Podczas ENISE GMV prezentuje rozwiązania z zakresu prywatności w opiece zdrowotnej i wskazuje wyzwania dotyczące cyberbezpieczeństwa pojazdów autonomicznych
Podczas zorganizowanej przez INCIBE konferencji na temat bezpieczeństwa informacji (ENISE) Javier Zubieta, Dyrektor ds. Marketingu i Komunikacji w GMV Secure e-Solutions, wygłosił prelekcję na temat strategii GMV na polu ochrony wrażliwych danych w sektorze opieki zdrowotnej. Mówił on przede wszystkim o udziale GMV w europejskim projekcie HARMONY realizowanym przez publiczno-prywatne konsorcjum 53 partnerów z 11 krajów, którego celem jest zwalczanie nowotworów krwi. Projekt HARMONY stanowi część publiczno-prywatnego programu Big Data for Better Outcomes w ramach europejskiego partnerstwa Innovative Medicines Initiative (IMI). Jest on finansowany przez Komisję Europejską oraz Europejską Federację Przemysłu i Stowarzyszeń Farmaceutycznych (EFPIA).
Platforma HARMONY pozwala na wykorzystywanie danych klinicznych w celu optymalizacji i personalizacji leczenia pacjentów chorych na nowotwory krwi. W projekcie uczestniczą zrzeszenia pacjentów, pracownicy opieki zdrowotnej, instytucje regulacyjne, organizacje HTA (zajmujące się oceną technologii medycznych, ang. health technology assessment), przedstawiciele przemysłu farmaceutycznego i środowisk akademickich. Jak powiedział Zubieta, platforma umożliwia ocenę jakości danych klinicznych oraz „integrację różnego rodzaju danych z różnorodnych źródeł”, dzięki czemu możliwe jest „wyciąganie wniosków niemożliwych do uzyskania na podstawie danych z jednego tylko źródła”. Jednocześnie gwarantuje się prywatność danych „zgodnie z RODO, dzięki procedurom ich anonimizacji opracowanym przy wsparciu ze strony komisji etycznych i ekspertów prawnych, jak również dzięki współpracy w ramach programu BD4BO”.
Do prowadzenia badań medycznych „niezbędne są dane rzeczywiste, precyzyjne i wysokiej jakości, a jednocześnie bardzo wrażliwe i podlegające szczególnej ochronie; tego rodzaju dane mogą być używane wyłącznie wtedy, kiedy zagwarantowana jest prywatność osób, których one dotyczą, czyli pacjentów”. Aby zagwarantować prywatność danych, muszą one być anonimowe. „W procesie anonimizacji danych stosowana jest zasada privacy-by-design opracowana przez Ann Cavoukian lub inne zasady zgodne z ISO 29100”.
Jak wyjaśnił Zubieta, w przypadku platformy HARMONY podjęto liczne działania mające na celu zagwarantowanie prywatności danych; między innymi dokonano „analizy ryzyka w zakresie prywatności danych, szukając odpowiedzi na pytania takie jak: Jakie dane będą potrzebne? W jaki sposób będą one przetwarzane? W odniesieniu do wszystkich typów danych używanych przy realizacji projektu i z uwzględnieniem wszystkich mających zastosowanie przepisów dotyczących ochrony danych, zarówno RODO, jak i przepisów obowiązujących w krajach uczestniczących w projekcie”. Po zidentyfikowaniu ryzyka należy „wprowadzić system kontroli pozwalający na spełnienie wszystkich wymogów w zakresie bezpieczeństwa, gwarantując w ten sposób prywatność danych”.
Biorąc pod uwagę różne opcje anonimizacji danych dostarczanych do platformy przez wszystkich partnerów uczestniczących w projekcie, to jest zarówno dane pacjentów, jak i dane z badań klinicznych przeprowadzanych przez firmy farmaceutyczne, wybrano formę rzeczywistej anonimizacji danych z „zastosowaniem środków technicznych, organizacyjnych, kontraktowych i bezpieczeństwa niezbędnych do tego, aby przypisanie danych konkretnej osobie było niemożliwe ze względu na ogrom, cenę i złożoność środków, jakie należałoby zastosować, aby tego dokonać”. Zastosowane procedury bezpieczeństwa umożliwiają „całkowite oddzielenie danych od osób, których one dotyczą (bez ich przetworzenia), jak również nieodwracalność procesu dzięki zastosowaniu procedur kontrolnych cyberbezpieczeństwa”. W ten sposób dane i dostęp do nich są całkowicie bezpieczne i niemożliwe jest ustalenie, jakich konkretnie osób dotyczą”.
Kto jest beneficjentem projektu HARMONY? Hematolodzy kierujący projektem, Jesús Hernández i Guillermo Sanz, mówią, że „wszyscy, to jest pacjenci, hematolodzy, badacze, przemysł farmaceutyczny, instytucje regulacyjne itp., są beneficjentami projektu, ponieważ europejska platforma danych dotyczących nowotworów krwi (która – miejmy nadzieję – będzie dalej funkcjonowała po upływie pięciu lat trwania projektu) przyczyni się do poprawy jakości leczenia, jak również do opracowania nowych leków, dopuszczanych do stosowania na podstawie danych rzeczywistych. Dzięki temu proces ten zostanie usprawniony i leki będą wcześniej docierały do potrzebujących ich pacjentów”.
Wyzwania dotyczące cyberbezpieczeństwa autonomicznych pojazdów
Równolegle do konferencji odbyły się pierwsze warsztaty na temat cyberbezpieczeństwa pojazdów podłączonych do internetu, podczas których zabrał głos Carlos Sahuquillo, Konsultant ds. Cyberbezpieczeństwa w Sektorze Motoryzacyjnym w GMV Secure e-Solutions. Podczas warsztatów omawiano osiągnięcia oraz najważniejsze kwestie związane z wspieraniem transformacji cyfrowej w przemyśle motoryzacyjnym i transporcie. Sahuquillo podał przykłady cyberataków skierowanych przeciwko pojazdom autonomicznym, wskazując ich punkty najbardziej narażone na ataki, takie jak cyfrowe klucze czy systemy wspomagające parkowanie. Aby zabezpieczyć autonomiczne pojazdy przed tego rodzaju atakami, firma GMV opracowała Secure Smart Key ECU, to jest inteligentne klucze oparte na autentyfikacji biometrycznej, oraz system wykrywania intruzów i zabezpieczenia przed nimi (IDPS), umożliwiający nadzór nad ruchem oraz wysyłanie ostrzeżeń w przypadku złośliwych działań i nietypowych zachowań.
Uczestnicy warsztatów doszli do wniosku, że środki cyberbezpieczeństwa powinny obejmować cały cykl życia pojazdu, poczynając od projektu, poprzez produkcję i dostawę, aż po utrzymanie, ponieważ hakerzy mogą wykorzystać luki w zabezpieczeniach pojazdu podłączonego do internetu w każdym momencie. Ponadto należy też wziąć pod uwagę przepisy dotyczące ochrony danych osobowych takie jak RODO i uzyskać uprzednią zgodę użytkowników na używanie ich danych oraz zabezpieczyć dane kierowców na wypadek kradzieży pojazdów. Oznacza to konieczność przeprowadzania testów bezpieczeństwa od samego początku cyklu życia i eksploatacji pojazdów zintegrowanych w sieci i funkcjonujących w ruchu w inteligentnych miastach.