Seguridad de datos para empresas farmacéuticas: protección de datos de I+D y propiedad intelectual.

Los datos farmacéuticos se enfrentan a una doble amenaza cibernética. Mientras que los actores motivados por el lucro siguen atacando a las compañías farmacéuticas para obtener datos monetizables (el año pasado, Industrial Spy Ofrecieron vender datos robados de Novartis En la darknet, por 500.000 dólares, los ciberdelincuentes patrocinados por estados también están atacando a la industria farmacéutica para obtener réditos políticos.
El riesgo cibernético resultante puede ser tan vasto que resulta difícil de cuantificar. Un ejemplo de ello es Merck. aún libran batallas legales multimillonarias después de que algunas de sus filiales se convirtieran en objetivo de ciberdelincuentes respaldados por el Estado ruso en 2017.
Para hacer frente a este panorama de amenazas que se asemeja a una hidra de dos cabezas, las empresas farmacéuticas deben centrarse en el origen del riesgo de datos y en los obstáculos que dificultan su mitigación.
Los datos que generan mayor riesgo
Por regla general, si los datos tienen valor comercial para su organización, están en riesgo.
Los ciberdelincuentes irán tras cualquier información que pueda venderse a sus competidores en la web oscura, exigirse un rescate para recuperarla o utilizarse para crear soluciones similares en sus regiones de origen.
Dos categorías de datos sensibles específicos de las empresas farmacéuticas que suelen ser objeto de ataques son:
Datos de investigación y desarrollo (I+D)
Los datos confidenciales son fundamentales para el desarrollo de fármacos: desde la información clínica recopilada durante los ensayos con pacientes hasta las previsiones financieras internas y los análisis de mercado.
Expuestos a través de una violación de datos, los datos de I+D pueden causar un daño financiero indirecto debido a la pérdida de ventaja competitiva. Además, cuando los datos de I+D filtrados contienen información de identificación personal (PII), las multas bajo leyes como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)HIPAA) y el Reglamento General de Protección de Datos (RGPD) seguirá.
El proveedor francés de software de laboratorio, Dedalus Biologie, fue multado recientemente con 1,5 millones Dedalus Biologie fue sancionada por el RGPD por una filtración de datos que expuso información personal identificable de casi 500.000 personas de 28 laboratorios. En este caso, si bien la filtración no provino directamente de una farmacéutica, proveedores externos como Dedalus Biologie prestan servicios a organizaciones del sector de las ciencias biológicas y pueden exponer inadvertidamente datos de I+D al compartirse a lo largo del ciclo de desarrollo de fármacos.
Propiedad intelectual (PI)
Para los fabricantes de medicamentos, la propiedad intelectual puede incluir datos técnicos como: ELN (Cuaderno de laboratorio electrónico), informes, métodos de fabricación secretos, información de identificación personal como información de pacientes no registrada y datos financieros como estrategias de precios.
La propiedad intelectual es un objetivo principal para muchos actores maliciosos. El costo anual de las filtraciones de propiedad intelectual farmacéutica (y la consiguiente producción de productos falsificados) ha sido Se estima que ronda el 4%. de los ingresos anuales de la industria farmacéutica.
El cambio en la ubicación de los datos
Lanzar un medicamento al mercado lleva, de media, más de una década, pero la industria farmacéutica está migrando a la nube a un ritmo récord.
- Encima 83% Entre 2021 y 2022, un porcentaje significativo de empresas farmacéuticas utilizó entornos de nube pública, híbrida o privada.
- El término "computación en la nube" apareció un 65% más a menudo en los informes anuales de las compañías farmacéuticas
Las cargas de trabajo alojadas en la nube han aportado enormes beneficios a todo el ciclo de vida del desarrollo de fármacos. Por ejemplo, la capacidad de procesamiento escalable y prácticamente ilimitada que ofrece la nube fue lo que permitió a Moderna llevar su vacuna contra la COVID-19 a la Fase 1, tan solo 42 días después de la primera secuenciación del coronavirus.
Este cambio digital se produjo mucho más rápido de lo que la mayoría de las organizaciones habían previsto. Según las encuestas, la industria farmacéutica está aproximadamente cinco años por encima de las proyecciones de transformación digital previas a la COVID-19.
Si bien el cambio rápido puede generar enormes beneficios, también fomenta nuevos riesgos. Las filtraciones de datos están causando más daño que nunca. Según IBM, el costo promedio de una filtración de datos en la industria farmacéutica fue de tan solo... más de 5 millones de dólares En 2022, fue el tercer sector más caro de todos.
Las amenazas a los datos farmacéuticos
La desventaja de la migración rápida a la nube es que la superficie de ataque de una empresa farmacéutica típica está mucho más allá del alcance de lo que los equipos de seguridad pueden proteger con los enfoques tradicionales.
Las compañías farmacéuticas se enfrentan hoy en día a diversas amenazas:
Acceso excesivamente permisivo
El acceso excesivo a datos confidenciales es un ejemplo de vulnerabilidades que pueden pasar desapercibidas para los equipos de seguridad.
El acceso excesivamente permisivo suele deberse a configuraciones incorrectas, por ejemplo, cuando un recurso se implementa en un entorno de nube sin los controles de seguridad adecuados. Podría tratarse de un almacenamiento en la nube expuesto a internet o un bucket de S3 con datos sin cifrar. Los ciberdelincuentes escanean constantemente las redes en busca de estos recursos mal configurados.
desviación de datos de I+D
Si tomamos cualquier empresa farmacéutica en funcionamiento hoy en día, las probabilidades de que almacene información confidencial en entornos no autorizados son extremadamente altas.
Lo que sucede aquí es que los datos de I+D deberían almacenarse únicamente en repositorios de datos específicos y bien controlados, de acuerdo con las políticas internas de gobernanza de datos de la empresa. Sin embargo, sin que el equipo de seguridad lo supiera, esos datos se filtraron a un repositorio de datos público.
La mayoría de las exposiciones pasan desapercibidas, pero en 2020, Pfizer sufrió una brecha de datos masiva. cuando los investigadores encontraron un depósito de Google Cloud Storage expuesto públicamente que contenía información sobre la seguridad de los medicamentos.
Amenazas internas
Los activos en la nube mal configurados también aumentan el riesgo creado por amenazas internas.
Si bien las organizaciones están interesadas en utilizar la arquitectura de confianza cero para proteger los datos, la realidad suele ser casi la opuesta. Los empleados de la industria farmacéutica pueden tener acceso a cientos o miles de archivos confidenciales. Solo una pequeña minoría de empleados representará un riesgo calculado para la ciberseguridad. Sin embargo, dado que la nube facilita el acceso a información confidencial, el impacto que puede tener un solo individuo malintencionado es enorme.
Etiquetado erróneo de datos
El etiquetado incorrecto de medicamentos pone en peligro la vida de los pacientes, pero el etiquetado incorrecto de la confidencialidad de los datos pone en peligro a las organizaciones. Esto se debe a que no todos los datos de propiedad intelectual son iguales.
Por ejemplo, los métodos más recientes de fabricación de medicamentos deberían limitarse a un pequeño grupo interno, mientras que la información sobre precios de medicamentos deberá compartirse de forma más amplia con los proveedores a lo largo de la cadena de suministro de desarrollo de medicamentos. Ambos tipos de datos se consideran propiedad intelectual. Sin embargo, con las metodologías tradicionales de descubrimiento y clasificación de datos, muchas compañías farmacéuticas se ven obligadas a aplicar una etiqueta de confidencialidad general a todos los datos de propiedad intelectual o a separarlos y clasificarlos manualmente.
Cómo Cyera puede ayudar a salvaguardar los datos de I+D y propiedad intelectual.
Para reforzar la seguridad de sus datos y reducir los riesgos de filtraciones, necesita saber dónde se almacenan los datos confidenciales y cómo protegerlos.
Cyera proporciona una solución integral de seguridad de datos que puede proteger eficazmente los datos de I+D y de propiedad intelectual.Cyera descubre, clasifica y contextualiza de forma dinámica los datos confidenciales en entornos IaaS, PaaS y SaaS, sin necesidad de agentes ni conectores. Cyera permite corregir configuraciones erróneas y proteger los datos confidenciales que buscan los atacantes. Esto incluye identificar datos confidenciales que se han salido de los entornos autorizados y alertar a los equipos sobre datos confidenciales expuestos en internet.
Además, Cyera simplifica y acelera las auditorías de cumplimiento al permitirle mejorar de forma proactiva sus controles de seguridad y privacidad de datos mediante un inventario centralizado de datos confidenciales, para que su equipo pueda responder a las auditorías de manera rápida y completa. La plataforma garantiza el cumplimiento de las políticas que destacan las vulnerabilidades relacionadas con HIPAA, GDPR y otras normativas.
Para obtener más información sobre cómo Cyera protege los datos de I+D, propiedad intelectual y otros datos confidenciales para las empresas farmacéuticas, Programa una demostración hoy.

