Novo Nordisk, fabricante do Ozempic, confirma invasão de sistemas de TI com exposição de dados de ensaios clínicos e prestadores

A Novo Nordisk, gigante farmacêutica dinamarquesa que fabrica Ozempic, Wegovy, Rybelsus, Victoza, Saxenda e ampla linha de insulinas, divulgou que sofreu acesso não autorizado a sistemas internos de TI com exposição de dados pessoais. Segundo a empresa, foram atingidos dados de participantes de ensaios clínicos — pseudonimizados, sem nomes diretos — e informações de prestadores de serviços de saúde, incluindo contatos profissionais e até números de WhatsApp. Nenhum grupo cibercriminoso reivindicou o ataque até o momento.

O que aconteceu

Em comunicado publicado no próprio site, a Novo Nordisk informou que descobriu recentemente acesso não autorizado a um número limitado de sistemas internos de TI, incluindo bases que armazenavam dados pessoais. A empresa enfatizou que o incidente atingiu “uma quantidade limitada de informações relacionadas a pacientes participantes de alguns ensaios clínicos” e que esses dados não estão diretamente vinculados a identificadores como nome.

Pacientes notificados foram informados de que os dados expostos incluem: um ID de paciente atribuído aleatoriamente, informações sobre a participação no ensaio, sexo, ano de nascimento, biomarcadores, dados de saúde ou imunogenicidade e fatores relacionados a estilo de vida. A empresa argumenta que, sem acesso à base que faz a ponte entre ID e identidade real, terceiros não conseguiriam identificar os participantes — uma defesa típica baseada em pseudonimização.

Para prestadores de saúde envolvidos com os estudos clínicos, no entanto, os dados expostos são bem mais sensíveis: nomes completos, números de registro profissional, endereços de e-mail, telefones, contatos de WhatsApp e endereços de consultório. Nenhum grupo de ransomware ou ator estatal assumiu publicamente a operação até o fechamento desta nota.

Detalhes técnicos e contexto

A Novo Nordisk não detalhou o vetor de entrada, a duração do acesso não autorizado ou o volume exato de registros expostos. Também não confirmou se houve exfiltração ou se os dados foram apenas acessados durante a movimentação dos atacantes no ambiente. Esses pontos costumam definir o enquadramento regulatório do incidente — particularmente sob o GDPR europeu, que exige notificação à autoridade competente em até 72 horas após o conhecimento.

“O incidente afetou uma quantidade limitada de informações relacionadas a pacientes participantes de alguns de nossos ensaios clínicos. Essas informações não estão diretamente ligadas a pacientes por nome ou outros identificadores diretos.”

Novo Nordisk, comunicado oficial

A defesa baseada em pseudonimização tem limites importantes. Estudos de re-identificação têm demonstrado que combinações de ano de nascimento, sexo, geografia e dados clínicos específicos podem ser suficientes para vincular registros pseudonimizados a indivíduos quando cruzados com outras fontes de dados públicas — desde redes sociais até registros eleitorais. Para pacientes em ensaios clínicos de medicamentos populares como Ozempic, o risco de doxing ou exploração comercial é não-trivial.

Quem é afetado e por que importa

• Participantes de ensaios clínicos da Novo Nordisk — dados pseudonimizados de saúde
• Profissionais de saúde envolvidos como investigadores ou coordenadores — dados de contato profissionais expostos
• Pacientes brasileiros que tenham participado de estudos multicêntricos da empresa, dado o status do país como mercado relevante de medicamentos antidiabéticos e antiobesidade
• Indiretamente, o mercado farmacêutico global, que vinha em alerta após uma sequência de incidentes em fabricantes e operadoras de saúde nos últimos 18 meses

O fato de o invasor ainda não ter sido identificado nem ter publicado material no submundo do ransomware mantém em aberto duas hipóteses principais: tratar-se de um ataque com motivação de espionagem industrial, focado em propriedade intelectual e dados de pipeline farmacêutico, ou de uma operação criminal cuja extorsão ainda não foi tornada pública.

Análise

O setor farmacêutico vem se consolidando como alvo prioritário tanto de ransomware quanto de operações estatais. A combinação de propriedade intelectual extremamente valiosa, dados clínicos sensíveis, integração com cadeias de fornecimento globais e investimentos em digitalização tornou as gigantes do setor especialmente expostas. Os incidentes recentes em Cencora, Synnovis, Octapharma, Henry Schein e outros nomes do segmento desenham um padrão de comprometimentos com impacto que extrapola a operação isolada.

No caso da Novo Nordisk, o detalhe sobre a inclusão de dados de WhatsApp dos prestadores de saúde merece atenção. Essa categoria de dado, frequentemente subestimada, é munição valiosa para campanhas de spear phishing voltadas tanto a pacientes quanto à própria empresa. Em mercados emergentes como o Brasil, onde WhatsApp é canal de comunicação primário entre profissionais e pacientes, vazamentos como esse alimentam fraudes direcionadas com alta taxa de sucesso.

Sob o ângulo regulatório, é provável que reguladores de proteção de dados europeus avaliem a notificação inicial e o tempo de descoberta. O texto público da Novo Nordisk é cuidadoso, mas ainda silente quanto ao período exato em que o acesso permaneceu não detectado — métrica essencial para enquadrar o incidente nos termos da legislação aplicável.

Recomendações práticas

• Pacientes de ensaios clínicos Novo Nordisk devem aguardar comunicação oficial e desconfiar de mensagens não solicitadas que ofereçam compensação, atualização cadastral ou suporte por canais paralelos
• Profissionais de saúde envolvidos com a empresa devem revisar configurações de segurança do WhatsApp Business, ativar verificação em duas etapas e desconfiar de pedidos urgentes de informação
• Operadoras de saúde, hospitais e CROs (organizações de pesquisa clínica) devem revisar acessos de fornecedores e parceiros à infraestrutura compartilhada com farmacêuticas
• Times de segurança em saúde devem priorizar segmentação de redes que tratam dados clínicos, isolando-as de sistemas administrativos e de marketing
• Implementar Data Loss Prevention (DLP) focado em padrões típicos de dados clínicos: códigos ICD, formatos de prontuário, IDs de protocolo
• Em jurisdições com legislação de proteção de dados (LGPD, GDPR, HIPAA), revisar prazos e procedimentos de notificação para garantir conformidade em incidente similar
• Para empresas em ensaios clínicos no Brasil, alinhar com a Conep e a Anvisa o protocolo de notificação caso participantes brasileiros sejam confirmados como afetados

O incidente da Novo Nordisk é mais um capítulo na crescente exposição da indústria farmacêutica a ataques cibernéticos. Mais do que a perda imediata de dados, o risco de longo prazo está na erosão da confiança em ensaios clínicos — pilar essencial do desenvolvimento de novos medicamentos.

Fonte: SecurityWeek