Health-ISAC Hacking Healthcare 4

Sel nädalal Health-ISAC^®Tervishoiu häkkimine^® uurib äsja avaldatud presidendi eelarvet ja sellega kaasnevaid Kongressi eelarve põhjendusdokumente küberturvalisuse ja infrastruktuuri turvalisuse ametilt (CISA) ning tervishoiu- ja inimteenuste ministeeriumilt (HHS). Selgitame, mis need dokumendid on, uurime igaühe asjakohaseid tervishoiusektori küberturvalisuse aspekte ja pakume seejärel konteksti nende parimaks tõlgendamiseks.

Tuletame meelde, et see on Hacking Healthcare'i ajaveebi avalik versioon. Täiendava põhjaliku analüüsi ja arvamuse saamiseks astuge H-ISACi liikmeks ja hankige selle ajaveebi TLP Amber versioon (saadaval liikmete portaalis).

PDF-versioon:

Teksti versioon:

Tere tulemast tagasi Hacking Healthcare'i^® !

Mida Trumpi administratsiooni 2027. eelarveaasta föderaalne eelarvetaotlus võib tähendada tervishoiusektori küberturvalisuse jaoks

Eelmisel nädalal avaldas Trumpi administratsioon presidendi 2027. aasta eelarve ning föderaalministeeriumid ja -agentuurid avaldasid oma vastavad Kongressi eelarve põhjendused. Kuigi need dokumendid ei ole õiguslikult siduvad ega määra föderaaleelarvet, mängivad nad assigneeringute eraldamise protsessis olulist rolli ning annavad märku Trumpi administratsiooni poliitilistest prioriteetidest ja kavatsustest.

Mis on presidendi eelarve?

Üldiselt on presidendi eelarve dokument, mis esitatakse Kongressile aasta alguses ja mis annab üldise ülevaate presidendi poliitilistest eesmärkidest, valiku programmidest, mida tuleb nende poliitiliste eesmärkide saavutamiseks prioriseerida, ja eelarvest, mille administratsioon on nende eesmärkide saavutamiseks vajalikuks määranud. Trump avaldas oma uue 92-leheküljelise 27. eelarveaasta eelarve 3. aprillil.

Mis on Kongressi eelarve põhjendused?

Kongressi eelarve põhjendused on föderaalministeeriumide ja -ametite koostatud dokumendid, mis toetavad või „põhjendavad“ presidendi eelarvetaotlust oma organisatsioonile. Need dokumendid jaotavad organisatsiooni soovitud rahasumma, selle kulutamise eesmärgi, nende tegevuste olulisuse ja oodatavate tulemuste loetelu. Seejärel kasutab Kongress seda dokumenti taotluse läbivaatamiseks ja kahtluse alla seadmiseks, varasemate kulutustega võrdlemiseks ning rahastamise heakskiitmise või muutmise otsustamiseks.

Mida ütleb presidendi eelarve 27. aasta eelarveaastal?

Russel Vought, Haldus- ja Eelarvebüroo (OMB) direktor, kirjutas presidendi eelarve avasõna, mis on kõlab kui sõnum Kongressile. Avasõnas märgitakse, et „2027. aasta eelarve tugineb presidendi visioonile, jätkates kaitseväliste kulutuste piiramist ja föderaalvalitsuse reformimist“.^[I] Ta jätkab, väites, et „eelarves pakutakse välja 10-protsendiline kärbe võrreldes 2026. aasta mittekaitselise tasemega“, enne kui rõhutab, kui palju eelarve keskendub riigi julgeolekuprobleemidele.

Pärast avamist on osakondade ja asutuste kõrgetasemeline jaotus. Kaks Health-ISAC liikmete jaoks kõige olulisemat on Sisejulgeolekuministeerium (DHS) oma CISA sektsiooniga ja HHS. Need sektsioonid hõlmavad järgmist:

• CISA—Presidendi eelarve näeb ette CISA eelarve vähendamist 707 miljoni dollari võrra. Selle paragrahvi sõnastus peegeldab jätkuvalt Trumpi administratsiooni soovi ümber kujundada ja suunata CISA missiooni ja organisatsiooni föderaalsele võrgukaitsele ning kriitilise infrastruktuuri kaitsele ja vastupidavusele. Suur osa selle paragrahvi sõnastusest näib olevat suures osas otse eelmise aasta versioonist kopeeritud ja kleebitud ning see pilkab missiooni laienemist, dubleerivaid programme ja agentuuri politiseerimist.^[ii] [iii]
• HHS—HHS-i kavandatud eelarve „nõuab 111.1 miljardit dollarit diskretsioonilist eelarvevolitust… mis on 15.8 miljardit dollarit ehk 12.5 protsenti vähem kui 2026. aasta kehtestatud tase.“^[iv] Selles jaotises propageeritav üldine poliitiline prioriteet on „Teeme Ameerika jälle terveks“ (MAHA). Health-ISACi liikmete jaoks on aga kõige olulisem eelarverea punkt tõenäoliselt kavandatav 356 miljoni dollari suurune kärbe strateegilise valmisoleku ja reageerimise administratsioonile (ASPR). Suur osa sellest kärpest on seletatav vastusena ASPR-i ümberorienteerumisele tagasi põhiülesannetele ja eemaldumisele COVID-19 vastusega seotud laiendatud vastutusest.

Kuigi HHS-i ja CISA kavandatud üldkulude kärped tunduvad mõnevõrra murettekitavad, on presidendi eelarve strateegiline ja kõrgetasemeline. Et mõista, kuidas kavandatud eelarvekärped võivad mõjutada asjakohaseid küberturvalisuse ja vastupidavusprogramme, pakuvad ministeeriumide kongressi põhjendused üksikasju.

Mida ütlevad HHS-i ja CISA kongressi eelarve põhjendused?

Presidendi eelarve elluviimise selgema pildi saamiseks pakuvad HHS-i ja CISA-d käsitlevad Kongressi eelarve põhjendused palju rohkem teavet.

• CISA—279-leheküljeline CISA kongressi eelarve põhjendus annab põhjaliku ülevaate sellest, kust kavandatud 700 miljoni dollari suurused eelarvekärped tulevad. Olulisemate poliitika- ja eelarvepunktide hulgas on:
  • Uus tööjõu baasarv on 2,865 töötajat. See on vähem kui Bideni administratsiooni lõpus, mil see arv oli 3,732, ning see tähendab 206 ametikoha kadumist küberturvalisuse osakonnast, 225 ametikoha kadumist integreeritud operatsioonide osakonnast ja sisuliselt kogu sidusrühmade kaasamise osakonnast. Töötajate arvu vähendamine moodustab eelarve kärpimisest ligikaudu ~360.5 miljonit dollarit.
  • 5 miljoni dollari suurune eelarve suurenemine analüüsiks ja planeerimiseks, et toetada riikliku riskiregistri väljatöötamist, mis toetab jätkuvat tööd riikliku infrastruktuuri ja süsteemide riskide tuvastamiseks, valitud riskistsenaariumide ja -hinnangute väljatöötamiseks ning valitud riskide esitamiseks aruandes, mis sisaldab visuaalset esitust riskide tagajärgede ja tõenäosuse või usutavuse võrdlemiseks üksteisega. Sellele tegevusele oli ette nähtud president Trumpi varasem täidesaatev korraldus. Tõhususe saavutamine riikliku ja kohaliku valmisoleku kaudu.
  • Ühise küberkaitse koostööprogrammi (JCDC) eelarve vähendamine 9.8 miljoni dollari võrra.
  • CISA küberturvalisuse riiklike koordinaatorite ametikohtade täitmise ja rahastamise prioriteediks seadmine, et nad tegutseksid föderaalselt määratud osariigipõhiste küberturvalisuse tugipersonalidena, et aidata tugevdada kohalikku kaitset, suunata koordineeritud reageerimist ja toetada taastamispüüdlusi eskaleeruvate küberohtude korral.
  • Rahastamise ja personali tagasihoidlik suurendamine, et laiendada kontaktide toetamist CISA-välistes SRMA sektorites, sealhulgas 8 uut sektori riskijuhtimise kontaktametnikku sektorites, kus CISA ei ole sektori riskijuhtimise amet (SRMA).
  • Hiina Rahvavabariigi valitsusele ja kriitilisele infrastruktuurile kujutavate ohtude tõrjumise selgesõnaline prioriseerimine. See hõlmab teabe jagamist.
• HHS: ASPR—62-leheküljeline ASPR-i kongressi eelarve põhjendus näitab umbes 355 miljoni dollari suurust koondsumma kärpimist ja ülejäänud eelarve täiendavat ümberpaigutamist. Tervishoiuteenuste valmisoleku ja taastamise programm kärbitakse tohutult, umbes 305 miljonilt dollarilt veidi alla 30 miljoni dollari, mis näib mõjutavat haiglate valmisoleku programmi (HPP) koostöölepinguid, piirkondlikku katastroofidele reageerimise süsteemi koostöölepingut (RDHRS), traumahoolduse tegevusi, tervishoiuteenuste valmisoleku ja taastamise võimaldamise tegevusi ja operatsioone, kogukonna leevendamist ja taastamist ning tehniliste ressursside, abikeskuse ja teabevahetuse programmi (TRACIE). Dokumendis on aga välja toodud, et küberturvalisuse ja infrastruktuuri kaitse (CIP) eelarvet kavatsetakse kahe eelmise eelarveaastaga võrreldes muuta.^[v] Dokumendis tuuakse edasi ligi 2,000 küberturvalisuse intsidenti, mida CIP hindas 2024. aasta lõpust kuni 2025. aasta lõpuni, ning kiidetakse uut moodulit oma riskide tuvastamise ja saidi kriitilisuse (RISC) tööriistakomplektis, mis avaldatakse 2026. aastal ja mis on kooskõlas NIST CSF 2.0 ning tervishoiu- ja rahvatervise sektori küberturvalisuse tulemuslikkuse eesmärkidega (CPG).
• HHS: sekretäri büroo—190-leheküljeline Kongressi eelarve põhjendus sekretäri büroo kohta sisaldab mõningaid kavandatud osakondade ümberkorraldamisi.^[Vi] Dokumendi kohaselt liidetakse kodanikuõiguste amet (OCR), meditsiiniteenuste ärakuulamiste ja apellatsioonide amet, ministeeriumide apellatsiooninõukogu, inimuuringute kaitse amet, loomkatsete kaitse amet ja teadusuuringute usaldusväärsuse amet kodanikuõiguste ja apellatsioonide abisekretäri bürooga (ASCRA). See ümberkorraldus näib sarnanevat eelmise aasta märtsi ettepanekuga, millega mõned neist ametitest paigutati uue jõustamise abisekretäri alluvusse.^[Vii]

  Dokumendis kirjeldatakse edasi, kuidas ASCRA „teostab õigusnormidele vastavust tervishoiu- ja sotsiaalteenuste valdkonnas jõustamise ja kohtulahendite tegemise kaudu“ ning kuidas „kavandatava konsolideerimise eesmärk on sujuvamaks muuta järelevalvet, parandada jõustamise ja kohtulahendite tegemise koordineerimist, pakkuda haridust ja juhiseid asjaomastele õigusasutustele ning tugevdada HHS-i suutlikkust täita oma juriidilisi kohustusi“.^[viii]

  2027. eelarveaasta presidendi ASCRA eelarvetaotlus on veidi üle 241 miljoni dollari, mida dokumendis kirjeldatakse kui peaaegu 5 miljoni dollari suurust kasvu võrreldes 2026. eelarveaastal kehtestatud tasemega. Lisaks sisaldab kogusumma „10 000 000 dollari suurust tsiviilõiguslike rahaliste kokkulepete rahastamise prognoosi, mida kodanikuõiguste amet kasutab HIPAA jõustamispüüdluste edendamiseks”.^[Ix]

• HHS: FDA—91-leheküljeline Toidu- ja Ravimiameti (FDA) Kongressi eelarve põhjendus ei viita küberturvalisusele otseselt üldse.^[X] Siiski sisaldab see seadmete ja radioloogilise tervise osa, mis hõlmab ka seadmete ja radioloogilise tervise keskust (CDRH). See osa toob esile seadmete ja radioloogilise tervise osakonna eelarve tagasihoidliku suurenemise veidi üle 26. eelarveaasta kehtestatud ~913 miljonilt dollarilt veidi üle 1 miljardi dollarini. FDA põhjendab seda suurenemist väitega, et nad on „võrdselt pühendunud ohutusriskide varasemale avastamisele ja käsitlemisele, et kaitsta patsiente kahju eest ja tagada, et amet jääks järjepidevalt maailma regulatiivsete asutuste seas esimeseks meditsiiniseadmetega seotud ohutussignaalide tuvastamisel ja nendele reageerimisel“.^[xi]

Tegevus ja analüüs
**Kaasas Health-ISAC liikmelisusega**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[v] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Ix] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[xi] https://www.fda.gov/media/191778/download?attachment

^[xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• Seotud ressursid ja uudised
• 30 hiljutist küberrünnakut ja mida need meile küberturvalisuse tuleviku kohta räägivad
• Claude Mythos ja selle mõju tervishoiusektorile
• Health-ISAC Hacking Healthcare 5
• CISO käsiraamat, 2. köide – 0Auth tokeni haavatavus, mis põhjustas Salesforce'i rikkumise
• Igakuine uudiskiri – mai 2026
• Kvartaliülevaade ohtudest – 1. aasta I kvartal
• Mida Strykeri rünnak meditsiiniseadmete turvalisuse kohta paljastab
• Tehisintellekti ohutu kasutamise põhimõtted ja kaitsemeetmed
• HSCC avalikustab kolmanda osapoole tehisintellekti riski- ja tarneahela läbipaistvuse juhendi
• Anthropic avalikustab maagilise 0-päevase arvutijumala