Khi công nghệ sinh học bị “bắt bài”: Bài học xương máu từ vụ hack của Tập đoàn Novo Nordisk. Liệu thứ mà hacker nhắm đến thực sự là dữ liệu bệnh nhân, hay là một “quân bài chiến lược” tàn khốc hơn nhằm bóp nghẹt cả một ngành công nghiệp nghìn tỷ đô?
Theo trang tin BioIntel, một vụ tấn công an ninh mạng nhằm vào Công ty chăm sóc sức khoẻ và dược phẩm đa quốc gia Novo Nordisk đang thu hút sự chú ý của ngành công nghệ sinh học toàn cầu sau khi dẫn đến việc truy cập trái phép vào dữ liệu thử nghiệm lâm sàng. Dù công ty khẳng định dữ liệu bị lộ không đủ để nhận diện trực tiếp những người tham gia nghiên cứu, sự cố vẫn làm dấy lên những lo ngại đáng kể về khả năng bảo vệ dữ liệu y tế nhạy cảm trong bối cảnh ngành dược phẩm ngày càng phụ thuộc vào các nền tảng số.
Ngành công nghệ sinh học dược phẩm đang bước vào giai đoạn phát triển mạnh mẽ nhờ sự hỗ trợ của các công nghệ số. Những nền tảng nghiên cứu hiện đại, hệ thống thu thập dữ liệu điện tử và các mô hình thử nghiệm lâm sàng tiên tiến đang góp phần rút ngắn thời gian phát triển thuốc cũng như nâng cao hiệu quả nghiên cứu. Tuy nhiên, quá trình chuyển đổi số cũng kéo theo những rủi ro mới. Vụ việc tại Novo Nordisk, một trong những tập đoàn dược phẩm đa quốc gia hàng đầu thế giới, cho thấy các tổ chức nghiên cứu y sinh hiện không chỉ phải giải quyết những thách thức khoa học mà còn phải đối mặt với áp lực bảo vệ khối lượng dữ liệu có giá trị đặc biệt lớn.
Theo thông tin do công ty công bố, một bên không được phép đã truy cập vào dữ liệu liên quan đến các bệnh nhân tham gia những thử nghiệm lâm sàng do Novo Nordisk tài trợ hoặc trực tiếp thực hiện. Dù chưa tiết lộ chi tiết về phạm vi cũng như phương thức tấn công, công ty cho biết dữ liệu bị truy cập không đủ để các đối tượng trái phép có thể nhận diện trực tiếp từng người tham gia nghiên cứu trong điều kiện thông thường. Công ty Novo Nordisk cũng đã tiến hành rà soát các biện pháp bảo mật, đồng thời thông báo sự cố tới các cơ quan chức năng và các bên liên quan. Song song với đó, công ty khuyến cáo những người tham gia thử nghiệm lâm sàng cần nâng cao cảnh giác trước nguy cơ dữ liệu cá nhân có thể bị lợi dụng.
Vì sao dữ liệu thử nghiệm lâm sàng trở thành “mỏ vàng” của tin tặc?
Trong những năm gần đây, ngành dược phẩm đã trở thành một trong những mục tiêu hấp dẫn nhất đối với tội phạm mạng và các nhóm tấn công được nhà nước hậu thuẫn. Nguyên nhân nằm ở giá trị đặc biệt của lượng dữ liệu mà các doanh nghiệp dược đang nắm giữ. Không chỉ lưu trữ bí mật thương mại, dữ liệu nghiên cứu hay các công thức độc quyền, các công ty dược còn quản lý khối lượng lớn thông tin sức khỏe cá nhân (PHI) của bệnh nhân và người tham gia thử nghiệm lâm sàng. Những bộ dữ liệu này thường chứa thông tin nhân khẩu học, hồ sơ về các biến cố bất lợi, dữ liệu dấu ấn sinh học (biomarker) và trong một số trường hợp còn bao gồm các danh tính chưa được làm mờ (unblinded identities), vốn có vai trò quan trọng đối với tính chính xác khoa học và yêu cầu tuân thủ quy định. Chính sự kết hợp giữa giá trị thương mại, giá trị nghiên cứu và mức độ nhạy cảm cao của dữ liệu đã khiến các doanh nghiệp dược phẩm trở thành mục tiêu đặc biệt hấp dẫn.
Hệ quả của các cuộc tấn công không chỉ dừng lại ở thiệt hại tài chính mà còn có thể ảnh hưởng đến sức khỏe cộng đồng, quyền sở hữu trí tuệ và quyền riêng tư của hàng triệu cá nhân. Chính vì vậy, các đơn vị tài trợ thử nghiệm lâm sàng hiện phải tuân thủ những quy định bảo vệ dữ liệu nghiêm ngặt trên toàn cầu, trong đó có “Đạo luật về trách nhiệm Giải trình và Cung cấp bảo hiểm y tế” (HIPAA) tại Mỹ và “Quy định chung về bảo vệ dữ liệu” (GDPR) tại Liên minh châu Âu. Những quy định này yêu cầu doanh nghiệp phải bảo vệ thông tin sức khỏe cá nhân, đồng thời nhanh chóng báo cáo các sự cố vi phạm dữ liệu tới cơ quan quản lý và trong một số trường hợp là tới chính những người bị ảnh hưởng.
Tuy nhiên, khi ngành dược đẩy mạnh chuyển đổi số, bề mặt tấn công cũng ngày càng mở rộng. Các nghiên cứu lâm sàng hiện nay đang tích hợp ngày càng nhiều hệ thống thu thập dữ liệu điện tử, nền tảng tương tác trực tiếp với bệnh nhân, dịch vụ khám chữa bệnh từ xa (telemedicine) và các công cụ quản lý nghiên cứu dựa trên nền tảng số. Mỗi điểm kết nối mới này đều có thể trở thành một cửa ngõ tiềm năng cho các cuộc xâm nhập mạng. Trong trường hợp của Novo Nordisk, công ty nhấn mạnh rằng dữ liệu bị truy cập không cho phép nhận diện trực tiếp người tham gia nghiên cứu. Tuy nhiên, giới chuyên gia an ninh mạng từ lâu đã cảnh báo về nguy cơ tái nhận diện gián tiếp. Ngay cả khi tên, địa chỉ hoặc các thông tin định danh trực tiếp không bị lộ, việc kết hợp dữ liệu nhân khẩu học với dữ liệu lâm sàng vẫn có thể tạo điều kiện cho các đối tượng xấu khai thác thông qua các công cụ phân tích dữ liệu tiên tiến hoặc bằng cách đối chiếu với những tập dữ liệu bị rò rỉ khác.
Mặc dù khẳng định chưa có dấu hiệu cho thấy dữ liệu bị truy cập có thể dẫn tới việc nhận diện cá nhân, Novo Nordisk vẫn khuyến cáo những người tham gia thử nghiệm duy trì sự cảnh giác. Theo các khuyến nghị tiêu chuẩn sau những sự cố liên quan đến dữ liệu cá nhân, người dùng nên chú ý theo dõi các email, tin nhắn hoặc cuộc gọi đáng ngờ, đặc biệt là những trường hợp giả mạo Novo Nordisk hoặc các đối tác của công ty. Bên cạnh đó, việc thường xuyên kiểm tra thông tin tín dụng và bảo hiểm y tế cũng được xem là cần thiết nhằm phát hiện sớm các hoạt động bất thường. Công ty đồng thời khuyến khích người tham gia báo cáo mọi dấu hiệu khả nghi cho Novo Nordisk và các cơ quan chức năng liên quan. Việc duy trì các thói quen bảo mật cơ bản như không chia sẻ mật khẩu, sử dụng xác thực đa yếu tố và thận trọng với các liên kết hoặc tệp đính kèm từ nguồn không xác thực cũng được nhấn mạnh như những biện pháp phòng ngừa quan trọng. Những khuyến nghị này phản ánh thực tế rằng tác động của một vụ vi phạm dữ liệu không phải lúc nào cũng xuất hiện ngay lập tức mà có thể kéo dài trong nhiều tháng, thậm chí nhiều năm sau khi sự cố xảy ra.
Vụ việc tại Novo Nordisk không phải là trường hợp cá biệt. Trong ba năm gần đây, nhiều công ty khoa học sự sống, tổ chức nghiên cứu theo hợp đồng và hệ thống y tế trên thế giới đã ghi nhận các vụ xâm nhập mạng nghiêm trọng. Các hình thức tấn công phổ biến nhất hiện nay bao gồm tấn công giả mạo (phishing), tống tiền (ransomware) và các chiến dịch đánh cắp dữ liệu quy mô lớn. Những cuộc tấn công này có thể làm gián đoạn hoạt động nghiên cứu lâm sàng, khiến dữ liệu bệnh nhân bị lộ và kéo theo nhiều nghĩa vụ pháp lý theo các quy định bảo vệ quyền riêng tư hiện hành.
Niềm tin của bệnh nhân trở thành tài sản quan trọng nhất
Bên cạnh các vấn đề kỹ thuật, vụ việc còn làm nổi bật yếu tố cốt lõi của mọi chương trình nghiên cứu lâm sàng, đó là niềm tin của người tham gia. Những người tình nguyện tham gia nghiên cứu đang đóng góp trực tiếp cho sự tiến bộ của y học và họ có quyền kỳ vọng rằng thông tin cá nhân của mình sẽ được bảo vệ theo những tiêu chuẩn cao nhất. Vì vậy, trách nhiệm của các nhà tài trợ nghiên cứu không chỉ nằm ở việc bảo vệ dữ liệu mà còn ở khả năng truyền thông minh bạch khi xảy ra sự cố. Việc thông báo kịp thời cho người tham gia nghiên cứu và các cơ quan quản lý giúp các bên liên quan có thể chủ động thực hiện các biện pháp phòng ngừa cần thiết, đồng thời góp phần duy trì tính toàn vẹn của hệ sinh thái nghiên cứu khoa học. Đối với các doanh nghiệp dược phẩm, giao tiếp rõ ràng và chủ động cũng là biểu hiện của trách nhiệm doanh nghiệp và là yếu tố quan trọng để duy trì niềm tin của công chúng.
Có thể nói rằng, vụ việc tại Novo Nordisk tiếp tục củng cố nhận thức đang hình thành trong toàn ngành rằng: an ninh mạng không còn là một chức năng hỗ trợ đơn thuần mà đã trở thành nền tảng cốt lõi của hoạt động nghiên cứu, phát triển và thương mại hóa dược phẩm. Trong thời gian tới, các công ty công nghệ sinh học dược phẩm được dự báo sẽ tiếp tục tăng cường đầu tư vào các công nghệ mã hóa và ẩn danh hóa dữ liệu tiên tiến, triển khai các cuộc kiểm toán an ninh mạng độc lập. Đồng thời, đẩy mạnh đào tạo nhân viên và nhà thầu nhằm nhận diện các hình thức lừa đảo số, xây dựng các đội phản ứng sự cố chuyên trách và mở rộng hợp tác với cơ quan quản lý cũng như các tổ chức trong ngành để chia sẻ những thông lệ tốt nhất.
Dù Novo Nordisk khẳng định sự cố hiện không ảnh hưởng đến khả năng nhận diện trực tiếp những người tham gia thử nghiệm lâm sàng, tuy nhiên vụ việc vẫn là lời nhắc nhở mạnh mẽ rằng dữ liệu y tế và dữ liệu nghiên cứu đang trở thành một trong những tài sản nhạy cảm nhất của nền kinh tế số. Khi ngành công nghệ sinh học dược phẩm tiếp tục tiến sâu vào kỷ nguyên số hóa, mối quan hệ giữa quyền riêng tư, niềm tin của bệnh nhân và trách nhiệm giải trình của doanh nghiệp sẽ ngày càng đóng vai trò quyết định đối với sự phát triển bền vững của toàn ngành.
Nguồn: BioIntel
