Escolar Documentos
Profissional Documentos
Cultura Documentos
_____________________________
Henrique MG Martins
Lisboa, 2020
1
X. INDICE
1. Introdução pág. 3
2. Metodologia pág. 10
3. Contexto sobre cibersegurança na saúde pág. 13
4. O Grupo de Acompanhamento em
Cibersegurança na Saúde pág. 24
5. Discussão pág. 31
6. Conclusões e implicações pág. 39
7. Referências Bibliográficas pág. 41
XX. RESUMO
2
1. INTRODUÇÃO
"We need to make the most of the potential of e-health to provide high-
quality healthcare and reduce inequalities. I want you to work on the
creation of a European Health Data Space to promote health-data
exchange and support research on new preventive strategies, as well as on
treatments, medicines, medical devices and outcomes. (…)"
3
A Estratégia Nacional para o Ecossistema de Informação de Saúde 2020 (ENESIS 2020),
aprovada pela Resolução do Conselho de Ministros n.º 62/2016 (Governo de Portugal,
2016), e regulamentada pelo Despacho n.º 3156/2017 do Ministro da Saúde (Governo de
Portugal, 2017a), abrangeu o período 2017-2019. Foi a primeira estratégia desta natureza
adotada pelo Governo Português e permitiu iniciar um pensamento e uma ação estratégica
comum sobre o Ecossistema de Informação de Saúde (eSIS). Sobre segurança ela
menciona apenas: (i) no preâmbulo que um dos desafios actuais ao “desenvolvimento do
Sistema de Informação da Saúde”, era a “melhoria da gestão dos riscos e da segurança da
informação”; e (ii) nas iniciativas concretas de largo espectro, identifica-se uma que inclui
a segurança: “5.6.7 - Melhoria contínua dos processos de gestão dos Sistemas de
Informação, nomeadamente nas componentes de Serviço, Segurança, Qualidade e
Auditoria e reforço das competências digitais dos recursos humanos”. Não há qualquer
referência a “CiberSegurança” ou à organização de um Grupo de Acompanhamento, à
exceção da introdução do conceito de eSIS – como: “Conjunto de tecnologias, pessoas e
processos que intervêm no ciclo de vida da informação relacionada com todas as
dimensões da saúde do cidadão e outra relacionada, independentemente do local de
prestação de cuidados e/ou das barreiras organizacionais”. Interessa entender como surge
uma dinâmica tão acentuada e o GACS, e como, conceitos como o de eSIS vêm a
influenciar a lógica da sua composição, como a frente se detalhará.
4
(International Telecommunication Union, 2018) em 2018, perto de 1% de todos os emails
eram ataques maliciosos. Em maio de 2017, um ciberataque massivo causou disrupção
significativa em empresas e hospitais em mais de 150 países. O caos decorrente no
National Health Service britânico foi amplamente noticiado e tornou visíveis as
consequências de um ataque num Serviço Público mal preparado. Em Portugal, não são
conhecidos impactos no Serviço Nacional de Saúde (SNS) mas, houve uma aceleração da
estratégia seguida pelo Ministério da Saúde através da Serviços Partilhados do Ministério
da Saúde (SPMS), no seio da ENESIS 2020. De facto, em fevereiro 2017, já o Ministério
da Saúde havia aprovado um despacho (Governo de Portugal, 2017b) sobre notificações
obrigatórias, criando a figura dos Responsáveis de Notificação Obrigatória (RNOs). Em
maio 2017, foram emitidas várias circulares normativas e preparado um despacho mais
amplo sobre o modelo de governação da Cibersegurança na Saúde, de abrangência ao setor
público e protocolados, que veio a ser publicado em novembro de 2017 (Governo de
Portugal, 2017c). Dado que o cenário de risco não é estático, o pior risco é quando uma
organização ou sistema de organizações pensa que atingiu um estádio de ciberdefesa
“estático”. Assim, a solução chave é manter uma filosofia e prática de melhoria contínua,
incluindo a procura permanente de abordagens inovadoras. Uma análise apresentada no
relatório Protected Health Information Data Breach Report (Verizon, 2018) baseado em
eventos reais, e sobre os temas que a saúde tem de endereçar, relatava que:
b) Os ataques a dispositivos médicos podem ser mais mediáticos, mas os ativos mais
frequentemente comprometidos são as bases de dados e os documentos em papel;
O Conceito Estratégico de Defesa Nacional (CEDN; 2013) quando foi trabalhado não
olhou particularmente à cibersegurança na saúde. Contudo a segurança da saúde é crítica
5
numa população envelhecida e com multimorbilidade. O SNS assegura funções de defesa
ao nível da sociedade ao contribuir para os objetivos do CEDN. Assim, algo que
comprometa o seu funcionamento, indirectamente condiciona a segurança nacional. Por
último, há hoje mais informação digital sobre a saúde dos Portugueses, que em mãos
erradas, pode condicionar o direito à privacidade ou à autodeterminação informacional,
comprometendo valores do Estado de direito democrático. Da análise efectuada, usando a
pesquisa de termos como ciber (-risco, -defesa, - néticos, -segurança, -ataques), no CEDN
encontram-se as seguintes referências:
6
inesperadas e importantes condicionantes não podem omitir, ainda que de forma indirecta,
aquelas que surgem num espaço novo que é o espaço ciber ou digital que, porventura, no
futuro será mais “real” que o espaço físico atual ou mais “habitual”, consubstanciadas, hoje
em dia, nas ameaças de natureza híbrida. Se as novas condicionantes à segurança de
natureza geoestratégica tornaram a revisão do CEDN necessária e pertinente, mais ainda
no âmbito da ciberdefesa, essa revisão parece crítica sendo que, o anterior conceito era
praticamente omisso nessa matéria. Ainda que, nesse particular, seja compreensível que
um CEDN de 2013 não capture o momento de 2020, atenta à vertiginosa evolução
tecnológica dos riscos e oportunidades e das novas e expansivas superfícies de ataque. Ou
seja, em 2020, só os temas digitais e ciber seriam suficientes para invocar uma revisão
imediata do CEDN para um “CEDN 2020”, ainda que o seu desidrato permaneça
igualmente válido e aplicável. Importa reter uma passagem em concreto: “o conceito
estratégico de defesa nacional define os aspetos fundamentais da estratégia global a
adotar pelo Estado para a consecução dos objetivos da política de segurança e defesa
nacional. (…).” Numa análise mais profunda da utilidade de um conceito de defesa há pois
que atentar nestes aspectos: i) Poder, ii) Vontade, iii) Mobilização dos recursos materiais, e
iv) Mobilização dos recursos imateriais. Esta moldura conceptual ajuda a pensar a
segurança da informação na saúde, uma vez que a segurança da informação – e a
cibersegurança – na saúde não são distintas da segurança da própria saúde dos portugueses.
Ajuda ainda a estabelecer paralelos de “subvalores, e interesses de Portugal, na área da
saúde” que tenham que ser defendidos no ciber espaço. Em relação aos 5 elementos
fundamentais apresentados no CEDN (CEDN 2013) no tema da cibersegurança na saúde,
salientam-se os elementos a), c) e e).
7
Valores constitucionais como o acesso a saúde, podem ficar seriamente em risco em
situações de comprometimento do funcionamento do Serviço Nacional de Saúde, por
inadequados sistemas de informação e/ou alteração da informação de saúde dos
Portugueses. Aquilo a que se pode chamar soberania digital como seja, garantir que
sistemas como o que disponibiliza a Receita Sem Papel, têm um menor número de
dependências de desenvolvimento externas ou de mais do que um ator estratégico, que os
sistemas principais dos hospitais são de origem Portuguesa e mantidos pelo Estado. Os
adequados controlos de segurança são uma importante garantia dessa soberania.
Igualmente, em relação a bens e património nacional, há que pensar que, na saúde, esses
bens são, primeiro que tudo, a própria saúde e a vida. Segundo, a autodeterminação
informacional e o direito a privacidade dos dados (pessoais), algo que, nos dados de saúde,
é ultra-sensível e requer particular enfoque de segurança. Por último, quando falamos de
dados genéticos e mesmo fenotípicos, armazenados sobretudo no setor da saúde e
investigação correlacionada, estamos também a falar de património nacional.
8
defender a segurança, neste caso também do ciberespaço, enquanto que a estratégia de
segurança, pode ser vista como um potenciador da capacidade de criar resiliência, e
capacidade de fortalecer a segurança e por esta via, manter uma determinada ordem, neste
caso – digital. Segurança é a condição em que o Estado, a sociedade ou os indivíduos se
sentem livres de riscos, de pressões ou de ameaças e inclusive de necessidades extremas.
Defesa é a ação efetiva para se obter ou manter o grau de segurança desejado. Importa,
explorar como atingir essa condição em que os agentes se sentem livres. Sendo que este
“Sentir” é consciente e não um estado de ignorância sobre os riscos ou ameaças, ou seja,
um sentir livre por desconhecimento. Este estado de “consciência”/”vigilância” é
particularmente crítico no caso da cibersegurança pois muitas das linhas de defesa são
comportamentos determinados por cada indivíduo.
9
coordenação e da cooperação estratégica e operacional de entidades nacionais
envolvidas na segurança do ciberespaço por forma a salvaguardar uma eficiente e eficaz
gestão nacional de crises.”
A ENSC 2.0 propõe três objetivos estratégicos e seis eixos nos quais se devem organizar as
iniciativas para os atingir. Os objectivos são:
A ENSC 2.0 estabelece como visão para 2023: “Que Portugal seja um país seguro e
próspero através de uma ação inovadora, inclusiva e resiliente, que preserve os valores
fundamentais do Estado de Direito democrático e garanta o regular funcionamento das
instituições face à evolução digital da sociedade.” Salientam-se três aspetos importantes
no que respeita à cibersegurança necessária no seio da Saúde Digital:
1. Que garanta o regular funcionamento das instituições de saúde (não apenas os
hospitais ou outras entidades prestadoras de cuidados, mas também as que regulam, as que
vigiam e as que criam as condições de funcionamento do sistema e Serviço Nacional de
Saúde);
2. Que esta garantia não seja feita “a contrário” ou “com sacrifício” da evolução
digital, mas encarando-a de frente e aceitando-a;
3. A forma como se fará esta securitização será através de acções: i) inovadoras, ii)
inclusivas e, iii) resilientes. Esta última dimensão é particularmente interessante para olhar
o GACS enquanto “ação/ações” de segurança, pois estabelece os requisitos mínimos da sua
existência enquanto entidade útil à segurança do ciberespaço na saúde.
10
2. METODOLOGIA
Não havendo dúvidas de que há uma ou muitas razões – “Porquê?” – Como se explana na
introdução, no risco para operação dos serviços, e a garantia dos direitos dos cidadãos,
nomeadamente o direito à Saúde e à Vida, o aspeto porventura que mais importa analisar é
então o “Como”. Neste sentido é formalizada a questão central: “De que forma um Grupo
Informal sectorial é a melhor forma de garantir um alinhamento estratégico entre as
necessidades e condicionantes do Setor da Saúde e a necessária cibersegurança”
Foram depois exploradas algumas questões derivadas das quais se deduziram algumas
hipóteses exploratórias. Estes aspectos perpassam a apresentação do caso em si, e alguns
aspectos em particular. Assim, as questões e hipóteses levantadas, são depois objeto de
discussão já perto da parte final do estudo. No final, enunciam-se algumas conclusões
gerais e com isso responder à questão central. A tabela 1 representa de forma esquemática
esta metodologia.
11
teria de se aplicar o modelo noutros sectores e ver os resultados obtidos para aferir de
forma concreta. Uma reflexão necessariamente breve, por via do raciocínio analógico, por
exemplo ao setor da educação, que tem algumas semelhanças relevantes com a saúde, é o
possível, atentas as limitações de tempo e espaço.
ENUNCIADO DO PROBLEMA
QUESTÃO CENTRAL
De que forma um Grupo Informal setorial é a melhor forma de garantir um alinhamento
estratégico entre as necessidades e condicionantes do Setor da Saúde e a necessária
cibersegurança
QUESTÕES DERIVADAS HIPÓTESES
Como funciona o GACS? É possível criar um Os aspectos informais do GACS
grupo informal e conferem-lhe vantagem;
que mantenha
atividade nesta
área;
Quais são as relações da ação O GACS como O CEDN pode ser útil, juntamente
do GACS, ENSC 2.0 e elemento com matrizes estratégicas como a
ENESIS, e como se organizacional está ENSC 2.0 e a ENESIS 20|22, para a
enquadram na visão do alinhado com o definição do trabalho deste grupo
CEDN? CEDN; para os próximos anos e o
apuramento do seu valor estratégico;
De que forma o GACS Se a forma da Há aspetos teóricos e estratégicos
funciona como uma colaboração em falta nos documentos CEDN e
ponte/mecanismo de internacional do mesmo na ENSC, no que diz
articulação entre colaboração GACS e da SPMS respeito ao ciberespaço e ao que diz
estratégica na área de que o dinamiza, respeito à relação entre este e a
ciberdefesa internacional e está e pode ser sociedade civil.
com a sociedade civil e ainda ainda mais,
com SPMS ou as entidades alinhada com as
do MS/SNS? linhas do CEDN;
CONCLUSÕES GERAIS
RESPOSTA À QUESTÃO CENTRAL
12
3. CONTEXTO SOBRE CIBERSEGURANÇA NA SAÚDE
De facto, os ciberataques nas unidades de saúde são cada vez mais frequentes devido à
criticidade e ao valor intrínseco das informações que elas armazenam. Há relatos de
organizações de saúde que sofreram ataques cibernéticos do tipo ransomware e phishing,
que foram obrigadas a interromper a sua operação regular, onde os dados foram roubados,
criptografados ou exfiltrados. Um exemplo desses ataques foi o ataque com Ransomware
WannaCry, em 12 de maio de 2017, que levou ao desligar de centenas de milhares de
computadores em todo o mundo (para evitar a proliferação lateral do comprometimento),
seguidos por mensagens de hackers que exigiam avultados pagamentos de resgate. Só no
13
National Health Service britânico isso causou interrupção em vários serviços, com cerca de
20.000 consultas canceladas, tendo sido estimados custos de mais de 90 milhões de libras
nos dias seguintes em limpezas e atualizações dos sistemas de informação e reposição da
normalidade dos serviços. Outro exemplo, foi o ataque aos sistemas do SingHealth, grupo
de hospitais e clínicas públicas em Singapura, onde foram roubados dados pessoais de mais
de 1,5 milhões de doentes e registos médicos de cerca de 160.000 consultas externas,
incluindo registos sobre a saúde do Primeiro-Ministro. Esse tipo de incidente geralmente
resulta de existirem sistemas antigos, sem quaisquer requisitos de segurança para
funcionar, desatualizados, mas críticos para a organização, e por isso vulneráveis a ataques.
Os ataques podem resultar na degradação disruptiva na qualidade dos serviços prestados,
perdas financeiras e má reputação da instituição, diminuindo a confiança de seus utentes no
tratamento da sua informação de saúde, na infraestrutura e até nos serviços de saúde.
14
de organizações ou países com diferentes níveis de maturidade, superfícies de ataque
diferentes e vulnerabilidades técnicas e políticas distintas. Sem estratégias de segurança
adequadas, que incluam uma sólida política de partilha de dados e a respetiva arquitetura
de cibersegurança, as organizações de saúde terão dificuldade em garantir que os dados
confidenciais são adequadamente protegidos mas partilhados quando necessário. A
avaliação de risco é muito importante e permite identificar vulnerabilidades, só sendo
eficaz, todavia, se for para além do despiste de vulnerabilidades reconhecidas, ou teóricas.
O recurso à recolha de experiências de outras organizações permite obter o sentido de
proporção com base nos casos reais. A troca de experiências concretas tem um papel
chave, e os de fora que o permitem, incentivam e estruturam, detêm um papel decisivo.
15
Há distintos níveis de prestação, como os cuidados hospitalares, primários, ou de longa
duração, os serviços sociais e de saúde para idosos, cuidados ao domicílio e os cuidados
paliativos. Devem ser vistos de forma holística e devem estar interconectados e seguros, é
necessário protege-los a todos. Contudo, pela sua complexidade organizacional, número de
profissionais e equipas técnicas distintas e a miríade de sistemas de informação que
possuem, nenhum outro nível como o hospitalar está tão exposto ao risco e é tão vulnerável
a incidentes de segurança de informação. É por isso indispensável trabalhar com grande
detalhe a securitização daquela que, até hoje, continua a ser reconhecida como a mais
complexa das organizações humanas – o hospital universitário altamente especializado.
Num trabalho levado a cabo pelo Grupo para a Cibersegurança do Global Digital Health
Partnership (GDHP, 2018) do qual Portugal faz parte, foram identificados os maiores
desafios em cibersegurança nas organizações dos seus países (vide tabela 2). Há aspetos
comuns, como formação e consciencialização de recursos humanos, sistemas legados
(antigos) e governança, e outros particulares. Estes não diferem no cenário Português, com
a agravante da elevada heterogeneidade do setor da saúde: público e não público, e neste,
organizações grandes (alguns hospitais ou grupos de saúde) e outras muito pequenas.
a) Atores humanos – todos aqueles que habitam o setor da saúde, mesmo que no
limite não usem sistemas digitais, mas condicionem de qualquer forma o
ciberespaço, bem como todos os que interagem com as tecnologias ou
definem/condicionam processos com impactos no setor da saúde.
a. Ao nível das funções, estas não se esgotam, mas incluem: i) a criação dos
sistemas e do próprio ciberespaço e das suas regras; ii) acesso, mais ou
menos mediado, e autenticado, aos sistemas; iii) intencionalidade; iv) ética
na ação; e interação não cibernética condicionante do espaço cibernético.
b. Ao nível da composição, importa destacar os profissionais de saúde, e as
suas organizações, os utentes e as suas famílias, e de forma mais geral, as
16
empresas e a sociedade portuguesa que se relacionem com a saúde – o que a
ENESIS 20|22 caracteriza como o ecossistema de stakeholders.
b) Atores não humanos – todos os agentes, mais ou menos autónomos, que
condicionam ação no espaço ciber: i) tecnologias; ii) linguagens de programação ou
estatística; iii) dados disponíveis para captação e dados armazenados;
c) Relações entre atores: i) através das vias digitais, ou ii) sobre o digital;
d) Relações digitais automáticas – ocorrem entre atores não humanos sob diversas
tipologias arquiteturais (exemplos: DB-links, webservices/SOA), que podem ser
comprometidas por ciberataques, sendo assim: i) mais, ou ii) menos ciberseguras;
e) Processos e fluxos informacionais: i) não autónomos e ii) autónomos;
f) Inteligência humana: i) manifestações precetivas e ii) manifestações decisionais;
g) Inteligência artificial: i) de apoio à inteligência humana – ou Inteligência
Aumentada ou externa; ii) autónoma e decisional.
Se é necessariamente verdade que há que pensar cibersegurança para a saúde fora do setor
público pela natureza da complexidade e composição do ciberespaço da saúde, não é
menos verdade que há um papel especial para o setor público no que a cibersegurança diz
respeito. Deve ser o setor público, pelas ligações íntimas e naturais que tem com o Estado,
o sistema de Defesa Nacional e órgãos de soberania, sobretudo o poder executivo, que se
deve organizar no sentido de garantir uma coerência, lógica e uma agregação dos esforços
com vista ao aumento da cibersegurança em todos os aspetos relacionados com a saúde dos
Portugueses. Assim está a contribuir para a salvaguarda dos direitos, liberdades e garantias
do cidadão, ou seja, a exercer a sua mais nobre função num estado de direito democrático.
Por outro lado, sem instrumentos de colaboração flexíveis e capazes de se estenderem por
todo o contínuo e o descontínuo do setor, provavelmente o envolvimento dos stakeholders
relevantes ficará comprometido. A Lei 46/2018 de 13 de agosto, indicando que esse papel
central deve ser desempenhado pela SPMS, E.P.E ajuda a clarificar e permite que em seu
torno gravitem depois outras formas de envolvimento.
17
a) Dispositivos temporariamente ligados ao indivíduo – chamados “Monitores”,
exemplo clássico é monitor de TA, Saturação de O2 e traçado electrocardiográfico;
b) Através de dispositivos no domicílio (com mecanismos de telemonitorização),
talvez mais conhecidos como sejam os de suporte respiratório (Ventiladores não
invasivos);
c) Pelo uso dos chamados “wearables” (podem “vestir-se e despir-se”) – em que o
smartphone, ou mesmo relógios, com ligação remota a central de monitorização de
sinais vitais, ou a uma bomba perfusora de insulina, são exemplos comuns;
d) E/ou o recurso a “implantables” (não se podem “vestir e despir” ficam no corpo,
dentro dele ou mais a superfície mas “agarrados”) – dispositivos implantados (ex.
próteses ou pace-makers) com sensores, atuantes e código – no fundo funcionando
como micro-robots, com graus variáveis de IA com autonomia decisional.
18
c) Novos doentes, muitos deles crónicos, mas que estão num mercado trabalho digital,
ou a sair dele, há muito familiarizados com processos digitais;
d) Novos e-consumidores, exemplos como o e-commerce (AMAZON®, etc.), e-
transportation (UBER®, etc.), determinaram novos e-utentes do sistema de saúde,
mas que passam também a ser produtores e reguladores (exemplo, uso ferramentas
de auto diagnostico online, onAPP, em breve “onDevice” com capacidades
progressivas de incorporação de IA e mesmo administração de fármacos.
A ENESIS 20|22 tem como propósito orientar a transformação digital do setor da saúde em
Portugal, e ao contrário da anterior tem um âmbito mais abrangente do que o setor público,
e visa criar as condições indispensáveis à evolução do eSIS. A estratégia integra um
conjunto de princípios, eixos estratégicos e dimensões. Os objectivos da ENESIS 20|22
integram três perspectivas distintas:
19
b) Para as Organizações de Saúde, importa conseguir assegurar a adequada
capacidade de resposta às suas necessidades, em contexto cada vez mais complexo.
No caso da saúde, Portugal tem capacidade, quer pública quer privada, para a produção de
inúmeras soluções tecnológicas para a prestação, saúde pública, prescrição e gestão do
medicamento e mesmo interação com cidadão/utente. Resta saber se tem capacidade de a
manter, se isso é estratégico, e se tem também capacidade de desenvolver capacidade em
tecnologias de defesa a partir dessas tecnologias. Tecnologias essas que no fundo
constituem o eSIS – Ecossistema de Informação da Saúde, que pode assim ser mais ou
menos autonomamente criado por Portugal, e pode ser mais ou menos autonomamente
defendido. Estas são intersecções estratégicas fundamentais. Há, por conseguinte, três
referenciais estratégicos consolidados a ter em conta, o CEDN, a ENSC, e a ENESIS
20|22, bem como indicações do white paper sobre ciberestratégia do GDHP como conjunto
de recomendações sobre cibersegurança, mas instanciadas ao ciberespaço da saúde e a
perspectiva internacional e colaborativa. Na vertical representa-se o eSIS e a capacidade de
produção de tecnologias, ambos enquadrados no referencial da ENESIS 20|22. O diagrama
1 visa representar como a capacidade autónoma de protecção do ciberespaço na saúde
depende destas 4 intersecções estratégicas. Em que sede e como fazer sentido das
iniciativas concretas com vista a contribuir de forma efectiva para os diferentes objetivos, é
talvez o maior desafio de governança e cooperação nas matérias de cibersegurança para a
saúde, daí que o GACS se constitui como um caso de estudo interessante.
21
Diagrama 1 – Diagrama ilustrativo das áreas de intersecção estratégicas que envolvem e auxiliam ao
pensamento estratégico com vista a aumentar a capacidade autónoma de proteção do ciberespaço da saúde.
Diagrama 2 (vide página seguinte) – representa um resumo daquelas que são as estruturas dedicadas à
cibersegurança desde uma dimensão local (público/SNS e não público) até mundial. ECOS – Elementos de
Coordenação Operacional da Saúde; RNOs – Responsáveis de Notificação Obrigatória; “C-Suite” –
dirigentes das organizações.
22
23
Ao nível local, os segmentos público e não público têm necessariamente um conjunto de
estruturas e dinâmicas que são distintas. No caso das instituições do Ministério da Saúde,
os dois despachos tutelares vieram criar regras e obrigações e centralizar na SPMS o papel
coordenador desses esforços. No setor não público não há qualquer obrigação à exceção
das que decorrem da lei e das orientações diretas do CNCS. A existência de um fórum
aglutinador, mas também “adaptador” das normas, orientações e determinações nacionais a
aplicar ao setor da saúde pode, por isso, ser muito útil, tendo em conta o papel regulador
que a Entidade Reguladora da Saúde (ERS) possa vir a ter, logo que exista regulamentação
específica. As estruturas representadas abaixo do GACS, não são objecto deste estudo, mas
são muito relevantes e decisivas no sentido em que sem organizações de saúde adaptadas,
preparadas e com células organizacionais e funções dedicadas à cibersegurança a
“localização” e “realização” das estratégias definidas e/ou partilhadas nos níveis acima, e a
sua transformação em acções tácticas e operacionais concretas não acontece ou acontece de
formas enviesadas.
4. O GRUPO DE ACOMPANHAMENTO
24
Pese embora a existência de dois despachos do Ministério da Saúde, que conferem à SPMS
a organização e governança para a área da cibersegurança, e a Lei 46/2018 vir a consagrar
o conceito de serviços essenciais, com aplicabilidade na saúde, cedo se percebeu que o
grau de interdependência tecnológica, profissional, e os circuitos dos utentes entre
organizações de saúde era tão grande, que só uma cultura, e eventualmente abordagens
conjuntas e bem harmonizadas poderão conferir o grau de defesa necessário, ante desafios
previamente identificados (vide tabela 2). Desta necessidade surgiu ideia de criar um grupo
informal de acompanhamento para estas matérias de âmbito transversal.
Assim, e optando conscientemente por uma abordagem em “casca de cebola”, foram sendo
convidados um número crescente de representantes do complexo mapa de stakeholders da
saúde a fim de garantir uma representação tão horizontal quanto possível, a par da
participação do CNCS e Rede CSIRT para garantir alinhamento com ENSC 2.0 e ao
mesmo tempo um número intimista que permitisse aproximar os representantes. No mesmo
sentido, foram criados grupos de trabalho, ou comissões, que se cujo trabalho se debruça
sobre temas considerados e votados como mais relevantes, a fim de se constituírem
progressivamente como contextos de uma partilha mais concreta de conhecimento. Desta
forma tem, vindo a ser reforçada a confiança entre os participantes permitindo em
simultâneo reflexões e ações comuns.
Foram realizadas até ao momento cinco reuniões, com 110 participantes de 30 entidades, e
aprovados um Regulamento de Funcionamento e o Termo de Confidencialidade. Este
último foi considerado importante tendo em conta a informação sensível das organizações
(entre elas organizações concorrentes diretas) que é partilhada. Analisados os temas
discutidos ao longo das reuniões destacam-se: 1) Diretiva NIS (Network Information
Security); 2) Partilha das iniciativas: 1) Cyberminuto INFARMED; 2) Anti-Phishing
SPMS - Programa de Sensibilização e Awareness de Segurança da Informação e
Cibersegurança da SPMS; 3) Information Security and Cybersecurity Challenges and
Approaches - Hospital Authority, Hong Kong; 4) Curso de Cidadão Ciberseguro do
Serviço Nacional de Saúde; 5) Rede Nacional de CSIRT | Formalização de Comunicações
de Incidentes, Riscos e Ameaças; 6) Iniciativas do Mês Europeu da Cibersegurança; 7)
Estratégia Nacional de Segurança do Ciberespaço 2.0 | Plano Operacional Saúde.
25
4.2 Composição e Regulamento
a) Tempo para a sua criação – no sentido de garantir que era mais do que um
regulamento de um comité e das suas reuniões e processos, importou dar tempo.
A chegada de alguns participantes considerados muito relevantes, bem como
esse tempo foi essencial para servir também como “carta de missão”, de um
grupo que de certa forma tem um início informal.
b) Processo da sua criação – foi acompanhado por serviços jurídicos, e alvo de
debate e discussão nas 3 primeiras reuniões, não tanto ao nível de questões de
ciência da decisão, mas sobretudo âmbito e objetivos do grupo.
Atento aos Artigos 2º e 3º, os mesmos detalham de forma necessariamente sucinta, o que é,
e o que se propõe fazer o GACS, já com 5 reuniões decorridas no espaço de pouco mais de
1 ano. Do Artigo 2º “Natureza e Competências” deduz-se que o GACS pode e deve seguir
a ENSC e demais orientações estratégicas nacionais de defesa que venham igualmente a
ser endorsadas pelo CSSC. Pode ainda ser uma fonte de ideias e propostas para um
processo de revisão da ENSC 2.0 em 2022/2023 aquando da sua apreciação e criação de
estratégias subsequentes.
A adesão ao GACS é voluntária. Contudo, os seus membros estão a aceitar cooperar para
definir normativos e modelos de gestão da segurança (Art.º 2º nº 2 alínea a)) o que é muito
relevante tendo em conta a heterogeneidade de instituições representadas. No imediato será
importante concretizar aspetos relacionados com as alíneas b), d) e e) do número 2 do
mesmo artigo. Não obstante a alínea c), sendo potencialmente mais desafiante é a que
guarda em si maior potencial de impacto na maturidade de cibersegurança na saúde. O
Art.º3º, no seu número 2, pode ser criticado como fechando uma lista que deve permanecer
dinâmica e aberta, mas foi sentido como importante refletir a “composição efetiva”
mostrando o elenco, a variedade e o compromisso já obtido destas instituições. Os números
3 e 4 permitem por seu turno garantir abertura e flexibilidade, respectivamente. Por último
o nº5 é relevante tendo em conta questões como deslocações e outros custos, que são
suportados por cada entidade participante, sendo que os custos de secretariado são
assegurados pela SPMS EPE. O que o GACS começou por denominar como grupos de
26
trabalho está plasmado no regulamento como “comissões especializadas” e obedece as
regras do Art.º6º.
27
capacidade de ser um bom profissional – as respectivas Ordens. Assim, na 5ª reunião já
houve três Ordens presentes e em setembro 2019 foi assinado o 1º protocolo SPMS-Ordem
dos Farmacêuticos com um item específico para iniciativas de cibersegurança,
Existe claramente uma necessidade de formação dos profissionais de saúde, cujo âmbito, e
iniciativas em curso pela SPMS extravasa o foco deste texto. Neste momento constatam-se
dois fenómenos de movimentação de profissionais, (i) a rápida troca entre setor público e
privado em Portugal, e (ii) a saída para outros países. Se no primeiro caso se torna evidente
que haver uma base comum de procedimentos relacionados com cibersegurança em todo o
sector, promovidos pelo GACS, e facilitando os processos de integração dos mesmos em
novos contextos de trabalho, fortemente digitais, é algo que poupa esforço e facilita o
trabalho seguro dos profissionais. Já no caso (ii) não é óbvio, mas é verdadeiro, que
investir nestes profissionais de saúde, qualificá-los com uma forte componente
cibersegurança, é preparar uma “nova geração de profissionais” para um mundo cada vez
mais digital. Por outras palavras, se escolas e ordens definirem esta prioridade, podem
dotar os seus membros com competências que lhes conferem melhor empregabilidade.
Numa primeira fase poderá ser fora do País, mas se regressarem, regressarão melhor
formados e melhor treinados, tendo trabalhado em instituições mais modernas e com maior
maturidade, o que significa que se conseguirmos re-recrutar esses profissionais, teremos
uma vaga de bons técnicos para Portugal. Ainda, relacionado com envolvimento
progressivo, é interessante sinalizar que, da reflecção do grupo na última reunião, foi
confirmada a importância de envolver mais elementos da academia não só na dimensão
investigação e conhecimento em cibersegurança, mas também na dimensão de formação
em cibersegurança. Por último, parece evidente que na medida em que a análise dos temas
se desloca do estrito âmbito “cibersegurança” para abarcar a “segurança da informação
como um todo”, será provavelmente pertinente, tendo em conta as atribuições legais,
envolver a Secretaria Geral do Ministério da Saúde (que tem responsabilidades sobre a
gestão dos arquivos físicos), bem como a Entidade Reguladora da Saúde (que tem a função
de regulador setorial independente), isto atenta a “segurança da informação” de forma
holística, que engloba não só a segurança física (dos locais onde se salvaguarda a
informação em formato físico mas também onde os Sistemas de Informação e
Comunicação se encontram instalados, mesmo que na nuvem) como também a organização
vigente para o efeito, a idoneidade das pessoas que acedem a essa informação e processos
instituídos. Em relação à abordagem progressiva do aprofundamento dos temas e do
28
envolvimento a mesma foi fundamental ante a dificuldade de assegurar uma participação
efectiva nos grupos de trabalho. Foi assim necessário afinar primeiro o modus operandi,
balanceando isso com alguma entrega de valor (com aprendizagem efectiva, sessões e
apresentações) aos participantes, para evitar que sentissem apenas que as reuniões tratavam
o “como” e não a substância o “quê”. Ainda nesta senda foi sempre procurado um reforço
no alinhamento com a ENSC 2.0.
29
do GACS e a fonte de desafios, ideias e materiais para aprovação por todos e desta forma
foram constituídos três com o seguinte foco:
a) Grupo Trabalho 1: Eixo 2 ENSC – Prevenção, Educação e Sensibilização: Utentes,
Profissionais de Saúde, Profissionais TIC – o “Chair” é a APDSI
b) Grupo Trabalho 2: Eixo 4 ENSC — Resposta às ameaças e combate ao cibercrime:
CSIRT (Computer Security Incident Response Team) da Saúde – o “Chair” é a
Rede Nacional CSIRT
c) Grupo Trabalho 3: Eixo 5 ENSC — Investigação, desenvolvimento e inovação:
IoT/Dispositivos Médicos na Saúde – o “Chair” é o HCVP
No esforço de planeamento para 2020-2022, a ENSC 2.0 foi apresentada na última reunião,
incluindo as iniciativas propostas pela SPMS alinhadas com a mesma. A SPMS, como
representante do setor, tem de zelar pelas iniciativas que dependem de si, mas há
iniciativas que são as entidades do setor que têm que alavancar ou contribuir ativamente. A
ENESIS 20|22 foi apresentada com o propósito de dar a entender que a segurança de
informação na saúde e a cibersegurança só fazem sentido no seio de uma estratégia maior
em relação ao uso da informação em saúde para atingir objectivos de mais e melhor saúde
na sociedade, o que obviamente contribui para a defender e inscreve-se no desidrato último
do CEDN, defender a essência da Nação, dos seus valores e dos seus elementos
fundamentais. Foi feito um exercício de análise sobre o próprio grupo, cujos resultados são
resumidamente apresentados na tabela 4, presente no Anexo 4. Parecem resultar três
implicações: i) ainda há espaço para consolidar em composição e dinâmica o GACS, ii) há
a expectativa de que o grupo seja útil nalguns aspectos da protecção do ciberespaço da
saúde, sobretudo na dimensão cooperação e colaboração; iii) o GACS gostaria de ter um
plano de trabalho. Sendo que este grupo para a área da saúde é o de maior abrangência
nacional, para além do seu papel para dentro, pode o mesmo ser uma ferramenta de
alinhamento com as iniciativas internacionais em que Portugal participa.
30
5. DISCUSSÃO
31
5.2 Como é que o GACS e a sua actividade pode ser mapeado contra as directrizes do
CEDN? ENSC 2.0 ou ENESIS20|22?
a) Os referenciais ENSC 2.0 e ENESIS 20|22 ainda não existiam no início das
actividades do GACS. O mesmo começou por consolidar as relações e
constituição, e posteriormente definir iniciativas e acções concretas. Ainda
assim, as estratégias anteriores (a ENSC, e a ENESIS 2020) salientavam a
importância da partilha de boas práticas, a colaboração trans-setorial, e a
preocupação com a segurança da informação, valores centrais na criação e
dinâmica do grupo.
b) É certo que o CEDN já existia, e pode-se afirmar que, sem dúvida, o GACS
concorre para as prioridades e preocupações do CEDN, sobretudo na dimensão
“envolver a sociedade nos assuntos da segurança e defesa nacional” uma vez
que a defesa do ciberespaço da saúde é uma matéria de defesa nacional.
Porventura o próprio grupo nunca foi chamado a reflectir sobre isso nessa
perspetiva o que ainda pode ocorrer no planeamento para 2020-2022.
Quais são as relações da acção do GACS e a ENSC 2.0, a ENESIS 20|22, e como se
enquadra na visão do CEDN? A fim de aferir as possíveis relações entre a acção do
GACS e a ENSC 2.0 e a ENESIS 20|22, será necessário aferi-lo em relação a um conjunto
de iniciativas concretas a que a SPMS se propõe e analisar como estas se mapeiam com
estes referenciais e, em simultâneo, em que medida o GACS é fundamental e instrumental
ou pode apenas beneficiar marginalmente como instrumento de comunicação (pode ser útil
ou deve conhecer). A tabela 5, presente no Anexo 5, apresenta o entrecruzamento das
iniciativas com os referenciais estratégicos e identifica potencial papel do GACS antes as
mesmas. De forma sucinta pode afirmar-se que das 28 iniciativas previstas, o GACS pode
ser considerado fundamental em 12, instrumental em 11, e marginalmente útil em 5. Ou
seja, a SPMS não consegue levar a cabo estas iniciativas, ou não consegue atingir os
mesmos resultados com o mesmo grau de impacto ou qualidade sem o GACS. Isto é
verdade para a maioria das iniciativas a que o grupo se propõe, e que estão enquadradas
nos referenciais estratégicos mencionados.
32
E como se enquadram estas iniciativas no quadro mais amplo da defesa nacional?
Sobretudo nas dimensões a) c) e e) do CEDN, senão vejamos:
Pode-se desta forma afirmar que o GACS é um elemento organizacional que está
alinhado com o CEDN pois permite potenciar os seus desideratos.
5.3 De que forma o GACS funciona como uma ponte/mecanismo de articulação entre
colaboração estratégica na área de ciberdefesa internacional e mesmo com a
sociedade civil e a SPMS ou as entidades do MS/SNS?
33
particular tem ligação forte no sentido em que se iniciou em outubro de 2019 o European
Cibersecurity Health Group (ECHG) e em janeiro 2020 a proposta de um Health
Worstream no seio do NIS Cooperation Group, ambos com dimensão europeia e com
Portugal no centro da sua dinamização. O facto de o CNCS ter estado desde início no
GACS foi decisivo para avançar agora para líder de um workstream sectorial, pois há
certeza na existência de um setor maduro em Portugal e com uma plataforma de apoio
sectorial eficaz que é o GACS.
A SPMS tem um protocolo técnico com o Ministério da Saúde do Brasil para a semântica e
interoperabilidade, talvez a dimensão cibersegurança pudesse ser adicionada. Por outro
lado, a exploração de potenciais atividades em ciberdefesa com o Brasil e na área da saúde
pode ser benéfico para as empresas de tecnologias Portuguesas que exportam para o Brasil.
Igualmente sinergias com países africanos como Cabo Verde e Angola, mais amadurecidos
na Saúde Digital, pode ser benéfico bilateralmente. O GDHP foi lançado pela Austrália,
que mantém um papel muito activo neste fórum. Assim Portugal poderia beneficiar em
trazer Timor-Leste para esta cooperação, não só para a sua capacidade ser reforçada, mas
para a força da posição na Língua Portuguesa sair fortalecida, incluindo a dinamização da
colaboração tripartida.
Por último, o CEDN aponta para a oportunidade que constitui a OTAN, tal ligação ainda
não foi explorada pela SPMS, e é relevantíssima pois a maioria dos países produtores de
dispositivos médicos, medicamentos e softwares usados no setor da saúde em Portugal são
também membros da Aliança. Tal ligação poderia potenciar “awareness” na Aliança,
designadamente através da divulgação da mensagem de que a defesa dos activos digitais da
saúde pode ser tão importante no futuro como a da integridade territorial. Porventura será
mais fácil atacar a primeira do que a segunda, no contexto de cenários de ameaças de
natureza híbrida, cuja verosimilhança é cada vez mais alta. Neste contexto, o GACS pode
ser útil pois inclui grupos como APIFARMA onde estão empresas com sede em muitos
desses países, ou o caso do Grupo Lusíadas que depende de uma multinacional americana.
A ligação do GACS com estas iniciativas está em linha com um desidrato estratégico de
defesa plasmado na ideia de valorização das informações estratégicas (pág. 42-43 CEN
2013) que passa, nomeadamente, por:
34
um fórum onde se tem à mesma mesa representantes de indústrias sofisticadas e
internacionais como medicamento ou dispositivo médico, e mesmo players
prestação de cuidados de saúde privados já sob alçada de grupos internacionais, ou
associações cívicas, torna possível identificar oportunidades e vulnerabilidades. A
ligação do GACS com outros fora formais, dinamizados também pela SPMS,
enquanto representante da administração pública complementa e permite garantir
este vortex de informação estratégica na área da cibersegurança na saúde.
b) “Reforçar a capacidade das informações como instrumento de identificação de
oportunidades de afirmação da presença portuguesa que contribuam para a
segurança nacional, tirando partido de valores imateriais como a língua e a
cultura, a democracia e o respeito pelos direitos humanos” – A cultura de partilha
existe na área da saúde, mesmo através de barreiras como setor público e privado.
Muito evidente em situações de catástrofe mas presente e passível de ser explorada
fora de cenários de crise, mas ante a sua eminência, por outro lado, o conceito
democrático com que foram arregimentados os atores e participantes no GACS
permite afirmar que, esse valor imaterial será aqui critico pois permite nivelar neste
fórum, stakeholders da saúde, que noutros contextos se posicionam de forma
altamente assimétrica e até competitiva.
Atento os esforços do GACS antes desta análise estratégica e olhando o futuro plano que
pode agora ser enriquecido constata-se que é verdade que o CEDN pode ser útil,
juntamente com matrizes estratégicas como a ENSC 2.0 e a ENESIS 20|22, para a
definição do trabalho deste grupo para os próximos anos, e o apuramento do seu
valor estratégico. É também evidente pelas potenciais sinergias que ainda não haviam
sido exploradas, que a forma da colaboração internacional do GACS e da SPMS, que o
dinamiza, está alinhado com o CEDN mas podem ser ainda mais alinhadas com as
linhas do CEDN.
O GACS tem uma representatividade que lhe permite ser um fórum de partilha de
informação entre entidades nacionais como SPMS ou CNCS, e a sociedade civil. Veja-se a
lista de entidades participantes, ordens profissionais ou associações de doentes estão
representadas. Ora o CEDN no seu ponto 2.6 “envolver a sociedade nos assuntos da
segurança e defesa nacional” define que se deve assumir a segurança e defesa nacional
como responsabilidade do Estado, mas também da sociedade e dos cidadãos. Assim
35
podemos claramente identificar que um grupo informal com as características do GACS
funciona de facto como uma ponte/mecanismo de articulação entre colaboração
estratégica na área de ciberdefesa internacional e mesmo com a sociedade civil e a
SPMS ou as entidades do MS/SNS, pois nele estão representadas instituições chave do
MS como a ACSS ou as ARS de maior dimensão, ao mesmo nível que associações
sectoriais. Por último o CEDN aponta ainda para a importância de desenvolver o potencial
de recursos humanos. Através de iniciativas de formação dos cidadãos. Aspecto muito
discutido e trabalhado em sinergias entre as instituições participantes do GACS. Valorizar
o uso das instituições de ensino e ordens profissionais foi já considerado importante para
2020 e definido como prioridade, o que mostra esse alinhamento.
Este caso, a sua metodologia e a forma como demonstra a utilidade para setor da saúde
serve de inspiração para a importância dos instrumentos como ENSC 2-0 e mesmo o
CEDN reforçarem importância da aprendizagem e fertilização intersectorial. É verdade que
já existe o CSSC, mas a sua dinamização e funcionamento, beneficiava talvez de aprender
com o que se faz sectorialmente. A regularidade das reuniões e haver um plano de
trabalhos é imprescindível. Este estudo já mostra que tal é possível, e essencial num grupo
como o GACS, logo deve sê-lo também no CSSC. Este trabalho mostra que é possível
contribuir assim para a melhoria da teoria estratégica por de trás de documentos de
estratégia nacional que devem ter não apenas uma visão de como se procede ao
alinhamento vertical, mas devem cuidar da forma como se estabelecem travejamentos
horizontais entre todas as instituições setoriais, e/ou intersetoriais. Sendo o GACS um
exemplo das primeiras e as necessidades do CSSC um exemplo das segundas. Assim há de
facto aspectos teóricos e estratégicos em falta nos documentos CEDN e mesmo na
ENSC no que diz respeito ao ciber espaço, e ao que diz respeito à relação entre este e
a sociedade civil.
36
global”: uma delas é exactamente a “A cibercriminalidade, porquanto os ciberataques são
uma ameaça crescente a infraestruturas críticas, em que potenciais agressores
(terroristas, criminalidade organizada, Estados ou indivíduos isolados) podem fazer
colapsar a estrutura tecnológica de uma organização social moderna”. Ora, este colapso,
por exemplo do SNS como exemplo de uma organização social moderna, pode ocorrer por
várias vias:
Estas situações estão entre algumas das que surgem nas novas dinâmicas relacionais entre
o ciber-espaço, a sua vulnerabilidade, e a sociedade humana, que, sobretudo na área da
saúde, podem ter como consequência a morbilidade ou mesmo mortalidade. Tais aspectos,
suscitam a necessidade de revisitar o CEDN, convocando à sua recriação, saberes
múltiplos e diversas gerações de Portugueses.
Após analise e discussão das perguntas prévias e atento à evidência da dinâmica deste
grupo informal, da sua constituição, funcionamento e planos futuros, pode afirmar-se que
parece haver uma forma de envolver (progressivamente) todo o (complexo e heterogéneo)
setor da saúde para se motivar e capacitar para a cibersegurança. O envolver de todo o
37
setor é um desafio tendo em conta a dimensão, mas sobretudo a heterogeneidade. Motivar
com sessões, palestras e documentos de awareness sendo importante e necessário não é,
contudo, suficiente. Há que procurar a capacitação por três vias:
No intuito de discutir a questão: “O modelo em si é válido? e se ele pode ser útil para
outros sectores de actividade da sociedade Portuguesa, tendo em conta que apenas no
Ministério da Defesa se encontra estrutura com alguma similitude.” Tendo em conta o
exemplo do setor da Educação em encontrar alguns paralelos:
Assim, ainda que a resposta a esta questão possa ser apenas hipotética, parece evidente que
um GACE – Grupo de Acompanhamento para a CiberSegurança na Educação, poderia ser
benéfico para esse setor. Nesse como noutros, estes grupos transversais e flexíveis podem
ser estruturas de defesa nacional, altamente capazes de criar resiliência nacional ante
ameaças crescentes no ciber espaço.
38
CONCLUSÕES:
40
REFERÊNCIAS BIBLIOGRÁFICAS:
Bause, Melania et al. (2019). “Design for Health 4.0: Exploration of a New Area” Proc. Des. Soc.
Int. Conf. Eng. Des., vol. 1, no. 1, pp. 887–896.
Couto, Cabral (1988). Elementos de Estratégia, Volume I, IAEM, Lisboa, pps. 172ss
Duarte, António Paulo (2014). “A Estratégia Nacional de Defesa do Brasil e o Conceito Estratégico
de Defesa Nacional de Portugal: Comparação de Duas Estratégias Nacionais de Segurança e
Defesa”. Nação e Defesa n.º 138 pp. 63-89
Food and Drug Administration (2019) “Certain Medtronic MiniMed Insulin Pumps Have Potential
Cybersecurity Risks:” FDA Safety Communication Julho 2019 Disponivel em
https://www.fda.gov/medical-devices/safety-communications/certain-medtronic-minimed-insulin-
pumps-have-potential-cybersecurity-risks-fda-safety-communication
Gerbert, Philipp et al. (2015). “Industry 4.0 The Future of Productivity and Growth in
Manufacturing Industries”, BCG publications online. Disponível em:
https://www.bcg.com/publications/2015/engineered_products_project_business_industry_4_future
_productivity_growth_manufacturing_industries.aspx
International Telecommunication Union (2018) “Global Cybersecurity Index (GCI), 2018”. ITU
Publications. Disponível em: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-
PDF-E.pdf
Governo de Portugal (2015). Programa do XXI Governo Constitucional, 2015 - 2019. Disponível
em: https://www.portugal.gov.pt/pt/gc21/governo/programa-do-governo
Governo de Portugal (2017a). “Despacho n.º 3156/2017”. Diário da República, 2.ª série, nº 74, de
13 de abril pp. 7083-7087
41
Governo de Portugal (2017b). “Despacho n.º 1348/2017”. Diário da República, 2.ª série, nº 28, de 8
de fevereiro pp. 2624-2625
Governo de Portugal (2017c). “Despacho n.º 8877/2017”. Diário da República, 2.ª série, nº 194, de
9 de outubro pp. 22776-22778
Ministério da Saúde (2015). Plano Nacional de Saúde - Revisão e Extensão a 2020. Disponível em:
http://pns.dgs.pt/files/2015/06/Plano-Nacional-de-Saude-Revisao-e-Extensao-a-2020.pdf.pdf
Quivy, Raymond; Campenhudt, Luc Van (2003). Manual de Investigação em Ciências Sociais. 3ª
Ed., Lisboa: Gradiva.
Ribeiro, Mendes (2019) Saúde Digital: Um sistema de saúde para o Século XXI, Ensaios da
Fundação, Fundação Francisco Manuel dos Santos, Lisboa
Von der Leyen, Ursula (2019) Mission Letter Stella Kyriakides. Bruxelas. Disponível em:
https://ec.europa.eu/commission/sites/beta-political/files/mission-letter-stella-kyriakides_en.pdf
World Health Organization (2019). Draft Global Strategy on Digital Health 2020-2024. Disponvel
em https://www.who.int/docs/default-
source/documents/gs4dh0c510c483a9a42b1834a8f4d276c6352.pdf
42