Novo Nordisk liên hệ với chính quyền về vụ rò rỉ dữ liệu 1TB bị cáo buộc

Novo Nordisk liên hệ với chính quyền về vụ rò rỉ dữ liệu 1TB bị cáo buộc

Gã khổng lồ dược phẩm Novo Nordisk đã xác nhận đang liên hệ với các cơ quan chức năng liên quan sau khi một nhóm tin tặc tuyên bố đã đánh cắp và công bố hơn một terabyte dữ liệu của công ty. Hãng dược nổi tiếng với các loại thuốc điều trị tiểu đường và giảm cân cho biết họ đang giám sát hệ thống và duy trì hoạt động bình thường trong khi điều tra sự việc được báo cáo.

Tình hình này đặt ra những câu hỏi cấp bách về cách các công ty chăm sóc sức khỏe và dược phẩm xử lý dữ liệu nhạy cảm, cũng như những gì bệnh nhân và nhân viên có thể làm khi các tổ chức mà họ tin tưởng trở thành mục tiêu.

Những gì Novo Nordisk đã nói cho đến nay

Phản ứng của Novo Nordisk mang tính thận trọng. Công ty xác nhận đã biết về các tuyên bố và cho biết đang hợp tác với các cơ quan chức năng như một phần trong kế hoạch ứng phó. Ngoài việc thừa nhận một nhóm tin tặc bị cáo buộc đã công bố dữ liệu, Novo Nordisk chưa cung cấp xác nhận chi tiết về chính xác thông tin nào bị ảnh hưởng hoặc vụ xâm phạm có thể đã xảy ra như thế nào.

Kiểu công bố thông tin hạn chế và cẩn trọng này thường thấy trong giai đoạn đầu của một sự cố mạng doanh nghiệp. Các công ty đối mặt với nhiều áp lực cạnh tranh: nghĩa vụ pháp lý phải thông báo cho các bên bị ảnh hưởng, nhu cầu vận hành là điều tra trước khi đưa ra tuyên bố chính thức, và rủi ro về danh tiếng nếu truyền thông quá mức hoặc có vẻ như đang coi nhẹ một sự kiện nghiêm trọng. Hệ quả thường là khoảng thời gian chờ đợi khiến những cá nhân có khả năng bị ảnh hưởng không có câu trả lời rõ ràng.

Theo các báo cáo riêng biệt, sự cố này có những đặc điểm phù hợp với một chiến dịch tống tiền mạng, trong đó kẻ tấn công đánh cắp dữ liệu và đe dọa công bố nếu các yêu cầu không được đáp ứng. Mô thức này ngày càng trở nên phổ biến ở nhiều ngành, nhưng nó mang trọng lượng đặc biệt trong lĩnh vực chăm sóc sức khỏe và dược phẩm, nơi dữ liệu liên quan có thể bao gồm hồ sơ lâm sàng, mã định danh bệnh nhân và nghiên cứu độc quyền.

Để có thêm bối cảnh về các tuyên bố xung quanh vụ xâm phạm này, bao gồm các chi tiết được báo cáo về loại dữ liệu bị cáo buộc liên quan, hãy xem Novo Nordisk Hit by 1.3TB Breach: Clinical Trial Data Stolen để biết thêm thông tin nền.

Tại sao các vụ xâm phạm dữ liệu dược phẩm đặc biệt nghiêm trọng

Hầu hết mọi người liên tưởng các vụ xâm phạm dữ liệu với thông tin tài chính, mật khẩu hoặc tài khoản mạng xã hội. Một vụ xâm phạm liên quan đến một công ty dược phẩm lớn mang theo những hậu quả khác biệt và có thể kéo dài hơn.

Các công ty dược nắm giữ nhiều loại dữ liệu nhạy cảm: hồ sơ người tham gia thử nghiệm lâm sàng, lịch sử sức khỏe, dữ liệu cá nhân của nhân viên, nghiên cứu phát triển thuốc độc quyền, và trong một số trường hợp, thông tin về các chuyên gia chăm sóc sức khỏe tương tác với công ty. Không giống như số thẻ tín dụng bị đánh cắp, có thể hủy và thay thế, thông tin sức khỏe là vĩnh viễn. Nó có thể bị sử dụng để gian lận bảo hiểm, trộm cắp danh tính, hoặc các cuộc tấn công lừa đảo có chủ đích khai thác kiến thức về bệnh sử của một người.

Lĩnh vực chăm sóc sức khỏe ngày càng trở thành mục tiêu hàng đầu của các nhóm tống tiền chính xác vì tính nhạy cảm này. Rủi ro đủ cao để các tổ chức có thể cảm thấy áp lực phải trả tiền chuộc, và các cơ quan quản lý ở nhiều khu vực pháp lý xử lý các vụ xâm phạm dữ liệu sức khỏe với mức độ nghiêm trọng đặc biệt. Một động thái tương tự đã diễn ra trong vụ xâm phạm iRhythm liên quan đến các ứng dụng đám mây của bên thứ ba, nơi thông tin sức khỏe bệnh nhân bị lộ thông qua các hệ thống nằm ngoài cơ sở hạ tầng trực tiếp của công ty.

Điều này có ý nghĩa gì với bạn

Nếu bạn là bệnh nhân đã tham gia các thử nghiệm lâm sàng của Novo Nordisk, đã sử dụng thuốc của hãng, hoặc nếu nhà cung cấp dịch vụ chăm sóc sức khỏe của bạn đã tương tác với công ty, khả năng dữ liệu của bạn nằm trong số bị cáo buộc đánh cắp là điều đáng để xem xét nghiêm túc, ngay cả trước khi có thông báo chính thức.

Dưới đây là những gì bạn có thể làm ngay bây giờ:

Cảnh giác với lừa đảo. Các nhóm tống tiền công bố dữ liệu bị đánh cắp thường bán hoặc phân phối nó cho các tác nhân tội phạm khác. Bạn có thể thấy gia tăng các email hoặc tin nhắn đề cập đến tình trạng sức khỏe, thuốc men hoặc chi tiết cá nhân của bạn. Hãy hết sức hoài nghi với bất kỳ liên hệ không mong muốn nào về sức khỏe của bạn.

Rà soát bảng kê bảo hiểm y tế. Các yêu cầu bồi thường gian lận sử dụng dữ liệu sức khỏe bị đánh cắp có thể xuất hiện nhiều tháng sau vụ xâm phạm. Tìm kiếm các dịch vụ bạn không nhận được hoặc nhà cung cấp bạn không đến khám.

Kiểm tra thông báo chính thức. Tùy thuộc vào nơi bạn sinh sống, Novo Nordisk có thể bị yêu cầu pháp lý phải thông báo cho các cá nhân có dữ liệu bị ảnh hưởng. Các cơ quan quản lý ở EU theo GDPR và ở Hoa Kỳ theo HIPAA (khi áp dụng) đặt ra các mốc thời gian thông báo. Hãy chú ý đến mọi thông tin liên lạc chính thức từ công ty hoặc các cơ quan y tế liên quan.

Sử dụng thông tin đăng nhập mạnh và duy nhất. Nếu bạn có bất kỳ tài khoản nào với Novo Nordisk hoặc cổng thông tin chăm sóc sức khỏe liên quan, hãy thay đổi mật khẩu và bật xác thực đa yếu tố ngay lập tức.

Cân nhắc kiểm tra quyền riêng tư. Sự cố này là một lời nhắc hữu ích để xem xét dữ liệu bạn chia sẻ với bất kỳ tổ chức nào, dù là dược phẩm hay lĩnh vực khác, và giảm thiểu việc chia sẻ dữ liệu không cần thiết nếu có thể.

Xu hướng rộng hơn đáng chú ý

Novo Nordisk không phải là trường hợp ngoại lệ. Các công ty dược phẩm và chăm sóc sức khỏe lớn đã đối mặt với làn sóng gia tăng các vụ tống tiền mạng và đánh cắp dữ liệu trong những năm gần đây. Những tổ chức này nắm giữ khối lượng khổng lồ thông tin nhạy cảm, thường trải dài trên các chuỗi cung ứng toàn cầu phức tạp, mạng lưới đối tác và các hệ thống CNTT cũ kỹ khó có thể bảo mật đồng nhất.

Điều khiến sự cố này trở nên đáng chú ý là quy mô của vụ đánh cắp bị cáo buộc và sự tham gia của các cơ quan chức năng trên khắp nhiều khu vực pháp lý có thể, do hoạt động toàn cầu của Novo Nordisk. Kết quả của cuộc điều tra này nhiều khả năng sẽ định hình cách các công ty cùng ngành tiếp cận tư thế bảo mật dữ liệu của chính họ.

Đối với cá nhân, bài học quan trọng là việc bảo vệ quyền riêng tư không thể được ủy thác hoàn toàn cho các tổ chức nắm giữ dữ liệu của bạn. Xây dựng thói quen cá nhân về tối thiểu hóa dữ liệu, vệ sinh thông tin xác thực và cảnh giác trước các kỹ thuật lừa đảo xã hội ngày càng trở nên thiết yếu, bất kể bạn làm việc trong lĩnh vực công nghệ hay chỉ đơn giản là nhận chăm sóc y tế. Hãy cảnh giác với các cập nhật chính thức từ Novo Nordisk và các cơ quan quản lý liên quan khi tình hình này tiếp tục phát triển.