Den 11. juni 2026 bekræftede Novo Nordisk A/S, at hackere havde tilgået virksomhedens interne IT-systemer og kopieret fortrolige data til en ekstern server. Fem dage senere tog hackgruppen FulcrumSec offentligt ansvar og afslørede, at gruppen krævede 25 millioner dollars i løsesum. Novo Nordisk afviste kravet. Nu truer FulcrumSec med at frigive 1,3 terabyte data, herunder kliniske forsøgsresultater, proprietære AI-modeller og molekylformler for eksperimentelle lægemidler, der repræsenterer årtiers forskning og milliarder af kroner i udviklingsomkostninger.
Hændelsesforløbet: Fra marts til juni 2026
Ifølge FulcrumSec fik gruppen første gang adgang til Novo Nordisks systemer i marts 2026, tre måneder inden virksomheden offentliggjorde bruddet. Den primære adgangsvej var et eksponeret GitHub-adgangstoken, der gav hackerne mulighed for at klone interne kode-repositories og derigennem finde yderligere legitimationsoplysninger til produktionssystemer.
I de følgende to måneder udførte FulcrumSec det, sikkerhedseksperter kalder en “low-and-slow”-eksfiltrering: langsom og metodisk datatyveri designet til at undgå detektionsalarmer. Gruppen hævder at have brugt mere end ti uger inde i netværket, inden Novo Nordisk opdagede kompromitteringen.
Den 11. juni 2026 offentliggjorde Novo Nordisk en meddelelse til patienter, der har deltaget i kliniske forsøg, om at deres pseudonymiserede data muligvis var blevet kopieret eksternt. Selskabet bekræftede bruddet via sin officielle hændelsesside og tilkendegav, at det samarbejdede med eksterne cybersikkerhedseksperter.
FulcrumSec kontaktede mediet DataBreaches.net den 16. juni 2026 og præsenterede beviser for adgang, herunder stjålne legitimationsoplysninger og en liste med over 700.000 filer som dokumentation for omfanget af eksfiltreringen. Samme dag rapporterede SecurityWeek som første store medie om FulcrumSecs offentlige ansvarserklæring.
FulcrumSec: Hackgruppen bag angrebet
FulcrumSec er klassificeret som en “hack-and-leak”-gruppe, der kombinerer datatyveri med udpresning. Gruppen opererer ikke med ransomware i traditionel forstand, men med truslen om offentliggørelse af stjålne data som pressionsmiddel, en metode der i sikkerhedskredse beskrives som dobbelt afpresning uden kryptering.
SecurityWeek beskriver FulcrumSec som en aktør der boastede om angrebet over for DataBreaches.net og delte detaljerede oplysninger om datatyperne for at bevise gyldigheden af sine påstande. Gruppen fremlagde korrespondance med Novo Nordisk, inklusive stjålne legitimationsoplysninger, som bevis for at forhandlinger fandt sted.
FulcrumSecs eget udsagn, citeret af SecurityWeek, lyder: “Vi har stjålet 1,3 terabyte fra Novo Nordisk. Dataene inkluderer fortrolige lægemiddelprogrammer, proprietære AI-modeller og kliniske forsøgsdata. Vi fremsendte løsesumskrav og modtog svar, men betaling skete ikke.”
Sikkerhedsanalysefirmaet ShieldWorkz publicerede den 17. juni 2026 en dybdegående analyse af bruddet og konkluderede: “FulcrumSec prioriterer intellektuel ejendom frem for finansielle informationer. Disse data kan have en langt højere markedsværdi end simple credentials, særligt inden for farmaceutisk forskning, hvor konkurrenter er villige til at betale premium for adgang til konkurrenters pipeline-data.”
Gruppens Tor-baserede læksite er aktivt, men Novo Nordisk var ikke listet på tidspunktet for denne artikels publicering. FulcrumSec har antydet, at en fuld offentliggørelse er nært forestående.
GitHub-token: Adgangsvejen ind i systemet
GitHub-adgangstokens fungerer som digitale nøgler til kode-repositories. I tilfælde af konfigurationsfejl eller utilsigtet eksponering giver de angribere adgang, ikke blot til koden, men til de hemmeligheder koden indeholder: API-nøgler, databasepasswords og cloud-forbindelsesstrenge.
I Novo Nordisks tilfælde hævder FulcrumSec, at tokenet gav gruppen mulighed for at klone interne repositories. Inden for disse repositories fandt gruppen yderligere legitimationsoplysninger, der åbnede vejen ind i cloud-infrastruktur og produktionssystemer. Dette er et klassisk mønster inden for kompromittering via udviklingsinfrastruktur.
ShieldWorkz fremhæver dette kompromitteringsmønster: “Vi ser dette mønster gentage sig på tværs af brancher. Udviklere begår fejlen med at inkludere credentials i kodebasen, og selv midlertidigt eksponerede tokens kan have katastrofale konsekvenser, hvis en angriber opdager dem, inden de tilbagekaldes.”
Det er ikke bekræftet af Novo Nordisk, præcis hvilken type token der var involveret, eller om fejlen lå hos selskabet selv eller hos en tredjeparts leverandør. Virksomheden har ikke offentliggjort tekniske detaljer om kompromitteringens oprindelse. Enhver konklusion om teknisk årsag bør afvente den endelige undersøgelsesrapport.
Omfanget af datatyveri: 1,3 terabyte og 700.000 filer
FulcrumSec hævder at have eksfiltreret 1,3 terabyte data fra Novo Nordisk, et volumen der svarer til cirka 130 millioner tekst-sider. Gruppen præsenterede en filliste med over 700.000 individuelle filer som dokumentation for omfanget.
| Datakategori | Omfang (FulcrumSecs påstand) | Bekræftet af Novo Nordisk |
|---|---|---|
| Kliniske forsøgsdata (patienter) | Ca. 11.500 patienter | Ja, begrænset omfang |
| Medarbejderdata og intern kommunikation | Tusindvis af profiler | Ikke kommenteret |
| Proprietære AI-modeller | 30 trænede modeller | Ikke kommenteret |
| R&D-datasæt | 70 datasæt | Ikke kommenteret |
| Cell painting mikroskopi-billeder | 494 GB | Ikke kommenteret |
| Molekylformler og forbindelsesstrukturer | Titusindvis af eksperimenter | Ikke kommenteret |
| Dicerna RNAi-pipeline data | Ikke specificeret | Ikke kommenteret |
| Total eksfiltreret data | 1,3 TB / 700.000+ filer | Delvist bekræftet |
Novo Nordisk har udelukkende bekræftet den del af datatyveriget, der vedrører kliniske forsøgsdata for et begrænset antal patienter. Selskabet afstod fra at kommentere FulcrumSecs øvrige påstande om stjålet intellektuel ejendom, herunder AI-modeller og forskningsmateriale.
11.500 patienter: Pseudonymiserede kliniske data
Novo Nordisk bekræftede, at hackere fik adgang til data relateret til patienter i udvalgte kliniske forsøg. Selskabet understreger, at dataene er pseudonymiserede og ikke direkte kan knyttes til navngivne enkeltpersoner.
Novo Nordisks officielle erklæring lyder: “The incident affected a limited amount of information related to patients participating in some of our clinical trials. This information is not directly linked to any patients by name or other direct identifiers. Knowledge of patient identity would therefore require access to further information, which was not part of the incident.”
De potentielle datakategorier for berørte patienter inkluderer ifølge virksomhedens eget notifikationsbrev:
- Patient-ID (tilfældig alfanumerisk streng) og forsøgsdeltagelsesinformation
- Køn og fødselsår
- Biomarkører og helbredsdata
- Immunogenicitetsdata
- Livsstilsfaktorer som rygning, alkoholforbrug og BMI
Selvom dataene ikke direkte identificerer patienter ved navn, er kombinationen af biomarkører, livsstilsdata og forsøgsdeltagelse potentielt sensitiv. En angriber der allerede kender en patients identitet fra en anden kilde, kan i teorien kombinere disse data til et detaljeret helbredsprofil, der giver grundlag for målrettet afpresning.
ShieldWorkz’ analyse skiller sig her fra Novo Nordisks officielle linje. Firmaet hævder, at det eksfiltrerede datasæt indeholder data for 11.500 patienter i ikke-pseudonymiseret form, inklusive navne, registreringsnumre, e-mailadresser og klinikoplysninger. Denne uoverensstemmelse er central for Datatilsynets kommende undersøgelse og kan afgøre klassifikationen af bruddet under GDPR.
Stjålet intellektuel ejendom: AI-modeller og medicinformler
Ud over patientdata hævder FulcrumSec at have stjålet en betragtelig mængde proprietær intellektuel ejendom, der potentielt er af langt større kommerciel og strategisk værdi end kliniske forsøgsdata alene.
Gruppen angiver at have stjålet 30 trænede AI-modeller og 70 datasæt, som Novo Nordisk angiveligt bruger til forskning og produktudvikling. Dertil kommer 494 gigabyte cell painting-mikroskopibilleder, en avanceret billedanalysemetode der kortlægger cellulære effekter af potentielle lægemidler og danner grundlag for tidlig screening af tusindvis af forbindelser.
FulcrumSec nævner specifikt Dicerna RNAi-pipeline, et RNA-interferens-program som Novo Nordisk erhvervede, da selskabet opkøbte Dicerna Pharmaceuticals for 3,3 milliarder dollars i 2021. RNAi-teknologi er en af de mest lovende terapeutiske platforme til behandling af alvorlige sygdomme, og adgang til Dicernas pipeline-data giver potentielt konkurrenter eller statslige aktører en direkte genvej til Novo Nordisks fremtidige produktportfolio.
ShieldWorkz’ analyse fremhæver et yderligere risikoaspekt: “Påstandene om tyveri af 30 trænede AI-modeller og næsten 500 GB proprietære mikroskopi-data kan potentielt kompromittere selskabets R&D-egenkapital, hvis disse aktiver genanvendes af konkurrenter eller statslige aktører med interesse i bioteknologisk industrispionage.”
25 millioner dollars: Løsesummen Novo Nordisk afviste
FulcrumSec fremsendte et krav om 25 millioner dollars som betingelse for at destruere de stjålne data frem for at offentliggøre dem. Ifølge SecurityWeek delte gruppen sin korrespondance med Novo Nordisk som bevis for, at forhandlinger fandt sted, men at betaling aldrig skete.
Novo Nordisk afviste kravet. FulcrumSec truer nu med at frigive alle 1,3 terabyte data via sit Tor-baserede læksite. På tidspunktet for denne artikels publicering er selskabet endnu ikke listet, men gruppen har signaleret, at en offentliggørelse er nært forestående.
Beslutningen om at nægte betaling er i tråd med anbefalingerne fra vestlige cybersikkerhedsmyndigheder, herunder det danske Center for Cybersikkerhed (CFCS). Betaling garanterer ikke destruktion af stjålne data, finansierer yderligere angreb og kan i visse jurisdiktioner udgøre en overtrædelse af sanktionslovgivning, hvis midlerne ender hos statsligt sponsorerede aktører.
Virksomhedens reaktion: Systemer taget offline
Novo Nordisk reagerede på bruddet ved midlertidigt at tage visse interne IT-systemer offline for at begrænse yderligere eksponering. Selskabet tilkendegav, at kerneforretningen, herunder produktionen af Ozempic og Wegovy, fortsatte normalt, og at man arbejdede på at genbringe de berørte systemer online på kontrolleret og sikker vis.
Virksomheden iværksatte en undersøgelse med hjælp fra eksterne cybersikkerhedseksperter og tog kontakt til relevante tilsynsmyndigheder, herunder det danske Datatilsyn. Berørte parter, primært kliniske forsøgsdeltagere, modtog direkte notifikation i overensstemmelse med GDPR-kravet om underretning inden 72 timer.
Novo Nordisk oprettede en dedikeret sektion på sin officielle hjemmeside med løbende opdateringer og opfordrede berørte patienter til at rapportere usædvanlige henvendelser samt kontakte selskabet via e-mailadressen [email protected].
GDPR og NIS2: De regulatoriske konsekvenser
Novo Nordisk-bruddet har potentielt alvorlige konsekvenser under to centrale lovgivningsregimer: GDPR og NIS2-direktivet, der i kombination definerer Europas strammeste krav til datasikkerhed og hændelseshåndtering.
Under GDPR kan bøder for alvorlige overtrædelser nå op til 4 procent af virksomhedens globale årsomsetning. Novo Nordisks årsomsetning for 2025 overstiger 200 milliarder danske kroner, hvilket i teorien kan resultere i bøder på op til 8 milliarder kroner ved den alvorligste klassificering. Selskabet argumenterer for, at de eksfiltrerede patientdata er pseudonymiserede og dermed falder i en lavere risikokategori.
Under NIS2-direktivet, der er fuldt implementeret i Danmark, er store farmaceutiske virksomheder klassificeret som operatører af vigtige tjenester. NIS2 pålægger disse virksomheder strenge rapporteringskrav: notifikation til nationale myndigheder inden 24 timer og til ENISA inden 72 timer. Desuden kan NIS2 under visse omstændigheder medføre personligt ansvar for topledelsen ved systematisk sikkerhedsmæssig forsømmelighed.
| Regulering | Relevant krav | Potentiel konsekvens | Status (juni 2026) |
|---|---|---|---|
| GDPR (artikel 83) | Databeskyttelse af personoplysninger | Op til 4% af global omsætning | Under undersøgelse |
| NIS2-direktiv | Hændelsesrapportering 24/72 timer | Personligt ledelseansvar | Rapporteret til myndigheder |
| Datatilsynet (DK) | Notifikation af berørte parter | Påbud og evt. bøde | Sag åbnet |
| EMA (Europæisk Medicinbureau) | Kliniske forsøgsdata integritet | Revurdering af forsøgsresultater | Under vurdering |
| EU Klinisk Forsøgsforordning (CTR) | Datasikkerhed i kliniske forsøg | Potentielt midlertidigt stop | Afventer undersøgelse |
ShieldWorkz advarer om et aspekt, som de fleste medier endnu ikke har behandlet: “Uautoriseret adgang introducerer muligheden for subtil datamanipulation via data poisoning, der potentielt kan ugyldiggøre forsøgsresultater, hvis revisionssporene er brudte. Novo Nordisk muligvis må gennemføre dyre revisioner af alle forsøg, der var tilgængelige i de kompromitterede systemer.” Det er en potentielt katastrofal konsekvens for et selskab, hvis markedsværdi i høj grad afhænger af godkendelse af nye lægemidler.
Historisk kontekst: Danmarks store cyberhændelser
Novo Nordisk-bruddet føjer sig til en bekymrende trend af alvorlige cyberhændelser mod danske virksomheder og institutioner, der de seneste ti år har ramt globale danske koncerner med stigende hyppighed og konsekvenser.
NotPetya mod Maersk (2017) er stadig den mest citerede. Det russisk-tilknyttede angreb kostede den globale skibsfartskoncern mellem 250 og 300 millioner dollars og lammede IT-infrastrukturen i uger. Angrebet er stadig lærebogen for, hvad kritisk infrastruktursammenbrud kan koste en global dansk koncern.
I 2019 ramte et ransomware-angreb høreapparatproducenten Demant med forventede tab på 80-95 millioner dollars. Selskabet brugte halvanden måned på at genvinde normal drift og registrerede desuden 7,3 millioner dollars i IT-infrastrukturomkostninger og 14,6 millioner dollars i forsikringsudbetaling.
I maj 2023 ramte det hidtil største koordinerede cyberangreb mod dansk kritisk infrastruktur 22 energiselskaber. Angriberne, der ifølge SektorCERT muligvis var tilknyttet Ruslands GRU via hackergruppen Sandworm, udnyttede CVE-2023-28771 i Zyxel-firewalls: et enkelt specialkonstrueret UDP-pakke til port 500 gav root-adgang til de sårbare enheder.
Kun måneder inden Novo Nordisk-bruddet advarede det svenske sikkerhedsfirma Truesec i februar 2026 om hackergrupperingen Russian Legion, der under kodenavnet OpDenmark truede Danmark med storskalerede angreb, medmindre regeringen afviste en militærhjælpspakke til Ukraine på 1,5 milliarder kroner. Truesecs vurdering lød: “Russian Legion er sandsynligvis statsaligneret, men ikke statsfinansieret.” (Industrial Cyber, 3. feb. 2026)
Nordisk cybersikkerhedsbillede 2026: 166 hændelser på ét år
Ifølge DNVs rapport om nordisk cyberresiliens 2026 registrerede de nordiske lande samlet 166 cyberhændelser i 2025. Sverige registrerede flest med 60, efterfulgt af Finland med 44, Danmark med 41 og Norge med 21.
Farmaceutisk forskning er et særligt attraktivt mål, fordi det kombinerer tre typer af værdifulde data i én organisation: patientdata der kan udnyttes til identitetstyveri eller afpresning, proprietær forskning med kommerciel markedsværdi på markedet for industrispionage og kliniske forsøgsresultater der kan accelerere konkurrenters produktudvikling med år.
Novo Nordisk er som producent af Ozempic og Wegovy et af verdens mest værdifulde farmaceutiske selskaber og dermed et logisk mål for trusselsaktører fra nationalstater med interesse i GLP-1-teknologien og selskabets fremtidige behandlingsplatforme.
Angrebsmetoden: Low-and-slow eksfiltrering over ti uger
FulcrumSecs angrebsforløb er et eksempel på en strategi, sikkerhedseksperter kalder Living off the Land (LOTL) kombineret med langvarig, lav-profil eksfiltrering. Gruppen brugte ikke avanceret malware, men legitimt tilgængelige adgangsmekanismer og undgik derved adfærdsbaserede sikkerhedsalarmer.
Baseret på FulcrumSecs egne udsagn og ShieldWorkz’ analyse kan angrebsforløbet rekonstrueres i seks faser:
- Initial adgang (marts 2026): Opdagelse af eksponeret GitHub-adgangstoken via scanning af offentlige repositories eller eksponerede kildekodearkiver.
- Credential harvesting: Kloning af interne repositories og indsamling af hardkodede API-nøgler, databasepasswords og cloud-forbindelsesstrenge.
- Lateral bevægelse: Brug af indsamlede credentials til at bevæge sig ind i cloud-infrastruktur og produktionssystemer.
- Low-and-slow eksfiltrering (marts til juni 2026): Gradvis overførsel af 1,3 TB data over ca. ti uger for at holde sig under detektionsgrænsen.
- Afpresning (juni 2026): Fremsendelse af løsesumskrav på 25 millioner dollars med bevismateriale og stjålne credentials som dokumentation.
- Lækketrussel (16. juni 2026): Offentliggørelse af angrebet via DataBreaches.net og SecurityWeek efter Novo Nordisks afvisning af kravet.
5 forudsigelser: Hvad sker der nu?
Baseret på FulcrumSecs hidtidige adfærd, regulatoriske dynamikker og Novo Nordisks reaktionsmønster er fem udviklinger sandsynlige i de kommende måneder.
- Datatilsynet åbner formel GDPR-undersøgelse inden august 2026: Det centrale spørgsmål er, om de eksfiltrerede data reelt er korrekt pseudonymiserede, som Novo Nordisk hævder, eller om de i praksis muliggør identifikation, som ShieldWorkz’ analyse antyder.
- FulcrumSec frigiver dele af data inden for 60 dage: Baseret på gruppens hidtidige adfærd er en delvis offentliggørelse sandsynlig, særligt IP-relaterede data som AI-modeller og forsøgsresultater, der ikke udløser samme juridiske reaktion som direkte patientdata.
- Novo Nordisk investerer massivt i secrets management: Selskabet vil sandsynligvis implementere dedikerede løsninger til håndtering af API-nøgler og tokens og gennemføre en fuld revision af kodebasernes indhold for hardkodede legitimationsoplysninger.
- Nordisk farmasektor øger cybersikkerhedsbudgetter: Hændelsen vil fungere som et wake-up call for den nordiske farmaceutiske og bioteknologiske sektor, der traditionelt har prioriteret produktionssikkerhed og regulatorisk compliance frem for offensiv cybersikkerhedsstrategi.
- EU strammes op om datasikkerhed i kliniske forsøg: Bruddet vil bidrage til pres for skærpede krav til datasikkerhed under EU’s kliniske forsøgsforordning (CTR) og muligvis nye specifikke krav til kryptering og adgangskontrol for kliniske forsøgsdata.
Relateret dækning
Læs mere om cybersikkerhed i Danmark og Norden
- Cybertrusler i Norden: 166 hændelser, AI driver 70% [2026]
- NIS2 Danmark: 6.000 virksomheder, kun 16% klar [2026]
- Ivanti zero-day: 50.000 ramt, CVSS 9,8 [2026]
- DORA i kraft: 1% dagbøde rammer finanssektoren [2026]
- Digital suverænitet: 52% vil væk fra USA-tech [2026]
Ofte stillede spørgsmål
Hvad er Novo Nordisk-databruddet?
Den 11. juni 2026 bekræftede Novo Nordisk A/S, at hackere fik uautoriseret adgang til interne IT-systemer og kopierede fortrolige data, herunder pseudonymiserede kliniske forsøgsdata for op til 11.500 patienter samt potentielt proprietær forskning, AI-modeller og medicinformler.
Hvem er FulcrumSec?
FulcrumSec er en hack-and-leak-gruppe, der kombinerer datatyveri med afpresning. Gruppen tog offentligt ansvar for Novo Nordisk-angrebet den 16. juni 2026 og hævder at have eksfiltreret 1,3 terabyte data, herunder 30 trænede AI-modeller, kliniske forsøgsdata og molekylformler. Gruppen er ikke tidligere identificeret som en etableret ransomware-aktør.
Hvordan kom hackerne ind i Novo Nordisks systemer?
Ifølge FulcrumSec fik gruppen adgang via et eksponeret GitHub-adgangstoken i marts 2026, der muliggjorde kloning af interne repositories og indsamling af yderligere legitimationsoplysninger til produktionssystemer. Novo Nordisk har ikke bekræftet de tekniske detaljer.
Er mine data i fare, hvis jeg deltog i et klinisk Novo Nordisk-forsøg?
Novo Nordisk oplyser, at de eksfiltrerede patientdata er pseudonymiserede og ikke direkte knyttet til navngivne enkeltpersoner. Selskabet anbefaler, at berørte forsøgsdeltagere er opmærksomme på uønskede henvendelser og kontakter [email protected] med spørgsmål. ShieldWorkz hævder i sin analyse, at dele af dataene faktisk er direkte identificerbare, men dette er endnu ikke bekræftet af myndigheder.
Hvilke GDPR-bøder risikerer Novo Nordisk?
GDPR-bøder ved alvorlige overtrædelser kan nå op til 4 procent af global årsomsetning. Med Novo Nordisks omsætning på over 200 milliarder kroner i 2025 er den teoretiske maksimumsbøde op til 8 milliarder kroner. Det faktiske beløb afhænger af Datatilsynets undersøgelse og vurderingen af, om dataene er korrekt pseudonymiserede.
Hvad sker der med de kliniske forsøgsdata?
Eksperter fra ShieldWorkz advarer om, at uautoriseret adgang til kliniske forsøgsdata potentielt kan ugyldiggøre forsøgsresultater, hvis data er blevet manipuleret. Det Europæiske Medicinbureau (EMA) kan i yderste konsekvens kræve revurdering af forsøg fra de kompromitterede systemer, hvilket kan forsinke godkendelse af nye Novo Nordisk-lægemidler.
Betalte Novo Nordisk løsesummen?
Nej. Novo Nordisk afviste FulcrumSecs krav om 25 millioner dollars. FulcrumSec truer nu med at frigive de stjålne data via sit Tor-baserede læksite. Beslutningen er i overensstemmelse med anbefalinger fra cybersikkerhedsmyndigheder, herunder det danske Center for Cybersikkerhed (CFCS), da betaling ikke garanterer destruktion af de stjålne data.
