Seguridad de datos para farmacéuticas: protección de datos de I+D y propiedad intelectual

Los datos farmacéuticos enfrentan una doble dosis de amenazas cibernéticas. Mientras los actores motivados por el lucro siguen apuntando a las empresas farmacéuticas para obtener datos monetizables (el año pasado, Industrial Spy ofreció vender datos robados de Novartis en la darknet por $500,000), los actores de amenazas patrocinados por estados nación también están atacando a la industria farmacéutica para ganar puntos políticos.

El riesgo cibernético resultante puede ser tan vasto que es difícil de cuantificar. Prueba de ello: Merck todavía libra batallas judiciales por miles de millones de dólares después de que algunas de sus subsidiarias se convirtieran en objetivo de ciberdelincuentes respaldados por el Estado ruso en 2017.  

Para combatir esta hidra de dos cabezas que es el panorama de amenazas, las farmacéuticas deben enfocarse en de dónde proviene el riesgo de datos y qué obstaculiza su mitigación.

Los datos que generan el mayor riesgo

Como regla general, si los datos tienen valor para tu organización, están en riesgo.

Los actores de amenazas buscarán cualquier información que pueda venderse a tus competidores en la dark web, extorsionarte para devolvértela, o usarse para crear soluciones imitadoras en sus regiones de origen.

Dos categorías de datos sensibles específicos de las farmacéuticas que suelen ser objetivo incluyen:

Datos de investigación y desarrollo (I+D)

Los datos propietarios están en el corazón del desarrollo de fármacos: todo, desde la información clínica recopilada durante los ensayos con pacientes hasta las proyecciones financieras internas y el análisis de mercado.

Cuando quedan expuestos por una filtración de datos, los datos de I+D pueden causar pérdidas económicas indirectas al erosionar la ventaja competitiva. Además, cuando los datos de I+D filtrados contienen información de identificación personal (PII), seguirán multas conforme a leyes como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y el Reglamento General de Protección de Datos (GDPR). 

El proveedor francés de software de laboratorio, Dedalus Biologie, fue recientemente multado con 1.5 millones de euros por el RGPD debido a una brecha de datos que filtró PII de casi 500,000 personas de 28 laboratorios. En este caso, aunque los datos no fueron filtrados directamente por una farmacéutica, proveedores externos como Dedalus Biologie brindan servicios a organizaciones de ciencias de la vida y pueden exponer inadvertidamente datos de I+D a medida que se comparten a lo largo del ciclo de vida del desarrollo de fármacos.

Propiedad intelectual (PI)

Para los fabricantes de fármacos, la PI puede incluir datos técnicos como ELN (Electronic Lab Notebook), informes, métodos de fabricación secretos, PII como información de pacientes no registrados e información financiera como estrategias de precios.

La PI es un objetivo principal para muchos actores de amenazas. El costo anual de las filtraciones de PI farmacéutica (y la producción resultante de productos falsificados) se ha estimado en alrededor del 4% de los ingresos anuales de la industria farmacéutica.

El cambio en dónde vive la información

Llevar un medicamento al mercado toma en promedio más de una década, pero la industria farmacéutica está migrando a la nube a un ritmo récord.

• Más del 83% de las farmacéuticas usaron entornos de nube pública, híbrida o privada entre 2021 y 2022 
• El término "computación en la nube" apareció 65% más a menudo en los informes anuales de las farmacéuticas

Las cargas de trabajo alojadas en la nube han desbloqueado beneficios inmensos para todo el ciclo de vida del desarrollo de fármacos. Por ejemplo, la potencia de cómputo escalable y casi ilimitada que permite la nube fue lo que ayudó a Moderna a llevar su vacuna contra el COVID a la Fase 1 apenas 42 días después de que se secuenciara por primera vez el coronavirus.

Este cambio digital ocurrió mucho más rápido de lo que la mayoría de las organizaciones había planificado. Según encuestas, la industria farmacéutica está aproximadamente cinco años por delante de las proyecciones previas al COVID sobre la transformación digital. 

Si bien el cambio rápido puede generar enormes beneficios, también propicia nuevos riesgos. Las filtraciones de datos están causando más daño que nunca. Según IBM, el costo promedio de una filtración de datos en la industria farmacéutica fue de más de 5 millones de dólares en 2022—el tercero más alto de cualquier industria.

Las amenazas a los datos farmacéuticos

La desventaja de la rápida migración a la nube es que la superficie de ataque de la típica empresa farmacéutica va mucho más allá de lo que los equipos de seguridad pueden proteger con enfoques tradicionales.

Hoy en día, las empresas farmacéuticas enfrentan varias amenazas:

Acceso excesivamente permisivo‍

El acceso excesivo a datos sensibles es un ejemplo de vulnerabilidades que pueden pasar desapercibidas para los equipos de seguridad.  

Los accesos excesivamente permisivos a menudo se deben a errores de configuración; por ejemplo, cuando un activo se implementa en un entorno en la nube sin los controles de seguridad adecuados. Podría tratarse de un almacenamiento en la nube expuesto a internet o de un bucket de S3 con datos sin cifrar. Además, los actores de amenazas escanean constantemente las redes en busca de estos activos mal configurados. 

Deriva de datos de I+D

Toma cualquier farmacéutica que opere hoy en día, y es extremadamente probable que alojen información en riesgo en entornos no autorizados.

Lo que está ocurriendo aquí es que los datos de I+D deben almacenarse únicamente en repositorios de datos específicos y bien controlados, de acuerdo con las políticas internas de gobierno de datos de la empresa. Pero, sin que el equipo de seguridad lo sepa, esos datos se han desplazado hacia afuera y han terminado en un repositorio de datos expuesto públicamente.

La mayoría de las exposiciones pasan desapercibidas, pero en 2020, Pfizer sufrió una filtración masiva de datos cuando investigadores encontraron un bucket de Google Cloud Storage expuesto públicamente que contenía información sobre la seguridad de medicamentos.

Amenazas internas

Los activos en la nube mal configurados también incrementan el riesgo generado por amenazas internas. 

Aunque las organizaciones están ansiosas por usar zero trust para proteger los datos, la realidad en la mayoría de los casos es casi la opuesta. Los empleados de la industria farmacéutica pueden tener acceso a cientos o miles de archivos sensibles. Solo una pequeñísima minoría de personas internas representará alguna vez un riesgo de ciberseguridad calculado. Aun así, con la nube facilitando el acceso a información sensible, el radio de impacto que una sola persona malintencionada puede generar es enorme. 

Etiquetado incorrecto de datos

Etiquetar mal los medicamentos pone en riesgo la vida de los pacientes, pero etiquetar mal la sensibilidad de los datos pone en riesgo a las organizaciones. Esto se debe a que los datos de propiedad intelectual no son todos iguales.

Por ejemplo, los métodos más recientes de fabricación de fármacos deben limitarse a un pequeño grupo interno, mientras que los precios de los medicamentos tendrán que compartirse de forma más amplia con los proveedores a lo largo de la cadena de suministro del desarrollo de fármacos. Ambos tipos de datos se consideran PI. Pero con las metodologías tradicionales de descubrimiento y clasificación de datos, muchas farmacéuticas se ven obligadas a aplicar una etiqueta de sensibilidad general a todos los datos de PI o a separar y clasificar manualmente los datos de PI.

Cómo Cyera puede ayudar a proteger los datos de I+D y de propiedad intelectual

Para fortalecer tu postura de seguridad de datos y reducir el riesgo de filtraciones, necesitas saber dónde reside la información sensible y cómo protegerla.

Cyera ofrece una solución integral de seguridad de datos que puede proteger de manera efectiva los datos de I+D y de PI. Cyera descubre, clasifica y establece contexto enriquecido de forma dinámica sobre datos sensibles en entornos de IaaS, PaaS y SaaS, sin agentes ni conectores. Cyera te permite corregir configuraciones erróneas y proteger los datos sensibles que buscan los atacantes. Esto incluye identificar datos sensibles que se han desplazado fuera de los entornos aprobados y alertar a los equipos sobre datos sensibles expuestos a internet pública.

Además, Cyera simplifica y acelera las auditorías de cumplimiento al permitirte mejorar de forma proactiva la seguridad de tus datos y los controles de privacidad con un inventario centralizado de datos sensibles, de modo que tu equipo pueda responder a las auditorías de manera rápida y completa. La plataforma garantiza el cumplimiento de las políticas que señalan exposiciones para HIPAA, GDPR y más.

Para obtener más información sobre cómo Cyera protege I+D, PI y otros datos sensibles para las farmacéuticas, agenda una demostración hoy.