En el marc de l’esdeveniment de referència nacional de Ciberseguretat, ENISE, que organitza l’INCIBE, Javier Zubieta, director de Màrqueting i Comunicació de Secure e-Solutions de GMV, va dur a terme una presentació sobre la naturalesa sensible de les dades de salut i les estratègies que GMV utilitza per garantir la seva privadesa. Es va centrar en el treball que la companyia està duent a terme per al projecte HARMONY, el consorci publicoprivat més gran en l’àmbit europeu centrat en l’estudi de neoplàsies hematològiques (53 socis d’11 països). HARMONY forma part del programa publicoprivat Big Data for Better Outcomes de l’organisme europeu Innovative Medicines Initiative (IMI), finançat a parts iguals per la Comissió Europea i la Federació Europea d’Associacions de la Indústria Farmacèutica (EFPIA, en les seves sigles en anglès).

HARMONY combina dades clíniques d’alta qualitat amb dades úniques per optimitzar i precisar els tractaments en pacients amb malalties hematològiques i abasta tots els perfils involucrats: pacients, professionals de la salut, associacions reguladores, HTA, indústria farmacèutica i acadèmia. Com va detallar Zubieta, a més d’avaluar les fonts per mesurar el nivell de qualitat de les seves dades clíniques, “integra múltiples fonts de dades amb informació i tipus, molt heterogenis utilitzant un model de dades comú” amb el qual es busca “obtenir respostes i conclusions derivades de l’anàlisi en conjunt de diverses fonts de dades, cosa que no seria possible a partir d’una única font”. Així mateix, per garantir la privadesa de les dades, es “defineixen els fluxos de dades complint la RGPD a través de l’anonimització, amb el suport de comitès ètics i experts legals i cooperant amb altres projectes sota el paraigua del BD4BO”.

La investigació mèdica, tal com va assenyalar l’expert en Ciberseguretat, “requereix dades reals, veraces i d’alta qualitat que són considerades especialment sensibles, per la qual cosa només poden emprar-se en un marc que garanteixi completament la privadesa dels seus titulars: els pacients”. Per preservar-la, un requeriment és que siguin anònimes, i “en aquest procés d’anonimització cal aplicar els principis Cavoukian de Privacy-by-design, o els de l’ISO 29100 ”.

En el cas concret d’HARMONY, segons va explicar Zubieta, es van dur a terme diverses accions per garantir la privadesa, entre aquestes, “una anàlisi de riscos enfocat a la privadesa de les dades: Quines dades necessitaré? Com les tractaré? Involucrant a tots els perfils del projecte, clínic, legal, ètic, tècnic i tenint en compte totes les lleis que apliquen tant el Reglament europeu de protecció de dades com la Llei orgànica de protecció de dades d’Espanya, i lleis homòlogues de la resta dels països participants”. Una vegada identificats els riscos, “cal aplicar tots els controls de seguretat per reduir el risc i assegurar la privadesa, eines disponibles: estàndards, ISO 27002...”.

I considerant les diferents opcions amb les quals es podria haver dut a terme l’anonimització  de les dades que ja s’han bolcat en la plataforma i continuaran bolcant-se procedents d’institucions públiques i grups cooperatius nacionals i europeus que hi aporten les dels seus malalts, així com les provinents dels assajos clínics duts a terme per la indústria farmacèutica, finalment s’ha optat per l’anonimització de facto, aplicant “mesures tècniques, organitzatives, contractuals i de seguretat necessàries perquè l’atribució de les dades individuals a la persona en qüestió requereixi un esforç irraonable en termes de temps, cost i mà d’obra” . Amb tot això, s’aconsegueix “deslligar la dada del titular, però sense transformar-les, aconseguint la irreversibilitat a través de controls de Ciberseguretat”. D’aquesta manera s’aconsegueix “el blindatge total de les dades (i els seus accessos) de manera que, sent reals, resulta impossible determinar-ne la titularitat”.

Qui es beneficia dels beneficiaris del projecte HARMONY? En paraules dels hematòlegs que lideren el projecte, Jesús Hernández i Guillermo Sanz: “Els malalts, els hematòlegs, els científics, la indústria farmacèutica, les agències reguladores… tots ens en beneficiem, perquè disposar d’una plataforma de dades europees sobre aquestes malalties, que esperem que continuï funcionant una vegada passats els cinc anys de durada del projecte, permetrà millorar la qualitat en l’aplicació dels tractaments, així com facilitar que els nous fàrmacs siguin aprovats sobre la base de dades reals, amb més rapidesa i que arribin abans al malalt”.

Solucions de Ciberseguretat per fer front als reptes del vehicle autònom

Paral·lelament a la trobada, es va organitzar el primer taller sobre l’Automòbil Connectat Cibersegur, en el qual va intervenir Carlos Sahuquillo, consultor de Ciberseguretat en Automoció de Secure e-Solutions de GMV. Durant aquest taller es van tractar diversos casos d’èxit i es van debatre algunes qüestions rellevants per donar suport a les indústries d’automoció i transport en els reptes actuals i futurs de transformació digital. Sahuquillo va aportar-hi els diferents atacs de Ciberseguretat que ha pogut provar GMV en els vehicles autònoms, identificant les entrades dels cotxes que poden ser vulnerables a un atac, per exemple, la clau digital o l’assistent d’aparcament. Per fer front a aquests reptes, GMV ha desenvolupat: Secure Smart Key ECU, un disseny de claus intel·ligents per a cotxes connectats basades en autenticació biomètrica; i el sistema de detecció i prevenció d’intrusos (IDPS), per vigilar el tràfic d’una xarxa i llançar una alerta en cas d’activitats malicioses o comportament anòmal.

Els participants del taller van arribar a la conclusió de la necessitat de dur a terme mesures de Ciberseguretat per a tot el cicle de vida del vehicle: disseny, fabricació, lliurament, manteniment, etc., ja que un hacker pot aprofitar les noves vulnerabilitats del vehicle connectat en qualsevol de les seves fases. A més de complir amb el consentiment previ dels usuaris per a la utilització de les dades (GDPR) i protegir un potencial robatori de dades de conductors, fet que implica dur a terme diferents tipus de proves de seguretat des de l’inici, per poder fer una interconnexió amb altres vehicles, trànsit i ciutats intel·ligents.