Il settore farmaceutico globale torna al centro delle attenzioni per un nuovo episodio di cybersecurity che ha coinvolto l’azienda  Novo Nordisk. Il colosso farmaceutico danese ha infatti confermato di aver subito una violazione dei propri sistemi informatici interni che ha portato all’esfiltrazione di dati legati a studi clinici e a professionisti sanitari.

L’azienda, fondata nel 1923 e oggi con circa 67.900 dipendenti distribuiti in 80 sedi nel mondo, è diventata negli ultimi anni uno dei protagonisti più visibili del settore farmaceutico, grazie allo sviluppo di farmaci innovativi basati sugli agonisti del recettore GLP-1. Molecole come Wegovy e Ozempic hanno contribuito a ridefinire il mercato dei trattamenti per il diabete e l’obesità, portando l’azienda a una crescita significativa anche in termini di visibilità pubblica.

Secondo quanto comunicato, gli attaccanti sono riusciti a ottenere accesso a porzioni dell’infrastruttura IT interna, riuscendo a copiare informazioni relative a partecipanti coinvolti in alcuni trial clinici. I dati sottratti includono identificativi pseudonimizzati dei pazienti, informazioni sulla partecipazione agli studi, sesso, anno di nascita e una serie di parametri clinici e biologici, tra cui biomarcatori, dati immunologici e fattori legati allo stile di vita come fumo, consumo di alcol e indice di massa corporea.

L’azienda ha sottolineato che queste informazioni non sono direttamente riconducibili ai singoli individui, poiché i dati sono stati pseudonimizzati e non contengono nomi o identificativi diretti. In teoria, ciò riduce il rischio immediato di re-identificazione dei pazienti, anche se la natura stessa dei dataset clinici coinvolti solleva inevitabilmente interrogativi sulla sensibilità delle informazioni compromesse.

La posizione ufficiale dell’azienda è netta nel distinguere tra esposizione di dati e identificazione diretta degli individui. Secondo Novo Nordisk, per risalire all’identità dei partecipanti sarebbe necessario accedere a ulteriori informazioni non incluse nei sistemi violati. Tuttavia, la stessa società ha confermato che una parte di dati non pubblici è stata effettivamente sottratta senza autorizzazione, rendendo necessario informare i soggetti coinvolti.

attacchi malware

Crediti: Shutterstock

Oltre ai dati dei trial clinici, la violazione ha interessato anche un numero non specificato di operatori sanitari. In questo caso, l’impatto appare più esteso sul piano dei dati personali tradizionali, con nomi, numeri di registrazione professionale, indirizzi e-mail, numeri di telefono, contatti WhatsApp e localizzazioni degli uffici che risultano parte del materiale potenzialmente esposto.

Questo tipo di informazione, pur non essendo di natura strettamente clinica, rappresenta un bersaglio particolarmente sensibile per campagne di phishing e social engineering. Novo Nordisk ha infatti avvertito i professionisti coinvolti della possibilità di ricevere comunicazioni fraudolente, inviti a prestare attenzione a messaggi inattesi e tentativi di impersonificazione via e-mail, telefono o piattaforme di messaggistica.

L’azienda ha inoltre deciso di isolare i sistemi compromessi, mettendoli temporaneamente offline per contenere l’incidente. Le attività principali del business, secondo quanto dichiarato, non avrebbero subito interruzioni significative e continuerebbero a funzionare regolarmente. Parallelamente è stata avviata un’indagine interna con il supporto di specialisti esterni di cybersecurity per determinare con precisione la portata dell’attacco e le modalità con cui è stato condotto.

Uno degli aspetti ancora non chiariti riguarda la tempistica della violazione. L’azienda non ha infatti fornito dettagli su quando l’attacco sia stato individuato, né sull’esatto numero di persone coinvolte nell’esposizione dei dati. Questo elemento lascia aperti diversi interrogativi sulla possibile permanenza degli attaccanti nei sistemi prima della loro rilevazione.

(Immagine in apertura: Shutterstock)