Segurança de dados para empresas farmacêuticas: protegendo dados de P&D e propriedade intelectual.

Apr 20, 2023
Share

Os dados da indústria farmacêutica enfrentam uma dupla ameaça cibernética. Enquanto agentes com fins lucrativos continuam a visar empresas farmacêuticas em busca de dados monetizáveis ​​(no ano passado, a Industrial Spy ofereceu-se para vender dados roubados da Novartis Na darknet, onde os medicamentos são vendidos por US$ 500.000, agentes de ameaças patrocinados por estados-nação também estão visando a indústria farmacêutica para obter vantagens políticas.

O risco cibernético resultante pode ser tão vasto que é difícil de quantificar. Um exemplo disso é a Merck. ainda travando batalhas judiciais bilionárias após algumas de suas subsidiárias se tornarem alvo de cibercriminosos apoiados pelo Estado russo em 2017.

Para combater essa hidra de duas cabeças que é o cenário de ameaças, as empresas farmacêuticas precisam se concentrar em identificar de onde vem o risco de dados e o que impede sua mitigação.

Os dados que criam o maior risco

Em geral, se os dados têm valor comercial para sua organização, eles estão em risco.

Os agentes maliciosos visam qualquer informação que possa ser vendida aos seus concorrentes na dark web, usada para extorquir dinheiro ou para criar soluções semelhantes em suas regiões de origem.

Duas categorias de dados sensíveis específicos de empresas farmacêuticas que são comumente visadas incluem:

Dados de pesquisa e desenvolvimento (P&D)

Os dados proprietários são essenciais para o desenvolvimento de medicamentos — desde informações clínicas coletadas durante testes com pacientes até previsões financeiras internas e análises de mercado.

Expostos por meio de uma violação de dados, os dados de P&D podem causar prejuízos financeiros indiretos devido à perda de vantagem competitiva. Além disso, quando os dados de P&D vazados contêm informações de identificação pessoal (PII), podem estar sujeitos a multas previstas em leis como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).HIPAA) e o Regulamento Geral de Proteção de Dados (RGPD) seguirá.

A Dedalus Biologie, fornecedora francesa de software para laboratórios, foi recentemente multado em 1,5 milhão A GDPR (Regulamento Geral sobre a Proteção de Dados) aplicou multas em euros a uma empresa farmacêutica devido a uma violação de dados que expôs informações pessoais de quase 500.000 indivíduos de 28 laboratórios. Nesse caso, embora os dados não tenham sido vazados diretamente por uma empresa farmacêutica, fornecedores terceirizados como a Dedalus Biologie atendem organizações de ciências da vida e podem, inadvertidamente, expor dados de P&D (Pesquisa e Desenvolvimento) à medida que são compartilhados ao longo do ciclo de desenvolvimento de medicamentos.

Propriedade intelectual (PI)

Para fabricantes de medicamentos, a propriedade intelectual pode incluir dados técnicos como ELN (Caderno de Laboratório Eletrônico), relatórios, métodos secretos de fabricação, informações pessoais identificáveis, como informações de pacientes não registrados, e informações financeiras, como estratégias de precificação.

A propriedade intelectual é um alvo principal para muitos agentes maliciosos. O custo anual dos vazamentos de propriedade intelectual farmacêutica (e a consequente produção de produtos falsificados) tem sido estimado em cerca de 4% da receita anual da indústria farmacêutica.

A mudança na localização dos dados

Em média, leva mais de uma década para lançar um medicamento no mercado, mas a indústria farmacêutica está migrando para a nuvem em um ritmo recorde.

  • Sobre 83% das empresas farmacêuticas que utilizaram ambientes de nuvem pública, híbrida ou privada entre 2021 e 2022
  • O termo "computação em nuvem" apareceu 65% mais frequentemente nos relatórios anuais das empresas farmacêuticas

As cargas de trabalho hospedadas na nuvem desbloquearam imensos benefícios para todo o ciclo de desenvolvimento de medicamentos. Por exemplo, o poder computacional escalável e praticamente ilimitado que a nuvem proporciona foi o que ajudou a Moderna a levar sua vacina contra a COVID-19 à Fase 1, apenas 42 dias após o primeiro sequenciamento do coronavírus.

Essa transformação digital aconteceu muito mais rápido do que a maioria das organizações jamais planejou. De acordo com pesquisas, a indústria farmacêutica é aproximadamente cinco anos à frente das projeções de transformação digital pré-pandemia.

Embora mudanças rápidas possam gerar enormes benefícios, elas também fomentam novos riscos. As violações de dados estão causando mais danos do que nunca. De acordo com a IBM, o custo médio de uma violação de dados na indústria farmacêutica foi de apenas mais de 5 milhões de dólares Em 2022, foi o terceiro setor mais caro.

As ameaças aos dados da indústria farmacêutica

A desvantagem da migração rápida para a nuvem é que a superfície de ataque típica de uma empresa farmacêutica está muito além do que as equipes de segurança conseguem proteger com abordagens tradicionais.

Existem diversas ameaças que as empresas farmacêuticas enfrentam atualmente:

Acesso excessivamente permissivo

O acesso excessivo a dados sensíveis é um exemplo de vulnerabilidades que podem passar despercebidas pelas equipes de segurança.

O acesso excessivamente permissivo geralmente resulta de configurações incorretas, por exemplo, quando um recurso é implantado em um ambiente de nuvem sem os controles de segurança adequados. Pode ser um armazenamento em nuvem exposto à internet ou um bucket S3 com dados não criptografados. E os agentes de ameaças constantemente monitoram as redes em busca desses recursos mal configurados.

Desvio de dados de P&D

Considere qualquer empresa farmacêutica em operação hoje em dia, e as chances de que ela hospede informações de risco em ambientes não autorizados são extremamente altas.

O que está acontecendo é que os dados de P&D deveriam ser armazenados apenas em repositórios de dados específicos e bem controlados, em conformidade com as políticas internas de governança de dados da empresa. Mas, sem o conhecimento da equipe de segurança, esses dados foram parar em um repositório de dados público.

A maioria das exposições passa despercebida, mas em 2020, A Pfizer sofreu uma violação de dados em larga escala. Quando pesquisadores encontraram um bucket do Google Cloud Storage exposto publicamente que continha informações sobre a segurança de medicamentos.

Ameaças internas

Ativos de nuvem mal configurados também aumentam o risco criado por ameaças internas.

Embora as organizações estejam ansiosas para usar o modelo de confiança zero para proteger dados, a realidade é quase oposta na maioria dos casos. Funcionários da indústria farmacêutica podem ter acesso a centenas e milhares de arquivos confidenciais. Apenas uma pequena minoria de pessoas internas representará um risco calculado de segurança cibernética. Ainda assim, com a nuvem facilitando o acesso a informações sensíveis, o impacto que um único indivíduo malicioso pode causar é enorme.

Rotulagem incorreta de dados

A rotulagem incorreta de medicamentos coloca em risco a vida dos pacientes, mas a rotulagem incorreta da sensibilidade dos dados coloca em risco as organizações. Isso ocorre porque os dados de propriedade intelectual não são todos iguais.

Por exemplo, os métodos mais recentes de fabricação de medicamentos devem ser restritos a um pequeno grupo interno, enquanto os preços dos medicamentos precisam ser compartilhados de forma mais ampla com os fornecedores ao longo da cadeia de suprimentos do desenvolvimento de medicamentos. Ambos os tipos de dados são considerados propriedade intelectual. No entanto, com as metodologias tradicionais de descoberta e classificação de dados, muitas empresas farmacêuticas são obrigadas a aplicar um rótulo de sensibilidade genérico para todos os dados de propriedade intelectual ou a separá-los e classificá-los manualmente.

Como a Cyera pode ajudar a proteger os dados de P&D e de propriedade intelectual.

Para reforçar a segurança dos seus dados e reduzir os riscos de violações de dados, você precisa saber onde os dados sensíveis estão armazenados e como protegê-los.

A Cyera oferece uma solução holística de segurança de dados que pode proteger eficazmente dados de P&D e propriedade intelectual.A Cyera descobre, classifica e estabelece um contexto rico em dados sensíveis de forma dinâmica em ambientes IaaS, PaaS e SaaS, sem a necessidade de agentes ou conectores. A Cyera permite corrigir configurações incorretas e proteger os dados sensíveis que os invasores buscam. Isso inclui identificar dados sensíveis que saíram dos ambientes aprovados e alertar as equipes sobre dados sensíveis expostos na internet pública.

Além disso, a Cyera simplifica e acelera as auditorias de conformidade, permitindo que você aprimore proativamente seus controles de segurança e privacidade de dados com um inventário centralizado de dados sensíveis, para que sua equipe possa responder às auditorias de forma rápida e completa. A plataforma garante a conformidade com políticas que destacam as vulnerabilidades, como as exigidas pela HIPAA, GDPR e outras.

Para saber mais sobre como a Cyera protege dados de P&D, propriedade intelectual e outras informações sensíveis para empresas farmacêuticas, Agende uma demonstração hoje.

Share