Arresto produzione farmaceutica via compromissione VPN

Cos’e successo?

Nel gennaio 2025, un’azienda farmaceutica svizzera di medie dimensioni nella Svizzera nordoccidentale e stata vittima di un attacco ransomware attraverso un accesso VPN compromesso. L’azienda, che desidera restare anonima, produce principi attivi e generici per il mercato europeo e impiega circa 350 collaboratori.

L’attacco e iniziato con la compromissione delle credenziali VPN di un fornitore IT esterno responsabile della manutenzione dei sistemi di controllo della produzione (SCADA/OT). Gli aggressori hanno utilizzato le credenziali rubate per accedere direttamente alla rete aziendale — senza che fosse attiva l’autenticazione multi-fattore.

La conseguenza e stata devastante: tutte le linee di produzione si sono fermate. Il ripristino e stato possibile solo dopo una reinstallazione completa e rivalidazione dei sistemi conformi alle GMP.

Chi e stato colpito?

• 350 collaboratori, di cui oltre 200 in produzione
• Ospedali e farmacie in Svizzera e nell’UE
• Pazienti la cui fornitura di medicamenti era a rischio
• Swissmedic, che doveva essere informata come autorita di vigilanza

Quanto e stato il danno?

Il danno complessivo di CHF 8,5 mio. si compone di:

L’azienda non aveva una cyberassicurazione. Il premio annuale per una tale polizza sarebbe stato di circa CHF 25’000-40’000 — una frazione del danno effettivo.

Insegnamenti per le PMI svizzere

1. VPN senza MFA e negligente: l’intero attacco avrebbe potuto essere prevenuto con la MFA.
2. Gli accessi di terze parti sono ad alto rischio.
3. Il settore farmaceutico e particolarmente vulnerabile a causa della rivalidazione GMP.
4. 17 giorni non sono un’eccezione: la media di fermo dopo ransomware e di 22 giorni.
5. Il premio e una frazione del danno: CHF 25’000-40’000 annui vs. CHF 8,5 mio. di danno.

Fatevi consigliare senza impegno. Gli specialisti di BTAG Versicherungsbroker AG a Berna hanno esperienza nell’assicurazione di aziende farmaceutiche e produttive.