Novo Nordisk ujawnia naruszenie danych z badań klinicznych i personelu medycznego - Security Bez Tabu

Novo Nordisk ujawnia naruszenie danych z badań klinicznych i personelu medycznego

Cybersecurity news

Wprowadzenie do problemu / definicja

Novo Nordisk poinformował o incydencie bezpieczeństwa obejmującym nieuprawnione skopiowanie części danych z wewnętrznych systemów IT. Zdarzenie dotyczy informacji związanych z wybranymi badaniami klinicznymi oraz danych części pracowników ochrony zdrowia współpracujących z firmą. To kolejny przykład naruszenia w sektorze medycznym, gdzie nawet pseudonimizowane dane mogą mieć wysoką wartość operacyjną, wywiadowczą i przestępczą.

W skrócie

  • Atakujący uzyskali dostęp do wewnętrznych systemów IT i wyprowadzili niepubliczne dane.
  • Incydent objął informacje o uczestnikach wybranych badań klinicznych, w tym identyfikatory pacjentów, dane o udziale w badaniach, płeć, rok urodzenia, biomarkery, dane zdrowotne i immunogenne oraz wybrane czynniki stylu życia.
  • Firma podkreśliła, że dane pacjentów były pseudonimizowane i nie zawierały bezpośrednich identyfikatorów osobowych.
  • Naruszenie objęło również dane części personelu medycznego, w tym imiona i nazwiska, numery rejestracyjne, adresy e-mail, numery telefonów, dane kontaktowe w komunikatorach oraz lokalizacje biur.
  • Według spółki podstawowa działalność operacyjna nie została zakłócona.

Kontekst / historia

Sektor farmaceutyczny i medyczny od lat pozostaje atrakcyjnym celem dla cyberprzestępców. Dane z badań klinicznych mają wysoką wartość, ponieważ mogą zawierać wrażliwe informacje zdrowotne, metadane operacyjne oraz informacje przydatne w kampaniach socjotechnicznych. W przeciwieństwie do klasycznych wycieków baz klientów, incydenty dotyczące badań klinicznych mogą rodzić dodatkowe skutki regulacyjne, reputacyjne i badawcze.

W tym przypadku organizacja ujawniła incydent 12 czerwca 2026 r. i zaznaczyła, że śledztwo nadal trwa. Nie podano publicznie, kiedy dokładnie doszło do wykrycia naruszenia ani ilu dokładnie uczestników badań i pracowników ochrony zdrowia zostało objętych incydentem. Ograniczona liczba szczegółów sugeruje, że zespół reagowania wciąż ustala pełny zakres zdarzenia, wektory dostępu oraz rzeczywistą skalę ekspozycji danych.

Analiza techniczna

Z technicznego punktu widzenia kluczowe są trzy elementy: kompromitacja wewnętrznych systemów IT, nieautoryzowane skopiowanie danych poza organizację oraz charakter przejętych zbiorów. Firma potwierdziła eksfiltrację danych, co oznacza, że incydent nie ograniczał się jedynie do samego dostępu, ale obejmował także wyniesienie informacji poza kontrolowane środowisko.

Najistotniejsze jest rozróżnienie pomiędzy danymi bezpośrednio identyfikującymi a danymi pseudonimizowanymi. W przypadku uczestników badań klinicznych ujawnione rekordy miały być oznaczone identyfikatorami pacjentów w formie losowych ciągów alfanumerycznych, bez przypisanych imion i nazwisk. Taki model ogranicza ryzyko natychmiastowej identyfikacji, ale nie eliminuje go całkowicie. Jeżeli atakujący dysponowaliby dodatkowymi zbiorami referencyjnymi lub uzyskali dostęp do innych systemów mapujących identyfikatory na tożsamość, mogłoby dojść do ponownej identyfikacji części osób.

Zakres naruszonych danych wskazuje również na potencjalną wartość wywiadowczą incydentu. Informacje o biomarkerach, danych zdrowotnych, immunogenności czy czynnikach stylu życia mogą być szczególnie cenne nie tylko dla grup nastawionych na szantaż lub oszustwa, ale także dla podmiotów zainteresowanych analizą procesów badawczych, rekrutacji do badań czy struktury prowadzonych projektów klinicznych.

W przypadku personelu medycznego zagrożenie ma bardziej bezpośredni charakter operacyjny. Ujawnienie danych kontaktowych, numerów rejestracyjnych oraz powiązań organizacyjnych zwiększa ryzyko ukierunkowanego phishingu, vishingu, smishingu oraz podszywania się pod współpracowników lub partnerów biznesowych. Tego typu dane są często wykorzystywane do budowania wiarygodnych scenariuszy ataku opartych na relacjach zawodowych.

Firma podała także, że odłączyła naruszone systemy od środowiska produkcyjnego i przywraca je stopniowo w sposób kontrolowany. To standardowe działanie ograniczające dalszą lateralizację, utratę danych i możliwość utrzymania trwałej obecności przez atakującego.

Konsekwencje / ryzyko

Najważniejsze ryzyko dotyczy prywatności oraz możliwości wtórnego wykorzystania danych. Nawet jeśli dane uczestników badań nie zawierają nazwisk, ich wartość pozostaje wysoka, ponieważ opisują status udziału w badaniach klinicznych i wybrane cechy zdrowotne. W praktyce może to prowadzić do prób korelacji z innymi wyciekami, kampanii dezinformacyjnych lub ukierunkowanych prób kontaktu z osobami potencjalnie związanymi z badaniami.

Dla organizacji ryzyko obejmuje kilka warstw. Po pierwsze, jest to ryzyko regulacyjne związane z ochroną danych osobowych i danych zdrowotnych. Po drugie, ryzyko reputacyjne, szczególnie istotne dla podmiotu prowadzącego globalne badania i współpracującego z personelem medycznym. Po trzecie, ryzyko operacyjne, jeśli analiza śledcza wykaże głębszą kompromitację środowiska lub konieczność dłuższego wyłączenia określonych systemów wspierających badania, komunikację i zarządzanie danymi.

Dla pracowników ochrony zdrowia najbardziej realnym skutkiem są ataki socjotechniczne. Osoby te mogą otrzymywać wiadomości e-mail, telefony, komunikaty w komunikatorach lub fałszywe prośby o aktualizację danych, reset haseł, potwierdzenie udziału w projektach lub przekazanie dokumentacji. Taki etap wtórny często następuje szybko po publicznym ujawnieniu incydentu.

Rekomendacje

Organizacje z sektora ochrony zdrowia i life sciences powinny potraktować ten incydent jako sygnał do przeglądu zabezpieczeń wokół środowisk badań klinicznych. W praktyce oznacza to:

  • Segmentację systemów przechowujących dane badań klinicznych od systemów ogólnokorporacyjnych oraz ograniczenie ścieżek ruchu bocznego.
  • Wdrożenie ścisłej kontroli dostępu opartej na zasadzie najmniejszych uprawnień i regularny przegląd kont uprzywilejowanych.
  • Powszechne stosowanie MFA dla dostępu zdalnego, kont administracyjnych, systemów badawczych i paneli partnerów zewnętrznych.
  • Monitorowanie eksfiltracji danych z wykorzystaniem DLP, analizy ruchu sieciowego, EDR/XDR oraz reguł wykrywających nietypowe transfery do usług zewnętrznych.
  • Utrzymywanie pełnych logów audytowych dla systemów przetwarzających dane kliniczne, wraz z korelacją zdarzeń w SIEM.
  • Ocenę odporności pseudonimizacji na ponowną identyfikację, zwłaszcza gdy różne zbiory danych mogą zostać zestawione przez napastnika.
  • Aktualizację procedur IR, obejmujących izolację systemów, zachowanie materiału dowodowego, obsługę komunikacji kryzysowej oraz współpracę z partnerami badawczymi i regulatorami.
  • Szkolenie personelu medycznego i pracowników wewnętrznych pod kątem phishingu, vishingu i podszywania się pod współpracowników po incydencie.
  • Weryfikację bezpieczeństwa dostawców i podmiotów trzecich mających dostęp do danych badań, zwłaszcza w modelach outsourcingu i współdzielonych platform badawczych.
  • Przygotowanie planu bezpiecznego przywracania systemów po incydencie, z walidacją integralności, rotacją poświadczeń oraz kontrolą artefaktów trwałości.

Dla osób, których dane mogły zostać objęte incydentem, zalecane jest zachowanie szczególnej ostrożności wobec nieoczekiwanych wiadomości i połączeń, nawet jeśli wyglądają na pochodzące od znanych instytucji lub współpracowników.

Podsumowanie

Incydent ujawniony przez Novo Nordisk pokazuje, że dane z badań klinicznych pozostają jednym z najbardziej wrażliwych i strategicznych zasobów w sektorze farmaceutycznym. Choć firma wskazuje, że dane pacjentów były pseudonimizowane i nie obejmowały bezpośrednich identyfikatorów, eksfiltracja takich informacji nadal niesie realne ryzyko prywatności, ataków socjotechnicznych i wtórnej korelacji danych. Szczególnie narażeni są także pracownicy ochrony zdrowia, których dane kontaktowe mogą zostać wykorzystane w ukierunkowanych kampaniach phishingowych. Z perspektywy obronnej kluczowe pozostają segmentacja, monitorowanie eksfiltracji, silna kontrola dostępu oraz gotowość do szybkiego i bezpiecznego odtwarzania środowiska po naruszeniu.

Źródła