Novo Nordisk пострадала от утечки объёмом 1,3 ТБ: похищены данные клинических испытаний

Novo Nordisk пострадала от утечки объёмом 1,3 ТБ: похищены данные клинических испытаний

Novo Nordisk, датский фармацевтический гигант, создатель блокбастеров Ozempic и Wegovy, столкнулась с серьёзным кризисом конфиденциальности из-за утечки фармацевтических данных после того, как хакеры заявили о краже 1,3 терабайта конфиденциальных внутренних файлов. Стоящая за атакой группировка утверждает, что в числе похищенного — данные клинических испытаний и материалы, связанные с искусственным интеллектом, и, по сообщениям, уже начала публиковать часть украденного в сети. Для компании, находящейся в центре одной из самых коммерчески значимых категорий лекарств в современной медицине, сроки и масштаб этой утечки поднимают серьёзные вопросы о том, как даже самые обеспеченные ресурсами корпорации мира обращаются с данными пациентов и участников исследований.

Что было украдено и что подтвердила Novo Nordisk

Злоумышленники утверждают, что ими было похищено 1,3 ТБ данных — объём, указывающий на нечто гораздо большее, чем целенаправленный налёт. По имеющейся информации, в утечку входят файлы, описываемые как записи клинических испытаний и материалы по разработке ИИ. Данные клинических испытаний относятся к одной из самых чувствительных категорий медицинской информации: они могут включать истории болезни участников, реакции на дозировки, записи о нежелательных явлениях и идентифицирующие детали, которые зачастую гораздо более детальны, чем те, что присутствуют в стандартной карте пациента.

На момент публикации Novo Nordisk публично не подтвердила ни полный масштаб утечки, ни то, были ли скомпрометированы данные пациентов и участников испытаний. Это молчание, будучи юридически осмотрительным, оставляет людям мало возможности оценить собственную подверженность риску. Решение хакеров начать активный слив файлов усиливает давление, поскольку данные, попавшие на преступные рынки или в открытые форумы, вернуть практически невозможно.

Почему крупные фармкомпании — лакомая цель для групп-вымогателей

Фармацевтические компании стали одними из самых привлекательных целей в среде киберпреступников. Причины выходят за рамки простого оппортунизма. Эти организации владеют уникально плотным сочетанием интеллектуальной собственности, регулируемых медицинских данных и коммерческих секретов, каждый из которых даёт злоумышленникам разные рычаги воздействия.

Для такой компании, как Novo Nordisk, которая получила огромную выручку от агонистов рецепторов ГПП-1 и вложила значительные средства в открытие лекарств с помощью ИИ, хранилища данных представляют чрезвычайную ценность. Данные клинических испытаний можно использовать для подрыва конкурентов, продать спонсируемым государством структурам, заинтересованным в ускорении собственных лекарственных программ, или просто превратить в оружие как рычаг при требовании выкупа. Обучающие данные и веса моделей ИИ, если они окажутся среди украденных файлов, представляют собой годы исследовательских инвестиций, которые невозможно просто восстановить.

Фармацевтический сектор также обладает структурными уязвимостями. Крупные глобальные организации полагаются на сложные сети контрактных исследовательских организаций, сторонних обработчиков данных и академических партнёров. Каждое соединение — потенциальная точка входа. Даже компании с надёжной внутренней защитой могут быть скомпрометированы через поставщика или партнёра с более слабой обороной.

Как корпоративные утечки подвергают риску личные данные о здоровье

Большинство людей, участвовавших в клинических испытаниях, связанных с Ozempic, или в исследованиях Novo Nordisk, вероятно, подписали формы согласия и предполагали, что их данные будут защищены в рамках стандартных этических норм исследований. Что эти нормы редко чётко разъясняют — так это остаточный риск, возникающий, когда конфиденциальные данные хранятся на корпоративных серверах бессрочно, ещё долгое время после завершения испытания.

Когда происходит утечка, эти данные не исчезают. Они попадают на вторичный рынок, где их можно объединить с другими наборами утёкших данных — процесс, иногда называемый обогащением данных, — для построения детальных профилей людей, которые выходят далеко за пределы изначально собранной информации. Медицинские данные особенно долговечны, потому что состояния, методы лечения и генетические факторы не меняются так, как номер кредитной карты.

Это часть более широкой тенденции, при которой личные данные, однажды переданные корпорации, оказываются в значительной мере вне контроля человека. Как показали материалы об ИИ и системах государственной слежки, границы между корпоративным сбором данных и институциональным доступом становятся всё более размытыми. Данные, изначально полученные в ходе клинического испытания, могут при определённых правовых условиях оказаться в контекстах, которые люди никогда не предполагали.

Утечка в Novo Nordisk также высвечивает недостаточно осознаваемый аспект рисков данных ИИ. Если среди украденных файлов были обучающие данные для ИИ, это может означать, что поведенческие, биологические или прогностические профили здоровья, построенные на реальных данных пациентов, сейчас находятся в неизвестных руках. Как исследовалось в материалах о том, как ИИ-системы собирают и удерживают личные данные, масштаб и долговременность данных, связанных с ИИ, порождают риски, с которыми традиционные механизмы уведомления об утечках никогда не были рассчитаны работать.

Шаги, которые могут предпринять пользователи, заботящиеся о приватности, когда их данные хранятся на корпоративных серверах

Честный ответ таков: как только ваши данные попадают внутрь корпоративной системы, ваш прямой контроль над ними ограничен. Однако есть осмысленные шаги, которые снижают продолжающуюся подверженность риску и помогают вам отреагировать, если ваша информация всплывёт в утечке.

Требуйте удаления данных, где это разрешено законом. В зависимости от вашей юрисдикции законы о конфиденциальности могут давать вам право потребовать, чтобы компания удалила ваши личные данные. GDPR в Европе и различные законы на уровне штатов в США предоставляют такие права. Подача официального запроса на удаление создаёт документальный след и в ряде случаев действительно сокращает объём ваших данных, хранящихся у компании.

Отслеживайте появление ваших данных в базах утечек. Сервисы, сканирующие известные репозитории утечек, могут предупредить вас, если ваш адрес электронной почты или другие идентификаторы появятся в утёкших наборах данных. Это не предотвращает утечку, но даёт вам более быстрое окно для ответных действий: смены учётных данных и уведомления финансовых учреждений.

Минимизируйте то, чем вы делитесь с корпоративными структурами впредь. Записываясь в исследования, программы лояльности или медицинские приложения, тщательно анализируйте, какие данные действительно требуются, а какие просто запрашиваются. Предоставление минимума идентифицирующей информации уменьшает ваш след в случае возможной будущей утечки.

Понимайте, что медицинские данные имеют длинный хвост. В отличие от финансовых учётных данных, информация о здоровье не имеет срока действия. Помните, что данные, которыми вы делитесь с любой околомедицинской компанией сегодня, могут всё ещё лежать на сервере через пять или десять лет, когда ландшафт угроз будет выглядеть совершенно иначе.

Будьте в курсе того, как ИИ-системы используют ваши данные. Если компания раскрывает, что использует ИИ-инструменты в своих исследованиях или операциях, это сигнал, что ваши данные могут поступать в системы со своими собственными политиками хранения и доступа. Ознакомление с нашим руководством 2026 года по защите приватности от сбора данных ИИ — практическая отправная точка для конкретного понимания этих рисков.

Более широкая картина

Утечка в Novo Nordisk — не единичный инцидент. Это часть документально подтверждённой тенденции, когда фармацевтические и медицинские организации не в состоянии адекватно защитить конфиденциальные данные, доверенные им пациентами и участниками исследований. Примечательной эту ситуацию делает заявленный объём данных и тот факт, что среди украденных файлов могут быть материалы, связанные с ИИ, — это выводит утечку на территорию, с которой существующие механизмы уведомлений и реагирования справляются с трудом.

Вывод для отдельных людей — не беспомощность, а информированный скептицизм. Понимание того, как и где хранятся ваши медицинские данные, какие права вы имеете требовать их удаления и как корпоративные утечки трансформируются в личный риск, — это основа практической приватности в мире, где ваша самая чувствительная информация постоянно находится на чьём-то чужом сервере. Начните с доступных вам ресурсов, оцените степень раскрытия ваших данных и сделайте хотя бы один конкретный шаг на этой неделе, чтобы уменьшить свой след в системах, которые вы не можете контролировать.