Segurança de Dados para Empresas Farmacêuticas: Protegendo Dados de P&D e PI

Os dados farmacêuticos enfrentam uma dose dupla de ameaça cibernética. Enquanto agentes motivados por lucro continuam a ter como alvo empresas farmacêuticas em busca de dados monetizáveis (no ano passado, o Industrial Spy ofereceu a venda de dados roubados da Novartis na darknet por US$ 500.000), agentes de ameaça patrocinados por Estados-nação também estão atacando a indústria farmacêutica para marcar pontos políticos.

O risco cibernético resultante pode ser tão vasto que é desafiador quantificá-lo. Um exemplo disso é que a Merck ainda está travando batalhas judiciais bilionárias depois que algumas de suas subsidiárias se tornaram alvo de criminosos cibernéticos apoiados pelo Estado russo em 2017.

Para combater essa hidra de duas cabeças que representa o cenário de ameaças, as empresas farmacêuticas precisam focar em identificar de onde vem o risco de dados e o que impede a mitigação.

Os Dados que Criam Mais Risco

Como regra, se os dados têm valor comercial para sua organização, eles estão em risco.

Agentes de ameaça irão atrás de qualquer informação que possa ser vendida aos seus concorrentes na dark web, resgatada de volta para você, ou usada para criar soluções copiadas em suas regiões de origem.

Duas categorias de dados sensíveis específicos de empresas farmacêuticas que são comumente visadas incluem:

Dados de pesquisa e desenvolvimento (P&D)

Dados proprietários estão no centro do desenvolvimento de medicamentos—desde informações clínicas coletadas durante ensaios com pacientes até previsões financeiras internas e análises de mercado.

Expostos por meio de uma violação de dados, os dados de P&D podem causar danos financeiros indiretos através da perda de vantagem competitiva. Além disso, quando dados de P&D vazados contêm informações de identificação pessoal (PII), multas sob leis como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e o Regulamento Geral de Proteção de Dados (GDPR) virão a seguir.

O fornecedor francês de software de laboratório, Dedalus Biologie, foi recentemente multado em 1,5 milhão de euros pela GDPR por uma violação de dados que vazou informações pessoais identificáveis de quase 500.000 indivíduos de 28 laboratórios. Neste caso, embora os dados não tenham sido vazados diretamente por uma empresa farmacêutica, fornecedores terceirizados como a Dedalus Biologie atendem organizações de ciências da vida e podem inadvertidamente expor dados de P&D à medida que são compartilhados ao longo do ciclo de vida do desenvolvimento de medicamentos.

Propriedade intelectual (PI)

Para fabricantes de medicamentos, a PI pode incluir dados técnicos como ELN (Caderno de Laboratório Eletrônico), relatórios, métodos de fabricação secretos, PII como informações de pacientes não registradas e pontos de informação financeira como estratégias de precificação.

A PI é um alvo principal para muitos agentes de ameaças. O custo anual de vazamentos de PI farmacêutica (e a resultante produção de produtos falsificados) foi estimado em cerca de 4% da receita anual da indústria farmacêutica.

A Mudança em Onde os Dados Residem

Levar um medicamento ao mercado leva mais de uma década em média, mas a indústria farmacêutica está migrando para a nuvem em um ritmo recorde.

• Mais de 83% das empresas farmacêuticas usaram ambientes de nuvem pública, híbrida ou privada entre 2021 e 2022
• O termo "computação em nuvem" apareceu 65% mais vezes nos relatórios anuais de empresas farmacêuticas

As cargas de trabalho hospedadas na nuvem desbloquearam benefícios imensos para todo o ciclo de vida do desenvolvimento de medicamentos. Por exemplo, o poder de computação escalável e quase ilimitado que a nuvem permite foi o que ajudou a Moderna a levar sua vacina contra a COVID para a Fase 1, apenas 42 dias após o coronavírus ter sido sequenciado pela primeira vez.

Essa mudança digital aconteceu muito mais rápido do que a maioria das organizações jamais planejou. De acordo com pesquisas, a indústria farmacêutica está aproximadamente cinco anos à frente das projeções pré-covid de transformação digital.

Embora mudanças rápidas possam criar benefícios massivos, elas também geram novos riscos. As violações de dados estão causando mais danos do que nunca. De acordo com a IBM, o custo médio de uma violação de dados farmacêuticos foi de apenas mais de US$ 5 milhões em 2022 -- o terceiro mais caro de qualquer setor.

As Ameaças aos Dados Farmacêuticos

A desvantagem da migração rápida para a nuvem é que a superfície de ataque da empresa farmacêutica típica está muito além do escopo do que as equipes de segurança podem proteger com abordagens tradicionais.

Existem várias ameaças enfrentadas pelas empresas farmacêuticas atualmente:

Acesso excessivamente permissivo‍

O acesso excessivo a dados sensíveis é um exemplo de vulnerabilidades que podem passar despercebidas pelas equipes de segurança.

Acesso excessivamente permissivo geralmente decorre de configurações incorretas, por exemplo, quando um ativo é implantado em um ambiente de nuvem sem os controles de segurança adequados. Pode ser um armazenamento em nuvem exposto à internet ou um bucket S3 com dados não criptografados. E agentes de ameaças constantemente escaneiam redes em busca desses ativos mal configurados.

Desvio de dados de P&D

Considere qualquer empresa farmacêutica em operação hoje, e as chances de que ela hospede informações em risco em ambientes não autorizados são extremamente altas.

O que está acontecendo aqui é que os dados de P&D devem ser armazenados apenas em repositórios de dados específicos e bem controlados, de acordo com as políticas internas de governança de dados de uma empresa. Mas, sem o conhecimento da equipe de segurança, esses dados migraram para um repositório de dados exposto publicamente.

A maioria das exposições passa despercebida, mas em 2020, a Pfizer sofreu uma violação massiva de dados quando pesquisadores encontraram um bucket do Google Cloud Storage publicamente exposto que continha informações de segurança de medicamentos.

Ameaças internas

Ativos de nuvem mal configurados também aumentam o risco criado por ameaças internas.

Embora as organizações estejam ansiosas para usar a confiança zero para proteger dados, a realidade é quase o oposto na maioria dos casos. Funcionários de empresas farmacêuticas podem ter acesso a centenas e milhares de arquivos sensíveis. Apenas uma pequena minoria de pessoas internas representará algum dia um risco calculado de segurança cibernética. Ainda assim, com a nuvem facilitando o acesso a informações sensíveis, o raio de explosão que um único indivíduo mal-intencionado pode criar é enorme.

Rotulagem incorreta de dados

Rotular medicamentos incorretamente coloca em risco a vida dos pacientes, mas rotular incorretamente a sensibilidade dos dados coloca em risco as organizações. Isso ocorre porque os dados de PI não são todos criados iguais.

Por exemplo, os métodos mais recentes de fabricação de medicamentos devem ser limitados a um pequeno grupo interno, enquanto o preço dos medicamentos terá que ser compartilhado de forma mais ampla com fornecedores ao longo da cadeia de suprimentos de desenvolvimento de medicamentos. Ambos os tipos de dados são considerados PI. Mas com as metodologias tradicionais de descoberta e classificação de dados, muitas empresas farmacêuticas são forçadas a aplicar um rótulo de sensibilidade geral para todos os dados de PI ou separar e classificar manualmente os dados de PI.

Como a Cyera pode ajudar a proteger dados de P&D e PI

Para fortalecer sua postura de segurança de dados e reduzir os riscos de violações de dados, você precisa saber onde os dados confidenciais estão armazenados e como protegê-los.

A Cyera oferece uma solução holística de segurança de dados que pode proteger efetivamente dados de P&D e PI. A Cyera descobre, classifica e estabelece contexto rico sobre dados sensíveis de forma dinâmica em ambientes IaaS, PaaS e SaaS, sem agentes ou conectores. A Cyera permite que você corrija configurações incorretas e proteja os dados sensíveis que os invasores procuram. Isso inclui identificar dados sensíveis que saíram de ambientes aprovados e alertar as equipes sobre dados sensíveis expostos à internet pública.

Além disso, a Cyera simplifica e acelera auditorias de conformidade ao permitir que você melhore proativamente seus controles de segurança e privacidade de dados com um inventário centralizado de dados sensíveis para que sua equipe possa responder a auditorias de forma rápida e completa. A plataforma garante a conformidade com políticas que destacam exposições para HIPAA, GDPR e muito mais.

Para saber mais sobre como a Cyera protege P&D, PI e outros dados confidenciais para empresas farmacêuticas, agende uma demonstração hoje.