Novo Nordisk báo cáo vụ tấn công mạng, dữ liệu thử nghiệm lâm sàng bị lộ

Tập đoàn dược phẩm khổng lồ Novo Nordisk, nhà sản xuất thuốc giảm cân Wegovy, vừa xác nhận rằng dữ liệu liên quan đến người tham gia thử nghiệm lâm sàng đã bị đánh cắp trong một cuộc tấn công mạng.

Công ty cho biết dữ liệu bệnh nhân bị ảnh hưởng đã được giả danh (pseudonymized) và không liên kết trực tiếp với tên hoặc các định danh cụ thể khác.

Dữ liệu bị lộ và đánh cắp

Novo Nordisk cho biết các loại dữ liệu bị ảnh hưởng bao gồm mã định danh bệnh nhân, thông tin về việc tham gia thử nghiệm, giới tính, năm sinh, các chỉ số sinh học (biomarkers), dữ liệu sức khỏe/miễn dịch và các yếu tố lối sống như tình trạng hút thuốc, sử dụng rượu và chỉ số BMI.

"Thông tin này không được liên kết trực tiếp với bất kỳ bệnh nhân nào bằng tên hoặc các định danh trực tiếp khác," Novo Nordisk tuyên bố trên trang web chuyên biệt dành cho sự việc này.

Công ty giải thích thêm: "Thông tin về danh tính sẽ đòi hỏi quyền truy cập vào thông tin cơ bản, xác định bệnh nhân bằng tên v.v. Thông tin này không bị lộ. Do đó, chúng tôi không coi sự việc này cho phép bất kỳ bên thứ ba nào xác định người tham gia trong các thử nghiệm lâm sàng của chúng tôi."

Cảnh báo về lừa đảo (Phishing)

Mặc dù dữ liệu bệnh nhân được cho là relatively an toàn do tính chất giả danh, nhưng một bức thư riêng gửi cho các đối tác chăm sóc sức khỏe (HCPs) của công ty lại cảnh báo về rủi ro cao hơn.

Bức thư cho biết thêm thông tin cá nhân có thể đã bị đánh cắp, bao gồm tên, số đăng ký, địa chỉ email, số điện thoại, chi tiết WhatsApp và địa điểm văn phòng.

"Dựa trên bản chất của dữ liệu bị lộ, hậu quả tiềm tàng của sự cố bao gồm các nỗ lực lừa đảo có chủ đích thông qua email, điện thoại và WhatsApp, hoặc các giao tiếp lừa đảo mạo danh đồng nghiệp," Novo Nordisk cảnh báo.

Công ty khuyến nghị các đối tác y tế nên cảnh giác trước những tin nhắn hoặc cuộc gọi bất ngờ và báo cáo mọi hoạt động đáng ngờ.

Tác động đến hệ thống

Tuyên bố của Novo Nordisk xác nhận rằng cuộc tấn công đã ảnh hưởng đến "một số lượng hạn chế các hệ thống CNTT nội bộ". Công ty đã ngắt một số hệ thống ngoại tuyến như một biện pháp phòng ngừa.

Mặc dù không tin rằng có rủi ro ngay lập tức từ vụ vi phạm dữ liệu này, công ty vẫn cảnh báo bệnh nhân và đối tác cần cảnh giác với bất kỳ điều gì có thể liên quan đến dữ liệu bị đánh cắp.

Novo Nordisk cho biết việc đưa các hệ thống này trở lại trực tuyến có thể mất thời gian và họ đang nỗ lực thực hiện điều này "một cách được kiểm soát và an toàn". Các chuyên gia bên ngoài đã được gọi vào để hỗ trợ điều tra, tuy nhiên quy mô của vụ việc chưa được xác nhận cho đến khi có đánh giá thiệt hại đầy đủ.

Bối cảnh kinh doanh

Vụ tấn công mạng được công bố vào một ngày mà lẽ ra là ngày ăn mừng của Novo Nordisk. Chỉ vài giờ trước đó, thuốc giảm cân và điều trị tiểu đường dạng viên uống hàng ngày semaglutide của họ đã nhận được sự chấp thuận để trở thành viên nén GLP-1 đầu tiên tại Anh.

Viên nén Wegovy này gia nhập danh sách các phương pháp điều trị quản lý cân nặng được chấp thuận hoạt động như chất chủ động thụ thể GLP-1. Tất cả các phương pháp điều trị được chấp thuận khác đều dưới dạng tiêm, bao gồm cả Wegovy và Ozempic.

Công ty có trụ sở tại Đan Mạch này hiện employs khoảng 67.900 người tại 80 quốc gia và tiếp thị sản phẩm tại hầu hết mọi quốc gia trên toàn cầu. Novo Nordisk khẳng định cuộc tấn công không có ảnh hưởng đến các hoạt động kinh doanh cốt lõi, mọi thứ vẫn đang vận hành bình thường.