Novo Nordisk ถูกโจมตีด้วยการรั่วไหลข้อมูล 1.3TB: ข้อมูลการทดลองทางคลินิกถูกขโมย
Novo Nordisk ยักษ์ใหญ่ด้านเภสัชกรรมของเดนมาร์ก ผู้ผลิตยา Ozempic และ Wegovy ที่ประสบความสำเร็จอย่างสูง กำลังเผชิญกับวิกฤตความเป็นส่วนตัวจากการรั่วไหลข้อมูลทางเภสัชกรรมอย่างร้ายแรง หลังจากแฮกเกอร์อ้างว่าขโมยไฟล์ภายในที่มีความละเอียดอ่อนจำนวน 1.3 เทราไบต์ กลุ่มที่อยู่เบื้องหลังการโจมตีกล่าวว่าข้อมูลที่ได้มามีทั้งข้อมูลการทดลองทางคลินิกและเอกสารที่เกี่ยวข้องกับ AI และมีรายงานว่าเริ่มเผยแพร่ข้อมูลบางส่วนที่ขโมยมาทางออนไลน์แล้ว สำหรับบริษัทที่เป็นศูนย์กลางของกลุ่มยาที่มีความสำคัญทางการค้ามากที่สุดกลุ่มหนึ่งในวงการแพทย์ยุคใหม่ จังหวะเวลาและขอบเขตของการรั่วไหลครั้งนี้ ทำให้เกิดคำถามสำคัญว่า แม้แต่องค์กรที่มีทรัพยากรดีที่สุดในโลกก็ยังจัดการข้อมูลของผู้ป่วยและผู้เข้าร่วมงานวิจัยได้อย่างไร
สิ่งที่ถูกขโมยและสิ่งที่ Novo Nordisk ยืนยันแล้ว
ผู้โจมตีอ้างว่าได้ถอนข้อมูล 1.3TB ออกไป ซึ่งปริมาณดังกล่าวชี้ให้เห็นถึงสิ่งที่มากกว่าการจู่โจมแบบฉวยโอกาส ไฟล์ที่ถูกระบุว่าเป็นบันทึกการทดลองทางคลินิกและเอกสารการพัฒนา AI มีรายงานว่ารวมอยู่ในข้อมูลที่รั่วไหลด้วย ข้อมูลการทดลองทางคลินิกเป็นหนึ่งในหมวดหมู่ข้อมูลด้านสุขภาพที่ละเอียดอ่อนที่สุดเท่าที่มีอยู่: อาจรวมถึงประวัติทางการแพทย์ของผู้เข้าร่วม การตอบสนองต่อขนาดยา บันทึกเหตุการณ์ไม่พึงประสงค์ และรายละเอียดที่ระบุตัวตนได้ ซึ่งมักจะละเอียดกว่าไฟล์ผู้ป่วยมาตรฐานมาก
ณ เวลาที่รายงานข่าวนี้ Novo Nordisk ยังไม่ได้ยืนยันต่อสาธารณะถึงขอบเขตทั้งหมดของการรั่วไหล หรือว่าข้อมูลของผู้ป่วยและผู้เข้าร่วมการทดลองถูกละเมิดอย่างแน่นอนหรือไม่ ความเงียบนั้น แม้จะเป็นความระมัดระวังตามกฎหมาย แต่ก็ทำให้บุคคลแทบไม่สามารถประเมินความเสี่ยงของตนเองได้ การตัดสินใจของแฮกเกอร์ที่จะเริ่มเผยแพร่ไฟล์อย่างต่อเนื่องยิ่งเพิ่มแรงกดดัน เนื่องจากข้อมูลที่รั่วไหลไปถึงตลาดอาชญากรรมหรือฟอรัมเปิดนั้น แทบเป็นไปไม่ได้ที่จะเรียกคืน
เหตุใดบริษัทยายักษ์ใหญ่จึงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับกลุ่มแรนซัมแวร์
บริษัทยาได้กลายเป็นหนึ่งในเป้าหมายที่น่าดึงดูดที่สุดในระบบนิเวศของอาชญากรรมไซเบอร์ เหตุผลมีมากกว่าแค่การฉวยโอกาส องค์กรเหล่านี้ครอบครองทรัพย์สินทางปัญญา ข้อมูลสุขภาพที่ถูกกำกับดูแล และความลับทางการค้าไว้อย่างหนาแน่นเป็นพิเศษ ซึ่งทั้งหมดนี้ล้วนเป็นจุดต่อรองที่แตกต่างกันสำหรับผู้โจมตี
สำหรับบริษัทอย่าง Novo Nordisk ซึ่งสร้างรายได้มหาศาลจากยาตัวรับ GLP-1 agonists และลงทุนอย่างหนักในการค้นพบยาด้วยความช่วยเหลือของ AI คลังข้อมูลจึงมีค่ามากเป็นพิเศษ ข้อมูลการทดลองทางคลินิกสามารถใช้เพื่อตัดราคาคู่แข่ง ขายให้กับผู้เล่นที่ได้รับการสนับสนุนจากรัฐซึ่งสนใจเร่งโครงการยาของตนเอง หรือเพียงแค่ใช้เป็นอาวุธต่อรองในการเรียกค่าไถ่ ข้อมูลการฝึกอบรม AI และค่าน้ำหนักของโมเดล หากอยู่ในไฟล์ที่ถูกขโมย แสดงถึงการลงทุนด้านการวิจัยหลายปีที่ไม่สามารถสร้างขึ้นใหม่ได้ง่ายๆ
ภาคเภสัชกรรมยังมีจุดอ่อนเชิงโครงสร้างอีกด้วย องค์กรระดับโลกขนาดใหญ่พึ่งพาเครือข่ายที่ซับซ้อนขององค์กรวิจัยตามสัญญา ผู้ประมวลผลข้อมูลบุคคลที่สาม และผู้ร่วมมือทางวิชาการ การเชื่อมต่อแต่ละจุดเป็นช่องทางเข้าถึงที่อาจเกิดขึ้นได้ แม้แต่บริษัทที่มีมาตรการรักษาความปลอดภัยภายในที่แข็งแกร่ง ก็อาจถูกบุกรุกผ่านผู้ขายหรือพันธมิตรที่มีระบบป้องกันที่อ่อนแอกว่าได้
การรั่วไหลของข้อมูลระดับองค์กรทำให้ข้อมูลสุขภาพของบุคคลตกอยู่ในความเสี่ยงได้อย่างไร
คนส่วนใหญ่ที่เคยเข้าร่วมการทดลองทางคลินิกที่เกี่ยวข้องกับ Ozempic หรือของ Novo Nordisk น่าจะลงนามในเอกสารยินยอมและทึกทักว่าข้อมูลของตนจะได้รับการคุ้มครองภายใต้กรอบจริยธรรมการวิจัยมาตรฐาน สิ่งที่กรอบเหล่านั้นไม่ค่อยสื่อสารอย่างชัดเจนคือความเสี่ยงที่ยังคงเหลืออยู่ เมื่อข้อมูลที่ละเอียดอ่อนนั้นอยู่บนเซิร์ฟเวอร์ขององค์กรอย่างไม่มีกำหนด นานหลังจากการทดลองสิ้นสุดลง
เมื่อเกิดการรั่วไหล ข้อมูลนั้นไม่ได้หายไป มันเข้าสู่ตลาดรองที่สามารถรวมเข้ากับชุดข้อมูลอื่นที่รั่วไหลได้ ซึ่งเป็นกระบวนการที่บางครั้งเรียกว่าการเพิ่มคุณค่าข้อมูล เพื่อสร้างโปรไฟล์ที่มีรายละเอียดของบุคคล ซึ่งไปไกลกว่าสิ่งที่ถูกรวบรวมไว้แต่แรกมาก ข้อมูลด้านสุขภาพนั้นมีความคงทนเป็นพิเศษ เนื่องจากสภาวะทางการแพทย์ การรักษา และปัจจัยทางพันธุกรรมไม่เปลี่ยนแปลงเหมือนกับหมายเลขบัตรเครดิต
นี่เป็นส่วนหนึ่งของรูปแบบที่กว้างขึ้น ซึ่งข้อมูลส่วนบุคคลเมื่อถูกส่งมอบให้กับองค์กรแล้ว ส่วนใหญ่จะอยู่นอกเหนือการควบคุมของแต่ละบุคคล ดังที่รายงานข่าวเกี่ยวกับ กรอบการเฝ้าระวัง AI และภาครัฐ ได้แสดงให้เห็น เส้นแบ่งระหว่างการรวบรวมข้อมูลขององค์กรกับการเข้าถึงของสถาบันนั้น พร่าเลือนมากขึ้นเรื่อยๆ ข้อมูลที่เริ่มต้นจากการทดลองทางคลินิกสามารถไปจบลงในบริบทที่บุคคลไม่เคยคาดคิดมาก่อนได้ ภายใต้เงื่อนไขทางกฎหมายบางประการ
การรั่วไหลของ Novo Nordisk ยังเน้นให้เห็นมิติของความเสี่ยงข้อมูล AI ที่ไม่ค่อยได้รับความสนใจ หากข้อมูลการฝึกอบรม AI อยู่ในไฟล์ที่ถูกขโมยไปด้วย นั่นอาจหมายความว่าโปรไฟล์ด้านพฤติกรรม ชีวภาพ หรือสุขภาพที่คาดการณ์ ซึ่งสร้างจากข้อมูลนำเข้าของผู้ป่วยจริง กำลังอยู่ในมือของผู้ไม่ประสงค์ดี ดังที่เคยสำรวจไว้ในรายงาน วิธีที่ระบบ AI รวบรวมและเก็บรักษาข้อมูลส่วนบุคคล ขนาดและความคงทนของข้อมูลที่เกี่ยวข้องกับ AI สร้างความเสี่ยงที่กรอบการแจ้งเตือนการรั่วไหลแบบดั้งเดิมไม่เคยถูกออกแบบมาเพื่อจัดการ
ขั้นตอนที่ผู้ใช้ที่ใส่ใจความเป็นส่วนตัวสามารถทำได้เมื่อข้อมูลของตนอยู่บนเซิร์ฟเวอร์ขององค์กร
คำตอบที่ซื่อสัตย์ก็คือ เมื่อข้อมูลของคุณอยู่ในระบบขององค์กรแล้ว การควบคุมโดยตรงของคุณเหนือข้อมูลนั้นมีจำกัด แต่มีขั้นตอนที่มีความหมายซึ่งช่วยลดการเปิดเผยข้อมูลอย่างต่อเนื่อง และช่วยให้คุณตอบสนองได้หากข้อมูลของคุณปรากฏในการรั่วไหล
ขอให้ลบข้อมูลในกรณีที่กฎหมายอนุญาต คุณอาจมีสิทธิ์ขอให้บริษัทลบข้อมูลส่วนบุคคลของคุณ ทั้งนี้ขึ้นอยู่กับเขตอำนาจศาลของคุณ กฎหมายความเป็นส่วนตัว เช่น GDPR ในยุโรป และกฎหมายระดับรัฐต่างๆ ในสหรัฐอเมริกาให้สิทธินี้ การส่งคำขอลบข้อมูลอย่างเป็นทางการจะสร้างหลักฐานเป็นลายลักษณ์อักษร และในบางกรณียังช่วยลดปริมาณข้อมูลของคุณที่บริษัทเก็บไว้ได้จริง
เฝ้าติดตามข้อมูลของคุณในฐานข้อมูลการรั่วไหล บริการที่สแกนคลังข้อมูลการรั่วไหลที่รู้จัก สามารถแจ้งเตือนคุณได้หากที่อยู่อีเมลหรือตัวระบุอื่นๆ ของคุณปรากฏในชุดข้อมูลที่รั่วไหล วิธีนี้ไม่ได้ป้องกันการรั่วไหล แต่ให้หน้าต่างที่เร็วขึ้นในการตอบสนองเพื่อเปลี่ยนข้อมูลประจำตัวและแจ้งสถาบันการเงิน
ลดสิ่งที่คุณแบ่งปันกับนิติบุคคลองค์กรในอนาคต เมื่อลงทะเบียนในการศึกษา โปรแกรมสมาชิก หรือแอปสุขภาพ ให้ตรวจสอบอย่างละเอียดว่าข้อมูลใดที่จำเป็นจริงๆ เทียบกับข้อมูลที่ถูกขอเพียงอย่างเดียว การให้ข้อมูลที่ระบุตัวตนน้อยที่สุดจะช่วยลดรอยเท้าของคุณในการรั่วไหลที่จะเกิดขึ้น
ทำความเข้าใจว่าข้อมูลสุขภาพมีหางยาว ซึ่งแตกต่างจากข้อมูลทางการเงิน ข้อมูลสุขภาพไม่มีวันหมดอายุ ให้พิจารณาว่าข้อมูลที่แบ่งปันกับบริษัทใดๆ ที่เกี่ยวข้องกับสุขภาพในวันนี้ อาจยังคงอยู่บนเซิร์ฟเวอร์อีกห้าหรือสิบปีนับจากนี้ ซึ่งสภาพแวดล้อมของภัยคุกคามจะดูแตกต่างไปมาก
รับทราบข้อมูลอยู่เสมอว่าระบบ AI ใช้ข้อมูลของคุณอย่างไร หากบริษัทเปิดเผยว่าใช้เครื่องมือ AI ในการวิจัยหรือการดำเนินงาน นั่นเป็นสัญญาณว่าข้อมูลของคุณอาจถูกป้อนเข้าสู่ระบบที่มีนโยบายการเก็บรักษาและการเข้าถึงของตนเอง การทบทวน คู่มือปี 2026 ในการปกป้องความเป็นส่วนตัวจากการรวบรวมข้อมูลของ AI เป็นจุดเริ่มต้นที่ใช้ได้จริงในการทำความเข้าใจความเสี่ยงเหล่านั้นในแง่รูปธรรม
ภาพรวมที่ใหญ่ขึ้น
การรั่วไหลของ Novo Nordisk ไม่ใช่เหตุการณ์ที่เกิดขึ้นโดดๆ มันเป็นส่วนหนึ่งของรูปแบบที่มีการบันทึกไว้ว่าองค์กรเภสัชกรรมและการดูแลสุขภาพล้มเหลวในการปกป้องข้อมูลที่ละเอียดอ่อนซึ่งผู้ป่วยและผู้เข้าร่วมการวิจัยมอบหมายให้พวกเขาอย่างเพียงพอ สิ่งที่ทำให้กรณีนี้น่าสนใจคือปริมาณข้อมูลที่ถูกอ้างและข้อเท็จจริงที่ว่าเอกสารที่เกี่ยวข้องกับ AI อาจอยู่ในกลุ่มไฟล์ที่ถูกขโมย ซึ่งผลักดันให้การรั่วไหลเข้าสู่ขอบเขตที่กรอบการแจ้งเตือนและการตอบสนองที่มีอยู่เดิมประสบปัญหาในการจัดการ
สำหรับบุคคลทั่วไป ข้อคิดที่ได้ไม่ใช่ความรู้สึกหมดหนทาง แต่เป็นความสงสัยอย่างมีข้อมูล การทำความเข้าใจว่าข้อมูลสุขภาพของคุณถูกเก็บไว้ที่ไหนและอย่างไร สิทธิ์ที่คุณมีในการเรียกร้องให้ลบข้อมูล และการรั่วไหลของข้อมูลระดับองค์กรกลายเป็นความเสี่ยงส่วนบุคคลได้อย่างไร คือรากฐานของความเป็นส่วนตัวในทางปฏิบัติในโลกที่ข้อมูลที่ละเอียดอ่อนที่สุดของคุณมักจะอยู่บนเซิร์ฟเวอร์ของผู้อื่น เริ่มต้นด้วยทรัพยากรที่มีให้คุณ ทบทวนการเปิดเผยข้อมูลของคุณ และลงมือทำอย่างน้อยหนึ่งขั้นตอนที่เป็นรูปธรรมในสัปดาห์นี้เพื่อลดรอยเท้าของคุณในระบบที่คุณไม่สามารถควบคุมได้
