мишенями.

Что сообщила Novo Nordisk на данный момент

Реакция Novo Nordisk была взвешенной. Компания подтвердила осведомлённость о заявлениях и заявила, что взаимодействует с властями в рамках реагирования. Помимо признания того, что хакерская группа предположительно опубликовала данные, Novo Nordisk не предоставила подробного подтверждения того, какая именно информация была затронута и как могла произойти утечка.

Такого рода осторожное, ограниченное раскрытие информации типично на ранних стадиях корпоративного киберинцидента. Компании сталкиваются с противоречивыми требованиями: юридическая обязанность уведомить пострадавших, оперативная необходимость провести расследование, прежде чем делать окончательные заявления, и репутационный риск как от избыточной коммуникации, так и от преуменьшения серьёзного события. Результатом часто становится период ожидания, который оставляет потенциально затронутых лиц без ясных ответов.

Как сообщалось отдельно, данный инцидент обладает признаками, характерными для кампании кибервымогательства, при которой злоумышленники крадут данные и угрожают их публикацией, если их требования не будут выполнены. Эта схема становится всё более распространённой во всех отраслях, но особенно весомой она является в здравоохранении и фармацевтике, где затронутые данные могут включать клинические записи, идентификаторы пациентов и закрытые исследования.

Для более широкого контекста о заявлениях, связанных с этой утечкой, включая сообщаемые подробности о типах предположительно затронутых данных, см. Novo Nordisk Hit by 1.3TB Breach: Clinical Trial Data Stolen (дополнительная информация на английском).

Почему утечки данных фармацевтических компаний особенно опасны

Большинство людей связывают утечки данных с финансовой информацией, паролями или аккаунтами в социальных сетях. Утечка, затрагивающая крупную фармацевтическую компанию, влечёт иные и потенциально более долговременные последствия.

Фармкомпании хранят целый ряд конфиденциальных категорий: записи участников клинических испытаний, истории болезней, персональные данные сотрудников, собственные исследования по разработке лекарств, а в некоторых случаях и информацию о медицинских работниках, взаимодействующих с компанией. В отличие от украденного номера кредитной карты, который можно аннулировать и заменить, медицинская информация является постоянной. Она может быть использована для страхового мошенничества, кражи личности или целевых фишинговых атак, использующих знание истории болезни человека.

Именно из-за этой чувствительности сектор здравоохранения всё чаще становится главной мишенью для групп вымогателей. Ставки настолько высоки, что организации могут испытывать давление, вынуждающее их платить, а регулирующие органы во многих юрисдикциях относятся к утечкам медицинских данных с особой серьёзностью. Похожая динамика наблюдалась при утечке данных iRhythm, связанной со сторонними облачными приложениями, когда информация о здоровье пациентов была раскрыта через системы, находящиеся вне прямой инфраструктуры компании.

Что это значит для вас

Если вы пациент, участвовавший в клинических испытаниях Novo Nordisk, принимавший её препараты, или если ваш лечащий врач взаимодействовал с компанией, возможность того, что ваши данные попали в число предположительно украденных, стоит воспринимать серьёзно — даже до получения официальных уведомлений.

Вот что вы можете сделать прямо сейчас:

Остерегайтесь фишинга. Группы вымогателей, публикующие украденные данные, часто продают или распространяют их другим преступникам. Вы можете заметить рост числа писем или сообщений, упоминающих ваши заболевания, лекарства или личные данные. Относитесь к любым нежелательным обращениям, касающимся вашего здоровья, с повышенной осторожностью.

Проверьте выписки по медицинской страховке. Мошеннические требования с использованием украденных медицинских данных могут появляться спустя месяцы после утечки. Обращайте внимание на услуги, которые вы не получали, или на приёмы у врачей, которых вы не посещали.

Проверьте официальные уведомления. В зависимости от вашего местонахождения Novo Nordisk может быть юридически обязана уведомить лиц, чьи данные были затронуты. Регулирующие органы в ЕС в рамках GDPR и в США в рамках HIPAA (где применимо) устанавливают сроки уведомления. Следите за официальными сообщениями от компании или соответствующих органов здравоохранения.

Используйте надёжные, уникальные учётные данные. Если у вас есть учётная запись в Novo Nordisk или связанном медицинском портале, немедленно смените пароль и включите многофакторную аутентификацию.

Подумайте о проверке конфиденциальности. Этот инцидент служит хорошим поводом проанализировать, какие данные вы предоставляете любой организации — фармацевтической или иной — и свести к минимуму излишнюю передачу данных.

Более широкая тенденция, заслуживающая внимания

Novo Nordisk не исключение. Крупные фармацевтические и медицинские компании в последние годы столкнулись с нарастающей волной кибервымогательств и попыток кражи данных. Эти организации хранят огромные объёмы конфиденциальной информации, зачастую в рамках сложных глобальных цепочек поставок, партнёрских сетей и унаследованных ИТ-систем, единообразную защиту которых обеспечить нелегко.

Примечательным этот инцидент делает масштаб предполагаемой кражи и вовлечение властей, вероятно, в нескольких юрисдикциях, учитывая глобальный характер деятельности Novo Nordisk. Исход этого расследования, скорее всего, повлияет на то, как сопоставимые компании подходят к обеспечению безопасности собственных данных.

Для частных лиц главный вывод заключается в том, что защиту конфиденциальности нельзя полностью делегировать организациям, хранящим ваши данные. Выработка личных привычек, связанных с минимизацией данных, гигиеной учётных данных и бдительностью в отношении социальной инженерии, становится всё более необходимой — независимо от того, работаете ли вы в сфере технологий или просто получаете медицинскую помощь. Сохраняйте бдительность в ожидании официальных обновлений от Novo Nordisk и соответствующих регулирующих органов по мере развития ситуации.