Novo Nordisk kontaktar myndigheter efter påstått dataintrång på 1 TB

Novo Nordisk kontaktar myndigheter efter påstått dataintrång på 1 TB

Läkemedelsjätten Novo Nordisk har bekräftat att man är i kontakt med relevanta myndigheter efter att en hackergrupp påstått sig ha stulit och publicerat mer än en terabyte företagsdata. Företaget, mest känt för sina diabetes- och viktminskningsläkemedel, uppger att man övervakar sina system och upprätthåller normal drift medan man undersöker den rapporterade händelsen.

Situationen väcker brådskande frågor om hur vård- och läkemedelsföretag hanterar känsliga data och vad patienter och anställda kan göra när organisationer de litar på blir måltavlor.

Vad Novo Nordisk hittills har sagt

Novo Nordisks respons har varit återhållsam. Företaget bekräftade att man känner till påståendena och uppgav att man samarbetar med myndigheter som en del av sitt agerande. Utöver att bekräfta att en hackergrupp påstås ha publicerat data har Novo Nordisk inte lämnat någon detaljerad bekräftelse på exakt vilken information som berörts eller hur intrånget kan ha gått till.

Denna typ av försiktiga och begränsade informationslämnande är vanligt i ett tidigt skede av en cyberincident hos företag. Företag står inför motstridiga krav: den rättsliga skyldigheten att underrätta drabbade parter, det operativa behovet av att undersöka innan man gör definitiva uttalanden samt ryktesrisken med att antingen överkommunicera eller att verka bagatellisera en allvarlig händelse. Resultatet blir ofta en vänteperiod som lämnar potentiellt drabbade individer utan tydliga svar.

Såsom rapporterats separat har denna incident kännetecken som överensstämmer med en cyberutpressningskampanj, där angripare stjäl data och hotar att publicera den om kraven inte uppfylls. Detta mönster har blivit allt vanligare inom olika branscher, men det väger särskilt tungt inom sjukvård och läkemedel, där de berörda uppgifterna kan omfatta kliniska journaler, patientidentifikationer och egenutvecklad forskning.

För en bredare kontext kring påståendena om detta intrång, inklusive rapporterade detaljer om vilka typer av data som påstås ha stulits, ger Novo Nordisk drabbat av 1,3 TB intrång: data från kliniska prövningar stulna ytterligare bakgrund.

Varför dataintrång hos läkemedelsföretag är särskilt allvarliga

De flesta förknippar dataintrång med finansiell information, lösenord eller konton i sociala medier. Ett intrång som berör ett stort läkemedelsföretag medför andra och potentiellt mer bestående konsekvenser.

Läkemedelsföretag innehar en rad känsliga kategorier: journaler från deltagare i kliniska prövningar, sjukdomshistorik, personuppgifter om anställda, egenutvecklad forskning om läkemedelsutveckling och i vissa fall information om hälso- och sjukvårdspersonal som interagerar med företaget. Till skillnad från ett stulet kreditkortsnummer, som kan spärras och ersättas, är hälsoinformation beständig. Den kan användas för försäkringsbedrägerier, identitetsstöld eller riktade phishing-attacker som utnyttjar kunskap om en persons sjukdomshistorik.

Sjukvårdssektorn har i allt högre grad blivit ett främsta mål för utpressningsgrupper just på grund av denna känslighet. Insatserna är så höga att organisationer kan känna press att betala kraven, och tillsynsmyndigheter i många jurisdiktioner behandlar dataintrång inom hälso- och sjukvården med särskild stränghet. En liknande dynamik utspelade sig vid iRhythm-intrånget som involverade tredjeparts-molnapplikationer, där patienthälsodata exponerades genom system utanför företagets direkta infrastruktur.

Vad detta innebär för dig

Om du är en patient som har deltagit i kliniska prövningar hos Novo Nordisk, använt deras läkemedel, eller om din vårdgivare har interagerat med företaget, är det värt att ta på allvar att dina uppgifter kan ha ingått i den påstådda stölden, även innan officiella meddelanden når dig.

Här är vad du kan göra just nu:

Övervaka för nätfiske. Utpressningsgrupper som publicerar stulna data säljer eller distribuerar dem ofta till andra kriminella aktörer. Du kan märka en ökning av e-postmeddelanden eller meddelanden som refererar till dina hälsotillstånd, mediciner eller personuppgifter. Behandla all oombedd kontakt om din hälsa med ökad skepsis.

Granska dina sjukförsäkringsbesked. Bedrägliga anspråk som använder stulna hälsodata kan dyka upp flera månader efter ett intrång. Leta efter tjänster du inte har fått eller vårdgivare du inte har besökt.

Kontrollera efter officiella meddelanden. Beroende på var du bor kan Novo Nordisk vara rättsligt skyldigt att underrätta individer vars uppgifter har påverkats. Tillsynsorgan inom EU enligt GDPR och i USA enligt HIPAA (där tillämpligt) fastställer tidsfrister för underrättelse. Håll utkik efter officiell kommunikation från företaget eller berörda hälsovårdsmyndigheter.

Använd starka, unika inloggningsuppgifter. Om du har något konto hos Novo Nordisk eller en relaterad sjukvårdsportal, byt ditt lösenord och aktivera multifaktorautentisering omedelbart.

Överväg en integritetsgenomgång. Denna incident är en användbar påminnelse om att granska vilka uppgifter du delar med organisationer, läkemedelsföretag eller andra, och att minimera onödig datadelning där det är möjligt.

Det bredare mönstret att hålla ögonen på

Novo Nordisk är inget undantag. Stora läkemedels- och sjukvårdsföretag har under de senaste åren mött en stigande våg av cyberutpressning och datastölder. Dessa organisationer innehar enorma mängder känslig information, ofta över komplexa globala leverantörskedjor, partnernätverk och föråldrade IT-system som kan vara svåra att säkra enhetligt.

Vad som gör denna incident anmärkningsvärd är omfattningen av den påstådda stölden och inblandningen av myndigheter över vad som sannolikt är flera jurisdiktioner, med tanke på Novo Nordisks globala verksamhet. Resultatet av denna utredning kommer sannolikt att vägleda hur liknande företag närmar sig sin egen datasäkerhetsställning.

För individer är den viktigaste lärdomen att integritetsskydd inte kan delegeras helt till de organisationer som förvarar dina uppgifter. Att bygga personliga vanor kring dataminimering, god lösenordshygien och vaksamhet mot social manipulation blir allt viktigare, oavsett om du arbetar inom teknik eller bara får medicinsk vård. Var uppmärksam på officiella uppdateringar från Novo Nordisk och relevanta tillsynsorgan medan denna situation fortsätter att utvecklas.