GMV apresenta na ENISE soluções de privacidade para o âmbito da Saúde e para os reptos da Cibersegurança nos veículos autónomos
![GMV presents at ENISE its healthcare privacy solutions and talks about cybersecurity challenges in autonomous vehicles GMV presents at ENISE its healthcare privacy solutions and talks about cybersecurity challenges in autonomous vehicles](/sites/default/files/styles/image_1000/public/content/image/2018/10/31/1/22392095-ENISE_Ciberseguridad_GMV_home.png?itok=9rL69OEg)
No contexto da ENISE – evento de referência nacional em Cibersegurança, organizado pelo INCIBE– Javier Zubieta, Director de Marketing e Comunicação de Secure e-Solutions da GMV, realizou uma apresentação sobre a natureza sensível dos dados de saúde e das estratégias que a GMV utiliza para garantir a sua privacidade. Centrou-se no trabalho que a empresa está a realizar para o projecto HARMONY – o maior consórcio público-privado a nível europeu centrado no estudo de neoplasias hematológicas (53 parceiros em 11 países). HARMONY faz parte do programa público-privado Big Data for Better Outcomes do organismo europeu Innovative Medicines Initiative (IMI), financiado em partes iguais pela Comissão Europeia e pela Federação Europeia de Associações da Indústria Farmacêutica (EFPIA, na sua sigla em inglês).
HARMONY combina dados clínicos de alta qualidade com dados únicos para optimizar e precisar os tratamentos em pacientes com doenças hematológicas, abrangendo todos os perfis envolvidos: Pacientes, profissionais da Saúde, associações reguladoras, HTAs, indústria farmacêutica e universidades. Conforme detalhou Zubieta, além de avaliar as fontes para medir o nível de qualidade dos seus dados clínicos, “integra múltiplas fontes de dados com informações e tipos muito heterogéneos utilizando um modelo de dados comum” com o qual se procura “obter respostas e conclusões derivadas da análise em conjunto de diversas fontes de dados, coisa que não seria possível a partir de uma única fonte”. Para garantir a privacidade dos dados, também se “definem os fluxos de dados em conformidade com o RGPD através do anonimato com o apoio de comités éticos e peritos legais e com a cooperação de outros projectos ao abrigo do BD4BO”.
A investigação médica, tal como assinalou o perito em Cibersegurança, “requer dados reais, autênticos e de alta qualidade que sejam considerados como especialmente sensíveis, pelo que só podem utilizar-se num contexto que garanta completamente a privacidade dos seus titulares: os pacientes”. O anonimato é um dos requisitos para preservá-la e “neste processo de anonimato devem aplicar-se os princípios Cavoukian de Privacy-by-design, ou os da ISO 29100”.
No caso concreto de HARMONY, conforme explicou Zubieta, empreenderam-se várias acções para garantir a privacidade, entre elas “uma análise de riscos centrada na privacidade dos dados: De que dados vou necessitar? Como vou tratá-los? O tratamento envolve todos os perfis do projecto – clínico, legal, ético, técnico – e tendo em conta todas as leis aplicadas pelo Regulamento Europeu da Protecção de Dados como a Lei Orgânica de Protecção de Dados da Espanha e leis homólogas dos restantes países participantes”. Uma vez identificados os riscos, “devem aplicar-se todos os controlos de segurança para se reduzir o risco e assegurar a privacidade e as ferramentas disponíveis: normas, ISO 27002, etc.”
Considerando as diversas opções com que se poderia ter feito o anonimato dos dados já introduzidos na plataforma e os que continuarão a introduzir-se – provenientes de instituições públicas e de grupos cooperativos nacionais e europeus que os trazem dos seus doentes, assim como os que provêm dos testes clínicos realizados pela indústria farmacêutica – optou-se finalmente pelo anonimato de facto, aplicando “medidas técnicas, organizativas, contratuais e de segurança necessárias para que a atribuição dos dados individuais à pessoa em questão requeira um esforço despropositado em termos de tempo, custos e mão-de-obra”. Com tudo isso conseguem-se “desligar os dados do titular mas sem os transformar, conseguindo-se a irreversibilidade através de controlos de Cibersegurança”. Desta forma, chega-se à “blindagem total dos dados (e seus acessos) de modo que, sendo reais, torna-se impossível determinar a sua titularidade”.
Quem tira partido dos beneficiários do projecto HARMONY? Assim o explicam os hematologistas que lideram o projecto, Jesús Hernández e Guillermo Sanz: “os doentes, os hematologistas, os científicos, a indústria farmacêutica, as agências reguladoras, etc., todos beneficiam por disporem de uma plataforma de dados europeus sobre estas doenças, que se espera continue a funcionar passados os 5 anos de duração do projecto, permitindo melhorar a qualidade na aplicação dos tratamentos, assim como facilitar a aprovação de novos fármacos com base em dados reais, com maior rapidez e a tempo de chegarem ao doente”.
Soluções de Cibersegurança para enfrentar os reptos do veículo autónomo
Paralelamente ao encontro organizou-se o primeiro atelier sobre o Automóvel Conectado Ciberseguro, em que interveio Carlos Sahuquillo, Consultor de Cibersegurança Automóvel na Secure e-Solutions da GMV. Durante este atelier trataram-se diversos casos de sucesso e debateram-se algumas questões relevantes para aprovar as indústrias do sector automóvel e dos transportes nos actuais e futuros desafios da transformação digital. Sahuquillo referiu os diversos ataques de Cibersegurança que a GMV pôde constatar em veículos autónomos, identificando nos carros as entradas que podem ser vulneráveis a um ataque, por exemplo a chave digital ou o assistente de estacionamento. Para fazer frente a estes reptos, a GMV desenvolveu a Secure Smart Key ECU, uma concepção de chaves inteligentes para carros conectados, baseadas em autenticação biométrica, assim como o sistema de detecção e prevenção de intrusos (IDPS), para vigiar o tráfego de uma rede e lançar um alerta em caso de actividades maliciosas ou comportamento anormal.
Os participantes do atelier chegaram à conclusão que necessitam de implementar medidas de Cibersegurança para todo o ciclo de vida do veículo: concepção, fabrico, entrega, manutenção, etc., sabendo-se que um hacker pode aproveitar as novas vulnerabilidades do veículo conectado em qualquer das suas fases. Tais medidas, além de cumprirem a formalidade para a utilização dos dados do condutor (GDPR), protegem os dados deste contra potencial roubo, o que envolve, desde o início, a realização de diferentes tipos de testes de segurança para que se possa realizar uma interconexão com outros veículos, tráfego e cidades inteligentes.