En el marco del evento de referencia nacional de Ciberseguridad, ENISE, que organiza el INCIBE, Javier Zubieta, Director de Marketing y Comunicación de Secure e-Solutions de GMV llevó a cabo una presentación sobre la naturaleza sensible de los datos de salud y las estrategias que GMV utiliza para garantizar su privacidad. Se centró en el trabajo que la compañía está realizando para el proyecto HARMONY, el consorcio público-privado más grande a nivel europeo centrado en el estudio de neoplasias hematológicas (53 partners de 11 países). HARMONY forma parte del programa público – privado Big Data for Better Outcomes del organismo europeo Innovative Medicines Initiative (IMI), financiado a partes iguales por la Comisión Europea y la Federación Europea de Asociaciones de la Industria Farmacéutica (EFPIA, en sus siglas en inglés).

HARMONY combina datos clínicos de alta calidad con datos únicos para optimizar y precisar los tratamientos en pacientes con enfermedades hematológicas y abarca a todos los perfiles involucrados: Pacientes, Profesionales de la Salud, Asociaciones reguladoras, HTAs, Industria farmacéutica y Academia. Como detalló Zubieta, además de evaluar las fuentes para medir el nivel de calidad de sus datos clínicos “integra múltiples fuentes de datos con información y tipos, muy heterogéneos utilizando un modelo de datos común” con el que se busca “obtener respuestas y conclusiones derivadas del análisis en conjunto de diversas fuentes de datos, cosa que no sería posible a partir de una única fuente”. Asimismo, para garantizar la privacidad de los datos se “definen los flujos de datos cumpliendo la RGPD a través de la anonimización, con el soporte de comités éticos y expertos legales y cooperando con otros proyectos bajo el paraguas del BD4BO”.

La investigación médica, tal y como señaló el experto en Ciberseguridad “requiere datos reales, veraces y de alta calidad que son considerados como especialmente sensibles, por lo que solo pueden emplearse en un marco que garantice completamente la privacidad de sus titulares; los pacientes”. Para preservarla un requerimiento es que sean anónimos, y “en este proceso de anonimización se deben aplicar los principios Cavoukian de Privacy-by-design , o los de la ISO 29100 ”.

En el caso concreto de HARMONY, según explicó Zubieta, se llevaron a cabo varias acciones para garantizar la privacidad, entre ellas, “un análisis de riesgos enfocado a la privacidad de los datos: ¿Qué datos voy a necesitar? ¿Cómo los voy a tratar? Involucrando a todos los perfiles del proyecto, Clínico, Legal, Ético, Técnico y teniendo en cuenta todas las leyes que aplican tanto el Reglamento Europeo de Protección de Datos como la Ley Orgánica de Protección de Datos de España, y leyes homólogas del resto de los países participantes”. Una vez identificados los riesgos, “se han de aplicar todos los controles de seguridad para reducir el riesgo y asegurar la privacidad, herramientas disponibles: estándares, ISO 27002...”.

Y considerando las distintas opciones con las que se podría haber llevado a cabo la anonimización de los datos que ya se han volcado en la plataforma y continuarán volcándose procedentes de instituciones públicas y grupos cooperativos nacionales y europeos que aportan los de sus enfermos, así como los provenientes de los ensayos clínicos realizados por la industria farmacéutica, finalmente se ha optado por la anonimización de facto, aplicando “medidas técnicas, organizativas, contractuales y de seguridad necesarias para que la atribución de los datos individuales a la persona en cuestión requiera un esfuerzo irrazonable en términos de tiempo, coste y mano de obra” . Con todo ello, se consigue “desligar el dato del titular, pero sin transformarlos, consiguiendo la irreversibilidad a través de controles de Ciberseguridad”. De esta forma se logra “el blindaje total de los datos (y sus accesos) de modo que, siendo reales, resulta imposible determinar su titularidad”.

¿Quiénes se benefician de los beneficiarios del proyecto HARMONY? En palabras de los hematólogos que lideran el proyecto, Jesús Hernández y Guillermo Sanz: “los enfermos, los hematólogos, los científicos, la industria farmacéutica, las agencias reguladoras… todos nos beneficiamos, porque disponer de una plataforma de datos europeos sobre estas enfermedades, que esperemos siga funcionando una vez pasados los cinco años de duración del proyecto, permitirá mejorar la calidad en la aplicación de los tratamientos, así como facilitar que los nuevos fármacos sean aprobados en base a datos reales, con mayor rapidez y que lleguen antes al enfermo”.

Soluciones de Ciberseguridad para hacer frente a los retos del vehículo autónomo

Paralelamente al encuentro se organizó el primer taller sobre el Automóvil Conectado Ciberseguro, en el que intervino Carlos Sahuquillo, Consultor de Ciberseguridad en Automoción de Secure e-Solutions de GMV. Durante este taller se trataron diversos casos de éxito y se debatieron algunas cuestiones relevantes para apoyar a las industrias de automoción y transporte en los retos actuales y futuros de transformación digital. Sahuquillo aporto los diferentes ataques de Ciberseguridad que ha podido probar GMV en los vehículos autónomos, identificando las entradas de los coches que pueden ser vulnerables a un ataque, por ejemplo la llave digital o el asistente de aparcamiento. Para hacer frente a estos retos, GMV ha desarrollado; Secure Smart Key ECU, un diseño de llaves inteligentes para coches conectados basadas en autenticación biométrica; y el sistema de detección y prevención de intrusos (IDPS), para vigilar el tráfico de una red y lanzar una alerta en caso de actividades maliciosas o comportamiento anómalo.

Los participantes del taller llegaron a la conclusión de la necesidad de llevar a cabo medidas de Ciberseguridad para todo el ciclo de vida del vehículo: diseño, fabricación, entrega, mantenimiento, etc. ya que un hacker puede aprovechar las nuevas vulnerabilidades del vehículo conectado en cualquiera de sus fases. Además de cumplir con el consentimiento previo de los usuarios para la utilización de los datos (GDPR) y proteger un potencial robo de datos de conductores, lo que supone realizar diferentes tipos de pruebas de seguridad desde el inicio, para poder realizar una interconexión con otros vehículos, tráfico y ciudades inteligentes.