Novo Nordisk: Cyberatak wykradł dane pacjentów z badań klinicznych w 2026 roku

Jakie dane pacjentów wyciekły?

Zgodnie z oficjalnym komunikatem Novo Nordisk, naruszenie dotyczyło ograniczonego zakresu pseudonimizowanych danych uczestników badań klinicznych. Kategorie danych, które mogły zostać skradzione to :

• Identyfikator pacjenta – losowy ciąg alfanumeryczny, a nie imię i nazwisko, wraz z informacją o udziale w badaniu
• Płeć
• Rok urodzenia
• Biomarkery
• Dane dotyczące zdrowia i immunogenności
• Czynniki stylu życia, takie jak palenie tytoniu, spożycie alkoholu i wskaźnik masy ciała (BMI)

Firma podkreśliła, że skompromitowane dane nie są bezpośrednio powiązane z pacjentami za pomocą nazwisk ani innych bezpośrednich identyfikatorów. Informacje takie jak pełne imię i nazwisko, dane kontaktowe czy numery PESEL nie zostały ujawnione. W swojej ocenie Novo Nordisk stwierdziło, że incydent nie pozwala osobom trzecim na identyfikację poszkodowanych uczestników badań klinicznych .

Reakcja firmy krok po kroku

Po wykryciu włamania Novo Nordisk podjął następujące, natychmiastowe kroki:

• Zewnętrzne śledztwo: Firma wszczęła dochodzenie przy pomocy zewnętrznych ekspertów ds. cyberbezpieczeństwa i współpracuje z odpowiednimi organami .
• Zapobiegawcze wyłączenie systemów: Kilka wewnętrznych systemów IT zostało tymczasowo odłączonych od sieci, aby opanować incydent i chronić szersze środowisko IT. Firma pracuje nad ich bezpiecznym przywróceniem .
• Kontakt z regulatorami i organami ścigania: Novo Nordisk pozostaje w kontakcie z właściwymi organami regulacyjnymi i organami ścigania .
• Powiadamianie poszkodowanych: Spółka kontaktuje się z osobami dotkniętymi incydentem, stosownie do sytuacji .
• Zalecenia dla pacjentów: Novo Nordisk poinformowało pacjentów, że nie muszą podejmować żadnych konkretnych działań, zalecając jednak ogólną czujność .

Wpływ na działalność operacyjną

Novo Nordisk wyraźnie oświadczyło, że podstawowa działalność biznesowa nie została naruszona i przebiega bez zakłóceń . Incydent ograniczał się do wybranych systemów wewnętrznych, a główne obszary – produkcja, łańcuch dostaw i działalność komercyjna – funkcjonowały bez przerw .

Szerszy kontekst biznesowy

Cyberatak miał miejsce w dniu pełnym mieszanych wiadomości dla Novo Nordisk. Tego samego dnia, 11 czerwca 2026 r., brytyjscy regulatorzy zatwierdzili pierwszy doustny lek na odchudzanie firmy z grupy GLP-1, przyjmowany raz dziennie. Ta pozytywna informacja pomogła zrównoważyć negatywne doniesienia o wycieku danych, a akcje Novo Nordisk (NVO) na giełdzie wzrosły tego dnia nawet o 3% .

Atak uwypukla również rosnące zagrożenie cyberatakami w branży farmaceutycznej. Zaledwie kilka tygodni wcześniej, 4 maja 2026 r., West Pharmaceutical Services – kluczowy dostawca dla producentów leków – padł ofiarą globalnego ataku ransomware, który zakłócił produkcję i wysyłkę .

Niezależnie od tego, Novo Nordisk dochodzi 830 mln dolarów odszkodowania od firmy KBP Biosciences za nieudany lek Ocedurenone, co dodatkowo komplikuje krajobraz prawny i finansowy duńskiego koncernu .

Dochodzenie w sprawie naruszenia z czerwca 2026 r. pozostaje w toku, a Novo Nordisk nie opublikowało dodatkowych szczegółów na temat atakujących ani pełnego zakresu incydentu .