Impacte d’un ciberatac en la

integritat de dades

Àngels Llarch
HEAD OF QUALITY ASSURANCE QP & PHARMACOVIGILANCE
Rosa Castro
HEAD OF INFORMATION TECHNOLOGY (IT)
 International
Presence

2021 102 +100

2 DEC
Turnover 2022

founded as spin-off of countries

URIACH’s B2B Pharma
Business Unit million eur Employees

focused on R+D, licensing,

3 manufacturing +480
manufacturing and supply of plants
pharmaceutical products HQ located in Palau-solità
(30km from Barcelona)

Chemical, Pharmaceutical
and Food Supplements
12-2021

El fondo MCH Private Equity crea

Noucor en su apuesta por el negocio
farmacéutico a nivel global
Actualizado: viernes, 3 diciembre 2021 17:14

El fondo de inversión MCH Private Equity ha impulsado

la compañía Noucor, con sede en Barcelona y centrada
en I+D, licencia, fabricación y suministro de productos
1838 farmacéuticos, como "resultado de su apuesta por el
negocio farmacéutico B2B".
 03:53
14:19
06:00 20% dels serveis

80% dels serveis

• Desconnexió de l’exterior.
• Revisem/ aturem serveis crítics. • Recuperem back-ups de data 14/11 a les 03:00 am.
• Activem Protocol de Resposta a incidents. • Revisem els servidors. Escaneig de fitxers.

Contenció Recuperació Servidors

15.12 21.12
14.12 14.12 fins fins
21.12 07.01

Mitigació Recuperació resta

• Revisem còpies de seguretat. • Recuperació laboratoris.
• Activem assegurança Ciber. Equip primera resposta extern. • Recuperació ordinadors personals.
• Establim un pla de treball i de recuperació de servidors. • Canvi de contrasenyes usuaris
• Recollim evidencies de la situació per l'anàlisi extern. • Bloquejat accés extern.
• Contactem amb l’Agència Catalana de Ciberseguretat.
DATA DEL RECUPERACIÓ
BACKUP SERVEI
RECUPERAT DRPo DRT Serà diferent en funció del
Disaster Recovery Disaster Recovery sistema.
Serà diferent en funció del
Point Time
servei/sistema.

Sense DADES Dades recollides sense sistemes inf.

INCIDENT
Moment en que els
serveis deixen d’estar
disponibles

Negoci
▪ Gestió de l’aturada de la producció.
▪ Comunicació als clients.
▪ Comunicació als proveïdors.
Legal
▪ Activació assegurança Ciber.
▪ Informar al DPO. Notificació AEPD.
▪ Revisió del RAT.
▪ Preparar denuncia Policia Local,
Mossos, Policia Nacional.
Comunicació
▪ Comunicació interna.
▪ Comunicació mitjans.
▪ Xarxes socials.
Qualitat
▪ Comunicació al Dept. de Salut de
la Generalitat de Catalunya.
▪ Apertura de la desviació de
l’incident per valorar impacte,
riscos i definir pla d’acció.
Producció i QC
▪ Prioritzar sistemes per IT.
▪ Treballar amb QA per valorar
impacte, riscos i definir pla d’acció.
 Magatzem Producció

 Sistemes Informàtics
Control de
Suministre
Qualitat
 Equips
 Documentació (PNTs, ITs, FOR,
Enginyeria
NCs, CAPAs, Reclamacions,
Assegurament
i
Manteniment
de Qualitat CCs, Plans Anuals, PQRs, ...)
 Lots de Producte Acabat (PAFs,
Serveis
Compres
Informàtics
Medicaments)
 EQUIPS

NO NO
NECESSITA
Magatzem Producció ENCRIPTAT?
XARXA?

SI
SI
PROVEÏDOR
Control de
Suministre
Qualitat
RESTAURAR SISTEMA

RESTAURAR XARXA
IQ, OQ
Enginyeria
Assegurament
i de Qualitat
Manteniment

Serveis
Compres
Informàtics
PQ
  Documentació (PNTs, ITs, FOR, NCs, CAPAs,
Reclamacions, CCs, Plans Anuals, PQRs, ...)

Magatzem Producció Registres manuals de les activitats que es podien

realitzar sense comprometre les Bones Pràctiques de
Documentació i la Integritat de Dades

Control de Bolcat de la informació i dades al Gestor Documental un

Suministre
Qualitat cop recuperat i confirmat positivament el protocol de
seguretat

Enginyeria
Assegurament
i de Qualitat
Manteniment

Serveis
Compres
Informàtics
  Lots de Producte Acabat (PAFs, Medicaments)

FABRICACIÓ EN CURS
Magatzem Producció Desviació per producte i lot
Llistat d’equips i productes impactats amb l’estatus
Registres manuals amb doble verificació de les
Control de operacions que es podien realitzar sense comprometre
Suministre
Qualitat
les Bones Pràctiques de Documentació i la Integritat de
Dades
Bolcat de la informació i dades al sistema un cop
recuperat i confirmat positivament el protocol de
Enginyeria
Assegurament
i seguretat
de Qualitat
Manteniment

Serveis
Compres
Informàtics
  Lots de Producte Acabat (PAFs, Medicaments)

ANÀLISIS
Magatzem Producció Llistat d’equips i productes impactats amb l’estatus
Es fan les anàlisis que no requereixen de sistemes
informàtics enregistrant en paper mitjançant documents
Control de autoritzats per Assegurament de Qualitat
Suministre
Qualitat
Es repeteixen les seqüències interrompudes per
caiguda dels cromatògrafs, no hi ha pèrdua de dades
primàries
NO es repeteixen les anàlisis finalitzades i revisades de
Enginyeria
Assegurament
i lots pendents de ser aprovats per Control de Qualitat
de Qualitat
Manteniment perquè tot estava tancant abans de l’incident i les dades
estan impreses en paper. Pèrdua de dades primàries
(equips)
Serveis
Compres
Informàtics No es repeteixen les anàlisis dels lots certificats la
setmana abans de l’incident informàtic malgrat la
pèrdua de dades primàries (equips) perquè la
certificació ja s’havia fet en SAP
  Lots de Producte Acabat (PAFs, Medicaments)

CERTIFICACIÓ
Magatzem Producció La certificació de producte acabat es va reprendre així
que SAP va ser alliberat pel dpt d’IT, la revalidació
tancada i el sistema tornava a estar operatiu
Control de No es van fer certificacions durant el període en que el
Suministre
Qualitat sistema estava compromès

Enginyeria
Assegurament
i de Qualitat
Manteniment

Serveis
Compres
Informàtics
  Documentació (PNTs, ITs, FOR)

Receptes de fabricació incloses als equips no encriptats

Magatzem Producció no es van veure afectades per l’incident informàtic

Les guies de fabricació per aquella setmana de treball

estaven impreses
Control de
Suministre
Qualitat
Les dades del procés i els paràmetres es troben a les
guies de fabricació

Els materials per aquella setmana de treball s’havien tret

del magatzem i estaven a Producció
Enginyeria
Assegurament
i de Qualitat
Manteniment Condicions de temperatura i humitat registrades
manualment dels dataloggers i doble verificació

Serveis IPCs realitzats manualment, i enregistrat en excels amb

Compres
Informàtics
doble verificació per fer els càlculs necessaris
FOR (còpies controlades) disponibles per enregistrar
desviacions, accions correctores, controls de canvis, ...
➢ Qualitat del Producte. Identificació, Avaluació del Risk, Mesures Mitigants

➢ Qualitat de les Dades. Documents necessaris per activitats manuals gestionades per Assegurament de la
Qualitat

➢ Integritat de Dades. Recuperació dels Sistemes, Restauració dels back-ups, Implantació de Protocols de
Seguretat més efectius

➢ Normes de Correcta Fabricació. Mantingudes malgrat la caiguda dels sistemes.

➢ Disponibilitat de Productes.
➢ Preparació. Disaster Recovery Plan, Bussines Continuity Plan,
PNTs que contemplin situacions sense sistemes informàtics.

➢ Còpies de seguretat (BACKUPS). Còpies off-line per evitar

encriptacions o esborrats.

➢ Conscienciació / formació. Tothom ha de entendre la importància

del que fa i com ho fa des del punt de vista de la seguretat.

➢ Inversió en ciberseguretat. Es prioritzen les inversions i la

renovació de la infraestructura.
Impacte d’un ciberatac en la
integritat de dades

Àngels Llarch
HEAD OF QUALITY ASSURANCE QP & PHARMACOVIGILANCE
Rosa Castro
HEAD OF INFORMATION TECHNOLOGY (IT)