Novo Nordisk ถูกโจมตีไซเบอร์ขโมยข้อมูลการทดลองคลินิกในวัน…

Novo Nordisk เผชิญการโจมตีไซเบอร์ที่ทำให้ข้อมูลของผู้เข้าร่วมการทดลองคลินิกถูกขโมยในวันเดียวกับที่ยา Wegovy ยาเม็ดลดน้ำหนักได้รับการอนุมัติให้ใช้ในสหราชอาณาจักร ทำให้บริษัทต้องจัดการกับความเสี่ยงด้านความปลอดภัยข้อมูลพร้อมกับการส่งสัญญาณว่าผลการดำเนินงานหลักไม่ได้รับผลกระทบ

Overview

บริษัทเภสัชกรรมชั้นนำจากเดนมาร์ก Novo Nordisk เปิดเผยว่ามีการเจาะระบบไอทีภายในขององค์กร ซึ่งทำให้ข้อมูลที่เกี่ยวข้องกับผู้เข้าร่วมการทดลองคลินิกถูกขโมย ข้อมูลดังกล่าวได้รับการทำให้เป็น pseudonymized ซึ่งหมายความว่าข้อมูลไม่มีการเชื่อมโยงโดยตรงกับชื่อหรือข้อมูลระบุตัวตนอื่น ๆ

การโจมตีส่งผลต่อ “จำนวนจำกัดของระบบไอทีภายใน” ของบริษัท ซึ่งบางระบบได้ถูกปิดการใช้งานเป็นการป้องกันชั่วคราว แม้บริษัทจะกล่าวว่าไม่มีความเสี่ยงทันทีต่อผู้ป่วย แต่ก็เตือนให้ผู้เกี่ยวข้องระมัดระวังการใช้ข้อมูลที่อาจถูกนำไปใช้ในกิจกรรมที่ไม่พึงประสงค์ต่อไป

Stolen Data Details

ข้อมูลที่ถูกขโมยจากการทดลองคลินิกรวมถึงหลายประเภทที่แม้จะไม่เชื่อมโยงกับชื่อผู้ป่วยโดยตรง แต่ยังคงให้ข้อมูลส่วนบุคคลที่สำคัญ ได้แก่

• patient ID
• ข้อมูลการเข้าร่วมการทดลอง, เพศ, ปีเกิด
• biomarkers, ข้อมูลสุขภาพ/การตอบสนองต่อภูมิคุ้มกัน
• ปัจจัยการใช้ชีวิตเช่น สถานะการสูบบุหรี่, การดื่มแอลกอฮอล์, BMI

บริษัทระบุว่า “ข้อมูลนี้ไม่ได้เชื่อมโยงโดยตรงกับชื่อหรือข้อมูลระบุตัวตนอื่น ๆ” ดังนั้นการระบุตัวผู้เข้าร่วมการทดลองโดยตรงจากข้อมูลที่ถูกขโมยจึงเป็นไปได้ยาก อย่างไรก็ตาม การเปิดเผยข้อมูลดังกล่าวอาจทำให้ผู้ที่มีข้อมูลพื้นฐานเช่นชื่อหรือรหัสผู้ป่วยสามารถทำการเชื่อมโยงได้หากเข้าถึงข้อมูลอื่นเพิ่มเติม

Company Response

หลังจากเหตุการณ์ Novo Nordisk ได้ดำเนินการหลายขั้นตอนเพื่อจำกัดผลกระทบและป้องกันการโจมตีในอนาคต

• บริษัทได้ปิดระบบที่ได้รับผลกระทบและทำงานร่วมกับผู้เชี่ยวชาญภายนอกเพื่อสืบสวนเหตุการณ์
• จัดทำหน้าเว็บเฉพาะเพื่อให้ข้อมูลแก่สาธารณะและผู้ที่อาจได้รับผลกระทบ
• ส่งจดหมายแจ้งเตือนถึงพันธมิตรด้านการดูแลสุขภาพ (HCPs) เกี่ยวกับข้อมูลส่วนบุคคลที่อาจถูกขโมย

ข้อมูลของ HCPs ที่อาจถูกรั่วไหลรวมถึง

• ชื่อและเลขทะเบียนผู้ปฏิบัติงาน
• ที่อยู่อีเมล, หมายเลขโทรศัพท์, รายละเอียด WhatsApp
• ที่ตั้งสำนักงาน

บริษัทเตือนว่าข้อมูลเหล่านี้อาจทำให้เกิดการโจมตีแบบฟิชชิงผ่านช่องทางอีเมล โทรศัพท์ หรือ WhatsApp และแนะนำให้ผู้รับแจ้งให้ตรวจสอบข้อความหรือการติดต่อที่ไม่คาดคิดและรายงานกิจกรรมที่น่าสงสัยกลับไปยังบริษัททันที

Business Impact

แม้เหตุการณ์การโจมตีจะสร้างความกังวลด้านความปลอดภัยข้อมูล บริษัทยืนยันว่า การดำเนินงานหลักของ Novo Nordisk ยังคงทำงานตามปกติและไม่มีการหยุดชะงักของการผลิตหรือการจัดจำหน่ายยาใด ๆ ระบบที่ได้รับผลกระทบอาจต้องใช้เวลานานกว่าจะกลับมาทำงานได้เต็มที่ แต่บริษัทมุ่งเน้นการทำให้ระบบกลับมาทำงาน “อย่างเป็นระบบและปลอดภัย”

การสื่อสารต่อสาธารณชนและพันธมิตรอย่างต่อเนื่องช่วยลดความเสี่ยงต่อความเสียหายด้านภาพลักษณ์และความเชื่อมั่นของผู้บริโภค ซึ่งเป็นปัจจัยสำคัญสำหรับบริษัทที่มีพนักงานประมาณ 67,900 คน กระจายอยู่ใน 80 ประเทศทั่วโลก

Regulatory Context

เหตุการณ์นี้เกิดขึ้นในวันเดียวกับที่ Wegovy ยาเม็ดลดน้ำหนักของบริษัทได้รับการอนุมัติจากหน่วยงานกำกับดูแลของสหราชอาณาจักรให้เป็นผลิตภัณฑ์ GLP‑1 แบบเม็ดแรกที่ใช้วันละหนึ่งครั้ง การอนุมัตินี้ทำให้ Wegovy เข้าร่วมรายการยาที่ได้รับการรับรองสำหรับการจัดการน้ำหนักที่เคยมีอยู่แค่รูปแบบฉีด (เช่น Ozempic) เท่านั้น

การเปิดตัวผลิตภัณฑ์ใหม่ในขณะเดียวกับการเผชิญเหตุการณ์ความปลอดภัยไซเบอร์ทำให้บริษัทต้องจัดการกับสองประเด็นสำคัญพร้อมกัน: การส่งเสริมการใช้ยาที่ได้รับการอนุมัติใหม่และการรักษาความเชื่อมั่นของผู้ป่วยและผู้ร่วมงานต่อระบบข้อมูลของบริษัท

Summary

Novo Nordisk รายงานว่าข้อมูลการทดลองคลินิกบางส่วนถูกขโมยในเหตุการณ์ไซเบอร์ที่ส่งผลต่อระบบไอทีจำนวนจำกัด โดยข้อมูลที่ถูกขโมยเป็นแบบ pseudonymized และบริษัทได้ดำเนินการปิดระบบที่ได้รับผลกระทบ พร้อมแจ้งเตือนผู้เกี่ยวข้องเพื่อป้องกันการฟิชชิง เหตุการณ์นี้เกิดขึ้นในวันเดียวกับที่ยา Wegovy เม็ดแรกสำหรับ GLP‑1 ได้รับการอนุมัติในสหราชอาณาจักร แต่บริษัทยืนยันว่าการดำเนินงานหลักยังคงทำงานตามปกติ.