En su libro clásico Granja de animales, George Orwell escribió: “Todos los animales son iguales, pero algunos animales son más iguales que otros”. Una comparación moderna cruda podría ser: “Todos los datos deben estar protegidos, pero algunos datos deben protegerse más que otros”. Un ejemplo de datos que necesitan una seguridad más robusta que otros son los datos médicos. Las razones de esto necesitan poca explicación.
Cuando el gobierno del Reino Unido anunció su nueva estrategia Data Saves Lives para la salud y la atención social, debemos considerar las implicaciones y los riesgos de seguridad que esto conlleva. En pocas palabras, esta política tiene como objetivo reformar el sector de la salud y la atención social, cambiar la forma en que se utilizan los datos para lograr avances y eficiencias, ayudar a abordar el retraso de Covid-19 y crear un sistema adecuado para el futuro: un futuro donde los pacientes podrán beneficiarse de tratamientos y diagnósticos más rápidos e innovadores.
Curiosamente, los principios fundamentales establecidos en esta estrategia son mejorar la “confianza” en el uso de los datos por parte del sistema de atención y salud, así como garantizar que los profesionales de atención social y de salud tengan la información que necesitan para mejorar la experiencia general del paciente y la prestación de atención médica. . El objetivo de dar a los pacientes una mayor confianza en que su información personal está segura, naturalmente causará cierta preocupación. Se ha informado al público que habrá entornos de datos seguros principalmente para el NHS, sus diversos fideicomisos y organizaciones de atención social, que brindarán acceso a datos no identificados con fines de investigación.
Dentro del documento de política más amplio, el gobierno ha confirmado que los datos vinculados a un individuo nunca saldrán de un servidor seguro y solo se utilizarán para fines de investigación acordados. El NHS se refiere a esto como un “entorno de investigación confiable” (TRE). El servicio TRE brinda a los investigadores aprobados de organizaciones confiables acceso oportuno y seguro a datos de salud y atención. Los investigadores tienen acceso a sus datos aprobados, de acuerdo con sus acuerdos de intercambio de datos, lo que les permite colaborar o vincular datos, así como compartir código y resultados dentro de los mismos proyectos de investigación.
En ciberseguridad, esto es lo que se conoce como tecnologías de mejora de la privacidad (PET). Aunque no existe una definición única de PET, generalmente se acepta que el término se refiere a tecnologías que incorporan principios fundamentales de protección de datos al maximizar la seguridad de los datos y empoderar a las personas, así como minimizar el uso de datos personales. En este caso, las PET permitirán que el NHS, u otros servicios de atención médica, protejan la privacidad de los registros de los pacientes o la información de identificación personal (PII), proporcionada y manejada por servicios o aplicaciones.
Los ejemplos comunes de PET incluyen la preservación del formato y el cifrado homomórfico, el cómputo seguro de múltiples partes y el intercambio de secretos, las técnicas diferenciales de privacidad y ofuscación, y varios medios de anonimización o seudonimización. Los PET también se pueden dividir en variedades duras y blandas. Los ejemplos duros incluyen el enrutamiento de cebolla, la votación secreta y las VPN, mientras que los ejemplos suaves incluyen el control de acceso, la privacidad diferencial y el cifrado de túnel, incluidas las tecnologías de privacidad de capa de conexión segura (SSL) y seguridad de capa de transporte (TLS).
No hay duda de que las tecnologías de mejora de la privacidad, como el cifrado homomórfico, transformarán la seguridad en la nube, en la que confiarán los proveedores de atención médica. El cifrado homomórfico permite el cálculo de datos en un entorno de nube sin filtrar la clave privada; se lo conoce comúnmente como el “santo grial” de la seguridad en la nube.
Sin embargo, hay poca información técnica sobre la tecnología real debajo del entorno de datos seguros planeado para el NHS. Como cualquier tecnología, puede haber buenas o malas implementaciones, lo que puede tener consecuencias drásticas. Esto es crucial en la seguridad cibernética porque los piratas informáticos solo necesitan encontrar el eslabón más débil en el sistema para ingresar.
Los sistemas informáticos modernos son extremadamente complejos. También está la cuestión relacionada con la gestión de claves. Puede tener la ejecución perfecta de un PET, pero si la gestión de claves no es perfecta, entonces todo está roto. Otra crítica común a los PET es que pueden ser complejos de usar. Esta complejidad puede dar lugar a errores que, de forma crítica, podrían dar lugar a filtraciones de datos de pacientes, sin mencionar las dificultades de auditoría y cumplimiento por parte de los reguladores sanitarios y los gobiernos.
Los PET son relativamente nuevos en TI y ha habido protestas sobre los gigantes de la industria que implementan dicha tecnología. En estos casos, las preocupaciones eran que estas empresas ejercían un poder desproporcionado a través de sus vastos tesoros de recursos de datos. Sin embargo, debemos ser conscientes de no tirar al bebé con el agua de la bañera. Estos son tiempos interesantes, pero el público tiene que esperar que el NHS tenga la experiencia para implementar el entorno de datos seguro correcto. De lo contrario, una vez que se filtran los datos médicos, nunca se pueden recuperar.
