Novo Nordisk ติดต่อเจ้าหน้าที่เกี่ยวกับเหตุละเมิดข้อมูล 1TB ที่ถูกกล่าวหา

Novo Nordisk ติดต่อเจ้าหน้าที่เกี่ยวกับเหตุละเมิดข้อมูล 1TB ที่ถูกกล่าวหา

บริษัทยายักษ์ใหญ่ Novo Nordisk ยืนยันว่าอยู่ระหว่างการติดต่อหน่วยงานที่เกี่ยวข้อง หลังจากกลุ่มแฮ็กเกอร์อ้างว่าได้ขโมยและเผยแพร่ข้อมูลของบริษัทมากกว่าหนึ่งเทราไบต์ ผู้ผลิตยาซึ่งเป็นที่รู้จักดีจากยารักษาโรคเบาหวานและยาลดน้ำหนัก กล่าวว่าบริษัทกำลังเฝ้าติดตามระบบและยังคงดำเนินงานตามปกติในขณะที่สอบสวนเหตุการณ์ที่ถูกรายงานนี้

สถานการณ์นี้ทำให้เกิดคำถามเร่งด่วนว่าบริษัทด้านสุขภาพและยาจัดการกับข้อมูลที่ละเอียดอ่อนอย่างไร และผู้ป่วยและพนักงานจะทำอะไรได้บ้างเมื่อองค์กรที่พวกเขาไว้วางใจกลายเป็นเป้าหมาย

สิ่งที่ Novo Nordisk ได้กล่าวจนถึงตอนนี้

การตอบสนองของ Novo Nordisk เป็นไปอย่างรอบคอบ บริษัทยืนยันว่ารับทราบถึงข้อกล่าวอ้างดังกล่าว และระบุว่ากำลังทำงานร่วมกับเจ้าหน้าที่ซึ่งเป็นส่วนหนึ่งของการรับมือ นอกเหนือจากการยอมรับว่ามีกลุ่มแฮ็กเกอร์ถูกกล่าวหาว่าเผยแพร่ข้อมูลแล้ว Novo Nordisk ยังไม่ได้ให้การยืนยันโดยละเอียดว่าข้อมูลใดบ้างที่ได้รับผลกระทบ หรือการละเมิดเกิดขึ้นได้อย่างไร

การเปิดเผยข้อมูลอย่างระมัดระวังและจำกัดเช่นนี้ถือเป็นเรื่องปกติในช่วงต้นของเหตุการณ์ไซเบอร์ของบริษัท บริษัทต่างๆ ต้องเผชิญกับแรงกดดันที่ขัดแย้งกัน ได้แก่ ภาระผูกพันทางกฎหมายในการแจ้งผู้ที่เกี่ยวข้อง ความจำเป็นด้านปฏิบัติการที่จะต้องสอบสวนก่อนที่จะแถลงการณ์อย่างชัดเจน และความเสี่ยงด้านชื่อเสียงไม่ว่าจะสื่อสารมากเกินไปหรือดูเหมือนลดทอนความร้ายแรงของเหตุการณ์ ผลลัพธ์มักเป็นช่วงเวลาแห่งการรอคอยที่ทำให้บุคคลที่อาจได้รับผลกระทบไม่มีคำตอบที่ชัดเจน

ตามที่รายงานแยกไว้ เหตุการณ์นี้มีลักษณะสอดคล้องกับการขู่กรรโชกทางไซเบอร์ ซึ่งผู้โจมตีจะขโมยข้อมูลและขู่ว่าจะเผยแพร่หากไม่ปฏิบัติตามข้อเรียกร้อง รูปแบบนี้พบได้บ่อยขึ้นในทุกอุตสาหกรรม แต่มีความสำคัญเป็นพิเศษในภาคสุขภาพและเภสัชกรรม ซึ่งข้อมูลที่เกี่ยวข้องอาจรวมถึงบันทึกการทดลองทางคลินิก ข้อมูลระบุตัวผู้ป่วย และงานวิจัยที่เป็นกรรมสิทธิ์

สำหรับบริบทที่กว้างขึ้นเกี่ยวกับข้อกล่าวอ้างเกี่ยวกับการละเมิดครั้งนี้ รวมถึงรายละเอียดที่รายงานเกี่ยวกับประเภทข้อมูลที่ถูกกล่าวหาว่าเกี่ยวข้อง Novo Nordisk Hit by 1.3TB Breach: Clinical Trial Data Stolen ให้ข้อมูลพื้นฐานเพิ่มเติม

เหตุใดการละเมิดข้อมูลทางเภสัชกรรมจึงร้ายแรงเป็นพิเศษ

คนส่วนใหญ่มักเชื่อมโยงการละเมิดข้อมูลกับข้อมูลทางการเงิน รหัสผ่าน หรือบัญชีโซเชียลมีเดีย การละเมิดที่เกี่ยวข้องกับบริษัทยารายใหญ่ส่งผลที่แตกต่างและอาจมีผลกระทบที่ยาวนานกว่า

บริษัทยาถือครองข้อมูลที่มีความอ่อนไหวหลายประเภท: บันทึกผู้เข้าร่วมการทดลองทางคลินิก ประวัติสุขภาพ ข้อมูลส่วนบุคคลของพนักงาน งานวิจัยด้านการพัฒนายาที่เป็นกรรมสิทธิ์ และในบางกรณี ข้อมูลเกี่ยวกับบุคลากรทางการแพทย์ที่ติดต่อกับบริษัท ไม่เหมือนกับหมายเลขบัตรเครดิตที่ถูกขโมยซึ่งสามารถยกเลิกและเปลี่ยนใหม่ได้ ข้อมูลสุขภาพเป็นสิ่งที่ถาวร สามารถนำไปใช้ในการฉ้อโกงประกัน ขโมยข้อมูลประจำตัว หรือการโจมตีแบบฟิชชิ่งที่มุ่งเป้าโดยใช้ความรู้เกี่ยวกับประวัติทางการแพทย์ของบุคคล

ภาคการดูแลสุขภาพได้กลายเป็นเป้าหมายหลักของกลุ่มกรรโชกทรัพย์มากขึ้นเนื่องจากความอ่อนไหวเช่นนี้ เดิมพันสูงพอที่องค์กรต่างๆ อาจรู้สึกถูกกดดันให้จ่ายตามข้อเรียกร้อง และหน่วยงานกำกับดูแลในหลายเขตอำนาจก็ให้ความสำคัญกับการละเมิดข้อมูลสุขภาพเป็นพิเศษ พลวัตรที่คล้ายคลึงกันปรากฏใน เหตุการณ์ละเมิดข้อมูลของ iRhythm ที่เกี่ยวข้องกับแอปพลิเคชันคลาวด์ของบุคคลที่สาม ซึ่งข้อมูลสุขภาพของผู้ป่วยถูกเปิดเผยผ่านระบบที่อยู่นอกโครงสร้างพื้นฐานโดยตรงของบริษัท

สิ่งนี้มีความหมายต่อคุณอย่างไร

หากคุณเป็นผู้ป่วยที่เคยเข้าร่วมการทดลองทางคลินิกของ Novo Nordisk ใช้ยาของบริษัท หรือหากผู้ให้บริการด้านสุขภาพของคุณเคยติดต่อกับบริษัท ความเป็นไปได้ที่ข้อมูลของคุณจะรวมอยู่ในข้อมูลที่ถูกกล่าวหาว่าขโมยไปนั้นควรค่าแก่การให้ความสำคัญอย่างจริงจัง แม้กระทั่งก่อนที่การแจ้งเตือนอย่างเป็นทางการจะมาถึง

นี่คือสิ่งที่คุณสามารถทำได้ทันที:

เฝ้าระวังฟิชชิ่ง กลุ่มกรรโชกทรัพย์ที่เผยแพร่ข้อมูลที่ขโมยมามักขายหรือแจกจ่ายข้อมูลนั้นให้กับผู้กระทำผิดทางอาญารายอื่น คุณอาจเห็นอีเมลหรือข้อความที่อ้างอิงถึงสภาวะสุขภาพ ยา หรือรายละเอียดส่วนตัวของคุณมากขึ้น จงปฏิบัติต่อการติดต่อที่ไม่พึงประสงค์เกี่ยวกับสุขภาพของคุณด้วยความสงสัยที่เพิ่มขึ้น

ตรวจสอบใบแจ้งยอดประกันสุขภาพของคุณ การเรียกร้องค่าสินไหมปลอมที่ใช้ข้อมูลสุขภาพที่ถูกขโมยอาจปรากฏขึ้นหลายเดือนหลังจากการละเมิด สังเกตบริการที่คุณไม่ได้รับหรือผู้ให้บริการที่คุณไม่ได้ไปพบ

ตรวจสอบการแจ้งเตือนอย่างเป็นทางการ โนโว นอร์ดิสค์อาจมีข้อผูกพันทางกฎหมายในการแจ้งบุคคลที่ข้อมูลได้รับผลกระทบ ทั้งนี้ขึ้นอยู่กับที่ที่คุณอาศัยอยู่ หน่วยงานกำกับดูแลในสหภาพยุโรปภายใต้ GDPR และในสหรัฐอเมริกาภายใต้ HIPAA (หากมีผลบังคับใช้) กำหนดระยะเวลาในการแจ้งเตือน คอยติดตามการสื่อสารอย่างเป็นทางการจากบริษัทหรือหน่วยงานด้านสุขภาพที่เกี่ยวข้อง

ใช้ข้อมูลประจำตัวที่แข็งแกร่งและไม่ซ้ำกัน หากคุณมีบัญชีใดๆ กับ Novo Nordisk หรือพอร์ทัลด้านสุขภาพที่เกี่ยวข้อง ให้เปลี่ยนรหัสผ่านและเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยทันที

พิจารณาการตรวจสอบความเป็นส่วนตัว เหตุการณ์นี้เป็นแรงกระตุ้นที่มีประโยชน์ให้ทบทวนว่าคุณแบ่งปันข้อมูลใดกับองค์กรใด ๆ ไม่ว่าจะเป็นด้านยาหรืออื่น ๆ และลดการแบ่งปันข้อมูลที่ไม่จำเป็นเท่าที่เป็นไปได้

รูปแบบกว้างๆ ที่ควรจับตามอง

Novo Nordisk ไม่ใช่ข้อยกเว้น บริษัทยาและการดูแลสุขภาพรายใหญ่ต้องเผชิญกับกระแสการขู่กรรโชกทางไซเบอร์และความพยายามขโมยข้อมูลที่เพิ่มสูงขึ้นในช่วงไม่กี่ปีที่ผ่านมา องค์กรเหล่านี้ถือครองข้อมูลที่ละเอียดอ่อนจำนวนมหาศาล ซึ่งมักอยู่บนเครือข่ายห่วงโซ่อุปทานระดับโลกที่ซับซ้อน เครือข่ายพันธมิตร และระบบไอทีแบบเก่าที่รักษาความปลอดภัยอย่างสม่ำเสมอได้ยาก

สิ่งที่ทำให้เหตุการณ์นี้โดดเด่นคือขนาดของข้อมูลที่ถูกกล่าวหาว่าขโมย และการเข้ามาเกี่ยวข้องของเจ้าหน้าที่จากหลายเขตอำนาจ เนื่องจาก Novo Nordisk มีการดำเนินงานทั่วโลก ผลลัพธ์ของการสอบสวนนี้มีแนวโน้มที่จะให้แนวทางแก่บริษัทอื่นๆ ในอุตสาหกรรมเดียวกันในการจัดการกับมาตรการรักษาความปลอดภัยข้อมูลของตนเอง

สำหรับบุคคลทั่วไป ประเด็นสำคัญคือการปกป้องความเป็นส่วนตัวไม่สามารถมอบหมายให้กับองค์กรที่ถือครองข้อมูลของคุณได้ทั้งหมด การสร้างนิสัยส่วนตัวเกี่ยวกับการลดปริมาณข้อมูล ความสะอาดของข้อมูลประจำตัว และการเฝ้าระวังต่อวิศวกรรมสังคมนั้นสำคัญมากขึ้นเรื่อยๆ ไม่ว่าคุณจะทำงานในสายเทคโนโลยีหรือเพียงแค่รับการรักษาพยาบาล จงติดตามรับข้อมูลอัปเดตอย่างเป็นทางการจาก Novo Nordisk และหน่วยงานกำกับดูแลที่เกี่ยวข้องในขณะที่สถานการณ์นี้ยังคงดำเนินต่อไป