CiberSegurança na Saúde:

O GACS - Grupo de Acompanhamento

para a CiberSegurança na Saúde como
instrumento de Defesa Nacional

_____________________________

Um Exemplo prático de um instrumento de Defesa Nacional

e a sua integração com o Conceito Estratégico de Defesa
Nacional, a Estratégia Nacional para a Segurança do
Ciberespaço 2.0 e as necessidades concretas de
ciberproteção de um setor de atividade

Henrique MG Martins

Lisboa, 2020

Auditor do Curso de Defesa Nacional 2018-2019

1
X. INDICE

1. Introdução pág. 3
2. Metodologia pág. 10
3. Contexto sobre cibersegurança na saúde pág. 13
4. O Grupo de Acompanhamento em
Cibersegurança na Saúde pág. 24
5. Discussão pág. 31
6. Conclusões e implicações pág. 39
7. Referências Bibliográficas pág. 41

XX. RESUMO

O estudo aborda a problemática da cibersegurança na saúde de forma lata, explora a sua

existência, utilidade e interpenetração estratégica de um grupo interorganizacional – o
Grupo de Acompanhamento para a CiberSegurança na Saúde (adiante abreviadamente
designado como GACS) – como instrumento de Defesa Nacional e como a sua actividade
pode ser melhor entendida com o recurso aos referenciais estratégicos relevantes. Conclui-
se pelo valor do GACS como elemento de defesa, e galvanização de um complexo, mas
critico, setor de atividade: a Saúde. Explora-se, por fim, a possibilidade deste exemplo ser
replicável a outros sectores da sociedade Portuguesa e de como a sua relação com grupos
de cooperação internacional é chave de uma nova forma de defesa nacional – a Diplomacia
Tecnológica ou Digital.

Palavra-Chave: Cibersegurança; Saúde; Grupo; Colaboração; Serviços Partilhados do

Ministério da Saúde; Conceito Estratégico; Defesa Nacional

2
1. INTRODUÇÃO

1.1 Contexto ciber ameaças e algumas especificidades da saúde

A população portuguesa está a envelhecer devido à diminuição da taxa de natalidade e ao

aumento da esperança média de vida (OCDE, Regions and Cities at a glance, 2018).
Associado a estilos de vida menos saudáveis, tal potencia necessidades acrescidas de
cuidados de saúde (Plano Nacional de Saúde, 2015) (Retrato da Saúde, 2018). Há desafios
para garantir a qualidade daqueles cuidados e ao mesmo tempo a sustentabilidade do
sistema, tendo como foco as áreas da prevenção, promoção e proteção da saúde, e dotando-
o de capacidade adaptativa. A chamada “revolução industrial 4.0” (Gerbert et al., 2015)
significa a mudança de processos organizacionais através de novos conceitos de
digitalização. A indústria 4.0 foca-se em processos e objetos inteligentes e está associada a
tecnologias que podem ser facilitadoras no setor da saúde. São exemplos a robótica, a
realidade aumentada, a simulação, a integração vertical e horizontal de sistemas, a Internet
of Things, a Cloud, o uso da Big Data, Analytics e de sistemas de Inteligência Artificial.
Fala-se de eHealth 4.0, como deriva do conceito da Indústria 4.0 na sua aplicabilidade à
Saúde (Bause et al. 2019). As preocupações com cibersegurança passam de importantes
para críticas à medida que a essência do funcionamento dos sistemas de saúde depende dos
sistemas de informação. Para efeitos deste estudo, entendemos cibersegurança como “O
conjunto das precauções e ações tomadas para proteger o ciberespaço, tanto nos domínios
civil como militar, contra as ameaças decorrentes da interdependência das suas redes e
infraestruturas informáticas” Comissão Europeia (2013). A Saúde Digital (ou eHealth), é
cada vez mais prioritária a nível Internacional, veja-se a estratégia da Organização Mundial
de Saúde (OMS) “Draft Global Strategy on Digital Health 2020-2024” (WHO, 2019), e as
recentes declarações da presidente da Comissão Europeia, na “Mission Letter” endereçada
à comissária para a Saúde (Von der Leyen, 2019):

"We need to make the most of the potential of e-health to provide high-
quality healthcare and reduce inequalities. I want you to work on the
creation of a European Health Data Space to promote health-data
exchange and support research on new preventive strategies, as well as on
treatments, medicines, medical devices and outcomes. (…)"

3
A Estratégia Nacional para o Ecossistema de Informação de Saúde 2020 (ENESIS 2020),
aprovada pela Resolução do Conselho de Ministros n.º 62/2016 (Governo de Portugal,
2016), e regulamentada pelo Despacho n.º 3156/2017 do Ministro da Saúde (Governo de
Portugal, 2017a), abrangeu o período 2017-2019. Foi a primeira estratégia desta natureza
adotada pelo Governo Português e permitiu iniciar um pensamento e uma ação estratégica
comum sobre o Ecossistema de Informação de Saúde (eSIS). Sobre segurança ela
menciona apenas: (i) no preâmbulo que um dos desafios actuais ao “desenvolvimento do
Sistema de Informação da Saúde”, era a “melhoria da gestão dos riscos e da segurança da
informação”; e (ii) nas iniciativas concretas de largo espectro, identifica-se uma que inclui
a segurança: “5.6.7 - Melhoria contínua dos processos de gestão dos Sistemas de
Informação, nomeadamente nas componentes de Serviço, Segurança, Qualidade e
Auditoria e reforço das competências digitais dos recursos humanos”. Não há qualquer
referência a “CiberSegurança” ou à organização de um Grupo de Acompanhamento, à
exceção da introdução do conceito de eSIS – como: “Conjunto de tecnologias, pessoas e
processos que intervêm no ciclo de vida da informação relacionada com todas as
dimensões da saúde do cidadão e outra relacionada, independentemente do local de
prestação de cuidados e/ou das barreiras organizacionais”. Interessa entender como surge
uma dinâmica tão acentuada e o GACS, e como, conceitos como o de eSIS vêm a
influenciar a lógica da sua composição, como a frente se detalhará.

Há ameaças genéricas à cibersegurança, algumas particulares à área da saúde e outras

mistas. Tal distinção decorre ou da sua génese tecnológica (e.g pace-makers com software
e conectividade relativamente sofisticados) ou pelas implicações, sobretudo quando fica
diretamente em causa a vida humana (e.g, falha de um ventilador controlado por software
ligado a um sistema de informação). Globalmente, há um interesse crescente pela
digitalização dos serviços de saúde com vista ao aumento da qualidade e da segurança
clínica. Segurança que, paradoxalmente, está cada vez mais dependente da segurança dos
sistemas de informação. Um maior uso destas tecnologias aporta mais eficiência e eficácia,
mas a dependência progressiva dos processos produtivos das plataformas informáticas,
aumenta a superfície de risco e a exposição ao risco. Se um sistema de informação estiver
comprometido podem ocorrer mais problemas e com mais impacto. Estes componentes
tecnológicos inevitavelmente têm vulnerabilidades, no seu design, no seu setup ou no
código que utilizam, e é fundamental que todo o ecossistema digital (infraestrutura, redes,
software) esteja seguro no seu conjunto. De acordo com o Global Cybersecurity Index

4
(International Telecommunication Union, 2018) em 2018, perto de 1% de todos os emails
eram ataques maliciosos. Em maio de 2017, um ciberataque massivo causou disrupção
significativa em empresas e hospitais em mais de 150 países. O caos decorrente no
National Health Service britânico foi amplamente noticiado e tornou visíveis as
consequências de um ataque num Serviço Público mal preparado. Em Portugal, não são
conhecidos impactos no Serviço Nacional de Saúde (SNS) mas, houve uma aceleração da
estratégia seguida pelo Ministério da Saúde através da Serviços Partilhados do Ministério
da Saúde (SPMS), no seio da ENESIS 2020. De facto, em fevereiro 2017, já o Ministério
da Saúde havia aprovado um despacho (Governo de Portugal, 2017b) sobre notificações
obrigatórias, criando a figura dos Responsáveis de Notificação Obrigatória (RNOs). Em
maio 2017, foram emitidas várias circulares normativas e preparado um despacho mais
amplo sobre o modelo de governação da Cibersegurança na Saúde, de abrangência ao setor
público e protocolados, que veio a ser publicado em novembro de 2017 (Governo de
Portugal, 2017c). Dado que o cenário de risco não é estático, o pior risco é quando uma
organização ou sistema de organizações pensa que atingiu um estádio de ciberdefesa
“estático”. Assim, a solução chave é manter uma filosofia e prática de melhoria contínua,
incluindo a procura permanente de abordagens inovadoras. Uma análise apresentada no
relatório Protected Health Information Data Breach Report (Verizon, 2018) baseado em
eventos reais, e sobre os temas que a saúde tem de endereçar, relatava que:

a) 58% dos incidentes envolvem pessoas de dentro das organizações - “insiders”- a

saúde é o único setor onde os atores internos são a maior ameaça à organização;

b) Os ataques a dispositivos médicos podem ser mais mediáticos, mas os ativos mais
frequentemente comprometidos são as bases de dados e os documentos em papel;

c) O ransomware é o malware mais frequentemente envolvido. 70% dos incidentes

envolvendo código malicioso foram infeções com ransomware;

d) As mais básicas medidas de segurança ainda não estão a ser implementadas.

1.2 Conceito Estratégico de Defesa Nacional, versão 2013 (CEDN 2013)

O Conceito Estratégico de Defesa Nacional (CEDN; 2013) quando foi trabalhado não
olhou particularmente à cibersegurança na saúde. Contudo a segurança da saúde é crítica

5
numa população envelhecida e com multimorbilidade. O SNS assegura funções de defesa
ao nível da sociedade ao contribuir para os objetivos do CEDN. Assim, algo que
comprometa o seu funcionamento, indirectamente condiciona a segurança nacional. Por
último, há hoje mais informação digital sobre a saúde dos Portugueses, que em mãos
erradas, pode condicionar o direito à privacidade ou à autodeterminação informacional,
comprometendo valores do Estado de direito democrático. Da análise efectuada, usando a
pesquisa de termos como ciber (-risco, -defesa, - néticos, -segurança, -ataques), no CEDN
encontram-se as seguintes referências:

a) (página 18) sob “grandes ameaças”: “O processo de globalização e a revolução

tecnológica tornaram possível uma dinâmica mundial de integração política,
económica, social e cultural sem precedentes. Criou um quadro de
interdependência crescente, (…), a fragilização de Estados e o potencial
devastador dos ataques cibernéticos (sublinhado nosso)”;
b) (página 21) sob “ameaças e riscos”: uma delas é explicitamente “O ciberterrorismo
e a cibercriminalidade, tendo por alvo redes indispensáveis ao funcionamento da
economia e da sociedade da informação globalizada;”;
c) (página 22) sob “ameaças de natureza global”: uma delas é “A cibercriminalidade,
porquanto os ciberataques são uma ameaça crescente a infraestruturas críticas, em
que potenciais agressores (…) podem fazer colapsar a estrutura tecnológica de
uma organização social moderna;
d) (página 45) sob subtítulo “responder as ameaças e riscos” encontra-se um parágrafo
dedicado aos temas ciber: “No domínio da cibercriminalidade, impõe-se uma
avaliação das vulnerabilidades dos sistemas de informação e das múltiplas
infraestruturas e serviços vitais neles apoiados. (…); definir uma Estratégia
Nacional de Cibersegurança; montar a estrutura responsável pela cibersegurança,
através da criação dos órgãos técnicos necessários; sensibilizar os operadores
públicos e privados para a natureza crítica da segurança informática e levantar a
capacidade de ciberdefesa nacional. (sublinhado nosso)”
Na sua introdução o CEDN não menciona o ciber espaço. Foca-se nas alterações
resultantes da crise económico-financeira, na emergência de novas grandes potências –
quer no espaço euro-asiático, quer na América Latina – alterações no posicionamento dos
Estados Unidos, e a turbulência no papel político das instituições de defesa. Ainda assim,
há a noção e a referência à necessidade de acompanhar as “novas ameaças”. E estas,

6
inesperadas e importantes condicionantes não podem omitir, ainda que de forma indirecta,
aquelas que surgem num espaço novo que é o espaço ciber ou digital que, porventura, no
futuro será mais “real” que o espaço físico atual ou mais “habitual”, consubstanciadas, hoje
em dia, nas ameaças de natureza híbrida. Se as novas condicionantes à segurança de
natureza geoestratégica tornaram a revisão do CEDN necessária e pertinente, mais ainda
no âmbito da ciberdefesa, essa revisão parece crítica sendo que, o anterior conceito era
praticamente omisso nessa matéria. Ainda que, nesse particular, seja compreensível que
um CEDN de 2013 não capture o momento de 2020, atenta à vertiginosa evolução
tecnológica dos riscos e oportunidades e das novas e expansivas superfícies de ataque. Ou
seja, em 2020, só os temas digitais e ciber seriam suficientes para invocar uma revisão
imediata do CEDN para um “CEDN 2020”, ainda que o seu desidrato permaneça
igualmente válido e aplicável. Importa reter uma passagem em concreto: “o conceito
estratégico de defesa nacional define os aspetos fundamentais da estratégia global a
adotar pelo Estado para a consecução dos objetivos da política de segurança e defesa
nacional. (…).” Numa análise mais profunda da utilidade de um conceito de defesa há pois
que atentar nestes aspectos: i) Poder, ii) Vontade, iii) Mobilização dos recursos materiais, e
iv) Mobilização dos recursos imateriais. Esta moldura conceptual ajuda a pensar a
segurança da informação na saúde, uma vez que a segurança da informação – e a
cibersegurança – na saúde não são distintas da segurança da própria saúde dos portugueses.
Ajuda ainda a estabelecer paralelos de “subvalores, e interesses de Portugal, na área da
saúde” que tenham que ser defendidos no ciber espaço. Em relação aos 5 elementos
fundamentais apresentados no CEDN (CEDN 2013) no tema da cibersegurança na saúde,
salientam-se os elementos a), c) e e).

Qualquer política sectorial e iniciativas derivadas de ciberdefesa, sobretudo numa área

critica ao Estado e Constituição Portuguesa, como a Saúde, deve estar subordinada de
acordo com CEDN (pág., 30, CDEN 2013), à prossecução do atingimento de cinco
objectivos permanentes, dos quais se destacam, pela sua particular relevância, os dois
primeiros que consistem em garantir:

a) A soberania do Estado, a independência nacional, a integridade do território e os

valores fundamentais da ordem constitucional;
b) A liberdade e a segurança das populações, bem como os seus bens e a proteção do
património nacional.

7
Valores constitucionais como o acesso a saúde, podem ficar seriamente em risco em
situações de comprometimento do funcionamento do Serviço Nacional de Saúde, por
inadequados sistemas de informação e/ou alteração da informação de saúde dos
Portugueses. Aquilo a que se pode chamar soberania digital como seja, garantir que
sistemas como o que disponibiliza a Receita Sem Papel, têm um menor número de
dependências de desenvolvimento externas ou de mais do que um ator estratégico, que os
sistemas principais dos hospitais são de origem Portuguesa e mantidos pelo Estado. Os
adequados controlos de segurança são uma importante garantia dessa soberania.
Igualmente, em relação a bens e património nacional, há que pensar que, na saúde, esses
bens são, primeiro que tudo, a própria saúde e a vida. Segundo, a autodeterminação
informacional e o direito a privacidade dos dados (pessoais), algo que, nos dados de saúde,
é ultra-sensível e requer particular enfoque de segurança. Por último, quando falamos de
dados genéticos e mesmo fenotípicos, armazenados sobretudo no setor da saúde e
investigação correlacionada, estamos também a falar de património nacional.

1.3 Estratégia de defesa e de segurança do ciberespaço (ENSC 2.0)

Para encontrar a melhor ligação entre o CEDN e a Estratégia Nacional de Segurança do

Ciberespaço (ENSC), seria de interesse explorar a diferença de uma estratégia de
segurança e uma estratégia de defesa. A segurança (nacional) pode ser pensada como a
condição que permite ao País preservar sua soberania e integridade territorial, promover os
seus interesses nacionais, livre de pressões e ameaças e garantir aos cidadãos o exercício
de seus direitos e deveres constitucionais, em referência ao conceito enunciado por Cabral
Couto (Cabral,1988). Já a segurança (do ciber) espaço não é distinta, uma vez que os
interesses nacionais também se manifestam através do nosso ciberespaço sendo que, deste,
há que ter uma noção lata em relação a sistemas online, pois podem estar
alojados/operados fora do território tradicionalmente considerado português (dimensão
física). Há, contudo, inúmeros interesses e sistemas, alguns deles críticos, que não têm uma
presença online e nem por isso deixam de constituir territórios do ciberespaço. Já o
conceito de defesa (em relação a segurança), pode ser pensado como uma tentativa de
manter um determinado ordenamento (país, instituição ou status quo). O CEDN terá então
utilidade na conceptualização dos conceitos, das iniciativas e das estratégias que visam

8
defender a segurança, neste caso também do ciberespaço, enquanto que a estratégia de
segurança, pode ser vista como um potenciador da capacidade de criar resiliência, e
capacidade de fortalecer a segurança e por esta via, manter uma determinada ordem, neste
caso – digital. Segurança é a condição em que o Estado, a sociedade ou os indivíduos se
sentem livres de riscos, de pressões ou de ameaças e inclusive de necessidades extremas.
Defesa é a ação efetiva para se obter ou manter o grau de segurança desejado. Importa,
explorar como atingir essa condição em que os agentes se sentem livres. Sendo que este
“Sentir” é consciente e não um estado de ignorância sobre os riscos ou ameaças, ou seja,
um sentir livre por desconhecimento. Este estado de “consciência”/”vigilância” é
particularmente crítico no caso da cibersegurança pois muitas das linhas de defesa são
comportamentos determinados por cada indivíduo.

A resolução do Conselho de Ministros n.º36/2015 que aprova a Estratégia Nacional de

Segurança do Ciberespaço (ENSC) (Diário da República, 1ª série - N.º 113 - 12 de junho
de 2015) permitiu a Portugal, pela primeira vez, contar com uma estratégia sobre esta
matéria para o período 2015-2018. A segunda versão da ENSC (ENSC 2.0) foi aprovada
por Resolução de Conselho de Ministros nº 92/2019 (Governo de Portugal, 2019),
referindo que há uma tendência para um crescente aumento da dependência das tecnologias
de informação e de comunicação a par de oportunidades significativas para aqueles que
pretendem comprometer as nossas redes e sistemas de informação de forma perigosa.
Apresenta no seu preâmbulo algumas considerações sobre as ameaças e o status quo da
segurança existente, dignas de revisitação no que se venham a revelar mais
interrelacionadas como o caso em concreto da saúde (que se assinala a negrito): “(…) com
origem em agentes estatais,(…) destinadas a atingir infraestruturas críticas e a provocar
a disrupção de serviços essenciais para o regular funcionamento da sociedade. (…)
agentes não estatais são frequentemente de origem criminosa, (…) bem como outras
para denegrir imagens institucionais e diminuir a reputação dos alvos. Explorando de
forma maciça a utilização de malware (ou «código malicioso»), (…) identificação destas
vulnerabilidades, associada à fraca cultura de cibersegurança e de consciência das
responsabilidades individuais neste domínio, bem como à insuficiente maturidade digital
para atender às necessidades de segurança, patentes tanto no setor público como no
setor privado, apresentam -se como as principais fragilidades que urge resolver. A par
desta realidade, a dificuldade de capacitação, manutenção e captação de recursos
humanos e financeiros (…) Impõe -se ainda o reforço da articulação ao nível da

9
coordenação e da cooperação estratégica e operacional de entidades nacionais
envolvidas na segurança do ciberespaço por forma a salvaguardar uma eficiente e eficaz
gestão nacional de crises.”

A ENSC 2.0 propõe três objetivos estratégicos e seis eixos nos quais se devem organizar as
iniciativas para os atingir. Os objectivos são:

1. “Maximizar a resiliência: Fortalecer e garantir a resiliência digital nacional

potenciando a inclusão e a colaboração em rede de forma a salvaguardar a
segurança do ciberespaço de interesse nacional face às ameaças que possam
comprometer ou provocar a disrupção das redes e sistemas de informação”.
2. “Promover a inovação: Fomentar e potenciar a capacidade nacional de
inovação afirmando o ciberespaço como um domínio de desenvolvimento
económico, social, cultural e de prosperidade”.
3. “Gerar e garantir recursos: Contribuir para obter e garantir a alocação de
recursos adequados para a edificação e sustentação da capacidade nacional para
a segurança do ciberespaço”.

A ENSC 2.0 estabelece como visão para 2023: “Que Portugal seja um país seguro e
próspero através de uma ação inovadora, inclusiva e resiliente, que preserve os valores
fundamentais do Estado de Direito democrático e garanta o regular funcionamento das
instituições face à evolução digital da sociedade.” Salientam-se três aspetos importantes
no que respeita à cibersegurança necessária no seio da Saúde Digital:
1. Que garanta o regular funcionamento das instituições de saúde (não apenas os
hospitais ou outras entidades prestadoras de cuidados, mas também as que regulam, as que
vigiam e as que criam as condições de funcionamento do sistema e Serviço Nacional de
Saúde);
2. Que esta garantia não seja feita “a contrário” ou “com sacrifício” da evolução
digital, mas encarando-a de frente e aceitando-a;
3. A forma como se fará esta securitização será através de acções: i) inovadoras, ii)
inclusivas e, iii) resilientes. Esta última dimensão é particularmente interessante para olhar
o GACS enquanto “ação/ações” de segurança, pois estabelece os requisitos mínimos da sua
existência enquanto entidade útil à segurança do ciberespaço na saúde.

10
2. METODOLOGIA

Neste estudo, e usando uma adaptação ao método hipotético-indutivo (Quivy e

Campenhoudt, 2003: 144) optou-se por uma metodologia mista:

1. Após breve exposição introdutória das fontes relevantes, procedeu-se à revisão

do tema de interseção entre cibersegurança, estratégia de defesa nacional, e as
particularidades da saúde, numa abordagem geral;
2. Depois, e com recurso a um estudo de caso de uma iniciativa em particular – a
Criação do Grupo de Acompanhamento para a Cibersegurança na Saúde
(GACS), desenvolveu-se um estudo detalhado no sentido de endereçar os
problemas centrais da cibersegurança na saúde, a saber: “Envolver todo o setor
da saúde para se motivar e capacitar para a cibersegurança”

Não havendo dúvidas de que há uma ou muitas razões – “Porquê?” – Como se explana na
introdução, no risco para operação dos serviços, e a garantia dos direitos dos cidadãos,
nomeadamente o direito à Saúde e à Vida, o aspeto porventura que mais importa analisar é
então o “Como”. Neste sentido é formalizada a questão central: “De que forma um Grupo
Informal sectorial é a melhor forma de garantir um alinhamento estratégico entre as
necessidades e condicionantes do Setor da Saúde e a necessária cibersegurança”

Foram depois exploradas algumas questões derivadas das quais se deduziram algumas
hipóteses exploratórias. Estes aspectos perpassam a apresentação do caso em si, e alguns
aspectos em particular. Assim, as questões e hipóteses levantadas, são depois objeto de
discussão já perto da parte final do estudo. No final, enunciam-se algumas conclusões
gerais e com isso responder à questão central. A tabela 1 representa de forma esquemática
esta metodologia.

Utilizou-se o caso de um Grupo Informal, criado com o objetivo de aumentar a capacidade

de cibersegurança na área da saúde de forma transversal, uma vez que o mandando formal,
plasmado nos despachos 8877/2017 e 1348/2017 (Governo de Portugal, 2017b, 2017c), se
cingia aos órgãos do Ministério da Saúde. Última questão que se pertente ver respondida é:
“O modelo em si é válido? e se ele pode ser útil para outros setores de atividade da
sociedade Portuguesa, tendo em conta que apenas no Ministério da Defesa se encontra
estrutura com alguma similitude.” A resposta a esta questão será apenas especulativa pois

11
teria de se aplicar o modelo noutros sectores e ver os resultados obtidos para aferir de
forma concreta. Uma reflexão necessariamente breve, por via do raciocínio analógico, por
exemplo ao setor da educação, que tem algumas semelhanças relevantes com a saúde, é o
possível, atentas as limitações de tempo e espaço.

Tabela 1 – Quadro explicativo da aplicação do método

ENUNCIADO DO PROBLEMA

Envolver todo o setor da saúde para se motivar e capacitar para a cibersegurança

QUESTÃO CENTRAL
De que forma um Grupo Informal setorial é a melhor forma de garantir um alinhamento
estratégico entre as necessidades e condicionantes do Setor da Saúde e a necessária
cibersegurança
QUESTÕES DERIVADAS HIPÓTESES
Como funciona o GACS? É possível criar um Os aspectos informais do GACS
grupo informal e conferem-lhe vantagem;
que mantenha
atividade nesta
área;
Quais são as relações da ação O GACS como O CEDN pode ser útil, juntamente
do GACS, ENSC 2.0 e elemento com matrizes estratégicas como a
ENESIS, e como se organizacional está ENSC 2.0 e a ENESIS 20|22, para a
enquadram na visão do alinhado com o definição do trabalho deste grupo
CEDN? CEDN; para os próximos anos e o
apuramento do seu valor estratégico;
De que forma o GACS Se a forma da Há aspetos teóricos e estratégicos
funciona como uma colaboração em falta nos documentos CEDN e
ponte/mecanismo de internacional do mesmo na ENSC, no que diz
articulação entre colaboração GACS e da SPMS respeito ao ciberespaço e ao que diz
estratégica na área de que o dinamiza, respeito à relação entre este e a
ciberdefesa internacional e está e pode ser sociedade civil.
com a sociedade civil e ainda ainda mais,
com SPMS ou as entidades alinhada com as
do MS/SNS? linhas do CEDN;

CONCLUSÕES GERAIS
RESPOSTA À QUESTÃO CENTRAL

A fim de aferir o alinhamento entre os instrumentos estratégicos: o CEDN, a ENSC e a

ENESIS 20|22 e ainda as iniciativas de cibersegurança para a saúde, entre si, e com os
propósitos do GACS, foi feito um trabalho de análise matricial que será explorado na
discussão.

12
3. CONTEXTO SOBRE CIBERSEGURANÇA NA SAÚDE

3.1 Segurança e funcionamento dos serviços de saúde

A fim de entender melhor o grau de proteção necessário e a segurança que se pretende

atingir no ciberespaço da saúde, há que entender melhor o contexto da saúde. Atualmente,
dados e informação são um ativo importante nas organizações e os seus processos de
negócios são cada vez mais baseados em informação. Nesse sentido, é essencial garantir
condições para disponibilizar a informação sempre que necessário (disponibilidade) a
pessoas devidamente autorizadas (confidencialidade) salvaguardando a verdade e a
complementaridade (integridade). Há ainda que proteger todos os sistemas informação que
gerem os sistemas operacionais (e.g. elevadores, eletricidade, aquecimento, entre outros) a
chamada OT – Operations Technology, e não apenas a IT – Information Technology. Por
último, o uso dos múltiplos dispositivos ligados em redes, comumente designado IoT –
Internet-of-Things, é particularmente relevante no contexto da saúde onde ventiladores,
pace-makers, bombas infusoras, entre outros equipamentos médicos e operacionais, estão
cada vez mais interligados em redes digitais. No setor da saúde tem havido um uso
crescente de recursos tecnológicos e sistemas de informação (IT, OT e IoT), em benefício
dos seus principais interessados (cidadãos e profissionais de saúde), permitindo que eles
tenham acesso a informações com valor acrescentado, que contribuam para a provisão
contínua de cuidados de saúde com segurança, com base na partilha de informação de alta
qualidade como só os serviços digitais o permitem. Existe uma dependência dos processos
de negócio de uma organização de saúde e o bom uso de plataformas digitais seguras e
assim, há que protegê-las da exposição subsequente aos riscos de dano existentes no
ciberespaço.

De facto, os ciberataques nas unidades de saúde são cada vez mais frequentes devido à
criticidade e ao valor intrínseco das informações que elas armazenam. Há relatos de
organizações de saúde que sofreram ataques cibernéticos do tipo ransomware e phishing,
que foram obrigadas a interromper a sua operação regular, onde os dados foram roubados,
criptografados ou exfiltrados. Um exemplo desses ataques foi o ataque com Ransomware
WannaCry, em 12 de maio de 2017, que levou ao desligar de centenas de milhares de
computadores em todo o mundo (para evitar a proliferação lateral do comprometimento),
seguidos por mensagens de hackers que exigiam avultados pagamentos de resgate. Só no

13
National Health Service britânico isso causou interrupção em vários serviços, com cerca de
20.000 consultas canceladas, tendo sido estimados custos de mais de 90 milhões de libras
nos dias seguintes em limpezas e atualizações dos sistemas de informação e reposição da
normalidade dos serviços. Outro exemplo, foi o ataque aos sistemas do SingHealth, grupo
de hospitais e clínicas públicas em Singapura, onde foram roubados dados pessoais de mais
de 1,5 milhões de doentes e registos médicos de cerca de 160.000 consultas externas,
incluindo registos sobre a saúde do Primeiro-Ministro. Esse tipo de incidente geralmente
resulta de existirem sistemas antigos, sem quaisquer requisitos de segurança para
funcionar, desatualizados, mas críticos para a organização, e por isso vulneráveis a ataques.
Os ataques podem resultar na degradação disruptiva na qualidade dos serviços prestados,
perdas financeiras e má reputação da instituição, diminuindo a confiança de seus utentes no
tratamento da sua informação de saúde, na infraestrutura e até nos serviços de saúde.

3.2 Cibersegurança, interoperabilidade e cuidados de saúde integrados

Um dos maiores desafios para as organizações de saúde é proteger adequadamente os

dados dos utentes dentro de cada uma, mas também nos processos de troca eletrónica entre
organizações. Este desafio aproxima três tópicos muito importantes para uma saúde eficaz,
eficiente, segura, atempada, de qualidade e economicamente sustentável:

a) A prestação de cuidados não pode continuar a ser feita em ilhas e níveis

isolados de cuidados (hospitalares, primários, saúde púbica, cuidados paliativos,
continuados e domiciliários) mas sim de uma forma integrada;
b) Para que a) possa ser sustentado com dados do utente, os sistemas de
informação têm de ser interoperáveis, permitindo trocas de dados entre todos os
tipos de entidades de saúde, independente do setor público, privado ou social,
entre: prestadores, reguladores, financiadores, o próprio cidadão e a sua casa;
c) Para que b) aconteça sem disrupção dos serviços, nem alteração, exfiltração ou
roubo de dados, é crucial haver níveis de cibersegurança elevadíssimos, sem
compromisso do exposto em a) e sem tornar a interoperabilidade descrita em b)
um esforço técnica e economicamente insustentável.

À medida que a interoperabilidade e interconexão aumenta à escala global, surgirão

ameaças adicionais à integridade dos dados pela ligação de redes de informação de saúde

14
de organizações ou países com diferentes níveis de maturidade, superfícies de ataque
diferentes e vulnerabilidades técnicas e políticas distintas. Sem estratégias de segurança
adequadas, que incluam uma sólida política de partilha de dados e a respetiva arquitetura
de cibersegurança, as organizações de saúde terão dificuldade em garantir que os dados
confidenciais são adequadamente protegidos mas partilhados quando necessário. A
avaliação de risco é muito importante e permite identificar vulnerabilidades, só sendo
eficaz, todavia, se for para além do despiste de vulnerabilidades reconhecidas, ou teóricas.
O recurso à recolha de experiências de outras organizações permite obter o sentido de
proporção com base nos casos reais. A troca de experiências concretas tem um papel
chave, e os de fora que o permitem, incentivam e estruturam, detêm um papel decisivo.

Tabela 2 – Principais desafios em cibersegurança na saúde. Exercício realizado no primeiro workshop de

cibersegurança na saúde realizado pela SPMS (Lisboa, janeiro 2019). Estiveram países com elevada
maturidade em SI como: Estados Unidos, Reino Unido, Austrália, Hong Kong SAR e Coreia do Sul. Foi
solicitado que fossem identificados os maiores desafios que enfrentam em relação à cibersegurança.

Principais Desafios em Cibersegurança na saúde

Relacionados com Pessoas Tecnológicos

• Capacidades e recursos ciber insuficientes
• Lacunas na força de trabalho: capacidades em
cibersegurança / talentos
• Recursos humanos (escassez, orçamento, recrutamento,
retenção,…)
• Cyber ​como prioridade ao nível das chefias
• Falta de conscientização e treino da equipa
• Conscientização (nos níveis Estratégico e Operacional)
• Falta de monitoização de tráfego
criptografado
• Falta de monitorização local da Internet
• Prevalência de ameaças persistentes
avançadas (APT);
• Ransomware e ataques tipo zero-day;
• Segurança em aplicações para
dispositivos móveis;
• IoT e segurança na nuvem;

• A falta de compreensão do que é cibersegurança e da

• Tecnologias emergentes
diferença com requisitos de privacidade legislados (RGPD)
• Mecanismos de segurança cibernética
• O baixo nível de maturidade cibernética no setor da saúde
(antivírus,…)
Relacionados com Processos Relacionados com tecnologia e processo
• Incorporação dos riscos de cibersegurança no processo • Sistemas vulneráveis ​/ expostos à
de gestão de riscos organizacional Internet
• Ambiente regulatório complexo e governança distribuida • Sistemas e ativos sem patch / legados
• Gestão e control de acesso fracos
• A grande diversidade de organizações de saúde
(privilegiados e refinados)
• Os diversos processos de governança e risco fora das
• Gestão de passwords e credenciais
responsabilidades jurisdicionais
• Cooperação e colaboração (principalmente em funções
• TIC legada e tecnologias não suportadas
operacionais, não relacionadas às TIC)

15
Há distintos níveis de prestação, como os cuidados hospitalares, primários, ou de longa
duração, os serviços sociais e de saúde para idosos, cuidados ao domicílio e os cuidados
paliativos. Devem ser vistos de forma holística e devem estar interconectados e seguros, é
necessário protege-los a todos. Contudo, pela sua complexidade organizacional, número de
profissionais e equipas técnicas distintas e a miríade de sistemas de informação que
possuem, nenhum outro nível como o hospitalar está tão exposto ao risco e é tão vulnerável
a incidentes de segurança de informação. É por isso indispensável trabalhar com grande
detalhe a securitização daquela que, até hoje, continua a ser reconhecida como a mais
complexa das organizações humanas – o hospital universitário altamente especializado.

Num trabalho levado a cabo pelo Grupo para a Cibersegurança do Global Digital Health
Partnership (GDHP, 2018) do qual Portugal faz parte, foram identificados os maiores
desafios em cibersegurança nas organizações dos seus países (vide tabela 2). Há aspetos
comuns, como formação e consciencialização de recursos humanos, sistemas legados
(antigos) e governança, e outros particulares. Estes não diferem no cenário Português, com
a agravante da elevada heterogeneidade do setor da saúde: público e não público, e neste,
organizações grandes (alguns hospitais ou grupos de saúde) e outras muito pequenas.

3.3 Ciberespaço da Saúde

A concetualização do ciberespaço na saúde é útil para conseguirmos melhor caraterizar o

que em concreto carece ser defendido. Para tal, entende-se útil pensar o ciberespaço na
saúde como aquele espaço digital, ocupado pelos seguintes elementos:

a) Atores humanos – todos aqueles que habitam o setor da saúde, mesmo que no
limite não usem sistemas digitais, mas condicionem de qualquer forma o
ciberespaço, bem como todos os que interagem com as tecnologias ou
definem/condicionam processos com impactos no setor da saúde.
a. Ao nível das funções, estas não se esgotam, mas incluem: i) a criação dos
sistemas e do próprio ciberespaço e das suas regras; ii) acesso, mais ou
menos mediado, e autenticado, aos sistemas; iii) intencionalidade; iv) ética
na ação; e interação não cibernética condicionante do espaço cibernético.
b. Ao nível da composição, importa destacar os profissionais de saúde, e as
suas organizações, os utentes e as suas famílias, e de forma mais geral, as

16
 empresas e a sociedade portuguesa que se relacionem com a saúde – o que a
ENESIS 20|22 caracteriza como o ecossistema de stakeholders.
b) Atores não humanos – todos os agentes, mais ou menos autónomos, que
condicionam ação no espaço ciber: i) tecnologias; ii) linguagens de programação ou
estatística; iii) dados disponíveis para captação e dados armazenados;
c) Relações entre atores: i) através das vias digitais, ou ii) sobre o digital;
d) Relações digitais automáticas – ocorrem entre atores não humanos sob diversas
tipologias arquiteturais (exemplos: DB-links, webservices/SOA), que podem ser
comprometidas por ciberataques, sendo assim: i) mais, ou ii) menos ciberseguras;
e) Processos e fluxos informacionais: i) não autónomos e ii) autónomos;
f) Inteligência humana: i) manifestações precetivas e ii) manifestações decisionais;
g) Inteligência artificial: i) de apoio à inteligência humana – ou Inteligência
Aumentada ou externa; ii) autónoma e decisional.

Se é necessariamente verdade que há que pensar cibersegurança para a saúde fora do setor
público pela natureza da complexidade e composição do ciberespaço da saúde, não é
menos verdade que há um papel especial para o setor público no que a cibersegurança diz
respeito. Deve ser o setor público, pelas ligações íntimas e naturais que tem com o Estado,
o sistema de Defesa Nacional e órgãos de soberania, sobretudo o poder executivo, que se
deve organizar no sentido de garantir uma coerência, lógica e uma agregação dos esforços
com vista ao aumento da cibersegurança em todos os aspetos relacionados com a saúde dos
Portugueses. Assim está a contribuir para a salvaguarda dos direitos, liberdades e garantias
do cidadão, ou seja, a exercer a sua mais nobre função num estado de direito democrático.
Por outro lado, sem instrumentos de colaboração flexíveis e capazes de se estenderem por
todo o contínuo e o descontínuo do setor, provavelmente o envolvimento dos stakeholders
relevantes ficará comprometido. A Lei 46/2018 de 13 de agosto, indicando que esse papel
central deve ser desempenhado pela SPMS, E.P.E ajuda a clarificar e permite que em seu
torno gravitem depois outras formas de envolvimento.

Há ainda um aspeto no ciberespaço da saúde que tem vindo a ganhar dimensão e

relevâncias exponencialmente crescentes nos últimos cinco anos e que vai determinar
muito o ciberespaço na saúde. Trata-se do cidadão, não apenas o doente ou utente, como
fonte de dados digitais, permanentemente conectado aos sistemas de saúde, de formas
diferentes e progressivamente mais intrusivas, designadamente:

17
 a) Dispositivos temporariamente ligados ao indivíduo – chamados “Monitores”,
exemplo clássico é monitor de TA, Saturação de O2 e traçado electrocardiográfico;
b) Através de dispositivos no domicílio (com mecanismos de telemonitorização),
talvez mais conhecidos como sejam os de suporte respiratório (Ventiladores não
invasivos);
c) Pelo uso dos chamados “wearables” (podem “vestir-se e despir-se”) – em que o
smartphone, ou mesmo relógios, com ligação remota a central de monitorização de
sinais vitais, ou a uma bomba perfusora de insulina, são exemplos comuns;
d) E/ou o recurso a “implantables” (não se podem “vestir e despir” ficam no corpo,
dentro dele ou mais a superfície mas “agarrados”) – dispositivos implantados (ex.
próteses ou pace-makers) com sensores, atuantes e código – no fundo funcionando
como micro-robots, com graus variáveis de IA com autonomia decisional.

Notar que a distinção entre c) e d) é muito importante, pela incapacidade de desconectar

facilmente o individuo da tecnologia que está ligada a uma rede, e que pode ter sido
comprometida. Já em 2019 as bombas de insulina da marca MiniMed® foram retiradas do
mercado por riscos potenciais de cibersegurança (Food and Drug Administration, 2019),
devido ás vulnerabilidades identificadas no dispositivo, sendo que alguém que não o
doente, cuidador ou profissional de saúde, poderia conectar-se remotamente e alterar os
parâmetros da bomba. Há ainda em d) uma dimensão de identificação unívoca que levanta
questões de ética e privacidade, bem como rastreabilidade e capacidade de definir alvos
humanos - nos ataques cibernéticos - sem qualquer precedente na história humana. Os
próprios profissionais de saúde cada vez mais querem trazer os seus dispositivos de
informática pessoal para o trabalho e integrá-los com os sistemas corporativos. Este
fenómeno, comumente designado “Bring your own device/BYOD” traz consigo
importantes desafios de privacidade e cibersegurança, como autenticação do utilizador e da
máquina, segurança de redes, rastreabilidade, portabilidade dos dados e roubo de
identidade digital. Se é verdade que há exemplos de micro práticas relacionadas com as
formas b) a d) há alguns anos, há porventura uma explosão neste momento que está
relacionada com tendências convergentes de:

a) Maiores níveis de literacia em saúde, um desejo de empoderamento pessoal, e

ruptura com modelo paternalista de medicina e prestação de cuidados;
b) Aumento da literacia digital e aumento da disponibilidade de smartphones;

18
 c) Novos doentes, muitos deles crónicos, mas que estão num mercado trabalho digital,
ou a sair dele, há muito familiarizados com processos digitais;
d) Novos e-consumidores, exemplos como o e-commerce (AMAZON®, etc.), e-
transportation (UBER®, etc.), determinaram novos e-utentes do sistema de saúde,
mas que passam também a ser produtores e reguladores (exemplo, uso ferramentas
de auto diagnostico online, onAPP, em breve “onDevice” com capacidades
progressivas de incorporação de IA e mesmo administração de fármacos.

Estas tendências, e a forma como os sistemas e organizações convencionais estão a passar

por uma fase de transição digital, leva ao uso da expressão Saúde Digital, para caracterizar
todo este contexto novo da saúde. Em Portugal há até quem, por exemplo, fale em Serviço
Digital de Saúde em vez de Serviço Nacional de Saúde (Ribeiro, 2019)

3.4 Estratégia Nacional para o ecossistema de Informação da Saúde (ENESIS 20|22)

Com o propósito de trabalhar um desenvolvimento o mais articulado possível dos sistemas

de informação da saúde, em 2016, foi gizada a Estratégia Nacional para o ecossistema de
informação da saúde para os anos de 2017, 2018 e 2019, designadas sumariamente por
ENESIS 2020. Na sequência e atento ao calendário a nova Estratégia Nacional para o
Ecossistema de Informação da Saúde - ENESIS 20|22, pensada para o triénio de 2020 a
2022, foi elaborada pela SPMS, E.P.E em colaboração com um conjunto de parceiros
institucionais e individuais, internos e externos ao Ministério da Saúde, e colocada em
consulta pública até dez 2019 (Serviços Partilhados do Ministério da Saúde, 2019).

A ENESIS 20|22 tem como propósito orientar a transformação digital do setor da saúde em
Portugal, e ao contrário da anterior tem um âmbito mais abrangente do que o setor público,
e visa criar as condições indispensáveis à evolução do eSIS. A estratégia integra um
conjunto de princípios, eixos estratégicos e dimensões. Os objectivos da ENESIS 20|22
integram três perspectivas distintas:

a) Aos cidadãos, pretende-se garantir o suporte ao alcance dos seus objetivos de

saúde através da facilidade no acesso a cuidados de saúde e melhor informação disponível.
b) Para os Profissionais, importa criar melhores condições de trabalho, e numa
melhoria contínua das suas capacidades e competências, nomeadamente digitais.

19
 b) Para as Organizações de Saúde, importa conseguir assegurar a adequada
capacidade de resposta às suas necessidades, em contexto cada vez mais complexo.

Assim os principais objetivos são:

a) Suportar o sistema de saúde e a prestação de cuidados na melhoria de saúde da
população;
b) Proporcionar uma melhoria na gestão dos serviços de saúde, facilitar o acesso à
informação e serviços de saúde e a integração de cuidados, reduzindo as disparidades
geográficas e socioeconómicas;
c) Melhorar a experiência do cidadão no seu percurso de vida e no contacto com o
sistema de saúde;
e) Maximizar as condições de trabalho dos profissionais de saúde – Contribuir para
melhorar e inovar os processos de trabalho dos profissionais, melhorar a sua satisfação e,
consequentemente, a qualidade na prestação dos serviços,
f) Aumentar a eficiência das organizações de saúde e a salvaguarda do acesso a
serviços de saúde de qualidade e à gestão eficaz dos recursos.

O cumprimento da ENESIS 20|22, depende dos resultados que se materializarem em

iniciativas alinhadas em seis eixos estratégicos, a saber:

a) Acesso a Cuidados de Saúde ao longo do ciclo de vida do cidadão;

b) Capacitação e Empowerment do Cidadão;
c) Eficiência e Sustentabilidade do Sistema de Saúde;
d) Qualidade e Segurança dos Cuidados de Saúde;
e) Prevenção, proteção e promoção da Saúde;
f) Capacitação das Organizações e dos Profissionais;

3.5 Interligação entre estratégia nacional de defesa, o ciberespaço, e o eSIS

Em Portugal, a ligação entre CEDN e espaço ciber aparece plasmada sobretudo na

identificação de riscos, mas isso não é uma regra em todos os países. Por exemplo, em
comparação com o Brasil, Paulo Duarte (Duarte, 2014) identifica que o CEDN 2013 em
Portugal é bem mais prolixo na listagem de ameaças e riscos, distinguindo mesmo aquelas
20
destes, e igualmente, entre os que têm uma dimensão global, e desses, aqueles que maior
perigo representam para a segurança de Portugal. Quanto às ameaças, aquelas, de natureza
global, que mais podem afetar Portugal e os portugueses são o terrorismo, a proliferação de
armas de destruição massiva, a criminalidade transnacional, a cibercriminalidade e o
ciberterrorismo e a pirataria. Já no Brasil (Ministério da Defesa do Brasil, 2012), existe
uma ligação entre “estratégia nacional de desenvolvimento do país e a estratégia nacional
de defesa, ou seja há uma ligação relacionada com a capacidade de dissuadir (se necessário
combater) alicerçada num conceito de desenvolvimento do país em três eixos, todos
contribuindo para a independência nacional: (i) a mobilização de recursos e de potencial
produtivo, aproveitando a “poupança estrangeira, sem dela depender”; (ii) a capacitação
tecnológica autónoma nos setores espacial, cibernético e nuclear; e (iii) a
“democratização de oportunidades” (END: 2012)

No caso da saúde, Portugal tem capacidade, quer pública quer privada, para a produção de
inúmeras soluções tecnológicas para a prestação, saúde pública, prescrição e gestão do
medicamento e mesmo interação com cidadão/utente. Resta saber se tem capacidade de a
manter, se isso é estratégico, e se tem também capacidade de desenvolver capacidade em
tecnologias de defesa a partir dessas tecnologias. Tecnologias essas que no fundo
constituem o eSIS – Ecossistema de Informação da Saúde, que pode assim ser mais ou
menos autonomamente criado por Portugal, e pode ser mais ou menos autonomamente
defendido. Estas são intersecções estratégicas fundamentais. Há, por conseguinte, três
referenciais estratégicos consolidados a ter em conta, o CEDN, a ENSC, e a ENESIS
20|22, bem como indicações do white paper sobre ciberestratégia do GDHP como conjunto
de recomendações sobre cibersegurança, mas instanciadas ao ciberespaço da saúde e a
perspectiva internacional e colaborativa. Na vertical representa-se o eSIS e a capacidade de
produção de tecnologias, ambos enquadrados no referencial da ENESIS 20|22. O diagrama
1 visa representar como a capacidade autónoma de protecção do ciberespaço na saúde
depende destas 4 intersecções estratégicas. Em que sede e como fazer sentido das
iniciativas concretas com vista a contribuir de forma efectiva para os diferentes objetivos, é
talvez o maior desafio de governança e cooperação nas matérias de cibersegurança para a
saúde, daí que o GACS se constitui como um caso de estudo interessante.

21
Diagrama 1 – Diagrama ilustrativo das áreas de intersecção estratégicas que envolvem e auxiliam ao
pensamento estratégico com vista a aumentar a capacidade autónoma de proteção do ciberespaço da saúde.

4.5 Estruturas nacionais e internacionais dedicadas à cibersegurança na Saúde

A SPMS representa o setor da saúde no Conselho Superior de Segurança do Ciberespaço –

CSSC (Artº.5º da Lei 46/2018 de 13 de agosto). Estruturas formais nacionais como o
CSSC, o Gabinete Nacional de Segurança (GNS) e o Centro Nacional de CiberSegurança
(CNCS) encontram-se acima do GACS. Ao nível internacional há três estruturas fora de
cooperação na área de cibersegurança da saúde recentes. A SPMS lançou um grupo
europeu com 16 estados membros, a comissão europeia e a European Network Information
Security Agency (ENISA) em outubro 2019, formalizado em novembro 2019 pela eHealth
Network – uma rede de representantes ministeriais da saúde constituída ao abrigo da
Diretiva 2011/24/EU (Comissão Europeia, 2020a). Há ainda um grupo de cooperação
europeu que resulta da Diretiva 2016/1148/EU (Comissão Europeia, 2020b), e onde em
janeiro de 2020, sob proposta da SPMS, foi aprovada a criação de um Workstream sobre
Saúde. Numa perspectiva ainda mais abrangente tem relevância a colaboração informal, já
com dois anos de regularidade, ao abrigo do GDHP. O Diagrama 2 esquematiza as
estruturas atualmente dedicadas a cibersegurança na área da saúde.

Diagrama 2 (vide página seguinte) – representa um resumo daquelas que são as estruturas dedicadas à
cibersegurança desde uma dimensão local (público/SNS e não público) até mundial. ECOS – Elementos de
Coordenação Operacional da Saúde; RNOs – Responsáveis de Notificação Obrigatória; “C-Suite” –
dirigentes das organizações.

22
23
Ao nível local, os segmentos público e não público têm necessariamente um conjunto de
estruturas e dinâmicas que são distintas. No caso das instituições do Ministério da Saúde,
os dois despachos tutelares vieram criar regras e obrigações e centralizar na SPMS o papel
coordenador desses esforços. No setor não público não há qualquer obrigação à exceção
das que decorrem da lei e das orientações diretas do CNCS. A existência de um fórum
aglutinador, mas também “adaptador” das normas, orientações e determinações nacionais a
aplicar ao setor da saúde pode, por isso, ser muito útil, tendo em conta o papel regulador
que a Entidade Reguladora da Saúde (ERS) possa vir a ter, logo que exista regulamentação
específica. As estruturas representadas abaixo do GACS, não são objecto deste estudo, mas
são muito relevantes e decisivas no sentido em que sem organizações de saúde adaptadas,
preparadas e com células organizacionais e funções dedicadas à cibersegurança a
“localização” e “realização” das estratégias definidas e/ou partilhadas nos níveis acima, e a
sua transformação em acções tácticas e operacionais concretas não acontece ou acontece de
formas enviesadas.

4. O GRUPO DE ACOMPANHAMENTO

PARA A CIBERSEGURANÇA NA SAÚDE

4.1 Emergência, origem, necessidade

O Grupo de Acompanhamento para a CiberSegurança na Saúde (GACS) reuniu pela

primeira vez, de forma exploratória, a 12 dezembro 2019 no Forte São Julião da Barra.
Esta reunião foi convocada pela SPMS no seio das iniciativas de segurança de informação
da ENESIS 2020 e tendo em conta o conceito do eSIS. Não é despiciendo o papel central
que a SPMS tem na governança da segurança da informação no setor público e do seu
assento como representante sectorial no CSSC. A emergência do GACS prende-se com
necessidade de rodear o trabalho que esta entidade ia fazendo com um fórum mais alargado
de discussão e trabalho com outros agentes do eSIS. Neste sentido pode ser visto também
como um órgão de apoio à função de ligação ao CSSC, bem como uma função consultiva
para algumas competências da SPMS em matérias cibersegurança.

24
Pese embora a existência de dois despachos do Ministério da Saúde, que conferem à SPMS
a organização e governança para a área da cibersegurança, e a Lei 46/2018 vir a consagrar
o conceito de serviços essenciais, com aplicabilidade na saúde, cedo se percebeu que o
grau de interdependência tecnológica, profissional, e os circuitos dos utentes entre
organizações de saúde era tão grande, que só uma cultura, e eventualmente abordagens
conjuntas e bem harmonizadas poderão conferir o grau de defesa necessário, ante desafios
previamente identificados (vide tabela 2). Desta necessidade surgiu ideia de criar um grupo
informal de acompanhamento para estas matérias de âmbito transversal.

Assim, e optando conscientemente por uma abordagem em “casca de cebola”, foram sendo
convidados um número crescente de representantes do complexo mapa de stakeholders da
saúde a fim de garantir uma representação tão horizontal quanto possível, a par da
participação do CNCS e Rede CSIRT para garantir alinhamento com ENSC 2.0 e ao
mesmo tempo um número intimista que permitisse aproximar os representantes. No mesmo
sentido, foram criados grupos de trabalho, ou comissões, que se cujo trabalho se debruça
sobre temas considerados e votados como mais relevantes, a fim de se constituírem
progressivamente como contextos de uma partilha mais concreta de conhecimento. Desta
forma tem, vindo a ser reforçada a confiança entre os participantes permitindo em
simultâneo reflexões e ações comuns.

Foram realizadas até ao momento cinco reuniões, com 110 participantes de 30 entidades, e
aprovados um Regulamento de Funcionamento e o Termo de Confidencialidade. Este
último foi considerado importante tendo em conta a informação sensível das organizações
(entre elas organizações concorrentes diretas) que é partilhada. Analisados os temas
discutidos ao longo das reuniões destacam-se: 1) Diretiva NIS (Network Information
Security); 2) Partilha das iniciativas: 1) Cyberminuto INFARMED; 2) Anti-Phishing
SPMS - Programa de Sensibilização e Awareness de Segurança da Informação e
Cibersegurança da SPMS; 3) Information Security and Cybersecurity Challenges and
Approaches - Hospital Authority, Hong Kong; 4) Curso de Cidadão Ciberseguro do
Serviço Nacional de Saúde; 5) Rede Nacional de CSIRT | Formalização de Comunicações
de Incidentes, Riscos e Ameaças; 6) Iniciativas do Mês Europeu da Cibersegurança; 7)
Estratégia Nacional de Segurança do Ciberespaço 2.0 | Plano Operacional Saúde.

25
4.2 Composição e Regulamento

O regulamento aprovado na 3ª reunião encontra-se no anexo 1, e importa sobre ele

ressalvar alguns aspectos:

a) Tempo para a sua criação – no sentido de garantir que era mais do que um
regulamento de um comité e das suas reuniões e processos, importou dar tempo.
A chegada de alguns participantes considerados muito relevantes, bem como
esse tempo foi essencial para servir também como “carta de missão”, de um
grupo que de certa forma tem um início informal.
b) Processo da sua criação – foi acompanhado por serviços jurídicos, e alvo de
debate e discussão nas 3 primeiras reuniões, não tanto ao nível de questões de
ciência da decisão, mas sobretudo âmbito e objetivos do grupo.

Atento aos Artigos 2º e 3º, os mesmos detalham de forma necessariamente sucinta, o que é,
e o que se propõe fazer o GACS, já com 5 reuniões decorridas no espaço de pouco mais de
1 ano. Do Artigo 2º “Natureza e Competências” deduz-se que o GACS pode e deve seguir
a ENSC e demais orientações estratégicas nacionais de defesa que venham igualmente a
ser endorsadas pelo CSSC. Pode ainda ser uma fonte de ideias e propostas para um
processo de revisão da ENSC 2.0 em 2022/2023 aquando da sua apreciação e criação de
estratégias subsequentes.

A adesão ao GACS é voluntária. Contudo, os seus membros estão a aceitar cooperar para
definir normativos e modelos de gestão da segurança (Art.º 2º nº 2 alínea a)) o que é muito
relevante tendo em conta a heterogeneidade de instituições representadas. No imediato será
importante concretizar aspetos relacionados com as alíneas b), d) e e) do número 2 do
mesmo artigo. Não obstante a alínea c), sendo potencialmente mais desafiante é a que
guarda em si maior potencial de impacto na maturidade de cibersegurança na saúde. O
Art.º3º, no seu número 2, pode ser criticado como fechando uma lista que deve permanecer
dinâmica e aberta, mas foi sentido como importante refletir a “composição efetiva”
mostrando o elenco, a variedade e o compromisso já obtido destas instituições. Os números
3 e 4 permitem por seu turno garantir abertura e flexibilidade, respectivamente. Por último
o nº5 é relevante tendo em conta questões como deslocações e outros custos, que são
suportados por cada entidade participante, sendo que os custos de secretariado são
assegurados pela SPMS EPE. O que o GACS começou por denominar como grupos de

26
trabalho está plasmado no regulamento como “comissões especializadas” e obedece as
regras do Art.º6º.

Por último salienta-se a secção IV do regulamento. O Art.º12º prende-se com o dever de

sigilo e confidencialidade, interligado que está com o Termo de Confidencialidade também
aprovado na 3ª reunião (Anexo 2). O Art.º11º é talvez mais interessante e potencialmente
útil em situações concretas, reflectindo o sentimento de que o GACS não deve, ou tem que
ser apenas útil como “talk-show”, órgão normativo, mas pelo contrário pode e deve ter
aspirações operacionais, senão vejamos o Art.º11º sobre situações de ameaça, risco e
incidentes.

4.3 Funcionamento, alargamento e aprofundamento dos temas

Os representantes do GACS reúnem periodicamente, a cada trimestre, para debater, refletir

e aprender mais sobre cibersegurança, partilhando a sua experiência, know-how e
iniciativas levadas a cabo neste âmbito. A Tabela 3, presente no Anexo 3, sumariza num
mapa as cinco reuniões já ocorridas, permitindo entender que número de entidades totais é
de 30 (sendo que os convites não respondidos a 3 ordens profissionais e ao conselho
superior de reitores elevam para 34 o número de entidades contactadas), bem como
perceber que normalmente estão entre 18 a 22 entidades, algumas com mais do que um
representante. Permite ainda entender evolução dos temas, que começam por ser mais
organizacionais e progressivamente mais de conteúdo.

Houve uma estratégia consciente de usar um processo progressivo de envolvimento, por

exemplo na decisão de não convidar logo as seis ordens profissionais. Havia risco de
colocar logo 6 representantes sem responsabilidades institucionais na gestão efetiva de
cibersegurança dos dados dos cidadãos diluindo o núcleo inicial do GACS. Tal foi
discutido e entendeu-se útil começar por “responsabilizar as instituições e entidades” quer
as prestadoras de cuidados bem como as entidades representadas de forma mais geral. Não
obstante, através da análise da necessidade de capacitação mais elementar e do
envolvimento dos profissionais de saúde, constatou-se que seria necessário envolver as
escolas médicas de enfermagem, farmácia e outras, e por conseguinte intensificar a
interacção com a academia, mas também envolver quem, no limite define e avalia da

27
capacidade de ser um bom profissional – as respectivas Ordens. Assim, na 5ª reunião já
houve três Ordens presentes e em setembro 2019 foi assinado o 1º protocolo SPMS-Ordem
dos Farmacêuticos com um item específico para iniciativas de cibersegurança,

Existe claramente uma necessidade de formação dos profissionais de saúde, cujo âmbito, e
iniciativas em curso pela SPMS extravasa o foco deste texto. Neste momento constatam-se
dois fenómenos de movimentação de profissionais, (i) a rápida troca entre setor público e
privado em Portugal, e (ii) a saída para outros países. Se no primeiro caso se torna evidente
que haver uma base comum de procedimentos relacionados com cibersegurança em todo o
sector, promovidos pelo GACS, e facilitando os processos de integração dos mesmos em
novos contextos de trabalho, fortemente digitais, é algo que poupa esforço e facilita o
trabalho seguro dos profissionais. Já no caso (ii) não é óbvio, mas é verdadeiro, que
investir nestes profissionais de saúde, qualificá-los com uma forte componente
cibersegurança, é preparar uma “nova geração de profissionais” para um mundo cada vez
mais digital. Por outras palavras, se escolas e ordens definirem esta prioridade, podem
dotar os seus membros com competências que lhes conferem melhor empregabilidade.
Numa primeira fase poderá ser fora do País, mas se regressarem, regressarão melhor
formados e melhor treinados, tendo trabalhado em instituições mais modernas e com maior
maturidade, o que significa que se conseguirmos re-recrutar esses profissionais, teremos
uma vaga de bons técnicos para Portugal. Ainda, relacionado com envolvimento
progressivo, é interessante sinalizar que, da reflecção do grupo na última reunião, foi
confirmada a importância de envolver mais elementos da academia não só na dimensão
investigação e conhecimento em cibersegurança, mas também na dimensão de formação
em cibersegurança. Por último, parece evidente que na medida em que a análise dos temas
se desloca do estrito âmbito “cibersegurança” para abarcar a “segurança da informação
como um todo”, será provavelmente pertinente, tendo em conta as atribuições legais,
envolver a Secretaria Geral do Ministério da Saúde (que tem responsabilidades sobre a
gestão dos arquivos físicos), bem como a Entidade Reguladora da Saúde (que tem a função
de regulador setorial independente), isto atenta a “segurança da informação” de forma
holística, que engloba não só a segurança física (dos locais onde se salvaguarda a
informação em formato físico mas também onde os Sistemas de Informação e
Comunicação se encontram instalados, mesmo que na nuvem) como também a organização
vigente para o efeito, a idoneidade das pessoas que acedem a essa informação e processos
instituídos. Em relação à abordagem progressiva do aprofundamento dos temas e do

28
envolvimento a mesma foi fundamental ante a dificuldade de assegurar uma participação
efectiva nos grupos de trabalho. Foi assim necessário afinar primeiro o modus operandi,
balanceando isso com alguma entrega de valor (com aprendizagem efectiva, sessões e
apresentações) aos participantes, para evitar que sentissem apenas que as reuniões tratavam
o “como” e não a substância o “quê”. Ainda nesta senda foi sempre procurado um reforço
no alinhamento com a ENSC 2.0.

4.4 GACS como grupo informal, limitações e potencialidades

Como grupo originalmente informal o GACS teve o benefício de ir crescendo de forma

orgânica, quer na sua composição bem como nos seus objetivos. A título de exemplo,
quando se tentou fechar na 2ª reunião o regulamento, como se constatou que só tinham
sido obtidas 8 respostas ao formulário no qual se questionava quais
Âmbitos/Funções/Competências que cada entidade considerava mais adequada para o
GACS, ficou definido que o formulário iria ficar aberto durante mais algum tempo, de
maneira a permitir que as entidades que ainda não tinham tido oportunidade de responder,
pudessem identificar os âmbitos que consideravam relevantes integrar no regulamento, e
outros, que resultaram do exercício de identificação de entidades a convidar na 1ª reunião,
de modo a estas poderem ter tempo de refletir sobre o tema após o primeiro contacto.
Assim, num feedback preliminar, concluiu-se que o GACS se deveria focar no seguinte:
1. Definição de normativos e modelos de gestão da segurança a implementar;
2. Harmonização de boas práticas de Cibersegurança no setor da Saúde;
3. Criação de materiais relativos a segurança da informação e CiberSegurança;
4. Implementação de medidas de proteção, deteção, resposta e recuperação de
recursos críticos á saúde.

O regulamento final é distinto, o que ilustra a vantagem em ter um processo mais

progressivo, dinâmico e informal, quando as entidades a envolver estão ainda muito
impreparadas no tema, mas ao mesmo tempo é necessário definir e fechar âmbitos de
atuação. Tendo por base este processo menos formal, veio a ser possível obter melhores
resultados, logrando-se aprovar o regulamento do GACS na 3ª reunião. No caso dos grupos
de trabalho, a ideia original era também que se tornassem, logo na 2ª reunião, os motores

29
do GACS e a fonte de desafios, ideias e materiais para aprovação por todos e desta forma
foram constituídos três com o seguinte foco:
a) Grupo Trabalho 1: Eixo 2 ENSC – Prevenção, Educação e Sensibilização: Utentes,
Profissionais de Saúde, Profissionais TIC – o “Chair” é a APDSI
b) Grupo Trabalho 2: Eixo 4 ENSC — Resposta às ameaças e combate ao cibercrime:
CSIRT (Computer Security Incident Response Team) da Saúde – o “Chair” é a
Rede Nacional CSIRT
c) Grupo Trabalho 3: Eixo 5 ENSC — Investigação, desenvolvimento e inovação:
IoT/Dispositivos Médicos na Saúde – o “Chair” é o HCVP

A efectiva “adoção” de liderança de cada um só veio a ocorrer na 4ª reunião. É

fundamental para a sustentabilidade e conceito do GACS que estes grupos sejam
dinamizados por outras entidades públicas, privadas ou associações, e não pela SPMS.

4.6 Plano Trabalhos para o GACS 2020-2022, e futuro da cooperação internacional

No esforço de planeamento para 2020-2022, a ENSC 2.0 foi apresentada na última reunião,
incluindo as iniciativas propostas pela SPMS alinhadas com a mesma. A SPMS, como
representante do setor, tem de zelar pelas iniciativas que dependem de si, mas há
iniciativas que são as entidades do setor que têm que alavancar ou contribuir ativamente. A
ENESIS 20|22 foi apresentada com o propósito de dar a entender que a segurança de
informação na saúde e a cibersegurança só fazem sentido no seio de uma estratégia maior
em relação ao uso da informação em saúde para atingir objectivos de mais e melhor saúde
na sociedade, o que obviamente contribui para a defender e inscreve-se no desidrato último
do CEDN, defender a essência da Nação, dos seus valores e dos seus elementos
fundamentais. Foi feito um exercício de análise sobre o próprio grupo, cujos resultados são
resumidamente apresentados na tabela 4, presente no Anexo 4. Parecem resultar três
implicações: i) ainda há espaço para consolidar em composição e dinâmica o GACS, ii) há
a expectativa de que o grupo seja útil nalguns aspectos da protecção do ciberespaço da
saúde, sobretudo na dimensão cooperação e colaboração; iii) o GACS gostaria de ter um
plano de trabalho. Sendo que este grupo para a área da saúde é o de maior abrangência
nacional, para além do seu papel para dentro, pode o mesmo ser uma ferramenta de
alinhamento com as iniciativas internacionais em que Portugal participa.

30
5. DISCUSSÃO

A discussão seguinte foca-se nas perguntas e na validação das hipóteses apresentadas

anteriormente, mas explora também algumas nuances em cada uma das áreas, avança
críticas a alguns documentos estratégicos, endereça o enunciado do problema e a questão
da reprodutibilidade do modelo e da sua utilidade como instrumento de defesa nacional.

5.1 Como funciona o GACS?

O caso apresentado mostra que é possível criar um grupo informal de acompanhamento

para a cibersegurança, num determinado sector, neste caso a Saúde. Parece também
ser evidente que é possível que se mantenha activo, mas não sem que haja um referencial
estratégico e um conjunto de iniciativas alicerçadas em três pilares:

a) Uma instituição, neste caso a SPMS, com pessoal dedicado em exclusivo ao

tema, e competente apoio técnico e de secretariado;
b) Estratégia Nacional – ENSC 2.0 – e quadro nacional de referência como sejam
as iniciativas do CNCS, ainda que o plano de trabalhos do GACS pareça
necessitar uma melhor articulação com a mesma.
c) ENESIS 20|22 no qual se alinha a estratégia intra-sectorial.

Os aspectos informais do GACS conferem-lhe vantagem no sentido em que, em pouco

mais de um ano, conseguiu absorver necessidades em termos de composição, conseguiu
sentar na mesma mesa reguladores como o INFARMED e regulados, farmácias (ANF),
setor público e setor privado, entre outros. A convocatória de reuniões não fica sujeita a
agenda política por exemplo, ou da disponibilidade de um alto cargo do governo,
conseguindo garantir regularidade técnica. Foi revelando capacidade de inclusão de partes
interessadas no setor da saúde, as últimas das quais as Ordens Profissionais, sem perder
elemento de informalidade e foco da partilha de elementos concretos. Estas dimensões
seriam provavelmente menos possíveis se fosse um grupo com constituição e “carta de
missão” fechados por despacho constitutivo cuja capacidade de ser alterado e modificado
seria muito menor.

31
5.2 Como é que o GACS e a sua actividade pode ser mapeado contra as directrizes do
CEDN? ENSC 2.0 ou ENESIS20|22?

A atividade do GACS pode ser mapeada contra os referenciais estratégicos do CEDN,

ENSC 2.0 ou ENESIS 20|22. Tal não é de estranhar por duas razões:

a) Os referenciais ENSC 2.0 e ENESIS 20|22 ainda não existiam no início das
actividades do GACS. O mesmo começou por consolidar as relações e
constituição, e posteriormente definir iniciativas e acções concretas. Ainda
assim, as estratégias anteriores (a ENSC, e a ENESIS 2020) salientavam a
importância da partilha de boas práticas, a colaboração trans-setorial, e a
preocupação com a segurança da informação, valores centrais na criação e
dinâmica do grupo.
b) É certo que o CEDN já existia, e pode-se afirmar que, sem dúvida, o GACS
concorre para as prioridades e preocupações do CEDN, sobretudo na dimensão
“envolver a sociedade nos assuntos da segurança e defesa nacional” uma vez
que a defesa do ciberespaço da saúde é uma matéria de defesa nacional.
Porventura o próprio grupo nunca foi chamado a reflectir sobre isso nessa
perspetiva o que ainda pode ocorrer no planeamento para 2020-2022.

Quais são as relações da acção do GACS e a ENSC 2.0, a ENESIS 20|22, e como se
enquadra na visão do CEDN? A fim de aferir as possíveis relações entre a acção do
GACS e a ENSC 2.0 e a ENESIS 20|22, será necessário aferi-lo em relação a um conjunto
de iniciativas concretas a que a SPMS se propõe e analisar como estas se mapeiam com
estes referenciais e, em simultâneo, em que medida o GACS é fundamental e instrumental
ou pode apenas beneficiar marginalmente como instrumento de comunicação (pode ser útil
ou deve conhecer). A tabela 5, presente no Anexo 5, apresenta o entrecruzamento das
iniciativas com os referenciais estratégicos e identifica potencial papel do GACS antes as
mesmas. De forma sucinta pode afirmar-se que das 28 iniciativas previstas, o GACS pode
ser considerado fundamental em 12, instrumental em 11, e marginalmente útil em 5. Ou
seja, a SPMS não consegue levar a cabo estas iniciativas, ou não consegue atingir os
mesmos resultados com o mesmo grau de impacto ou qualidade sem o GACS. Isto é
verdade para a maioria das iniciativas a que o grupo se propõe, e que estão enquadradas
nos referenciais estratégicos mencionados.

32
E como se enquadram estas iniciativas no quadro mais amplo da defesa nacional?
Sobretudo nas dimensões a) c) e e) do CEDN, senão vejamos:

a) “a) A diplomacia portuguesa, para a realização da estratégia na vertente

internacional” – Em todas as iniciativas relacionados com espaço Europeu, e
com o espaço fora da EU, a diplomacia portuguesa pode apoiar a colaboração
sobretudo na detecção de oportunidades e no estreitar de relações;
b) “c) Promoção da prosperidade dos portugueses, através do desenvolvimento
das capacidades, materiais e imateriais, do país e da redução das suas
vulnerabilidades e dependências” – Todas as iniciativas que resultam em
capacitação das organizações e dos profissionais (das 28 são 21), sobretudo
relevante formação de Profissionais de Saúde como ciberagentes, e mitigação
de dependências em matéria de software estrageiro em uso na saúde.
Igualmente capacitação de programadores portugueses no setor público.
a) “e) A “inteligência” estratégica, que é determinante na efetiva realização do
potencial estratégico do País” – Todas as iniciativas em que o GACS pode ser
considerado fundamental, no sentido em que a inteligência estratégica para a
cibersegurança na saúde depende da capacidade de partilhar informação vinda
de todos os stakeholders da saúde, sejam eles públicos ou privados, de forma
formal, ou como no caso do GACS, informal.

Pode-se desta forma afirmar que o GACS é um elemento organizacional que está
alinhado com o CEDN pois permite potenciar os seus desideratos.

5.3 De que forma o GACS funciona como uma ponte/mecanismo de articulação entre
colaboração estratégica na área de ciberdefesa internacional e mesmo com a
sociedade civil e a SPMS ou as entidades do MS/SNS?

O CEDN permite identificar aspectos ainda menos conseguidos na ligação entre o

GACS/SPMS e os projectos/colaborações internacionais. No seio do CEDN apontam-se
colaborações importantes e mais fáceis para Portugal: i) EU – União Europeia; ii) Brasil no
seio da CPLP ou bilateralmente; iii) Timor-Leste; iv) OTAN – Organização do Tratado
Atlântico Norte. Em relação à ligação com a União Europeia, o GACS e a SPMS em

33
particular tem ligação forte no sentido em que se iniciou em outubro de 2019 o European
Cibersecurity Health Group (ECHG) e em janeiro 2020 a proposta de um Health
Worstream no seio do NIS Cooperation Group, ambos com dimensão europeia e com
Portugal no centro da sua dinamização. O facto de o CNCS ter estado desde início no
GACS foi decisivo para avançar agora para líder de um workstream sectorial, pois há
certeza na existência de um setor maduro em Portugal e com uma plataforma de apoio
sectorial eficaz que é o GACS.

A SPMS tem um protocolo técnico com o Ministério da Saúde do Brasil para a semântica e
interoperabilidade, talvez a dimensão cibersegurança pudesse ser adicionada. Por outro
lado, a exploração de potenciais atividades em ciberdefesa com o Brasil e na área da saúde
pode ser benéfico para as empresas de tecnologias Portuguesas que exportam para o Brasil.
Igualmente sinergias com países africanos como Cabo Verde e Angola, mais amadurecidos
na Saúde Digital, pode ser benéfico bilateralmente. O GDHP foi lançado pela Austrália,
que mantém um papel muito activo neste fórum. Assim Portugal poderia beneficiar em
trazer Timor-Leste para esta cooperação, não só para a sua capacidade ser reforçada, mas
para a força da posição na Língua Portuguesa sair fortalecida, incluindo a dinamização da
colaboração tripartida.

Por último, o CEDN aponta para a oportunidade que constitui a OTAN, tal ligação ainda
não foi explorada pela SPMS, e é relevantíssima pois a maioria dos países produtores de
dispositivos médicos, medicamentos e softwares usados no setor da saúde em Portugal são
também membros da Aliança. Tal ligação poderia potenciar “awareness” na Aliança,
designadamente através da divulgação da mensagem de que a defesa dos activos digitais da
saúde pode ser tão importante no futuro como a da integridade territorial. Porventura será
mais fácil atacar a primeira do que a segunda, no contexto de cenários de ameaças de
natureza híbrida, cuja verosimilhança é cada vez mais alta. Neste contexto, o GACS pode
ser útil pois inclui grupos como APIFARMA onde estão empresas com sede em muitos
desses países, ou o caso do Grupo Lusíadas que depende de uma multinacional americana.

A ligação do GACS com estas iniciativas está em linha com um desidrato estratégico de
defesa plasmado na ideia de valorização das informações estratégicas (pág. 42-43 CEN
2013) que passa, nomeadamente, por:

a) “Consolidar o vetor das informações enquanto instrumento de avaliação e

identificação de oportunidade, ameaças, vulnerabilidades e riscos” – Claramente

34
 um fórum onde se tem à mesma mesa representantes de indústrias sofisticadas e
internacionais como medicamento ou dispositivo médico, e mesmo players
prestação de cuidados de saúde privados já sob alçada de grupos internacionais, ou
associações cívicas, torna possível identificar oportunidades e vulnerabilidades. A
ligação do GACS com outros fora formais, dinamizados também pela SPMS,
enquanto representante da administração pública complementa e permite garantir
este vortex de informação estratégica na área da cibersegurança na saúde.
b) “Reforçar a capacidade das informações como instrumento de identificação de
oportunidades de afirmação da presença portuguesa que contribuam para a
segurança nacional, tirando partido de valores imateriais como a língua e a
cultura, a democracia e o respeito pelos direitos humanos” – A cultura de partilha
existe na área da saúde, mesmo através de barreiras como setor público e privado.
Muito evidente em situações de catástrofe mas presente e passível de ser explorada
fora de cenários de crise, mas ante a sua eminência, por outro lado, o conceito
democrático com que foram arregimentados os atores e participantes no GACS
permite afirmar que, esse valor imaterial será aqui critico pois permite nivelar neste
fórum, stakeholders da saúde, que noutros contextos se posicionam de forma
altamente assimétrica e até competitiva.

Atento os esforços do GACS antes desta análise estratégica e olhando o futuro plano que
pode agora ser enriquecido constata-se que é verdade que o CEDN pode ser útil,
juntamente com matrizes estratégicas como a ENSC 2.0 e a ENESIS 20|22, para a
definição do trabalho deste grupo para os próximos anos, e o apuramento do seu
valor estratégico. É também evidente pelas potenciais sinergias que ainda não haviam
sido exploradas, que a forma da colaboração internacional do GACS e da SPMS, que o
dinamiza, está alinhado com o CEDN mas podem ser ainda mais alinhadas com as
linhas do CEDN.

O GACS tem uma representatividade que lhe permite ser um fórum de partilha de
informação entre entidades nacionais como SPMS ou CNCS, e a sociedade civil. Veja-se a
lista de entidades participantes, ordens profissionais ou associações de doentes estão
representadas. Ora o CEDN no seu ponto 2.6 “envolver a sociedade nos assuntos da
segurança e defesa nacional” define que se deve assumir a segurança e defesa nacional
como responsabilidade do Estado, mas também da sociedade e dos cidadãos. Assim

35
podemos claramente identificar que um grupo informal com as características do GACS
funciona de facto como uma ponte/mecanismo de articulação entre colaboração
estratégica na área de ciberdefesa internacional e mesmo com a sociedade civil e a
SPMS ou as entidades do MS/SNS, pois nele estão representadas instituições chave do
MS como a ACSS ou as ARS de maior dimensão, ao mesmo nível que associações
sectoriais. Por último o CEDN aponta ainda para a importância de desenvolver o potencial
de recursos humanos. Através de iniciativas de formação dos cidadãos. Aspecto muito
discutido e trabalhado em sinergias entre as instituições participantes do GACS. Valorizar
o uso das instituições de ensino e ordens profissionais foi já considerado importante para
2020 e definido como prioridade, o que mostra esse alinhamento.

Este caso, a sua metodologia e a forma como demonstra a utilidade para setor da saúde
serve de inspiração para a importância dos instrumentos como ENSC 2-0 e mesmo o
CEDN reforçarem importância da aprendizagem e fertilização intersectorial. É verdade que
já existe o CSSC, mas a sua dinamização e funcionamento, beneficiava talvez de aprender
com o que se faz sectorialmente. A regularidade das reuniões e haver um plano de
trabalhos é imprescindível. Este estudo já mostra que tal é possível, e essencial num grupo
como o GACS, logo deve sê-lo também no CSSC. Este trabalho mostra que é possível
contribuir assim para a melhoria da teoria estratégica por de trás de documentos de
estratégia nacional que devem ter não apenas uma visão de como se procede ao
alinhamento vertical, mas devem cuidar da forma como se estabelecem travejamentos
horizontais entre todas as instituições setoriais, e/ou intersetoriais. Sendo o GACS um
exemplo das primeiras e as necessidades do CSSC um exemplo das segundas. Assim há de
facto aspectos teóricos e estratégicos em falta nos documentos CEDN e mesmo na
ENSC no que diz respeito ao ciber espaço, e ao que diz respeito à relação entre este e
a sociedade civil.

Em relação aos aspetos teóricos e estratégicos já se conseguiram identificar na ENSC a

falta de estruturação das formas de colaboração intersetorial e intrasetorial. Bem assim os
instrumentos de incentivo a constituição de redes de colaboração para além das redes
CERT/CIRST. No que diz respeito à relação entre o ciber-espaço e a sociedade civil o
CEDN é pobre, quando a sociedade avança para ser constituída de indivíduos portadores
de dispositivos pessoais, alguns dispositivos médicos, informatizados cuja superfície de
risco é imensa e as consequências passiveis de criar situações equivalentes a ameaças de
natureza global. Se considerarmos o CEDN, na sua página 22) sob “ameaças de natureza

36
global”: uma delas é exactamente a “A cibercriminalidade, porquanto os ciberataques são
uma ameaça crescente a infraestruturas críticas, em que potenciais agressores
(terroristas, criminalidade organizada, Estados ou indivíduos isolados) podem fazer
colapsar a estrutura tecnológica de uma organização social moderna”. Ora, este colapso,
por exemplo do SNS como exemplo de uma organização social moderna, pode ocorrer por
várias vias:

a) Colapso operacional (provavelmente transitório, como foi caso do NHS

britânico, mas ainda assim impactante);
b) Colapso de confiança (na privacidade dos dados de saúde) por perda de dados
(caso Singapura já ilustrado) ou por cedência maliciosa (também ocorreu em
Singapura que toda a base de dados de doentes HIV foi exposta por um
funcionário público num site americano) o que coloca a questão da confiança
nos Recursos Humanos, e nas áreas públicas da sua
remuneração/retenção/gestão;
c) Colapso de confiança na qualidade dos dados e segurança das decisões humanas
ou baseadas na Inteligência Artificial (AI) em caos de manipulação dos dados,
por ataques de “defacing” das bases de dados, sites informativos, ou
algoritmos/chat bots de aconselhamento/informativos, ou sistemas de apoio a
decisão clínica, mais ou menos autónomos.

Estas situações estão entre algumas das que surgem nas novas dinâmicas relacionais entre
o ciber-espaço, a sua vulnerabilidade, e a sociedade humana, que, sobretudo na área da
saúde, podem ter como consequência a morbilidade ou mesmo mortalidade. Tais aspectos,
suscitam a necessidade de revisitar o CEDN, convocando à sua recriação, saberes
múltiplos e diversas gerações de Portugueses.

5.4 Resposta ao enunciado do problema – “Envolver todo o setor da saúde para se

motivar e capacitar para a cibersegurança

Após analise e discussão das perguntas prévias e atento à evidência da dinâmica deste
grupo informal, da sua constituição, funcionamento e planos futuros, pode afirmar-se que
parece haver uma forma de envolver (progressivamente) todo o (complexo e heterogéneo)
setor da saúde para se motivar e capacitar para a cibersegurança. O envolver de todo o

37
setor é um desafio tendo em conta a dimensão, mas sobretudo a heterogeneidade. Motivar
com sessões, palestras e documentos de awareness sendo importante e necessário não é,
contudo, suficiente. Há que procurar a capacitação por três vias:

a) Colaboração internacional no seio fórum de cibersegurança na saúde – foram

criados recentemente e muito por iniciativa da SPMS – beneficiando o GACS;
b) Colaboração com entidades nacionais: GNS, CNCS, Rede National CIRST para a
formação e capacitação organizacional;
c) Trabalho no sentido de formar e capacitar cada um dos largos milhares de
profissionais de saúde e da saúde.

5.5 O modelo é valido noutros sectores da Sociedade Portuguesa?

No intuito de discutir a questão: “O modelo em si é válido? e se ele pode ser útil para
outros sectores de actividade da sociedade Portuguesa, tendo em conta que apenas no
Ministério da Defesa se encontra estrutura com alguma similitude.” Tendo em conta o
exemplo do setor da Educação em encontrar alguns paralelos:

a) Setor heterogéneo: público, privado, social na área da prestação; múltiplas

entidades centrais e regionais com poderes distribuídos – paralelo com
prestadores de cuidados de saúde e reguladores/administrações;
b) Inúmeras ordens profissionais, e grupos profissionais técnicos, como
professores universitários e não universitários – paralelo com diversas ordens
profissionais da saúde;
c) Enorme superfície de risco com grande heterogeneidade, desde universidades e
institutos que lidam com sistemas ultra-perigosos: equipamentos com radiação,
amostras químicas perigosas, ou ameaças biológicas; muitos deles controlados
por sistemas de informação/sistemas operacionais – enorme semelhança com
riscos dos grandes hospitais.

Assim, ainda que a resposta a esta questão possa ser apenas hipotética, parece evidente que
um GACE – Grupo de Acompanhamento para a CiberSegurança na Educação, poderia ser
benéfico para esse setor. Nesse como noutros, estes grupos transversais e flexíveis podem
ser estruturas de defesa nacional, altamente capazes de criar resiliência nacional ante
ameaças crescentes no ciber espaço.

38
CONCLUSÕES:

As seguintes conclusões e implicações podem ser extraídas desse estudo:

1. O GACS é um instrumento de defesa nacional. Na área específica da

cibersegurança no setor da saúde. Permite alinhamento entre orientações e
conhecimentos internacionais, e a prática da ação concreta do dia-a-dia dos
profissionais e das organizações do sector, independentemente da sua natureza
jurídica;
2. O alinhamento estratégico entre os diferentes instrumentos é possível e ajuda a
definir o plano de acção 2020-2022, potenciando as diferentes estratégias, criando
condições para que o GACS seja um fórum promotor da implementação de
medidas e iniciativas concretas, tornando-se um exemplo para outros sectores da
sociedade;
3. O modelo do GACS pode potencialmente ser útil noutros sectores. A educação é
um candidato óbvio, mas não exclusivo. Se todos os setores tivessem estruturas
similares a resiliência e capacidade de Defesa Nacional seria muito aumentada;
4. Outra área de trabalho futuro é dirigida no sentido de aprofundar a análise da
relação entre medidas e a ação do Estado e aprofundar o pensamento exposto sobre
o ciberespaço da saúde, para além do seu espaço convencional, e explorar como
defender e envolver o cidadão nessa defesa do ciberespaço de interesse para a
saúde nas dinâmicas do Cidadão e do Profissional, quando trazem os seus próprios
dispositivos para o trabalho e/ou usam wearables e ou carregam consigo implantes
altamente dependentes de softwares e de controlos remotos diversos. Sendo certo
que a criação de consciência é o primeiro passo, e já foi dado, falta conceptualizar e
pensar estrategicamente o envolvimento dos profissionais e dos cidadãos para estas
novas realidades da saúde, onde o digital, é inexorável e ubíquo.
5. O GACS é um exemplo de um contexto onde pode haver uma fusão estratégica
entre o CEDN, a ENSC e a ENESIS 20|22, permitindo assim, ao setor da saúde, um
alinhamento destas “estratégias subordinadas” públicas e privadas – veja-se a sua
composição e preocupação de inclusão “ativa” (a fim exatamente de desafiar todos
os participantes a criarem e seguirem uma abordagem estratégica à cibersegurança)
tal como se preconiza no CEDN quando o mesmo se pretende que seja “uma
referência essencial para a articulação das prioridades do Estado, para o
39
 necessário e consequente alinhamento das estratégias subordinadas (conceitos
estratégicos derivados) públicas e privadas e, finalmente, para se obter a
coordenação de esforços a pedir à sociedade em geral e, em particular, a exigir do
Estado”;
6. Uma implicação deste estudo é que no seio dos trabalhos do GACS, pode ser
interessante questionar como é que o funcionamento, as aprendizagens e as
preocupações deste grupo podem contribuir para o CEDN, contribuindo para a
ENSC. Tal pode ser uma forma de contribuir para uma nova versão do CEDN. Para
responder a estas questões são necessárias pessoas com uma visão estratégica do
setor da saúde e do papel de Portugal no Mundo, o que remete para fortalecimento
do nível de representação das instituições em cada reunião;
7. Para o GACS ser mecanismo de articulação mais eficaz para a área de ciberdefesa
deveria incluir alguém nomeado pelo Centro de Ciberdefesa, que simultaneamente
pertencesse à área da saúde militar;
8. Uma das implicações deste estudo é que na próxima oportunidade de revisitar o
CEDN, onde se listam os ativos nacionais (página 34, CEDN 2013) deverá
acrescentar-se a capacidade dos Portugueses numa nova forma de Diplomacia: a
Diplomacia Tecnológica. O GACS como exemplo de um Grupo
“informal/voluntário de cooperação na defesa” e os grupos internacionais criados
na área cibersegurança na saúde que lhe estão interrelacionados, são um exemplo
dessa diplomacia. Esta nova forma de diplomacia será chave na capacidade de um
pequeno país poder ser grande no ciberespaço.

40
REFERÊNCIAS BIBLIOGRÁFICAS:

Bause, Melania et al. (2019). “Design for Health 4.0: Exploration of a New Area” Proc. Des. Soc.
Int. Conf. Eng. Des., vol. 1, no. 1, pp. 887–896.

Comissão Europeia (2020a) Site da eHealth Network. Disponível em

https://ec.europa.eu/health/ehealth/policy/network_pt

Comissão Europeia (2020b) Site da NIS Cooperation Group. Disponível em:

https://ec.europa.eu/digital-single-market/en/nis-cooperation-group

Comissão Europeia (2013) Comunicação conjunta ao parlamento Europeu, ao Conselho, ao comité

económico e social europeu e ao comité das regiões sobre: Estratégia da União Europeia para a
cibersegurança: Um ciberespaço aberto, seguro e protegido. Disponível em: https://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=JOIN:2013:0001:FIN:PT:PDF

Couto, Cabral (1988). Elementos de Estratégia, Volume I, IAEM, Lisboa, pps. 172ss

Duarte, António Paulo (2014). “A Estratégia Nacional de Defesa do Brasil e o Conceito Estratégico
de Defesa Nacional de Portugal: Comparação de Duas Estratégias Nacionais de Segurança e
Defesa”. Nação e Defesa n.º 138 pp. 63-89

Food and Drug Administration (2019) “Certain Medtronic MiniMed Insulin Pumps Have Potential
Cybersecurity Risks:” FDA Safety Communication Julho 2019 Disponivel em
https://www.fda.gov/medical-devices/safety-communications/certain-medtronic-minimed-insulin-
pumps-have-potential-cybersecurity-risks-fda-safety-communication

Gerbert, Philipp et al. (2015). “Industry 4.0 The Future of Productivity and Growth in
Manufacturing Industries”, BCG publications online. Disponível em:
https://www.bcg.com/publications/2015/engineered_products_project_business_industry_4_future
_productivity_growth_manufacturing_industries.aspx

International Telecommunication Union (2018) “Global Cybersecurity Index (GCI), 2018”. ITU
Publications. Disponível em: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-
PDF-E.pdf

Governo de Portugal (2013) Conceito Estratégico de Defesa Nacional. Disponível

em:https://www.portugal.gov.pt/pt/gc21/area-de-governo/defesa-nacional/informacao-
adicional/conceito-estrategico-de-defesa-nacional.aspx

Global Digital Health Partnership, GDHP (2018) – Detalhes sobre a parceria em

https://www.gdhp.org/

Governo de Portugal (2015). Programa do XXI Governo Constitucional, 2015 - 2019. Disponível
em: https://www.portugal.gov.pt/pt/gc21/governo/programa-do-governo

Governo de Portugal (2016). “Resolução do Conselho de Ministros n.º 62/2016”. Diário da

República, 1.ª série, nº 199, de 17 de outubro, pp. 3735-3738

Governo de Portugal (2017a). “Despacho n.º 3156/2017”. Diário da República, 2.ª série, nº 74, de
13 de abril pp. 7083-7087

41
Governo de Portugal (2017b). “Despacho n.º 1348/2017”. Diário da República, 2.ª série, nº 28, de 8
de fevereiro pp. 2624-2625

Governo de Portugal (2017c). “Despacho n.º 8877/2017”. Diário da República, 2.ª série, nº 194, de
9 de outubro pp. 22776-22778

Governo de Portugal (2019). “Resolução do Conselho de Ministros n.º 92/2019”. Diário da

República, 1.ª série, nº 108, de 5 de junho pp. 2888-2895

Ministério da Defesa do Brasil (2012). Estratégia Nacional de Defesa. Disponível em

http://defesa.gov.br/arquivos/2012/mes07/end.pdf

Ministério da Saúde (2015). Plano Nacional de Saúde - Revisão e Extensão a 2020. Disponível em:
http://pns.dgs.pt/files/2015/06/Plano-Nacional-de-Saude-Revisao-e-Extensao-a-2020.pdf.pdf

Ministério da Saúde (2018). Retrato da Saúde 2018 Disponível em: https://www.sns.gov.pt/wp-

content/uploads/2018/04/RETRATO-DA-SAUDE_2018_compressed.pdf

OCDE – Organização para a Cooperação e Desenvolvimento (2018). Regions and cities at a

Glance 2018. Disponível em: https://www.oecd-ilibrary.org/sites/reg_cit_glance-2018-
en/index.html?itemId=/content/publication/reg_cit_glance-2018-en

Quivy, Raymond; Campenhudt, Luc Van (2003). Manual de Investigação em Ciências Sociais. 3ª
Ed., Lisboa: Gradiva.

Ribeiro, Mendes (2019) Saúde Digital: Um sistema de saúde para o Século XXI, Ensaios da
Fundação, Fundação Francisco Manuel dos Santos, Lisboa

Serviços Partilhados do Ministério da Saúde (2019) Estratégia Nacional para o Ecossistema de

Informação da Saúde - ENESIS 20|22 - Documento para consulta pública. Disponível em:
https://www.spms.min-saude.pt/2019/10/consulta-publica-i-estrategia-nacional-para-o-
ecossistema-de-informacao-de-saude/

Verizon (2018). Protected Health Information Data Breach Report. Disponível em

https://enterprise.verizon.com/resources/reports/protected_health_information_data_breach_report.
pdf

Von der Leyen, Ursula (2019) Mission Letter Stella Kyriakides. Bruxelas. Disponível em:
https://ec.europa.eu/commission/sites/beta-political/files/mission-letter-stella-kyriakides_en.pdf

World Health Organization (2019). Draft Global Strategy on Digital Health 2020-2024. Disponvel
em https://www.who.int/docs/default-
source/documents/gs4dh0c510c483a9a42b1834a8f4d276c6352.pdf

42