Datensicherheit für Pharmaunternehmen: Schutz von F&E- und IP-Daten

Apr 20, 2023
Share

Pharmadaten sind einer doppelten Cyberbedrohung ausgesetzt. Während profitorientierte Akteure weiterhin Pharmaunternehmen ins Visier nehmen, um an monetarisierbare Daten zu gelangen (letztes Jahr...), ... bot an, gestohlene Novartis-Daten zu verkaufen Im Darknet werden für 500.000 Dollar Wetten abgeschlossen. Staatlich geförderte Bedrohungsakteure nehmen auch die Pharmaindustrie ins Visier, um politisch zu punkten.

Das daraus resultierende Cyberrisiko kann so immens sein, dass es sich nur schwer quantifizieren lässt. Ein gutes Beispiel dafür ist Merck. immer noch in milliardenschweren Gerichtsverfahren verwickelt nachdem einige ihrer Tochtergesellschaften im Jahr 2017 ins Visier russischer, staatlich unterstützter Cyberkrimineller geraten waren.

Um dieser zweiköpfigen Hydra einer Bedrohungslandschaft entgegenzutreten, müssen Pharmaunternehmen genau analysieren, woher das Datenrisiko kommt und was einer Risikominderung im Wege steht.

Die Daten, die das größte Risiko bergen

Grundsätzlich gilt: Wenn Daten für Ihr Unternehmen einen geschäftlichen Wert haben, sind sie gefährdet.

Bedrohungsakteure werden nach allen Informationen suchen, die an Ihre Konkurrenten im Darknet verkauft, gegen Lösegeld an Sie zurückgefordert oder zur Erstellung von Nachahmerlösungen in ihren Heimatregionen verwendet werden können.

Zwei Kategorien sensibler Daten, die speziell Pharmaunternehmen betreffen und häufig Ziel von Angriffen sind, umfassen:

Forschungs- und Entwicklungsdaten (F&E)

Proprietäre Daten sind das Herzstück der Arzneimittelentwicklung – von klinischen Informationen, die während Patientenstudien gesammelt werden, bis hin zu internen Finanzprognosen und Marktanalysen.

Durch Datenlecks offengelegte F&E-Daten können indirekte finanzielle Schäden durch den Verlust von Wettbewerbsvorteilen verursachen. Darüber hinaus drohen bei der Offenlegung von personenbezogenen Daten (PII) Bußgelder gemäß Gesetzen wie dem Health Insurance Portability and Accountability Act (HIPAA).HIPAA) und der Datenschutz-Grundverordnung (DSGVO) wird folgen.

Der französische Anbieter von Laborsoftware, Dedalus Biologie, war wurde kürzlich mit einer Geldstrafe von 1,5 Millionen belegt Ein Pharmaunternehmen wurde aufgrund einer Datenschutzverletzung, bei der personenbezogene Daten von fast 500.000 Personen aus 28 Laboren offengelegt wurden, zu einer Geldstrafe verurteilt. Obwohl die Daten in diesem Fall nicht direkt von einem Pharmaunternehmen weitergegeben wurden, können Drittanbieter wie Dedalus Biologie, die Life-Science-Unternehmen betreuen, unbeabsichtigt Forschungs- und Entwicklungsdaten offenlegen, da diese im gesamten Arzneimittelentwicklungszyklus ausgetauscht werden.

Geistiges Eigentum (IP)

Für Arzneimittelhersteller kann geistiges Eigentum technische Daten umfassen wie zum Beispiel ELN (Elektronisches Laborjournal), Berichte, geheime Herstellungsverfahren, personenbezogene Daten wie nicht registrierte Patientendaten und Finanzinformationen wie Preisstrategien.

Geistiges Eigentum ist ein Hauptziel vieler Angreifer. Die jährlichen Kosten durch den Diebstahl von geistigem Eigentum in der Pharmabranche (und die daraus resultierende Produktion gefälschter Produkte) belaufen sich auf … auf etwa 4 % geschätzt eines Teils des Jahresumsatzes der Pharmaindustrie.

Die Verlagerung des Datenspeicherorts

Die Markteinführung eines Medikaments dauert im Durchschnitt über ein Jahrzehnt, doch die Pharmabranche verlagert ihre Aktivitäten in Rekordgeschwindigkeit in die Cloud.

  • Über 83 % Der Anteil der Pharmaunternehmen, die zwischen 2021 und 2022 öffentliche, hybride oder private Cloud-Umgebungen nutzten, betrug 100 %.
  • Der Begriff „Cloud Computing“ traten 65 % häufiger auf in den Jahresberichten von Pharmaunternehmen

Cloudbasierte Workloads haben immense Vorteile für den gesamten Arzneimittelentwicklungszyklus eröffnet. So ermöglichte beispielsweise die skalierbare, nahezu unbegrenzte Rechenleistung der Cloud Moderna, seinen COVID-Impfstoff nur 42 Tage nach der ersten Sequenzierung des Coronavirus in die Phase 1 der klinischen Prüfung zu bringen.

Dieser digitale Wandel vollzog sich weitaus schneller, als die meisten Organisationen es je geplant hatten. Umfragen zufolge ist die Pharmaindustrie… ungefähr fünf Jahre Die digitale Transformation übertrifft die Prognosen vor der Covid-Pandemie.

Rasante Veränderungen können zwar enorme Vorteile bringen, bergen aber auch neue Risiken. Datenpannen richten mehr Schaden an als je zuvor. Laut IBM beliefen sich die durchschnittlichen Kosten einer Datenpanne in der Pharmabranche auf lediglich … über 5 Millionen Dollar im Jahr 2022 – die drittteuerste Branche überhaupt.

Die Bedrohungen für Pharmadaten

Der Nachteil einer schnellen Cloud-Migration besteht darin, dass die Angriffsfläche eines typischen Pharmaunternehmens weit über das hinausgeht, was Sicherheitsteams mit traditionellen Ansätzen absichern können.

Pharmaunternehmen sind heute mit mehreren Bedrohungen konfrontiert:

übermäßig freizügiger Zugang

Der übermäßige Zugriff auf sensible Daten ist ein Beispiel für Schwachstellen, die Sicherheitsteams entgehen können.

Zu großzügige Zugriffsrechte resultieren oft aus Fehlkonfigurationen, beispielsweise wenn eine Ressource in einer Cloud-Umgebung ohne angemessene Sicherheitsvorkehrungen bereitgestellt wird. Dies könnte ein ungeschützter Cloud-Speicher oder ein S3-Bucket mit unverschlüsselten Daten sein. Angreifer scannen Netzwerke ständig nach solchen falsch konfigurierten Ressourcen.

F&E-Datendrift

Betrachtet man ein beliebiges heute tätiges Pharmaunternehmen, so ist die Wahrscheinlichkeit extrem hoch, dass dort gefährdete Informationen in nicht autorisierten Umgebungen gespeichert werden.

Das Problem ist folgendes: Forschungs- und Entwicklungsdaten sollten gemäß den internen Datenschutzrichtlinien des Unternehmens ausschließlich in spezifischen, streng kontrollierten Datenspeichern abgelegt werden. Doch ohne Wissen des Sicherheitsteams sind diese Daten stattdessen in einen öffentlich zugänglichen Datenspeicher gelangt.

Die meisten Umweltverschmutzungen bleiben unbemerkt, aber im Jahr 2020 Pfizer wurde Opfer eines massiven Datenlecks als Forscher einen öffentlich zugänglichen Google Cloud Storage-Speicherplatz entdeckten, der Informationen zur Arzneimittelsicherheit enthielt.

Insiderbedrohungen

Fehlkonfigurierte Cloud-Ressourcen erhöhen auch das Risiko, das entsteht durch Bedrohungen durch InsiderDie

Obwohl Unternehmen bestrebt sind, Zero Trust zum Schutz ihrer Daten einzusetzen, sieht die Realität in den meisten Fällen fast anders aus. Mitarbeiter in der Pharmaindustrie haben oft Zugriff auf Hunderte oder Tausende sensibler Dateien. Nur eine winzige Minderheit der Insider stellt ein kalkuliertes Cybersicherheitsrisiko dar. Da die Cloud den Zugriff auf sensible Informationen jedoch erleichtert, ist das Ausmaß des Schadens, den ein einzelner Angreifer anrichten kann, enorm.

Datenfehlkennzeichnung

Falsche Kennzeichnung von Medikamenten gefährdet Patientenleben, falsche Kennzeichnung sensibler Daten gefährdet jedoch Organisationen. Denn nicht alle IP-Daten sind gleichwertig.

Beispielsweise sollten die neuesten Methoden der Arzneimittelherstellung auf einen kleinen internen Kreis beschränkt bleiben, während die Arzneimittelpreise breiter mit den Anbietern entlang der Lieferkette der Arzneimittelentwicklung geteilt werden müssen. Beide Datentypen gelten als geistiges Eigentum. Mit herkömmlichen Methoden zur Datenermittlung und -klassifizierung sind viele Pharmaunternehmen jedoch gezwungen, alle Daten zum geistigen Eigentum pauschal als vertraulich zu kennzeichnen oder sie manuell zu trennen und zu klassifizieren.

Wie Cyera zum Schutz von F&E- und IP-Daten beitragen kann

Um Ihre Datensicherheit zu erhöhen und das Risiko von Datenschutzverletzungen zu verringern, müssen Sie wissen, wo sensible Daten gespeichert sind und wie Sie diese schützen können.

Cyera bietet eine ganzheitliche Datensicherheitslösung, die F&E- und IP-Daten effektiv schützen kann.Cyera erkennt, klassifiziert und kontextualisiert sensible Daten dynamisch in IaaS-, PaaS- und SaaS-Umgebungen – ganz ohne Agenten oder Konnektoren. Mit Cyera lassen sich Fehlkonfigurationen beheben und sensible Daten, die Angreifer im Visier haben, schützen. Dazu gehört die Identifizierung sensibler Daten außerhalb autorisierter Umgebungen sowie die Benachrichtigung von Teams über sensible Daten, die im öffentlichen Internet zugänglich sind.

Darüber hinaus vereinfacht und beschleunigt Cyera Compliance-Audits, indem es Ihnen ermöglicht, Ihre Datensicherheits- und Datenschutzmaßnahmen proaktiv zu verbessern. Dank eines zentralen Inventars sensibler Daten kann Ihr Team schnell und umfassend auf Audits reagieren. Die Plattform gewährleistet die Einhaltung von Richtlinien, die potenzielle Schwachstellen in Bezug auf HIPAA, DSGVO und weitere Vorschriften aufzeigen.

Um mehr darüber zu erfahren, wie Cyera Forschungs- und Entwicklungsdaten, geistiges Eigentum und andere sensible Daten für Pharmaunternehmen sichert, Demo vereinbaren Heute.

Share