رفتن به محتوای اصلی

Health-ISAC Hacking Healthcare 4-14-2026

این هفته، Health-ISAC®هک مراقبت های بهداشتی® بودجه تازه منتشر شده رئیس جمهور و اسناد توجیهی بودجه کنگره همراه آن از آژانس امنیت سایبری و امنیت زیرساخت (CISA) و وزارت بهداشت و خدمات انسانی (HHS) را بررسی می‌کند. ما توضیح می‌دهیم که این اسناد چیستند، جنبه‌های مربوط به امنیت سایبری بخش بهداشت هر یک را بررسی می‌کنیم و سپس زمینه‌ای برای بهترین تفسیر آنها فراهم می‌کنیم.

برای یادآوری، این نسخه عمومی وبلاگ هک بهداشت است. برای تجزیه و تحلیل عمیق و نظر بیشتر، عضو H-ISAC شوید و نسخه TLP Amber این وبلاگ (موجود در پورتال اعضا) را دریافت کنید.

 

نسخه PDF:

 

نسخه متنی:

به Hacking Healthcare خوش آمدید® !

درخواست بودجه فدرال دولت ترامپ برای سال مالی 2027 چه تاثیری بر امنیت سایبری بخش بهداشت و درمان خواهد داشت؟

هفته گذشته، دولت ترامپ بودجه رئیس جمهور برای سال مالی 2027 (FY27) را منتشر کرد و وزارتخانه‌ها و سازمان‌های فدرال، توجیهات مربوط به بودجه کنگره خود را منتشر کردند. اگرچه این اسناد از نظر قانونی الزام‌آور نیستند و بودجه فدرال را تعیین نمی‌کنند، اما نقش مهمی در فرآیند تخصیص بودجه ایفا می‌کنند و اولویت‌ها و اهداف سیاستی دولت ترامپ را نشان می‌دهند.

 

بودجه رئیس جمهور چقدر است؟

به طور کلی، بودجه رئیس جمهور سندی است که در اوایل سال به کنگره ارائه می‌شود و مروری کلی بر اهداف سیاستی رئیس جمهور، گزیده‌ای از برنامه‌هایی که باید برای دستیابی به آن اهداف سیاستی در اولویت قرار گیرند و بودجه‌ای که دولت برای تحقق آن اهداف لازم تشخیص داده است، ارائه می‌دهد. ترامپ بودجه جدید ۹۲ صفحه‌ای خود را برای سال مالی ۲۷ در ۳ آوریل منتشر کرد.

 

توجیهات بودجه کنگره چیست؟

توجیهات بودجه کنگره، اسنادی هستند که توسط ادارات و سازمان‌های فدرال تهیه می‌شوند و درخواست بودجه رئیس جمهور برای سازمان خود را پشتیبانی یا «توجیه» می‌کنند. این اسناد میزان پولی را که سازمان می‌خواهد، اهدافی که برای هزینه کردن آن در نظر دارد، دلیل اهمیت این فعالیت‌ها و نتایج یا پیامدهای مورد انتظار را شرح می‌دهند. سپس کنگره از این سند برای بررسی و زیر سوال بردن درخواست، مقایسه آن با هزینه‌های گذشته و تصمیم‌گیری برای تأیید یا تغییر بودجه استفاده می‌کند.

بودجه ریاست جمهوری سال مالی 27 چه می‌گوید؟

راسل ووت، مدیر دفتر مدیریت و بودجه (OMB)، متن آغازین بودجه رئیس جمهور را که به عنوان پیامی به کنگره خوانده می‌شود، به رشته تحریر درآورد. در ابتدای متن آمده است: «بودجه 2027 با ادامه محدود کردن هزینه‌های غیردفاعی و اصلاح دولت فدرال، بر اساس دیدگاه رئیس جمهور بنا شده است.»[I] او در ادامه می‌گوید که «بودجه، کاهش ۱۰ درصدی را در مقایسه با سطوح غیردفاعی ۲۰۲۶ پیشنهاد می‌دهد»، و سپس تأکید می‌کند که بودجه تا چه حد بر نگرانی‌های امنیت ملی تمرکز دارد.

 

پس از افتتاحیه، تفکیک‌های سطح بالای وزارتخانه‌ها و سازمان‌ها ارائه می‌شود. دو مورد از مرتبط‌ترین بخش‌ها برای اعضای Health-ISAC، وزارت امنیت داخلی (DHS) برای بخش CISA و HHS است. این بخش‌ها شامل موارد زیر است:

  • CISA— بودجه رئیس جمهور خواستار کاهش ۷۰۷ میلیون دلاری بودجه CISA است. لحن این بخش همچنان منعکس کننده تمایل دولت ترامپ برای تغییر شکل و تمرکز مجدد بر ماموریت و سازمان CISA بر دفاع از شبکه فدرال و حفاظت و تاب‌آوری زیرساخت‌های حیاتی است. به نظر می‌رسد بخش عمده‌ای از لحن این بخش تا حد زیادی کپی و پیست شده و مستقیماً از نسخه سال گذشته است و گسترش تدریجی ماموریت، برنامه‌های تکراری و سیاسی شدن این آژانس را به سخره می‌گیرد.[II] [III]
  • HHS—بودجه پیشنهادی برای HHS «درخواست ۱۱۱.۱ میلیارد دلار اختیار بودجه اختیاری را دارد... که ۱۵.۸ میلیارد دلار یا ۱۲.۵ درصد کاهش نسبت به سطح مصوب ۲۰۲۶ را نشان می‌دهد.»[IV] اولویت اصلی سیاست‌گذاری که در این بخش مورد حمایت قرار گرفته است، «آمریکا را دوباره سالم کنیم» (MAHA) است. با این حال، مرتبط‌ترین مورد برای اعضای Health-ISAC احتمالاً کاهش پیشنهادی ۳۵۶ میلیون دلاری به اداره آمادگی و واکنش استراتژیک (ASPR) است. بخش عمده‌ای از این کاهش بودجه به عنوان پاسخی به تغییر جهت ASPR به وظایف اصلی و دوری از مسئولیت‌های گسترده مربوط به واکنش به کووید-۱۹ توضیح داده شده است.

در حالی که کاهش‌های پیشنهادی برای HHS و CISA تا حدودی نگران‌کننده به نظر می‌رسند، بودجه رئیس جمهور استراتژیک و سطح بالا است. برای درک اینکه چگونه کاهش‌های پیشنهادی بودجه می‌تواند بر برنامه‌های مربوط به امنیت سایبری و تاب‌آوری تأثیر بگذارد، توجیهات وزارتخانه‌ها و کنگره جزئیات را ارائه می‌دهد.

توجیهات بودجه کنگره HHS و CISA چه می‌گویند؟

برای درک بهتر چگونگی اجرای بودجه‌ی رئیس‌جمهور، توجیهات بودجه‌ی کنگره برای HHS و CISA اطلاعات بسیار بیشتری ارائه می‌دهد.

  • CISA—توجیه بودجه کنگره CISA در ۲۷۹ صفحه، جزئیات جامعی از محل کاهش بودجه ۷۰۰ میلیون دلاری پیشنهادی ارائه می‌دهد. از جمله موارد مرتبط‌تر در سیاست‌ها و بودجه می‌توان به موارد زیر اشاره کرد:
    • تعداد پایه نیروی کار جدید ۲۸۶۵ نفر است. این تعداد نسبت به ۳۷۳۲ نفر در پایان دولت بایدن کاهش یافته است و نشان دهنده از دست رفتن ۲۰۶ موقعیت شغلی از بخش امنیت سایبری، ۲۲۵ موقعیت شغلی از بخش عملیات یکپارچه و اساساً کل بخش تعامل با ذینفعان است. کاهش کارکنان تقریباً ۳۶۰.۵ میلیون دلار از کاهش بودجه را تشکیل می‌دهد.
    • افزایش ۵ میلیون دلاری برای تجزیه و تحلیل و برنامه‌ریزی جهت اطلاع‌رسانی در مورد توسعه‌ی «ثبت ملی ریسک» که از کار مداوم برای شناسایی ریسک‌ها برای زیرساخت‌ها و سیستم‌های ملی، توسعه‌ی سناریوها و ارزیابی‌های ریسک منتخب، و ارائه ریسک‌های منتخب در گزارشی که شامل نمایش بصری برای مقایسه‌ی پیامدها و احتمال یا معقول بودن ریسک‌ها نسبت به یکدیگر باشد، پشتیبانی می‌کند. این فعالیت در فرمان اجرایی قبلی رئیس‌جمهور ترامپ نیز درخواست شده بود. دستیابی به بهره‌وری از طریق آمادگی ایالتی و محلی.
    • کاهش ۹.۸ میلیون دلاری بودجه از برنامه همکاری مشترک دفاع سایبری (JCDC).
    • اولویت‌بندی برای پر کردن و تأمین بودجه هماهنگ‌کنندگان ایالتی امنیت سایبری CISA به عنوان پرسنل پشتیبانی امنیت سایبری مستقر در ایالت که توسط فدرال تعیین شده‌اند، برای کمک به تقویت دفاع محلی، هدایت واکنش هماهنگ و پشتیبانی از تلاش‌های بازیابی در مواجهه با تشدید تهدیدات سایبری.
    • افزایش اندک بودجه و نیروی انسانی برای گسترش پشتیبانی از رابطین در بخش‌های غیر CISA SRMA، شامل ۸ موقعیت جدید رابطین مدیریت ریسک بخش برای بخش‌هایی که CISA آژانس مدیریت ریسک بخش (SRMA) نیست.
    • اولویت‌بندی صریح تلاش‌ها برای مقابله با تهدیدات جمهوری خلق چین علیه دولت و زیرساخت‌های حیاتی. این امر شامل به اشتراک‌گذاری اطلاعات نیز می‌شود.
  • HHS: ASPR— توجیه بودجه کنگره ASPR در ۶۲ صفحه، کاهش حدود ۳۵۵ میلیون دلاری بودجه و جابجایی بیشتر بودجه باقیمانده را نشان می‌دهد. بودجه آمادگی و بازیابی مراقبت‌های بهداشتی از حدود ۳۰۵ میلیون دلار به کمی کمتر از ۳۰ میلیون دلار کاهش چشمگیری داشته است، که به نظر می‌رسد بر توافق‌نامه‌های همکاری برنامه آمادگی بیمارستان (HPP)، توافق‌نامه همکاری سیستم واکنش منطقه‌ای به بلایا (RDHRS)، فعالیت‌های مراقبت از تروما، فعالیت‌ها و عملیات توانمندسازی آمادگی و بازیابی مراقبت‌های بهداشتی، کاهش و بازیابی جامعه و برنامه منابع فنی، مرکز کمک و تبادل اطلاعات (TRACIE) تأثیر می‌گذارد. با این حال، این سند بیان می‌کند که بودجه امنیت سایبری و حفاظت از زیرساخت‌ها (CIP) پیشنهاد شده است که نسبت به دو سال مالی گذشته بدون تغییر باقی بماند.[V] این سند در ادامه به نزدیک به ۲۰۰۰ حادثه امنیت سایبری که CIP بین اواخر ۲۰۲۴ و اواخر ۲۰۲۵ بررسی کرده است، اشاره می‌کند و ماژول جدیدی را به مجموعه ابزار شناسایی ریسک و حساسیت سایت (RISC) خود اضافه می‌کند که در سال ۲۰۲۶ منتشر خواهد شد و با NIST CSF 2.0 و اهداف عملکرد امنیت سایبری (CPG) بخش مراقبت‌های بهداشتی و بهداشت عمومی همسو است.
  • HHS: دفتر وزیر- توجیه بودجه ۱۹۰ صفحه‌ای کنگره برای دفتر وزیر شامل برخی پیشنهادهای سازماندهی مجدد وزارتخانه‌ها می‌شود.[ششم] طبق این سند، دفتر حقوق مدنی (OCR)، دفتر رسیدگی و تجدیدنظر مدیکر، هیئت تجدیدنظر وزارتخانه، دفتر حمایت از تحقیقات انسانی، دفتر حمایت از تحقیقات حیوانی و دفتر صداقت در تحقیقات در دفتر دستیار وزیر در امور حقوق مدنی و تجدیدنظر (ASCRA) ادغام خواهند شد. این تغییر ساختار شبیه پیشنهادی از ماه مارس گذشته است که برخی از این دفاتر را تحت نظر یک دستیار جدید وزیر در امور اجرا قرار می‌داد.[هفتم]

    این سند در ادامه توضیح می‌دهد که چگونه ASCRA «از طریق اجرا و قضاوت در محیط خدمات بهداشتی و انسانی، انطباق قانونی را انجام خواهد داد» و چگونه «ادغام پیشنهادی برای ساده‌سازی نظارت، بهبود هماهنگی اجرا و قضاوت، ارائه آموزش و راهنمایی در مورد مراجع قانونی مربوطه و تقویت توانایی HHS در انجام تعهدات قانونی خود طراحی شده است.»[VIII]

    درخواست بودجه رئیس جمهور برای سال مالی 27 برای ASCRA کمی بیش از 241 میلیون دلار است که در این سند به عنوان افزایش تقریباً 5 میلیون دلاری نسبت به سطح مصوب سال مالی 26 توصیف شده است. علاوه بر این، کل مبلغ «شامل پیش‌بینی 10،000،000 دلار بودجه تسویه حساب مالی مدنی است که توسط دفتر حقوق مدنی برای تلاش‌های بیشتر در اجرای HIPAA استفاده می‌شود.»[نهم]

  • وزارت بهداشت و خدمات انسانی: سازمان غذا و داروی آمریکا (FDA)- توجیه بودجه ۹۱ صفحه‌ای کنگره برای سازمان غذا و داروی آمریکا (FDA) به هیچ وجه صراحتاً به امنیت سایبری اشاره نمی‌کند.[X] با این حال، این بخش شامل بخش «دستگاه‌ها و سلامت رادیولوژیکی» است که مرکز دستگاه‌ها و سلامت رادیولوژیکی (CDRH) را نیز پوشش می‌دهد. این بخش افزایش بودجه‌ای اندک برای «دستگاه‌ها و سلامت رادیولوژیکی» را از کمی بیش از مبلغ مصوب سال مالی 26، یعنی حدود 913 میلیون دلار، به کمی بیش از 1 میلیارد دلار برجسته می‌کند. سازمان غذا و داروی آمریکا (FDA) این افزایش را با بیان اینکه آنها «به همان اندازه متعهد به شناسایی و رسیدگی زودهنگام به خطرات ایمنی برای محافظت از بیماران در برابر آسیب و اطمینان از اینکه این آژانس به طور مداوم در بین آژانس‌های نظارتی جهان برای شناسایی و اقدام بر اساس سیگنال‌های ایمنی مربوط به دستگاه‌های پزشکی در رتبه اول قرار دارد» توجیه می‌کند.[خی]

 

اقدام و تحلیل
**شامل عضویت Health-ISAC**

 

[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[II] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[III]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[IV] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

[ششم] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[هفتم] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

[VIII] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[نهم] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[X] https://www.fda.gov/media/191778/download?attachment

[خی] https://www.fda.gov/media/191778/download?attachment

[XII] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

[XIII]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[چهاردهم]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

مرکز ISAC سلامت، شکاف‌های موجود در تاب‌آوری سایبری و واکنش به حوادث را برجسته می‌کند...
ابزارهای هوش مصنوعی Mythos و Like، سهم خود را در فضای سایبری مراقبت‌های بهداشتی افزایش می‌دهند