Patientuppgifter stulna från Ozempic-tillverkaren – säkerhetsforskare varnar för risken att avslöja identiteter
Känslig patientdata stulen från Ozempic-tillverkaren – identiteter riskerar att avslöjas.
När världens mest bevakade läkemedelsbolag blir ett mål
Det är svårt att tänka sig ett mer strategiskt känsligt angreppsmål just nu. Novo Nordisk — det danska läkemedelsbolaget bakom diabetesläkemedlet Ozempic och en rad andra GLP-1-preparat mot fetma och diabetes — befinner sig i ett globalt strålkastarljus. Efterfrågan på deras läkemedel är extrem, investerarnas blickar är fixerade på varje nyhet från Köpenhamn, och den pågående forskningen är värd miljarder. Nu bekräftar bolaget det som rapporterades av den it-säkerhetsinriktade sajten Bleeping Computer: obehöriga tog sig in i företagets interna datasystem och stal information från ett antal kliniska studier.
Enligt Novo Nordisk rör det sig om en bred uppsättning uppgifter — patient-ID:n, information om studiedeltagande, kön, födelseår, biomarkörer, hälsodata samt livsstilsfaktorer som rökning, alkoholkonsumtion och kroppsmasseindex. Det är med andra ord en detaljrik bild av de individer som frivilligt ställt upp i klinisk forskning för att göra framtidens läkemedel möjliga.
Pseudonymisering är inte samma sak som anonymitet
Novo Nordisk framhåller att de stulna uppgifterna var pseudonymiserade — det vill säga att direkta identitetsuppgifter som namn saknades i materialet. Bolaget bedömer därför att det inte är möjligt för utomstående att identifiera enskilda studiedeltagare. Det är en viktig nyansering, och jag vill inte avfärda den.
Men det är lika viktigt att inte låta sig lugnas för snabbt. Inom informationssäkerhet och dataetik är skillnaden mellan pseudonymisering och fullständig anonymisering välkänd och avgörande. Pseudonymiserade data kan i vissa fall kombineras med andra tillgängliga datakällor — vad experter kallar återidentifiering — för att avslöja en persons identitet. Ju fler variabler som finns i ett dataset, desto större är risken. Och ett dataset som inkluderar biomarkörer, födelseår, BMI och alkoholvanor är ingalunda tomt på särdrag.
Detta innebär inte att en katastrof är ett faktum. Men det innebär att tusentals personer som anförtrott sin hälsoinformation till en klinisk studie nu befinner sig i ett osäkrare läge än de var för en månad sedan — utan att de ännu vet om det.
Varför detta träffar extra hårt just nu
Timing spelar alltid roll i säkerhetssammanhang. Novo Nordisk är inte vilket bolag som helst i det här ögonblicket. GLP-1-läkemedlen har förändrat hela den globala läkemedelsindustrin, och kapplöpningen om nästa generation av dessa preparat är intensiv. De kliniska studiedata som stals är inte bara känsliga ur ett patientperspektiv — de är potentiellt extremt värdefulla ur ett konkurrensperspektiv.
Vi vet inte ännu vem som låg bakom intrånget eller vad det stulna materialet faktiskt används till. Det kan röra sig om opportunistisk kriminalitet, det kan röra sig om industrispionage, eller om statsunderstödda aktörer med intresse för medicinsk forskning. Varje scenario bär med sig olika risker och kräver olika svar.
Det vi däremot vet är att läkemedelsbranschen länge har underskattat sin exponering för cyberangrepp. Covids acceleration av digital infrastruktur, kombinerad med en explosionsartad ökning av värdet på biologiska och medicinska data, har skapat ett landskap där forskningsmiljöer är lika attraktiva mål som banker.
En strukturell utmaning för hela branschen
Detta är inte ett isolerat problem för Novo Nordisk. Det är ett symptom på en strukturell sårbarhet som genomsyrar hela den globala läkemedelssektorn. Kliniska studier bygger på förtroende — patienters vilja att dela sin mest personliga information i vetenskapens tjänst. Varje incident som detta naggar på det förtroendet.
Samtidigt ser jag en möjlighet här: incidenten visar med eftertryck varför investeringar i informationssäkerhet, kryptering och zero trust-arkitektur inte är kostnader utan nödvändiga förutsättningar för att bedriva trovärdig forskning i en uppkopplad värld. De bolag som tar detta på allvar nu bygger ett långsiktigt förtroende — och ett strukturellt övertag — gentemot dem som väntar tills nästa intrång tvingar fram åtgärder.
Vår analys
Dataintrånget mot Novo Nordisk är en påminnelse om att den digitala transformationen av sjukvård och läkemedelsforskning sker snabbare än säkerhetsinfrastrukturen hinner anpassa sig. När data från kliniska studier blir ett handelsobjekt — vare sig på svarta marknaden eller i konkurrensunderrättelsens gråzon — måste hela branschen höja sin beredskap.
Det som oroar mig mest är inte det enskilda intrånget, utan signalvärdet. Novo Nordisk är ett bolag med resurser och kompetens långt över genomsnittet. Om de är sårbara, vad gäller då för de tusentals mindre forskningsinstitutioner och kontraktsbolag som hanterar kliniska data globalt?
Fram emot oss ser jag en nödvändig konsolidering kring säkrare datainfrastruktur för medicinsk forskning — troligen driven av skärpta krav från tillsynsmyndigheter i EU och USA. Det är rätt riktning. Men den behöver komma snabbare än lagstiftningscykler normalt medger.