生物科技行业或成攻击新目标,数据安全不可忽视

编者按:

随着生物技术行业的不断发展,数据安全成为生物技术公司必须要考虑的问题之一。

一方面,为了保障公司的利润,必须加强对数据的保护,以防止重要数据的泄漏;另一方面,随着各种基于测序技术的组学不断发展,生物数据成为每个人个人信息的重要组成部分。然而,当前许多生物初创公司仍将大部分的资金投入到了研发工作中,忽视了网络安全问题。

今天我们特别编译了一篇关于网络数据安全问题的文章,希望该文对相关的产业人士和诸位读者带来一些启发和帮助。

① 网络攻击

2020 年 1 月,英国卡迪夫大学感染和免疫学教授 Andrew Sewell 举办了庆功宴。

他的研究小组因发现可能会衍生出通用的癌细胞治疗方法的免疫细胞而成为头条新闻。并且,在成果发布的一周后该小组与英国初创公司 Ervaxx(现在称为 EnaraBio)达成了许可协议。

然而,庆祝活动被残酷地暂停了。交易宣布后不到 20 分钟,Sewell 意识到出了点问题。

Sewell 说:“最初的警告是 Facebook 的一条信息,信息中说他们不得不使我的账户离线,因为我的账户正在受到攻击。我所有的社交媒体和大学帐户在一小时内都被关闭了。我有一种极度无能为力的感觉,这让我感到恶心,尤其是当我的手机也坏了的时候。”

网络攻击不只有 Sewell 本人。

“当我的妻子再次受到攻击的时候,我意识到情况是多么严重,”他说,“似乎是通过一个拥有多年历史的婚礼网站,将我和我的妻子联系起来的,因为一些在该网站进行注册的用户也成为了被攻击的目标。”

“它让你意识到,我们在网上留下如此之多的足迹,我们甚至都没有想到这些痕迹可能会被恶意使用。”

Sewell 拒绝就袭击者是否已被发现或是否丢失任何数据发表评论。但是,这些攻击者很可能是为了 Sewell 的知识产权,因为这一细胞疗法引起了巨大的反响。

过去,用于治疗癌症的细胞疗法(例如 CAR-T)已引发了巨大的交易,吉利德(Gilead)在 2017 年以 10.1 亿欧元的价格收购了 Kite Pharma 是最大的例子之一。

Sewell 说:“各种风险投资公司和其他公司因为这一疗法的相关知识产权,为我提供了超过 10 亿美元的资金。”

网络安全在生物技术和制药领域并不是一个新问题。网络攻击者既有个人,也有组织,他们进行攻击的方式多种多样,例如窃取数据或破坏公司。尽管间谍活动通常可以在现场进行,但是网络攻击在生命科学行业中变得越来越普遍,该行业正承受着越来越多的线上攻击。

谈到网络威胁,大型制药公司通常是关注的焦点。2017 年,美国公司默沙东(Merck Sharp&Dohme,MSD)成为俄罗斯勒索软件攻击的附带受害者,该攻击会锁定您的数据,直到您向肇事者付款才对其进行解密。MSD 至少损失了 8.5 亿欧元,并且仍在与保险公司进行斗争以挽回损失。

美国生命科学和网络安全公司 BioBright 的首席执行官 Charles Fracchia 说:“更重要的是,它实际上导致了美国 HPV 疫苗 Gardasil 的短缺,我们不得不动用国家战略性储备。因此,我们看到数字技术对现实世界中的生物技术和制药工作流程的影响是非常真实的、切实的。”

正如 Sewell 的例子所表明的那样,大型制药公司并不是唯一应关注网络安全的公司,令人担忧的是,目前缺乏数据,以说明小公司处于风口的风险有多高。

“没有相关的调查和报告,所以我们根本不知道生物技术初创公司和其他团体受到攻击的频率,更不用说从间谍活动的角度来看,它们是否显得更脆弱或更具吸引力。”英国非政府组织 BioSecure 的研究提供者 Kathryn Millett 解释道。

② 为什么针对生物技术企业

显而易见的是,在全球 Covid-19 大流行中,对生命科学和医疗机构的网络攻击正在加剧。

今年 5 月,美国网络安全和基础设施安全局(CISA)和英国国家网络安全中心(NCSC)警告说,致力于应对这一流行病的组织正日益成为网络攻击的目标,包括世界卫生组织。

今年 7 月,Covid-19 疫苗的开发者成为俄罗斯黑客组织 APT29 的目标。9 月,一名生命垂危的病人因勒索软件攻击而死亡,因为该攻击扰乱了德国一家医院的运营。

尽管缺乏具体数据,但 Fracchia 估计,今年该行业的网络攻击风险大约增加了两倍。

Fracchia 表示:“攻击者的目标是全面的,甚至包括小角色。而且他们在很大程度上是通过有关公司的新闻发布和公开信息来确定他们的攻击名单的优先级。因此,通常来说,不具备专门的网络安全防护的更小、更灵活、更快、更强悍的生物技术公司和制药公司将成为攻击目标。”

为什么在大流行期间出现了一波网络攻击?一个很大的原因来自于 Covid-19 疫苗开发。

加拿大拉瓦尔大学教授、网络行为专家 Matthieu Guitton 认为,由于这一大流行,生物技术和制药业成为追求利润的网络罪犯更有利可图的目标。这一流行病导致的由线下变为线上远程的工作模式变化也可能是造成这一问题的原因之一。

Guitton 表明:“大批公司开始远程工作以及禁止旅行,导致线上间谍活动比例增加。”

近年来基因组学、大数据和机器学习技术的爆炸也显示出了其阴暗面。由于它们使得收集、储存和分析基因数据变得比以往更容易,因此它们也使得这些数据对网络罪犯变得更加具有吸引力。

“生物数据是不变的,所以如果有人掌握你的基因组序列,你不能像破坏信用卡或其他个人信息那样替换或改变它,”Millett 说,“因此,生物数据比其他类型的个人数据更有价值。事实上,有研究表明,黑市上个人健康信息的平均价值是信用卡详细信息的 300 倍以上。”

③ 网络安全风险

生物技术初创企业可能面临巨大的网络安全风险。他们中的许多人都依赖于连接互联网的实验室设备来完成实验,这很容易遭到劫持。而且他们使用的软件通常起源于学术实验室,而这些实验室在过去很少需要内置安全措施。

“这些软件无法长期提供功能。通常,当资金停止或者相关人员离开后,比如相关的博士后或博士生离开后,这些软件就不再有人维护,” Fracchia 指出,“公司对软件的投资主要考虑的是核心功能,而与安全防护无关。”

从更高的层次来看,许多生物技术公司甚至都没有充分考虑其网络安全性。根据 Biosecure 在 2019 年发布的一项调查,有 90%的参与者(生物技术和网络安全公司的领导者)感到他们公司对网络安全投入的时间和资源不足。

另外,Millett 表示,欧洲生命科学公司在这一问题上似乎落后于美国公司。

“实际上,我们当时调查的所有公司所拥有的外部指导都是来源于美国。” Millett 说。

无论处于什么阶段,生物技术初创公司都需要认真对待网络安全,其中的原因有很多。

首先,容易受到篡改的制造或实验操作可能会导致重大的安全风险;第二,存在知识产权被盗窃的风险,这是生物技术企业家所不希望的;第三个原因是对药物开发计划的潜在损害,这些计划在与监管机构联系时需要依赖可靠的科学数据。

“如果您进入 A 轮融资,突然间发现您的程序被渗透了多年,甚至有被操纵的可能性,那将真正改变监管环境,”Fracchia 说,“这让你从内心怀疑数据是否可信。”

值得庆幸的是,生物技术公司越来越意识到网络安全的必要性,尤其是在 2020 年媒体报道了备受瞩目的网络攻击之后。

Millett 说:“传闻近年来,欧洲公司对生物技术的网络安全的兴趣有所增加,而且鉴于与 Covid-19 相关的间谍活动似乎并不仅限于针对美国公司,这种情况可能会增加。”

但是,这种意识需要赶上快速发展的威胁。Fracchia 认为,网络攻击的后果将越来越严重。

“问题是,它变得更加集中,” Fracchia 说,“在此之前,它是一个更加机会主义的计划,下一阶段将是先进的团体进攻。如果网络犯罪团伙可以从中牟利,我们就完蛋了,因为那时有了金钱的刺激,这些攻击就会越来越普遍。这是一个非常可怕的前景。”

④ 如何保护数据

生物技术初创公司可以通过哪些方式保护其数据?Sewell 建议离线保存一些关键数据,并备份锁定在安全的位置。

Millett 建议生物技术公司定期审核自己的安全措施,并寻求专业的网络安全公司的帮助。

Fracchia 提倡使用专有的数据共享软件,该软件提供诸如端到端加密之类的安全措施。

他说:“如果您是一家公司,必须使用供应商软件,那么你必须以强有力的方式评估安全性。要求供应商将那些‘网络安全’功能放入其中。”

尽管保护免受外部网络攻击至关重要,但记住数据可能会被公司内部的人员无意或有意泄漏出去也很重要。

例如,去年澳大利亚生物技术巨头 CSL 的一名雇员窃取了 25 GB 的敏感数据,以帮助他在荷兰 Pharming Healthcare 公司找到工作。为此,生物公司应采取一些预防措施,包括仅允许少数雇员访问敏感信息,并要监督有权限的访客。

此外,网络安全意识需要深入到每位员工中,而不仅仅是高层员工或IT专业人员。

“生物技术行业中数据安全的主要问题是,大多数人将注意力集中在技术,所以网络安全链中最薄弱的环节是人的行为。” Guitton 说。

从根本上说,生物技术公司从创始阶段就需要对网络安全进行投资。

Millett 解释说:“生物技术初创公司倾向于将其大部分资源集中在研发,临床试验和先进的实验室系统上,而 IT 系统和基础设施则没有那么重要。”

“从一开始就考虑您的网络安全需求,而不是日后在安全措施上费力,这为企业和企业家提供了最佳的安全起点。”

Fracchia 表示,即使对于那些刚开始的预算有限的生物技术公司,为网络安全投资仍然是划算的,投资者也应该清楚这一点。

“如果我明天创建了一家生物技术公司,并且打算外出融资,我会在预算中加入‘网络安全’,因为现实是在完成 A 轮融资前,我不能冒失去公司完整性的风险。”他解释说。

“每个人都应该要意识到这种改变,尤其是创始人;风投人要明白,这是一个风险问题,而且是一个很容易控制的风险问题。”

为了长期解决生物技术领域的网络安全问题,Fracchia 建议将网络安全文化与生物技术文化相融合。

“我们并不是要把这种文化混为一谈,” Fracchia 总结道,“我们需要打造一群真正理解为何要将软件工程、计算机科学和生物学结合在一起的人。网络安全需要发挥作用。”


原文链接:https://www.labiotech.eu/regulatory/cyberattack-biotech-startups-covid/

作者|Jonathan Smith

编译|拍了花宝贝

审校|617