GMV apresenta na ENISE soluções de privacidade para o âmbito da Saúde e para os reptos da Cibersegurança nos veículos autónomos

No contexto da ENISE – evento de referência nacional em Cibersegurança, organizado pelo INCIBE– Javier Zubieta, Director de Marketing e Comunicação de Secure e-Solutions da GMV, realizou uma apresentação sobre a natureza sensível dos dados de saúde e das estratégias que a GMV utiliza para garantir a sua privacidade. Centrou-se no trabalho que a empresa está a realizar para o projecto HARMONY – o maior consórcio público-privado a nível europeu centrado no estudo de neoplasias hematológicas (53 parceiros em 11 países). HARMONY faz parte do programa público-privado Big Data for Better Outcomes do organismo europeu Innovative Medicines Initiative (IMI), financiado em partes iguais pela Comissão Europeia e pela Federação Europeia de Associações da Indústria Farmacêutica (EFPIA, na sua sigla em inglês).

HARMONY combina dados clínicos de alta qualidade com dados únicos para optimizar e precisar os tratamentos em pacientes com doenças hematológicas, abrangendo todos os perfis envolvidos: Pacientes, profissionais da Saúde, associações reguladoras, HTAs, indústria farmacêutica e universidades. Conforme detalhou Zubieta, além de avaliar as fontes para medir o nível de qualidade dos seus dados clínicos, “integra múltiplas fontes de dados com informações e tipos muito heterogéneos utilizando um modelo de dados comum” com o qual se procura “obter respostas e conclusões derivadas da análise em conjunto de diversas fontes de dados, coisa que não seria possível a partir de uma única fonte”. Para garantir a privacidade dos dados, também se “definem os fluxos de dados em conformidade com o RGPD através do anonimato com o apoio de comités éticos e peritos legais e com a cooperação de outros projectos ao abrigo do BD4BO”.

A investigação médica, tal como assinalou o perito em Cibersegurança, “requer dados reais, autênticos e de alta qualidade que sejam considerados como especialmente sensíveis, pelo que só podem utilizar-se num contexto que garanta completamente a privacidade dos seus titulares: os pacientes”. O anonimato é um dos requisitos para preservá-la e “neste processo de anonimato devem aplicar-se os princípios Cavoukian de Privacy-by-design, ou os da ISO 29100”.

No caso concreto de HARMONY, conforme explicou Zubieta, empreenderam-se várias acções para garantir a privacidade, entre elas “uma análise de riscos centrada na privacidade dos dados: De que dados vou necessitar? Como vou tratá-los? O tratamento envolve todos os perfis do projecto – clínico, legal, ético, técnico – e tendo em conta todas as leis aplicadas pelo Regulamento Europeu da Protecção de Dados como a Lei Orgânica de Protecção de Dados da Espanha e leis homólogas dos restantes países participantes”. Uma vez identificados os riscos, “devem aplicar-se todos os controlos de segurança para se reduzir o risco e assegurar a privacidade e as ferramentas disponíveis: normas, ISO 27002, etc.”

Considerando as diversas opções com que se poderia ter feito o anonimato dos dados já introduzidos na plataforma e os que continuarão a introduzir-se – provenientes de instituições públicas e de grupos cooperativos nacionais e europeus que os trazem dos seus doentes, assim como os que provêm dos testes clínicos realizados pela indústria farmacêutica – optou-se finalmente pelo anonimato de facto, aplicando “medidas técnicas, organizativas, contratuais e de segurança necessárias para que a atribuição dos dados individuais à pessoa em questão requeira um esforço despropositado em termos de tempo, custos e mão-de-obra”. Com tudo isso conseguem-se “desligar os dados do titular mas sem os transformar, conseguindo-se a irreversibilidade através de controlos de Cibersegurança”. Desta forma, chega-se à “blindagem total dos dados (e seus acessos) de modo que, sendo reais, torna-se impossível determinar a sua titularidade”.

Quem tira partido dos beneficiários do projecto HARMONY? Assim o explicam os hematologistas que lideram o projecto, Jesús Hernández e Guillermo Sanz: “os doentes, os hematologistas, os científicos, a indústria farmacêutica, as agências reguladoras, etc., todos beneficiam por disporem de uma plataforma de dados europeus sobre estas doenças, que se espera continue a funcionar passados os 5 anos de duração do projecto, permitindo melhorar a qualidade na aplicação dos tratamentos, assim como facilitar a aprovação de novos fármacos com base em dados reais, com maior rapidez e a tempo de chegarem ao doente”.

Soluções de Cibersegurança para enfrentar os reptos do veículo autónomo

Paralelamente ao encontro organizou-se o primeiro atelier sobre o Automóvel Conectado Ciberseguro, em que interveio Carlos Sahuquillo, Consultor de Cibersegurança Automóvel na Secure e-Solutions da GMV. Durante este atelier trataram-se diversos casos de sucesso e debateram-se algumas questões relevantes para aprovar as indústrias do sector automóvel e dos transportes nos actuais e futuros desafios da transformação digital. Sahuquillo referiu os diversos ataques de Cibersegurança que a GMV pôde constatar em veículos autónomos, identificando nos carros as entradas que podem ser vulneráveis a um ataque, por exemplo a chave digital ou o assistente de estacionamento. Para fazer frente a estes reptos, a GMV desenvolveu a Secure Smart Key ECU, uma concepção de chaves inteligentes para carros conectados, baseadas em autenticação biométrica, assim como o sistema de detecção e prevenção de intrusos (IDPS), para vigiar o tráfego de uma rede e lançar um alerta em caso de actividades maliciosas ou comportamento anormal.

Os participantes do atelier chegaram à conclusão que necessitam de implementar medidas de Cibersegurança para todo o ciclo de vida do veículo: concepção, fabrico, entrega, manutenção, etc., sabendo-se que um hacker pode aproveitar as novas vulnerabilidades do veículo conectado em qualquer das suas fases. Tais medidas, além de cumprirem a formalidade para a utilização dos dados do condutor (GDPR), protegem os dados deste contra potencial roubo, o que envolve, desde o início, a realização de diferentes tipos de testes de segurança para que se possa realizar uma interconexão com outros veículos, tráfego e cidades inteligentes.