Novo Nordisk เปิดเผยการโจมตีทางไซเบอร์ที่กระทบต่อข้อมูลการทดลองทางคลินิกสำหรับ Ozempic และ Wegovy

ในการพัฒนาที่สำคัญสำหรับอุตสาหกรรมยาและภูมิทัศน์ความปลอดภัยทางไซเบอร์ Novo Nordisk บริษัทเภสัชกรรมยักษ์ใหญ่ของเดนมาร์กซึ่งอยู่เบื้องหลังยา Ozempic และ Wegovy ที่ใช้กันอย่างแพร่หลาย ได้ยืนยันว่าประสบกับการโจมตีทางไซเบอร์ที่ส่งผลให้เกิดการละเมิดข้อมูลการทดลองทางคลินิก การเปิดเผยดังกล่าวเกิดขึ้นในช่วงเวลาที่การควบคุมน้ำหนักและการรักษาโรคเบาหวานของบริษัทอยู่ภายใต้การตรวจสอบและความต้องการอย่างเข้มงวดจากทั่วโลก

คำชี้แจงของบริษัทและการตอบสนองเบื้องต้น

Novo Nordisk เปิดเผยเหตุการณ์ด้านความปลอดภัยอย่างเป็นทางการในแถลงการณ์ที่เผยแพร่เมื่อต้นสัปดาห์นี้ โดยยืนยันว่าผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลการทดลองทางคลินิกที่ละเอียดอ่อนได้ บริษัทเน้นย้ำว่าการละเมิดนั้นจำกัดอยู่เพียงข้อมูลการวิจัย และไม่ส่งผลกระทบต่อการดำเนินงานเชิงพาณิชย์หรือระบบข้อมูลผู้ป่วย

"เราสามารถยืนยันได้ว่า Novo Nordisk ประสบกับการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ระบบไอทีของเรา" บริษัทระบุในการแถลงข่าว "เหตุการณ์ดังกล่าวได้รับการควบคุมแล้ว และเราได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำเพื่อตรวจสอบขอบเขตทั้งหมดของการละเมิดและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตเพิ่มเติม"

ขอบเขตของการละเมิด

ตามการประเมินเบื้องต้นของบริษัท ผู้โจมตีได้เข้าถึงข้อมูลการทดลองทางคลินิกที่เกี่ยวข้องกับสารประกอบที่ใช้ในการวิจัยหลายชนิด รวมถึงข้อมูลที่เกี่ยวข้องกับ Ozempic (เซมากลูไทด์) และ Wegovy (เซมากลูไทด์ขนาดสูงกว่า) ข้อมูลที่ถูกบุกรุกรวมถึง:

• ข้อมูลผู้ป่วยจากการทดลองทางคลินิก
• วิธีการวิจัยและระเบียบวิธี
• ผลการวิเคราะห์ระหว่างกาล
• ข้อมูลส่วนบุคคลของผู้เข้าร่วมการทดลอง

โดยเฉพาะอย่างยิ่ง Novo Nordisk ระบุว่าการละเมิดไม่ส่งผลกระทบต่อกระบวนการผลิต การดำเนินงานด้านห่วงโซ่อุปทาน หรือช่องทางการขายเชิงพาณิชย์ การดำเนินธุรกิจหลักของบริษัทยังคงทำงานได้อย่างสมบูรณ์

ผลกระทบต่อการทดลองทางคลินิกและการวิจัย

การละเมิดข้อมูลการทดลองทางคลินิกทำให้เกิดข้อกังวลอย่างมากเกี่ยวกับความสมบูรณ์ของขั้นตอนการวิจัยของ Novo Nordisk การทดลองทางคลินิกแสดงถึงการทำงานที่ใช้เวลาหลายปีและการลงทุนจำนวนมาก โดยความสมบูรณ์ของข้อมูลมีความสำคัญอย่างยิ่งต่อการได้รับการอนุมัติตามกฎระเบียบและความน่าเชื่อถือทางวิทยาศาสตร์

"ข้อมูลการทดลองทางคลินิกเป็นรากฐานของการวิจัยด้านเภสัชกรรม" ดร. เอเลนอร์ แวนซ์ ที่ปรึกษาด้านความปลอดภัยด้านเภสัชกรรมอธิบาย "เมื่อข้อมูลนี้ถูกบุกรุก อาจส่งผลกระทบต่อการยื่นตามกฎระเบียบ สิ่งพิมพ์ทางวิทยาศาสตร์ และแม้แต่ความสามารถในการทำซ้ำของผลการวิจัย ผลกระทบดังกล่าวขยายวงกว้างเกินกว่าเหตุการณ์ที่เกิดขึ้นในทันที"

ผลกระทบทั่วทั้งอุตสาหกรรม

เหตุการณ์ Novo Nordisk เน้นให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นของบริษัทยาต่อภัยคุกคามทางไซเบอร์ที่ซับซ้อน เนื่องจากการวิจัยด้านเภสัชกรรมกลายเป็นดิจิทัลและมีคุณค่ามากขึ้น บริษัทเหล่านี้จึงกลายเป็นเป้าหมายสำคัญของอาชญากรไซเบอร์ ผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐ และสายลับขององค์กร

"บริษัทยาครอบครองทรัพย์สินทางปัญญาที่มีค่าที่สุดในโลก" Marcus Reynolds นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์กล่าว "ข้อมูลการทดลองทางคลินิกสามารถเปิดเผยข้อมูลเกี่ยวกับประสิทธิภาพของยา ผลข้างเคียง และทิศทางการวิจัยที่คู่แข่งยอมจ่ายเงินหลายล้าน ถือเป็นขุมทองสำหรับผู้ที่มีเจตนาร้าย"

ภัยคุกคามที่เพิ่มขึ้นในภาคเภสัชกรรม

อุตสาหกรรมการดูแลสุขภาพและเภสัชกรรมเผชิญกับการโจมตีทางไซเบอร์เพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา ตามรายงานของอุตสาหกรรม ภาคส่วนนี้พบว่าเหตุการณ์ด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้น 45% ในปี 2022 เมื่อเทียบกับปีก่อนหน้า โดยบริษัทยาตกเป็นเป้าโดยเฉพาะ

เวกเตอร์การโจมตีทั่วไปได้แก่:

• การโจมตีแบบฟิชชิ่งมุ่งเป้าไปที่พนักงาน
การใช้งานแรนซัมแวร์
• ช่องโหว่ของห่วงโซ่อุปทาน
• ภัยคุกคามจากวงใน
• การกำหนดค่าโครงสร้างพื้นฐานคลาวด์ไม่ถูกต้อง

ความพยายามบรรเทาผลกระทบจาก Novo Nordisk

เพื่อตอบสนองต่อการละเมิด Novo Nordisk ได้ใช้มาตรการเร่งด่วนหลายประการ:

• การแยกระบบที่ได้รับผลกระทบเพื่อควบคุมการละเมิด
• ให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์บุคคลที่สามมีส่วนร่วมในการสืบสวน
• แจ้งหน่วยงานกำกับดูแล รวมถึง FDA และ EMA
• การนำการตรวจสอบที่ได้รับการปรับปรุงไปใช้ในทุกระบบไอที
• เริ่มการตรวจสอบความปลอดภัยที่ครอบคลุม

บริษัทยังได้จัดตั้งทีมตอบสนองโดยเฉพาะเพื่อจัดการเหตุการณ์และสื่อสารกับผู้มีส่วนได้ส่วนเสีย รวมถึงหน่วยงานกำกับดูแล พันธมิตรการวิจัย และผู้เข้าร่วมการทดลองทางคลินิกที่ได้รับผลกระทบ

การขยายสาขาด้านกฎระเบียบและกฎหมาย

การละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลการทดลองทางคลินิกอาจทำให้เกิดการตรวจสอบด้านกฎระเบียบที่สำคัญได้ บริษัทยาต้องปฏิบัติตามกฎระเบียบการปกป้องข้อมูลที่เข้มงวด ซึ่งรวมถึง HIPAA ในสหรัฐอเมริกาและ GDPR ในยุโรป ซึ่งบังคับใช้โปรโตคอลการแจ้งเตือนการละเมิดที่เฉพาะเจาะจง

"หน่วยงานกำกับดูแลจะกังวลเป็นพิเศษเกี่ยวกับการปกป้องข้อมูลผู้ป่วยและความสมบูรณ์ของกระบวนการวิจัย" Sarah Jenkins ผู้เชี่ยวชาญด้านกฎหมายอธิบาย "Novo Nordisk จะต้องแสดงให้เห็นว่ามีการใช้มาตรการป้องกันที่เหมาะสม และพวกเขากำลังดำเนินการตามขั้นตอนที่ครอบคลุมเพื่อจัดการกับเหตุการณ์ดังกล่าว"

บริบทที่กว้างขึ้น: ความปลอดภัยทางไซเบอร์ในการดูแลสุขภาพ

เหตุการณ์ Novo Nordisk เกิดขึ้นท่ามกลางความท้าทายด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นในภาคการดูแลสุขภาพ องค์กรด้านการดูแลสุขภาพเผชิญกับความท้าทายที่ไม่เหมือนใคร ได้แก่:

• ลักษณะสำคัญของบริการ (แรนซัมแวร์อาจเป็นอันตรายถึงชีวิตได้)
• มูลค่าของข้อมูลผู้ป่วยในตลาดมืด
• ระบบเดิมที่มีช่องโหว่ที่ทราบ
• ความซับซ้อนของอุปกรณ์ทางการแพทย์ที่เชื่อมต่อถึงกัน

"ที่ผ่านมาองค์กรด้านการดูแลสุขภาพลงทุนน้อยเกินไปในเรื่องความปลอดภัยทางไซเบอร์ เมื่อเทียบกับภาคส่วนอื่นๆ ที่มีความไวต่อข้อมูลใกล้เคียงกัน" ดร. Alistair Finch นักวิจัยด้านความปลอดภัยทางไซเบอร์ให้ความเห็น "เหตุการณ์นี้น่าเสียดายที่อาจเป็นสัญญาณเตือนให้หลาย ๆ คนในอุตสาหกรรมให้ความสำคัญกับความปลอดภัยทางไซเบอร์เป็นหน้าที่ทางธุรกิจหลัก"

แนวโน้มในอนาคตและคำแนะนำ

ในขณะที่บริษัทยายังคงเปลี่ยนการดำเนินงานและกระบวนการวิจัยให้เป็นดิจิทัล การรักษาความปลอดภัยทางไซเบอร์จึงมีความสำคัญมากขึ้น ผู้เชี่ยวชาญในอุตสาหกรรมแนะนำมาตรการหลายประการเพื่อปรับปรุงความปลอดภัย:

สำหรับบริษัทยา

• ใช้สถาปัตยกรรมแบบ Zero-trust ในทุกระบบ
• ปรับปรุงการฝึกอบรมและความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ของพนักงาน
• การประเมินความปลอดภัยและการทดสอบการเจาะระบบเป็นประจำ
• การเข้ารหัสข้อมูลที่แข็งแกร่งและการควบคุมการเข้าถึง
• การวางแผนเผชิญเหตุและการฝึกซ้อมบนโต๊ะ

สำหรับผู้เข้าร่วมการทดลองทางคลินิก

ในขณะที่ Novo Nordisk ระบุว่ามีการละเมิดแล้ว ผู้เข้าร่วมการทดลองทางคลินิกที่ได้รับผลกระทบควรระมัดระวังต่อไป บริษัทได้จัดทำพอร์ทัลเฉพาะสำหรับผู้เข้าร่วมเพื่อตรวจสอบสถานะและเข้าถึงทรัพยากรของตน ผู้เข้าร่วมควร:

• ตรวจสอบการสื่อสารจาก Novo Nordisk
• ระวังความพยายามฟิชชิ่งที่อาจเกิดขึ้น
• ตรวจสอบงบการเงินสำหรับกิจกรรมที่น่าสงสัย
• พิจารณาส่งการแจ้งเตือนการฉ้อโกงในรายงานเครดิตของพวกเขา หากพวกเขากังวลเกี่ยวกับการขโมยข้อมูลส่วนตัว

บทสรุป

การโจมตีทางไซเบอร์ใน Novo Nordisk ทำหน้าที่เป็นเครื่องเตือนใจอย่างชัดเจนถึงภาพรวมภัยคุกคามที่เปลี่ยนแปลงตลอดเวลาที่อุตสาหกรรมยาต้องเผชิญ ในขณะที่บริษัทต่างๆ ยังคงพัฒนาการรักษาเชิงนวัตกรรมและเปลี่ยนการดำเนินงานให้เป็นดิจิทัล การปกป้องข้อมูลการวิจัยที่ละเอียดอ่อนและข้อมูลผู้ป่วยจึงมีความสำคัญยิ่ง

"เหตุการณ์นี้ตอกย้ำว่าความปลอดภัยทางไซเบอร์ไม่ได้เป็นเพียงปัญหาด้านไอทีอีกต่อไป แต่ยังเป็นปัญหาทางธุรกิจหลักและความกังวลด้านความปลอดภัยของผู้ป่วย" ดร. รีเบคก้า เฉิน นักวิเคราะห์อุตสาหกรรมกล่าวสรุป "บริษัทยาต้องปฏิบัติต่อความปลอดภัยทางไซเบอร์ด้วยความเร่งด่วนเช่นเดียวกับการพัฒนายาและการทดลองทางคลินิก เนื่องจากผลที่ตามมาของความล้มเหลวอาจส่งผลในวงกว้าง"

ในขณะที่ Novo Nordisk ทำงานเพื่อควบคุมผลกระทบจากเหตุการณ์นี้ อุตสาหกรรมยาในวงกว้างจึงควรจดบันทึกและประเมินมาตรการรักษาความปลอดภัยของตนเองอีกครั้งในสภาพแวดล้อมดิจิทัลที่ไม่เป็นมิตรมากขึ้น

Novo Nordisk เผยการโจมตีทางไซเบอร์: ผู้ผลิต Ozempic และ Wegovy กล่าวว่าข้อมูลการทดลองทางคลินิกถูกละเมิด https://www.techradar.com/pro/security/novo-nordisk-revals-cyberattack-ozempic-and-wegovy-maker-says-clinical-trials-data-breached Novo Nordisk เผยการโจมตีทางไซเบอร์: ผู้ผลิต Ozempic และ Wegovy กล่าวว่าข้อมูลการทดลองทางคลินิกถูกละเมิด https://www.techradar.com/pro/security/novo-nordisk-revals-cyberattack-ozempic-and-wegovy-maker-says-clinical-trials-data-breached

มุมมอง	ผลกระทบที่อาจเกิดขึ้น
การส่งตามกฎระเบียบ	อาจต้องส่งใหม่หรือตรวจสอบเพิ่มเติมเพื่อความสมบูรณ์ของข้อมูล
สิ่งพิมพ์ทางวิทยาศาสตร์	การเพิกถอนหรือเผยแพร่ซ้ำอาจมีความจำเป็นหากข้อมูลถูกบุกรุก
ตำแหน่งการแข่งขัน	คู่แข่งอาจสามารถเข้าถึงวิธีการวิจัยที่เป็นกรรมสิทธิ์
ความน่าเชื่อถือของสาธารณะ	อาจส่งผลต่อความมั่นใจในแนวทางปฏิบัติด้านการวิจัยของบริษัท