Novo Nordisk bị tấn công mạng, đánh cắp 1.3TB dữ liệu thử nghiệm lâm sàng
Novo Nordisk, gã khổng lồ dược phẩm Đan Mạch đứng sau các loại thuốc bom tấn Ozempic và Wegovy, đang đối mặt với cuộc khủng hoảng nghiêm trọng về quyền riêng tư dữ liệu dược phẩm sau khi tin tặc tuyên bố đã đánh cắp 1.3 terabyte tệp tin nội bộ nhạy cảm. Nhóm đứng sau vụ tấn công cho biết kho dữ liệu này bao gồm dữ liệu thử nghiệm lâm sàng và các tài liệu liên quan đến AI, và được cho là đã bắt đầu phát tán một phần nội dung bị đánh cắp lên mạng. Đối với một công ty đang nắm giữ vị trí trung tâm của một trong những nhóm thuốc có ý nghĩa thương mại bậc nhất trong y học hiện đại, thời điểm và quy mô của vụ vi phạm này đặt ra những câu hỏi lớn về cách thức ngay cả những tập đoàn có nguồn lực tốt nhất thế giới xử lý dữ liệu của bệnh nhân và người tham gia nghiên cứu.
Những gì đã bị đánh cắp và Novo Nordisk đã xác nhận điều gì
Những kẻ tấn công tuyên bố đã lấy cắp 1.3TB dữ liệu, một khối lượng cho thấy điều gì đó vượt xa một vụ cướp chớp nhoáng có chủ đích. Các tệp được mô tả là hồ sơ thử nghiệm lâm sàng và tài liệu phát triển AI được cho là có trong kho dữ liệu bị rò rỉ. Dữ liệu thử nghiệm lâm sàng thuộc nhóm thông tin sức khỏe nhạy cảm nhất hiện có: nó có thể bao gồm tiền sử bệnh án của người tham gia, phản ứng với liều dùng, hồ sơ các biến cố bất lợi và các chi tiết nhận dạng thường chi tiết hơn nhiều so với những gì xuất hiện trong một hồ sơ bệnh nhân thông thường.
Tính đến thời điểm đưa tin, Novo Nordisk chưa công khai xác nhận toàn bộ phạm vi vụ vi phạm hoặc liệu dữ liệu của bệnh nhân và người tham gia thử nghiệm có bị xâm phạm một cách chắc chắn hay không. Sự im lặng đó, dù thận trọng về mặt pháp lý, khiến các cá nhân gần như không có khả năng đánh giá mức độ rủi ro của chính mình. Quyết định bắt đầu phát tán tệp tin một cách chủ động của tin tặc càng gây thêm áp lực, bởi dữ liệu bị rò rỉ khi đã đến các chợ đen tội phạm hoặc các diễn đàn mở thì gần như không thể thu hồi.
Vì sao các hãng dược phẩm lớn là mục tiêu giá trị cao của các nhóm ransomware
Các công ty dược phẩm đã trở thành một trong những mục tiêu hấp dẫn nhất trong hệ sinh thái tội phạm mạng. Lý do không chỉ đơn thuần là cơ hội. Các tổ chức này nắm giữ một tổ hợp đặc biệt dày đặc gồm sở hữu trí tuệ, dữ liệu sức khỏe được quản lý chặt chẽ và bí mật thương mại, tất cả đều mang lại những điểm đòn bẩy khác nhau cho những kẻ tấn công.
Với một công ty như Novo Nordisk, vốn đã tạo ra doanh thu phi thường từ các chất chủ vận thụ thể GLP-1 và đầu tư mạnh mẽ vào việc khám phá thuốc có sự trợ giúp của AI, thì các kho dữ liệu này có giá trị vô cùng lớn. Dữ liệu thử nghiệm lâm sàng có thể được sử dụng để làm suy yếu các đối thủ cạnh tranh, bán cho các tổ chức do nhà nước bảo trợ muốn đẩy nhanh chương trình thuốc của chính họ, hoặc đơn giản là bị vũ khí hóa như một đòn bẩy trong yêu cầu tiền chuộc. Dữ liệu huấn luyện AI và trọng số mô hình, nếu nằm trong số các tệp bị đánh cắp, đại diện cho nhiều năm đầu tư nghiên cứu mà không thể đơn giản xây dựng lại.
Lĩnh vực dược phẩm cũng thể hiện những điểm yếu về mặt cấu trúc. Các tổ chức toàn cầu lớn dựa vào các mạng lưới phức tạp gồm các tổ chức nghiên cứu hợp đồng, các bên xử lý dữ liệu bên thứ ba và các đối tác học thuật. Mỗi kết nối là một điểm xâm nhập tiềm năng. Ngay cả các công ty có tư thế an ninh nội bộ mạnh mẽ cũng có thể bị xâm phạm thông qua một nhà cung cấp hoặc đối tác có hàng phòng thủ yếu hơn.
Các vụ vi phạm doanh nghiệp khiến dữ liệu sức khỏe cá nhân gặp rủi ro như thế nào
Hầu hết những người tham gia các thử nghiệm lâm sàng liên quan đến Ozempic hoặc của Novo Nordisk có thể đã ký các mẫu đơn chấp thuận và cho rằng dữ liệu của họ sẽ được bảo vệ theo các khuôn khổ đạo đức nghiên cứu tiêu chuẩn. Điều mà các khuôn khổ đó hiếm khi truyền đạt rõ ràng là rủi ro tồn dư tồn tại khi dữ liệu nhạy cảm nằm trên máy chủ của doanh nghiệp vô thời hạn, rất lâu sau khi thử nghiệm kết thúc.
Khi một vụ vi phạm xảy ra, dữ liệu đó không biến mất. Nó đi vào một thị trường thứ cấp, nơi nó có thể được kết hợp với các tập dữ liệu bị rò rỉ khác, một quá trình đôi khi được gọi là làm giàu dữ liệu, để xây dựng các hồ sơ chi tiết về các cá nhân vượt xa những gì được thu thập ban đầu. Dữ liệu sức khỏe đặc biệt lâu bền bởi vì các tình trạng bệnh, phương pháp điều trị và các yếu tố di truyền không thay đổi như số thẻ tín dụng.
Đây là một phần của xu hướng rộng lớn hơn, trong đó dữ liệu cá nhân, một khi đã trao cho một tập đoàn, phần lớn nằm ngoài tầm kiểm soát của cá nhân. Như các bài viết về AI và các khuôn khổ giám sát của chính phủ đã chỉ ra, ranh giới giữa việc thu thập dữ liệu doanh nghiệp và sự truy cập của các thể chế ngày càng trở nên lỏng lẻo. Dữ liệu bắt đầu từ một thử nghiệm lâm sàng có thể, trong những điều kiện pháp lý nhất định, kết thúc ở những bối cảnh mà các cá nhân chưa bao giờ lường trước.
Vụ vi phạm Novo Nordisk cũng làm nổi bật một khía cạnh ít được chú ý của rủi ro dữ liệu AI. Nếu dữ liệu huấn luyện AI nằm trong số các tệp bị đánh cắp, điều đó có thể có nghĩa là các hồ sơ sức khỏe về hành vi, sinh học hoặc tiên đoán được xây dựng từ dữ liệu đầu vào thực của bệnh nhân hiện đang nằm trong những bàn tay không xác định. Như đã khám phá trong bài viết về cách các hệ thống AI thu thập và lưu giữ dữ liệu cá nhân, quy mô và tính lâu dài của dữ liệu liên quan đến AI tạo ra những rủi ro mà các khuôn khổ thông báo vi phạm truyền thống chưa bao giờ được thiết kế để xử lý.
Các bước người dùng quan tâm đến quyền riêng tư có thể thực hiện khi dữ liệu của họ nằm trên máy chủ doanh nghiệp
Câu trả lời trung thực là một khi dữ liệu của bạn đã ở trong hệ thống doanh nghiệp, quyền kiểm soát trực tiếp của bạn đối với nó rất hạn chế. Nhưng có những bước đi ý nghĩa để giảm thiểu rủi ro đang diễn ra và giúp bạn ứng phó nếu thông tin của bạn xuất hiện trong một vụ vi phạm.
Yêu cầu xóa dữ liệu khi được pháp luật cho phép. Tùy thuộc vào khu vực pháp lý của bạn, luật về quyền riêng tư có thể cho bạn quyền yêu cầu một công ty xóa dữ liệu cá nhân của bạn. GDPR ở châu Âu và nhiều luật cấp tiểu bang khác nhau ở Hoa Kỳ cung cấp các quyền này. Việc gửi yêu cầu xóa chính thức sẽ tạo ra dấu vết giấy tờ và trong một số trường hợp, thực sự làm giảm khối lượng dữ liệu của bạn mà một công ty nắm giữ.
Giám sát dữ liệu của bạn trong các cơ sở dữ liệu vi phạm. Các dịch vụ quét các kho lưu trữ vi phạm đã biết có thể cảnh báo bạn nếu địa chỉ email hoặc các định danh khác của bạn xuất hiện trong các tập dữ liệu bị rò rỉ. Điều này không ngăn chặn được vi phạm nhưng cho bạn một cửa sổ ứng phó nhanh hơn để thay đổi thông tin đăng nhập và thông báo cho các tổ chức tài chính.
Giảm thiểu những gì bạn chia sẻ với các thực thể doanh nghiệp trong tương lai. Khi đăng ký tham gia các nghiên cứu, chương trình khách hàng thân thiết hoặc ứng dụng sức khỏe, hãy xem xét kỹ lưỡng dữ liệu nào thực sự cần thiết so với dữ liệu nào chỉ đơn giản được yêu cầu. Cung cấp tối thiểu thông tin định danh sẽ làm giảm dấu vết của bạn trong bất kỳ vụ vi phạm cuối cùng nào.
Hiểu rằng dữ liệu sức khỏe có đuôi dài. Không giống như thông tin tài chính, thông tin sức khỏe không hết hạn. Hãy cân nhắc rằng dữ liệu được chia sẻ với bất kỳ công ty liên quan đến sức khỏe nào ngày hôm nay có thể vẫn còn nằm trên một máy chủ sau năm hay mười năm nữa, khi môi trường đe dọa trông rất khác.
Luôn cập nhật thông tin về cách các hệ thống AI sử dụng dữ liệu của bạn. Nếu một công ty tiết lộ rằng họ sử dụng các công cụ AI trong nghiên cứu hoặc hoạt động của mình, đó là tín hiệu cho thấy dữ liệu của bạn có thể được đưa vào các hệ thống với các chính sách lưu giữ và truy cập riêng. Xem lại hướng dẫn năm 2026 về bảo vệ quyền riêng tư khỏi việc thu thập dữ liệu AI của chúng tôi là điểm khởi đầu thiết thực để hiểu những rủi ro đó bằng các thuật ngữ cụ thể.
Bức tranh lớn hơn
Vụ vi phạm Novo Nordisk không phải là một sự cố cá biệt. Nó là một phần của mô hình đã được ghi nhận về việc các tổ chức dược phẩm và chăm sóc sức khỏe không bảo vệ đầy đủ dữ liệu nhạy cảm được bệnh nhân và người tham gia nghiên cứu ủy thác cho họ. Điều khiến trường hợp này trở nên đáng chú ý là khối lượng dữ liệu tuyệt đối bị tuyên bố và thực tế là các tài liệu liên quan đến AI có thể nằm trong số các tệp bị đánh cắp, đẩy vụ vi phạm vào lãnh thổ mà các khuôn khổ thông báo và ứng phó hiện tại phải vật lộn để giải quyết.
Đối với các cá nhân, bài học rút ra không phải là sự bất lực mà là sự hoài nghi có hiểu biết. Hiểu cách thức và địa điểm dữ liệu sức khỏe của bạn được lưu trữ, bạn có những quyền gì để yêu cầu xóa nó, và các vụ vi phạm doanh nghiệp chuyển thành rủi ro cá nhân ra sao, là nền tảng của quyền riêng tư thực tế trong một thế giới nơi thông tin nhạy cảm nhất của bạn thường xuyên nằm trên máy chủ của người khác. Hãy bắt đầu với các nguồn lực có sẵn cho bạn, xem xét mức độ lộ dữ liệu của bạn và thực hiện ít nhất một bước cụ thể trong tuần này để giảm dấu vết của bạn trong các hệ thống mà bạn không thể kiểm soát.
