Novo Nordisk звертається до органів влади через ймовірний витік даних обсягом 1 ТБ

Novo Nordisk звертається до органів влади через ймовірний витік даних обсягом 1 ТБ

Фармацевтичний гігант Novo Nordisk підтвердив, що контактує з відповідними органами після того, як хакерська група заявила про викрадення та оприлюднення понад одного терабайта даних компанії. Виробник ліків, найбільш відомий своїми препаратами проти діабету та для зниження ваги, повідомляє, що стежить за своїми системами та підтримує звичайну роботу, поки триває розслідування цього інциденту.

Ситуація викликає термінові питання щодо того, як медичні та фармацевтичні компанії поводяться з конфіденційними даними, і що можуть робити пацієнти та працівники, коли організації, яким вони довіряють, стають мішенями.

Що Novo Nordisk повідомила наразі

Відповідь Novo Nordisk була виваженою. Компанія підтвердила, що знає про ці заяви, і повідомила, що співпрацює з органами влади в межах реагування. Крім визнання того, що хакерська група ймовірно оприлюднила дані, Novo Nordisk не надала детального підтвердження, яка саме інформація постраждала або як міг статися витік.

Такий обережний, обмежений обсяг розкриття інформації є звичним на ранніх стадіях корпоративних кіберінцидентів. Компанії стикаються з конкуруючими вимогами: юридичним обов’язком повідомити постраждалих, операційною необхідністю провести розслідування, перш ніж робити остаточні заяви, та репутаційним ризиком або надмірного спілкування, або спроби применшити серйозність події. Наслідком часто стає період очікування, який залишає потенційно постраждалих без чітких відповідей.

Як повідомлялося окремо, цей інцидент має ознаки, характерні для кампанії кібервимагання, під час якої зловмисники викрадають дані та погрожують їх оприлюднити, якщо не будуть виконані вимоги. Така схема стає дедалі поширенішою в різних галузях, але вона має особливу вагу в охороні здоров’я та фармацевтиці, де викрадені дані можуть включати клінічні записи, ідентифікатори пацієнтів і запатентовані дослідження.

Для ширшого контексту щодо заяв навколо цього витоку, включаючи повідомлення про типи даних, які нібито постраждали, Novo Nordisk зазнала витоку обсягом 1,3 ТБ: вкрадено дані клінічних досліджень надає додаткову інформацію.

Чому витоки даних у фармацевтиці є особливо серйозними

Більшість людей пов’язують витоки даних із фінансовою інформацією, паролями або обліковими записами в соцмережах. Витік, що стосується великої фармацевтичної компанії, має інші та потенційно триваліші наслідки.

Фармацевтичні компанії володіють рядом чутливих категорій даних: записи учасників клінічних досліджень, історії хвороб, особисті дані працівників, власні дослідження з розробки ліків, а в деяких випадках — інформацію про медичних працівників, які взаємодіють з компанією. На відміну від викраденого номера кредитної картки, який можна заблокувати й замінити, медична інформація є незмінною. Її можуть використати для страхового шахрайства, крадіжки особистих даних або цілеспрямованих фішингових атак, що використовують знання медичної історії людини.

Сектор охорони здоров’я дедалі частіше стає головною мішенню для вимагальницьких груп саме через цю чутливість. Ставки настільки високі, що організації можуть відчувати тиск з метою задовольнити вимоги, а регулятори в багатьох юрисдикціях ставляться до витоків медичних даних з особливою серйозністю. Схожа динаміка спостерігалася у витоку iRhythm, пов’язаному зі сторонніми хмарними застосунками, де дані про стан здоров’я пацієнтів були розкриті через системи поза безпосередньою інфраструктурою компанії.

Що це означає для вас

Якщо ви є пацієнтом, який брав участь у клінічних дослідженнях Novo Nordisk, використовував її ліки, або якщо ваш медичний заклад взаємодіяв із компанією, варто серйозно поставитися до можливості того, що ваші дані могли опинитися серед нібито викрадених, навіть до надходження офіційних сповіщень.

Ось що ви можете зробити вже зараз:

Стежте за фішингом. Вимагальницькі групи, які оприлюднюють викрадені дані, часто продають або поширюють їх серед інших злочинців. Ви можете помітити зростання електронних листів або повідомлень, які посилаються на ваш стан здоров’я, ліки чи особисті дані. Ставтеся до будь-яких небажаних звернень щодо вашого здоров’я з підвищеною обережністю.

Перевіряйте виписки з медичного страхування. Шахрайські вимоги з використанням викрадених медичних даних можуть з’явитися через місяці після витоку. Звертайте увагу на послуги, яких ви не отримували, або на постачальників, яких ви не відвідували.

Слідкуйте за офіційними сповіщеннями. Залежно від вашого місця проживання, Novo Nordisk може бути законодавчо зобов’язана повідомити осіб, чиї дані постраждали. Регуляторні органи в ЄС відповідно до GDPR, а в США відповідно до HIPAA (де це застосовно) встановлюють строки повідомлення. Слідкуйте за будь-якими офіційними повідомленнями від компанії або відповідних органів охорони здоров’я.

Використовуйте надійні, унікальні облікові дані. Якщо у вас є обліковий запис у Novo Nordisk або на пов’язаному медичному порталі, негайно змініть пароль і ввімкніть багатофакторну автентифікацію.

Подумайте про аудит конфіденційності. Цей інцидент є гарним приводом переглянути, які дані ви надаєте будь-якій організації, фармацевтичній чи іншій, і мінімізувати непотрібне поширення даних, де це можливо.

Ширша тенденція, за якою варто стежити

Novo Nordisk не є винятком. Великі фармацевтичні та медичні компанії протягом останніх років стикаються зі зростаючою хвилею кібервимагань і спроб викрадення даних. Ці організації зберігають величезні обсяги конфіденційної інформації, часто в межах складних глобальних ланцюгів постачання, партнерських мереж і застарілих ІТ-систем, які важко рівномірно захистити.

Що робить цей інцидент помітним, так це масштаб ймовірного викрадення та залучення органів влади, ймовірно, у кількох юрисдикціях, враховуючи глобальну діяльність Novo Nordisk. Результати цього розслідування, ймовірно, вплинуть на те, як подібні компанії підходитимуть до власної безпеки даних.

Для окремих людей головний висновок полягає в тому, що захист конфіденційності не можна повністю покладати на організації, які зберігають ваші дані. Формування особистих звичок щодо мінімізації даних, гігієни облікових даних та пильності щодо соціальної інженерії стає дедалі важливішим, незалежно від того, працюєте ви в технологічній сфері чи просто отримуєте медичну допомогу. Будьте уважні до офіційних оновлень від Novo Nordisk та відповідних регуляторних органів у міру розвитку ситуації.