Geistiges Eigentum (Intellectual Property, IP) ist einer der wichtigsten Vermögenswerte von Pharmaunternehmen. Aufgrund des hohen Wertes ist es für Cyberkriminelle ein beliebtes Ziel, diese sind bereit, eine Vielzahl von Werkzeugen und Techniken einzusetzen, um Pharmaunternehmens Netze zu infiltrieren und sensible Daten auszuspionieren.
Unternehmen in der gesamten Pharmaindustrie speichern eine Vielzahl geschützter Daten, von Geschäftsgeheimnissen im Zusammenhang mit Rezepturen für Medikamente oder Impfstoffe bis hin zu Patenten und industriellen Designs. Der Schutz des geistigen Eigentums ist von zentraler Bedeutung, um die enormen finanziellen, rechtlichen, rufschädigenden und sogar existenziellen Risiken zu mindern, die sich aus Cyberangriffen ergeben. Lesen Sie weiter, um einige praktische Tipps für einen besseren Schutz des geistigen Eigentums von Pharmaunternehmen zu erhalten.
Was sind die Gründe, das geistige Eigentum von Pharmaunternehmen zu stehlen?
Es gibt zahlreiche Möglichkeiten, in Netzwerke, Infrastrukturen, Geräte, Anwendungen und andere Systeme des Gesundheitswesens einzudringen und auf geistiges Eigentum zuzugreifen. Doch welche Anreize gibt es für Cyberkriminelle in diesem Zusammenhang?
Die erste und offensichtlichste Motivation ist der Profit in einer Branche, deren Wachstum von 1,23 Billionen US-Dollar im Jahr 2019 auf 2,15 Billionen US-Dollar im Jahr 2027 prognostiziert wird. Cyberkriminelle, die beispielsweise geistiges Eigentum im Zusammenhang mit einem innovativen neuen Medikament exfiltrieren, können Pharmaunternehmen zu Lösegeldzahlungen zwingen und hohe Beträge erpressen. Eine andere Möglichkeit, Profit zu machen, besteht darin, diese Informationen auf zwielichtigen Dark-Web-Marktplätzen zum Verkauf anzubieten.
Von Staaten gesponserte Cyberkriminelle konzentrieren ihre Bemühungen darauf, rivalisierende oder konkurrierende Volkswirtschaften zu stören, und eine Möglichkeit, dies zu erreichen, ist die Exfiltration wertvollen pharmazeutischen geistigen Eigentums und die Nutzung dieser gestohlenen Informationen zu ihrem eigenen Vorteil. Entwicklungsländer mit begrenztem Wirtschaftswachstum können auch staatlich gesponserte Hacker einsetzen, um geistiges Eigentum zu stehlen und ihre eigene Pharmaindustrie voranzubringen, die in den Entwicklungsländern oft hinterherhinkt.
Insider-Bedrohungen sind eine weitere Art von Bedrohung für die Sicherheit von pharmazeutischen Patenten und anderem geistigen Eigentum. Profit ist ein mögliches Motiv sowohl für Außenstehende als auch für Insider, aber es besteht auch die Möglichkeit, dass verärgerte Insider diese vertraulichen Informationen mit der alleinigen Absicht preisgeben, ihrem Arbeitgeber Schaden zuzufügen.
Informationen zu Patenten und Datenexklusivität
Multinationale Arzneimittelhersteller geben Millionen von Dollar für die Forschung und Entwicklung neuer Arzneimittel und neuer pharmazeutischer Produkte aus. Patente sind die wichtigste Art von geistigem Eigentum, das Anreize für weitere Forschung und Entwicklung bietet, zur Erzielung von Einnahmen zur Amortisierung von Investitionen beiträgt und vor Rechtsverletzungen schützt. Nehmen wir ein Unternehmen wie Pfizer (ein Biotech- und Pharmaunternehmen), das derzeit 746 internationale Patentrechte besitzt, die eine Marktexklusivität für eine typische feste Patentlaufzeit von 20 Jahren bieten.
Neben den geistigen Eigentumsrechten gibt es auch Daten Exklusivitätsrechte, die Daten aus klinischen Versuchen schützen. Erfinder erhalten Exklusivrechte an Daten aus klinischen Studien, um zu verhindern, dass Unternehmen diese Daten zur Herstellung von Generika neuer Produkte verwenden.
Regulierungsbehörden wie die FDA in den USA gewähren Daten Exklusivitätsrechte, während das Patentrecht von einer separaten Regulierungsbehörde wie dem Patent- und Markenamt („PTO“) durchgesetzt wird. Ein ähnliches Patentsystem ist in vielen anderen Ländern und Rechtsordnungen üblich. Interessanterweise können Verzögerungen bei der behördlichen Genehmigung die Nutzungsdauer eines Patents verkürzen.
Die Welthandelsorganisation (WTO) räumt Erfindern im Rahmen des TRIPS-Abkommens (Trade-Related Aspects of Intellectual Property Rights) zusätzliche Rechte an geistigem Eigentum ein. Das TRIPS-Abkommen der WTO umfasst Urheberrechte, Geschmacksmuster und Geschäftsgeheimnisse. Das TRIPS-Abkommen sieht außerdem vor, dass Patente für alle Erfindungen erteilt werden können, wenn sie neu sind, auf einer erfinderischen Tätigkeit beruhen und gewerblich anwendbar sind.
Aus Sicht der Cybersicherheit haben diese Details wichtige Auswirkungen. Da Patente öffentlich zugängliche Informationen sind, ist es weniger notwendig, bereits eingetragene Patente zu schützen. Der Patentschutz ist jedoch ein heikles Unterfangen, denn die Offenlegung von Details über eine Erfindung (oder die Kompromittierung dieser Details) vor der Einreichung einer Patentanmeldung kann für Pharmaunternehmen verheerende Folgen haben, so dass der Patentschutz für künftige neue Medikamente und Produkte Teil des Schutzes des geistigen Eigentums in der Pharmaindustrie sein muss.
Praktische Tipps zum Schutz des geistigen Eigentums in der Pharmaindustrie
In einem Bericht aus dem Jahr 2021 wird festgestellt, dass 98 % der Pharmaunternehmen mindestens einen Einbruch erlitten haben und 28 % geschäftskritische Daten oder geistiges Eigentum verloren haben, so dass die Sicherheitsmaßnahmen unbedingt verstärkt werden müssen. Im Folgenden finden Sie sieben umsetzbare Tipps zur Verbesserung des Schutzes geistigen Eigentums und zur Wahrung der Exklusivität des Eigentums an diesen Informationen.
IP-Vermögenswerte entdecken und zuordnen
In dem komplexen digitalen Ökosystem, in dem Pharmaunternehmen tätig sind, besteht die dringende Notwendigkeit, IP-Assets zu erkennen und zuzuordnen. Dazu gehören vertrauliche Informationen im Zusammenhang mit Patenten für neue Erfindungen und alle anderen Quellen von IP in Computersystemen, wie z. B. Geschäftsgeheimnisse über medizinische Produkte, medizinische Geräte oder industrielle Prozesse.
Diese Bestandsaufnahme des geistigen Eigentums bildet die Grundlage für die Umsetzung wichtiger Sicherheitsmaßnahmen, denn man kann nicht schützen, was man nicht sehen kann. Darüber hinaus gibt es automatisierte Lösungen zur Datenermittlung, aber die Aufgabe wird wahrscheinlich auch manuelle Bemühungen zum Auffinden von Daten beinhalten, einschließlich der Befragung von Mitarbeitern. Die Datenermittlung und -zuordnung sollte sich auf Datenbanken, E-Mails, PDF-Dateien und andere elektronische Dokumente erstrecken, die sich auf Wechseldatenträgern, Workstations, Cloud-Infrastrukturen, Servern vor Ort und Geräten der Betriebstechnologie (OT) befinden.
Strenge Kontrolle des IP-Zugriffs
Ein Eckpfeiler des Schutzes sensibler Daten ist die strikte Kontrolle der Personen, die Zugriff auf bestimmte Informationskategorien haben. In der Erkennungs- und Zuordnungsphase erhalten Sie ein genaues Inventar der IP-Ressourcen, die Sie besitzen und wo sie sich befinden.
Die Verschlüsselung von (ruhendem) und beweglichem digitalem geistigen Eigentum schützt dessen Vertraulichkeit, so dass es nicht im Klartext zugänglich ist. Es ist auch wichtig, den Zugang des Personals zum geistigen Eigentum nach dem Prinzip der geringsten Privilegien sicher zu verwalten, so dass die Benutzer nur Zugang zu den Ressourcen erhalten, die sie für ihre Arbeitsaufgaben benötigen. Ein übermäßig privilegierter Zugriff kann zu Verletzungen von sensiblen Datenbeständen führen, wenn Cyberkriminelle diese kompromittieren oder Insider Benutzerkonten missbrauchen, die eigentlich keinen Zugriff auf diese Bestände benötigen.
Segmentierung des Netzwerks
Die Segmentierung des Netzwerks kann sich ebenfalls als nützliches Instrument zum Schutz des geistigen Eigentums in der pharmazeutischen Industrie erweisen. Durch diese Segmentierung wird das Netzwerk in kleinere Teilnetze aufgeteilt, in denen die Systeme mit den empfindlichsten Werten in Segmenten isoliert werden können, die von Systemen getrennt sind, die aufgrund ihrer Exposition gegenüber dem Internet oder anderen riskanten Zugangspunkten eine größere Angriffsfläche bieten.
Diese Segmentierung wird sogar noch wichtiger, wenn man die zunehmende Konvergenz zwischen IT- und OT-Systemen berücksichtigt. Von der Überwachung von Laborgeräten bis hin zu Gebäudeautomationssystemen sehen biopharmazeutische und andere Pharmaunternehmen enorme Vorteile durch industrielle IoT-Geräte (IIoT).
Die engere Konvergenz von IT und OT birgt jedoch Cyber-Bedrohungen durch ungesicherte Geräte, die einen weiteren Angriffsvektor für IP darstellen. Die Segmentierung kann eine industrielle demilitarisierte Zone (iDMZ) umfassen, um den Datenverkehr zwischen IT- und OT-Ebenen streng zu kontrollieren.
Verwendung von Geheimhaltungs- und Vertraulichkeitsvereinbarungen
In der Pharmabranche gibt es ein komplexes Beziehungsgeflecht mit Dritten, darunter Auftragnehmer, Lieferanten, Geschäftspartner, Berater, Logistikunternehmen, Forschungsabteilungen von Universitäten und viele mehr. Pharmaunternehmen sind sowohl für ihre strategischen als auch für ihre operativen Ziele auf dieses Netzwerk angewiesen.
Da Dritte unweigerlich mit einigen Kategorien von geistigem Eigentum, wie z. B. Geschäftsgeheimnissen, in Berührung kommen, spielen Vertraulichkeits- und Geheimhaltungsvereinbarungen (NDAs) eine wichtige Rolle. In diesen Vereinbarungen wird die Verpflichtung, vertrauliche Informationen nicht auf eine andere als die im Vertrag festgelegte Weise offenzulegen oder zu verwenden, rechtlich eindeutig festgelegt. Es ist wichtig, in den Vertrag Bestimmungen über die Notwendigkeit aufzunehmen, die Vertraulichkeit von geistigem Eigentum auf unbestimmte Zeit zu wahren.
Berücksichtigung des menschlichen Faktors
Bei jeder Diskussion über Cybersicherheit und Datenschutz darf der Faktor Mensch nicht außer Acht gelassen werden. Es ist nach wie vor so, dass menschliches Versagen die Ursache für viele Sicherheitsvorfälle ist, die zu Datenschutzverletzungen führen. Dies wird durch die Tatsache unterstrichen, dass Phishing im Jahr 2021 der zweithäufigste Einbruch in pharmazeutische Netzwerke war.
Eine wirksame Schulung vermittelt den Mitarbeitern die Grundlagen der Cybersicherheit, einschließlich der Erkennung von Phishing-E-Mails und anderen beliebten Social-Engineering-Betrügereien. Die Schulungen sollten auch vermitteln, wie man sich sicher mit Unternehmensressourcen aus entfernten Umgebungen verbindet.
Fehler sind ein Teil des menschlichen Faktors, aber auch die absichtliche Kompromittierung ist ein weiterer, den Sie nicht vernachlässigen dürfen. Vertraulichkeitsvereinbarungen oder NDAs für Mitarbeiter von Pharmaunternehmen können die Bedrohung des geistigen Eigentums durch Insider ein wenig bekämpfen. Mitarbeiter, die Zugang zu Geschäftsgeheimnissen und anderen geistigen Eigentumsrechten haben, sind weit weniger geneigt, Informationen preiszugeben, wenn sie durch eine Vereinbarung gebunden sind, die erhebliche rechtliche und finanzielle Konsequenzen nach sich zieht.
Erweiterte Erkennung von Bedrohungen
Es ist sehr wichtig, Cyberkriminelle abzuwehren, es müssen jedoch auch Technologien und Prozesse vorhanden sein, die laufende Bedrohungen anhand von Indikatoren für verdächtige Aktivitäten erkennen können. Im Idealfall können fortschrittliche Lösungen zur Erkennung von Bedrohungen Ihr Netzwerk sowohl auf verhaltensbasierten Anomalien als auch auf Verstöße gegen herkömmliche signaturbasierte Regeln überwachen.
Zu den Warnsignalen, über die Sie informiert werden und auf die Sie schnell reagieren sollten, gehören Konfigurationsänderungen, unerwartete Downloads, Fernzugriffe außerhalb des normalen IP-Adressbereichs und vieles mehr. Schnelles Handeln als Reaktion auf laufende Bedrohungen kann zum Schutz Ihrer IP beitragen, Sie müssen die Bedrohung aber zuerst erkennen.
Verwenden Sie eine Data Loss Prevention-Lösung
Lösungen zur Verhinderung von Datenverlusten (DLP) bieten zuverlässige Funktionen zum Schutz des geistigen Eigentums von Pharmaunternehmen. Diese Technologien können die Übertragung von Daten von Endgeräten auf Wechsellaufwerke blockieren, Datenübertragungen blockieren und sogar beim Auffinden von Daten helfen.
Da das Drucken, Kopieren und Herunterladen von Informationen auf Endgeräten zu den größten Risiken für die Vertraulichkeit von geistigem Eigentum gehört, können DLP-Technologien diese Aktivitäten bereits im Ansatz stoppen oder ganz verhindern.
Endpoint Protector verfügt über umfassende DLP-Funktionen zum Schutz des geistigen Eigentums der Pharmaindustrie. Zu den Funktionen gehören ein inhaltsbezogener Schutz, der Datenverluste an allen möglichen Ausgangspunkten verhindert, eDiscovery zum Scannen und Identifizieren von geistigem Eigentum auf Endpunkt Ebene und eine vollständige Gerätekontrolle zum Sperren, Steuern und Überwachen von USB- und Peripherie Anschlüssen.
