Novo Nordisk tiết lộ dữ liệu thử nghiệm lâm sàng gây tổn hại cho cuộc tấn công mạng đối với Ozempic và Wegovy

Trong một bước phát triển đáng kể đối với ngành dược phẩm và bối cảnh an ninh mạng, Novo Nordisk, gã khổng lồ dược phẩm Đan Mạch đứng sau các loại thuốc được sử dụng rộng rãi Ozempic và Wegovy, đã xác nhận đã trải qua một cuộc tấn công mạng dẫn đến vi phạm dữ liệu thử nghiệm lâm sàng. Tiết lộ này được đưa ra vào thời điểm các sản phẩm quản lý cân nặng và điều trị bệnh tiểu đường của công ty đang được giám sát chặt chẽ và có nhu cầu toàn cầu.

Tuyên bố của công ty và phản hồi ban đầu

Novo Nordisk đã chính thức tiết lộ sự cố bảo mật trong một tuyên bố đưa ra đầu tuần này, xác nhận rằng những kẻ không được phép đã có quyền truy cập vào thông tin thử nghiệm lâm sàng nhạy cảm. Công ty nhấn mạnh rằng hành vi vi phạm chỉ giới hạn ở dữ liệu nghiên cứu và không ảnh hưởng đến hoạt động thương mại hoặc hệ thống dữ liệu bệnh nhân của họ.

"Chúng tôi có thể xác nhận rằng Novo Nordisk đã trải qua một cuộc tấn công mạng nhắm vào hệ thống CNTT của chúng tôi", công ty cho biết trong thông cáo báo chí. "Vụ việc đã được ngăn chặn và chúng tôi đã thuê các chuyên gia an ninh mạng hàng đầu để điều tra toàn bộ phạm vi vi phạm và ngăn chặn hoạt động truy cập trái phép tiếp theo."

Phạm vi vi phạm

Theo đánh giá sơ bộ của công ty, những kẻ tấn công đã truy cập dữ liệu thử nghiệm lâm sàng liên quan đến một số hợp chất nghiên cứu, bao gồm cả những hợp chất liên quan đến Ozempic (semaglutide) và Wegovy (semaglutide liều cao hơn). Thông tin bị xâm phạm bao gồm:

• Dữ liệu bệnh nhân từ các thử nghiệm lâm sàng
• Phương pháp và quy trình nghiên cứu
• Kết quả phân tích tạm thời
• Thông tin nhận dạng cá nhân của người tham gia thử nghiệm

Đáng chú ý, Novo Nordisk đã tuyên bố rằng vi phạm không ảnh hưởng đến quy trình sản xuất, hoạt động của chuỗi cung ứng hoặc kênh bán hàng thương mại. Hoạt động kinh doanh chính của công ty vẫn hoạt động bình thường.

Tác động đến nghiên cứu và thử nghiệm lâm sàng

Việc vi phạm dữ liệu thử nghiệm lâm sàng làm dấy lên mối lo ngại đáng kể về tính toàn vẹn của quy trình nghiên cứu của Novo Nordisk. Các thử nghiệm lâm sàng tiêu tốn nhiều năm làm việc và đầu tư đáng kể, trong đó tính toàn vẹn của dữ liệu là yếu tố quan trọng nhất để được phê duyệt theo quy định và độ tin cậy về mặt khoa học.

Tiến sĩ Eleanor Vance, nhà tư vấn an ninh dược phẩm, giải thích: "Dữ liệu thử nghiệm lâm sàng là nền tảng của nghiên cứu dược phẩm". "Khi dữ liệu này bị xâm phạm, nó có thể ảnh hưởng đến việc đệ trình cơ quan quản lý, các ấn phẩm khoa học và thậm chí cả khả năng tái tạo các kết quả nghiên cứu. Tác động này vượt xa sự cố ngay lập tức."

Ý nghĩa toàn ngành

Sự cố Novo Nordisk nêu bật tính dễ bị tổn thương ngày càng tăng của các công ty dược phẩm trước các mối đe dọa mạng tinh vi. Khi nghiên cứu dược phẩm ngày càng được số hóa và có giá trị, các công ty này đã trở thành mục tiêu hàng đầu của tội phạm mạng, những kẻ được nhà nước bảo trợ và gián điệp của công ty.

"Các công ty dược phẩm sở hữu một số tài sản trí tuệ có giá trị nhất trên thế giới", nhà phân tích an ninh mạng Marcus Reynolds lưu ý. "Dữ liệu thử nghiệm lâm sàng có thể tiết lộ thông tin về hiệu quả của thuốc, tác dụng phụ và hướng nghiên cứu mà các đối thủ cạnh tranh sẽ trả hàng triệu USD. Đó là mỏ vàng cho những kẻ có mục đích xấu."

Các mối đe dọa gia tăng trong ngành dược phẩm

Ngành chăm sóc sức khỏe và dược phẩm đã chứng kiến sự gia tăng đáng kể các cuộc tấn công mạng trong những năm gần đây. Theo báo cáo của ngành, lĩnh vực này đã chứng kiến số sự cố an ninh mạng tăng 45% vào năm 2022 so với năm trước, trong đó các công ty dược phẩm là mục tiêu đặc biệt.

Các vectơ tấn công phổ biến bao gồm:

• Các cuộc tấn công lừa đảo nhắm vào nhân viên
Triển khai ransomware
• Các lỗ hổng trong chuỗi cung ứng
• Mối đe dọa nội bộ
• Cấu hình sai cơ sở hạ tầng đám mây

Nỗ lực giảm nhẹ của Novo Nordisk

Để đối phó với hành vi vi phạm, Novo Nordisk đã thực hiện một số biện pháp tức thời:

• Cô lập các hệ thống bị ảnh hưởng để ngăn chặn vi phạm
• Thu hút các chuyên gia an ninh mạng của bên thứ ba điều tra
• Thông báo cho các cơ quan quản lý bao gồm FDA và EMA
• Triển khai giám sát nâng cao trên tất cả các hệ thống CNTT
• Bắt đầu đánh giá bảo mật toàn diện

Công ty cũng đã thành lập một nhóm ứng phó chuyên trách để quản lý sự cố và liên lạc với các bên liên quan, bao gồm cơ quan quản lý, đối tác nghiên cứu và những người tham gia thử nghiệm lâm sàng bị ảnh hưởng.

Sự phân nhánh về quy định và pháp lý

Việc vi phạm dữ liệu liên quan đến thông tin thử nghiệm lâm sàng có thể dẫn đến sự giám sát chặt chẽ của cơ quan quản lý. Các công ty dược phẩm phải tuân thủ các quy định nghiêm ngặt về bảo vệ dữ liệu, bao gồm cả HIPAA ở Hoa Kỳ và GDPR ở Châu Âu, trong đó quy định các giao thức thông báo vi phạm cụ thể.

"Các cơ quan quản lý sẽ đặc biệt quan tâm đến việc bảo vệ dữ liệu bệnh nhân và tính toàn vẹn của quá trình nghiên cứu", chuyên gia pháp lý Sarah Jenkins giải thích. "Novo Nordisk sẽ cần chứng minh rằng các biện pháp bảo vệ thích hợp đã được áp dụng và họ đang thực hiện các bước toàn diện để giải quyết vụ việc."

Bối cảnh rộng hơn: An ninh mạng trong chăm sóc sức khỏe

Sự cố Novo Nordisk xảy ra trong bối cảnh thách thức an ninh mạng ngày càng gia tăng trong lĩnh vực chăm sóc sức khỏe. Các tổ chức chăm sóc sức khỏe phải đối mặt với những thách thức đặc biệt bao gồm:

• Tính chất quan trọng của các dịch vụ của họ (phần mềm tống tiền có thể đe dọa đến tính mạng)
• Giá trị của dữ liệu bệnh nhân trên thị trường chợ đen
• Các hệ thống cũ có lỗ hổng đã biết
• Sự phức tạp của các thiết bị y tế được kết nối với nhau

"Các tổ chức chăm sóc sức khỏe trước đây chưa đầu tư đủ vào an ninh mạng so với các lĩnh vực khác có độ nhạy cảm dữ liệu tương tự", nhà nghiên cứu an ninh mạng, Tiến sĩ Alistair Finch nhận xét. "Thật không may, sự cố này có thể là lời cảnh tỉnh cho nhiều người trong ngành ưu tiên an ninh mạng như một chức năng kinh doanh cốt lõi."

Triển vọng và đề xuất trong tương lai

Khi các công ty dược phẩm tiếp tục số hóa hoạt động và quy trình nghiên cứu của mình, an ninh mạng sẽ ngày càng trở nên quan trọng. Các chuyên gia trong ngành đề xuất một số biện pháp để tăng cường bảo mật:

Dành cho công ty dược phẩm

• Triển khai kiến trúc không tin cậy trên tất cả các hệ thống
• Nâng cao đào tạo và nâng cao nhận thức về an ninh mạng cho nhân viên
• Đánh giá bảo mật thường xuyên và kiểm tra thâm nhập
• Mã hóa dữ liệu mạnh mẽ và kiểm soát quyền truy cập
• Lập kế hoạch ứng phó sự cố và bài tập trên bàn

Dành cho người tham gia thử nghiệm lâm sàng

Mặc dù Novo Nordisk cho biết rằng vi phạm đã được ngăn chặn nhưng những người tham gia thử nghiệm lâm sàng bị ảnh hưởng vẫn nên cảnh giác. Công ty đã thiết lập một cổng thông tin dành riêng cho người tham gia để kiểm tra trạng thái của họ và truy cập tài nguyên. Người tham gia nên:

• Giám sát thông tin liên lạc từ Novo Nordisk
• Cảnh giác với các nỗ lực lừa đảo tiềm ẩn
• Xem lại báo cáo tài chính để tìm hoạt động đáng ngờ
• Hãy cân nhắc việc đặt cảnh báo gian lận trên báo cáo tín dụng của họ nếu họ lo ngại về hành vi trộm cắp danh tính

Kết luận

Cuộc tấn công mạng vào Novo Nordisk đóng vai trò như một lời nhắc nhở rõ ràng về bối cảnh mối đe dọa ngày càng gia tăng mà ngành dược phẩm phải đối mặt. Khi các công ty tiếp tục phát triển các phương pháp điều trị tiên tiến và số hóa hoạt động của mình, việc bảo vệ dữ liệu nghiên cứu nhạy cảm và thông tin bệnh nhân trở nên tối quan trọng.

"Sự cố này nhấn mạnh rằng an ninh mạng không còn chỉ là vấn đề CNTT mà còn là mối quan tâm cốt lõi về kinh doanh và an toàn của bệnh nhân", nhà phân tích ngành, Tiến sĩ Rebecca Chen kết luận. "Các công ty dược phẩm phải xử lý an ninh mạng với mức độ khẩn cấp tương tự như việc phát triển thuốc và thử nghiệm lâm sàng, vì hậu quả của sự thất bại có thể rất sâu rộng."

Khi Novo Nordisk nỗ lực ngăn chặn hậu quả từ sự cố này, ngành dược phẩm nói chung sẽ khôn ngoan khi lưu ý và đánh giá lại tình hình bảo mật của chính họ trong một môi trường kỹ thuật số ngày càng thù địch.

Novo Nordisk tiết lộ cuộc tấn công mạng: Nhà sản xuất Ozempic và Wegovy cho biết dữ liệu thử nghiệm lâm sàng đã bị vi phạm https://www.techradar.com/pro/security/novo-nordisk-reveals-cyberAttack-ozempic-and-wegovy-maker-says-clinical-trials-data-breached Novo Nordisk tiết lộ cuộc tấn công mạng: Nhà sản xuất Ozempic và Wegovy cho biết dữ liệu thử nghiệm lâm sàng bị vi phạm https://www.techradar.com/pro/security/novo-nordisk-reveals-cyberAttack-ozempic-and-wegovy-maker-says-clinical-trials-data-breached

Khía cạnh	Tác động tiềm tàng
Đệ trình theo quy định	Có thể yêu cầu gửi lại hoặc xác minh bổ sung về tính toàn vẹn của dữ liệu
Ấn phẩm khoa học	Có thể cần phải rút lại hoặc xuất bản lại nếu dữ liệu bị xâm phạm
Vị trí cạnh tranh	Đối thủ cạnh tranh có thể được tiếp cận với các phương pháp nghiên cứu độc quyền
Sự tin tưởng của công chúng	Có thể ảnh hưởng đến niềm tin vào hoạt động nghiên cứu của công ty