Novo Nordisk har offentliggjort en säkerhetsincident där angripare fick obehörig åtkomst till interna system och kopierade icke-offentlig information till externa platser. Den stulna informationen omfattar patientdata från kliniska prövningar samt uppgifter tillhörande vårdgivare. Intrånget upptäcktes den 11 juni 2026. Företaget har inte uppgett hur många personer som berörs.
Uppgifterna publicerades först av Eduard Kovacs på SecurityWeek och bekräftades därefter av The HIPAA Journal, BleepingComputer och BankInfoSecurity. Enligt Fierce Pharma uppmanade Novo Nordisk patienter som deltar i berörda kliniska prövningar att vara vaksamma. Kärnverksamheten, inklusive tillverkning och distribution av Ozempic och Wegovy, är opåverkad.
Vad som kopierades – och vad som fortfarande är okänt
Företaget bekräftade för SecurityWeek att icke-offentlig data kopierades utan tillstånd, men har inte specificerat omfattningen av datastölden eller vilka kategorier av kliniska prövningsuppgifter som berörs. Vårdgivarinformation ingick också i det exfiltrerade materialet, enligt rapportering från The HIPAA Journal och BankInfoSecurity.
Inga CVE:identifierare har kopplats till incidenten. Novo Nordisk har inte heller redovisat vilken angreppsvektor som användes, hur länge angriparna hade tillgång till systemen innan intrånget upptäcktes eller om den ansvariga aktören är en ransomewaregrupp, en utpressningsaktör eller någon annan typ av hotaktör. Det skapar osäkerhet för de personer vars uppgifter kan ha exponerats. Deltagare i kliniska prövningar vars data har kopierats kan inte i dagsläget möjlighet att fullt ut bedöma sin risk, eftersom det fortfarande är oklart vilka uppgifter som har stulits och vem som ligger bakom intrånget.
Ozempic och Wegovy nämns i samband med intrånget eftersom patientdata hölls inom ramen för dessa kliniska program, inte på grund av någon brist i läkemedlen som sådana.
Kliniska prövningsdata ger särskild regulatorisk exponering
Patientdata från kliniska läkemedelsprövningar befinner sig i skärningspunkten mellan GDPR, nationell hälsodatalagstiftning och sektorspecifik forskningsetisk reglering. I Danmark, där Novo Nordisk har sitt säte, kompletterar den danska dataskyddslagen GDPR med strängare bestämmelser för behandling av hälsodata. Datatilsynet, Danmarks dataskyddsmyndighet, är en av de tillsynsmyndigheter som nu granskar om företagets tekniska och organisatoriska åtgärder höll den standard som krävs för denna datakategori.
Enligt artikel 33 i GDPR är organisationer skyldiga att anmäla personuppgiftsincidenter till berörd tillsynsmyndighet inom 72 timmar från det att de fått kännedom om incidenten, om den sannolikt innebär en risk för registrerades rättigheter och frihet. Novo Nordisk har bekräftat att företaget vidtagit nödvändiga regulatoriska åtgärder, men har inte offenligt redovisat när anmälan lämnades in. Datatilsynet har ännu inte kommenterat händelsen offentligt.
För deltagare i kliniska prövningar rör det sig om den känsligaste data ett läkemedelsföretag hanterar: diagnoser, behandlingssvar, biverkningar och informerat samtycke. The HIPAA Journal noterar att även uppgifter om vårdpersonal stals, vilket väcker separata frågor om huruvida yrkeskontaktuppgifter kan användas i riktade phishing- eller identitetsförfalskningskampanjer.
Företagets kommunikation ger fler frågor än svar
Novo Nordisk har valt att inte uppge antalet drabbade personer. Det är juridiskt möjligt under vissa tolkningar av reglerna om intrångsanmälan, men det är svårt att förena med GDPR:s transparensprincip när det rör sig om känsliga hälsouppgifter i särskild kategori. Att verksamheten löper på ostört är korrekt men irrelevant. De som löper risk är inte aktieägare som följer produktionslinjer, utan patienter som frivilligt deltog i kliniska prövningar och vars journaluppgifter nu har lämnat företaget.
Ingen angreppsvektor. Ingen identifiering av angriparen. Ingen tidslinje för intrånget. Inget antal drabbade. För ett intrång av denna känslighet är det en anmärkningsvärt tunn redovisning. Berörda parter uppmanas att vara vaksamma utan att få den information de behöver för att veta vad de ska se upp med.
Om du deltar i en klinisk prövning hos Novo Nordisk
Var uppmärksam på kontakt från personer som uppger sig vara Novo Nordisk-forskare, kliniker eller patientstödsrepresentanter. Den stulna datan innehåller tillräckligt med detaljer för att göra identitetsförfalskningsförsök trovärdiga. Lämna inte ut ytterligare personliga eller medicinska uppgifter som svar på oombedd kontakt, oavsett hur officiell den ser ut.
Om du har fått ett brev från Novo Nordisk, spara det. Det fastställer att du identifierades som berörd, vilket kan ha betydelse om du senare drabbas av bedrägeri eller identitetsmissbruk kopplat till detta intrång.
Vårdgivare vars uppgifter ingick i det stulna materialet bör granska alla tredjepartsåtkomst-credentials kopplade till Novo Nordisks kliniska system och behandla all inkommande kommunikation som refererar till intrånget som ett potentiellt försök till credential harvesting.
Referenser
- Ozempic Maker Novo Nordisk Says Hackers Breached IT Systems
- Pharmaceutical Giant Novo Nordisk Discloses Security Breach
- Clinical Trial Data Stolen in Novo Nordisk Cyberattack
- Ozempic Drug Maker Loses Clinical Trial Data in Hack
- Novo Reports Data Breach, Tells Clinical Trial Patients to Remain Vigilant
- Novo Nordisk Hit By Cyberattack; Non-Public Data Copied But Ope
This post is also available in:
English
