2026-06-15 00:00
← VoltarA empresa farmacêutica dinamarquesa Novo Nordisk anunciou que enfrentou uma violação de dados relacionada com ensaios clínicos, divulgando cartas de notificação aos pacientes e aos prestadores de cuidados de saúde (HCPs) envolvidos. De acordo com o comunicado, um agente da ameaça obteve acesso a um número limitado de sistemas internos de TI da empresa, que incluíam acesso a determinados dados pessoais. O risco do paciente é um pouco reduzido, pois os dados exfiltrados do paciente foram desidentificados. “Dados de ensaios clínicos pseudonimizados podem criar uma falsa sensação de conforto, mas poderiam ter sido piores”, comenta John Bruggeman, vCISO da CBTS. "O risco é que, com as ciências biológicas, o contexto em torno dos dados seja importante. Cidade ou estado de participação no estudo, área de tratamento, dados demográficos que não foram anonimizados e atributos de pesquisa podem se tornar sensíveis quando combinados com outras fontes. Os invasores não precisam de um perfil completo do paciente para causar danos. Felizmente, embora as informações de identificação pessoal do paciente não tenham sido divulgadas, portanto, no ambiente atual, considerarei isso uma vitória." No entanto, isso não significa que o incidente esteja isento de risco.
Ross Filipek, CISO da Corsica Technologies, explica: "Uma violação envolvendo dados de ensaios clínicos cria um tipo de risco diferente de um incidente típico de dados do consumidor. A Novo Nordisk afirma que as informações expostas...
A empresa farmacêutica dinamarquesa Novo Nordisk anunciou que enfrentou uma violação de dados relacionada com ensaios clínicos, divulgando cartas de notificação aos pacientes e aos prestadores de cuidados de saúde (HCPs) envolvidos. De acordo com o comunicado, um agente da ameaça obteve acesso a um número limitado de sistemas internos de TI da empresa, que incluíam acesso a determinados dados pessoais. O risco do paciente é um pouco reduzido, pois os dados exfiltrados do paciente foram desidentificados. “Dados de ensaios clínicos pseudonimizados podem criar uma falsa sensação de conforto, mas poderiam ter sido piores”, comenta John Bruggeman, vCISO da CBTS. "O risco é que, com as ciências biológicas, o contexto em torno dos dados seja importante. Cidade ou estado de participação no estudo, área de tratamento, dados demográficos que não foram anonimizados e atributos de pesquisa podem se tornar sensíveis quando combinados com outras fontes. Os invasores não precisam de um perfil completo do paciente para causar danos. Felizmente, embora as informações de identificação pessoal do paciente não tenham sido divulgadas, portanto, no ambiente atual, considerarei isso uma vitória." No entanto, isso não significa que o incidente esteja isento de risco.
Ross Filipek, CISO da Corsica Technologies, explica: "Uma violação envolvendo dados de ensaios clínicos cria um tipo de risco diferente de um incidente típico de dados do consumidor. A Novo Nordisk afirma que as informações expostas não estavam vinculadas diretamente a nomes, o que é bom. Ele também disse que nenhum identificador utilizável foi obtido, o que reduz o risco imediato. No entanto, os dados de saúde ainda podem ter valor de longo prazo quando combinados com outras informações roubadas. Mesmo quando uma violação de ePHI não inclui nomes de pacientes, os invasores podem tentar fazer engenharia reversa de identidades por meio de engenharia reversa emparelhar detalhes como data de nascimento, código postal ou sexo com fontes de dados externas “Para os pacientes, o perigo imediato pode ser limitado. A maior preocupação é o que acontece depois. Os invasores podem usar detalhes médicos parciais para criar mensagens de phishing convincentes, se passar por organizações confiáveis ou pressionar pessoas com informações profundamente pessoais. Isto é especialmente preocupante nos cuidados de saúde, onde a confiança já é frágil.
"Há também um risco comercial posterior. Os ensaios clínicos dependem da confiança dos pacientes, fornecedores, reguladores e parceiros de pesquisa. Mesmo uma violação limitada pode criar hesitação. Se os invasores tivessem tempo de permanência dentro do ambiente, a preocupação muda da exposição dos dados para a integridade dos dados. Uma organização farmacêutica ou de saúde pode precisar determinar se os dados da pesquisa foram alterados, se as obrigações regulatórias foram acionadas e se alguma propriedade intelectual foi exposta. Os ensaios ativos também podem enfrentar atrasos enquanto o incidente é investigado. As organizações de saúde precisam de forte visibilidade dos dados confidenciais, controles de acesso mais rígidos e monitoramento ativo antes um incidente contido torna-se um problema de confiança mais amplo.” Os dados dos pacientes afetados incluem: IDs dos pacientes (consistindo em uma sequência alfanumérica aleatória) Informações de participação no estudo Sexo Ano de nascimento Fatores de estilo de vida (como IMC, tabagismo, etc.) Biomarcadores Dados de saúde/imunogenicidade Os dados dos profissionais de saúde afetados incluem: Nome e número de registro Endereço de e-mail Número de telefone Informações do WhatsApp Localização do consultório Embora os pacientes possam correr um risco um pouco menor, especialmente quando comparados a outras violações de cuidados de saúde, os especialistas alertam que os profissionais de saúde podem estar em risco de ataques direcionados. Bruggeman afirma: "Os invasores podem usar informações roubadas da Novo Nordisk para atingir os médicos que ajudam a levar pesquisas médicas valiosas aos fabricantes de medicamentos.
Agora, os invasores podem fazer com que uma mensagem pareça confiável, até mesmo profissional, dados os detalhes de contato que foram comprometidos. Imagine um médico envolvido recebendo uma mensagem de um invasor sobre uma atualização de teste que é de fato falsa? Ou solicitar documentos, ou pagamentos, ou uma redefinição de senha do portal médico quando o invasor tiver contexto suficiente". Esta violação foi espionagem corporativa? “Existem indícios neste caso que sugerem a possibilidade de espionagem corporativa”, afirma Joseph Perry, pesquisador de segurança cibernética e líder de serviços avançados da Arcova. “Int da Novo Nordisk a propriedade intelectual é fabulosamente valiosa, as informações acessadas do paciente estão relacionadas a ensaios clínicos em andamento e, com base na carta do paciente e na carta do profissional de saúde, parece que o objetivo do agente da ameaça era a exfiltração de dados (em oposição a, por exemplo, ransomware). No geral, com base na informação disponível, a incursão parece ser relativamente limitada e, neste momento, contida. No entanto, dado que a descoberta e a contenção parecem ter acontecido após a cópia externa dos dados, há uma questão em aberto se estes foram contidos antes ou depois do sucesso completo da missão.
"Em geral, isso acompanha uma tendência cada vez maior do crime cibernético. Durante anos, discutimos a mercantilização de certos fluxos de invasores (por exemplo, a ascensão dos Corretores de Acesso Inicial) e a mudança para plataformas e provedores monolíticos. O que tudo isso se resume, o que estamos vendo, é a profissionalização contínua do crime cibernético. Não temos nenhuma evidência de quem era o invasor, nem temos provas de sua motivação. Mas se as dicas que estamos vendo na divulgação pública se o risco de descoberta for pequeno em relação ao lucro potencial, pelo menos algumas pessoas sem escrúpulos tentarão aproveitar o crime cibernético como uma tática empresarial”.