Pääsisältö

Health-ISAC Hacking Healthcare 4

Tällä viikolla Health-ISAC®Hakkerointi Healthcare® tarkastelee äskettäin julkaistua presidentin budjettia ja siihen liittyviä kongressin budjetin perusteluasiakirjoja, jotka ovat peräisin kyberturvallisuus- ja infrastruktuuriturvallisuusvirastolta (CISA) ja terveys- ja sosiaaliministeriöltä (HHS). Selitämme, mitä nämä asiakirjat ovat, tarkastelemme kunkin asiakirjan asiaankuuluvia terveysalan kyberturvallisuusnäkökohtia ja annamme sitten kontekstin niiden parhaalle tulkinnalle.

Muistutuksena, tämä on Hacking Healthcare -blogin julkinen versio. Jos haluat lisäanalyysiä ja mielipiteitä, liity H-ISAC:n jäseneksi ja vastaanota tämän blogin TLP Amber -versio (saatavilla jäsenportaalissa).

 

PDF-versio:

 

Tekstiversio:

Tervetuloa takaisin Hacking Healthcareen® !

Mitä Trumpin hallinnon vuoden 2027 liittovaltion budjettipyyntö voi tarkoittaa terveydenhuoltoalan kyberturvallisuudelle

Viime viikolla Trumpin hallinto julkaisi presidentin budjetin tilikaudelle 2027, ja liittovaltion ministeriöt ja virastot julkaisivat siihen liittyvät kongressin budjettiperustelut. Vaikka nämä asiakirjat eivät ole oikeudellisesti sitovia eivätkä määritä liittovaltion budjettia, niillä on ratkaiseva rooli määrärahojen käsittelyssä ja ne viestivät Trumpin hallinnon poliittisista prioriteeteista ja aikomuksista.

 

Mikä on presidentin budjetti?

Yleensä presidentin budjetti on kongressille vuoden alussa toimitettava asiakirja, joka tarjoaa yleiskatsauksen presidentin poliittisista tavoitteista, valikoiman ohjelmia, jotka on priorisoitava näiden tavoitteiden saavuttamiseksi, ja budjetin, jonka hallinto on määrittänyt näiden tavoitteiden saavuttamiseksi tarvittavaksi. Trump julkaisi uuden 92-sivuisen budjettinsa tilikaudelle 27 3. huhtikuuta.

 

Mitä ovat kongressin budjettiperustelut?

Kongressin budjettiperustelut ovat liittovaltion osastojen ja virastojen laatimia asiakirjoja, jotka tukevat tai "perustelevat" presidentin budjettipyyntöä organisaatiolleen. Näissä asiakirjoissa eritellään, kuinka paljon rahaa organisaatio haluaa, mihin se aikoo käyttää sen, miksi kyseiset toiminnot ovat tärkeitä ja mitä tuloksia se odottaa. Kongressi käyttää sitten tätä asiakirjaa pyynnön tarkasteluun ja kyseenalaistamiseen, sen vertaamiseen aiempiin menoihin ja rahoituksen hyväksymisestä tai muuttamisesta päättämiseen.

Mitä presidentin budjetti vuodelta 27 sanoo?

Russel Vought, hallinto- ja budjettitoimiston (OMB) johtaja, kirjoitti presidentin budjetin avauspuheenvuoron, joka on viesti kongressille. Avauspuheessa todetaan, että ”Vuoden 2027 budjetti perustuu presidentin visioon jatkamalla puolustusmenojen ulkopuolisten menojen rajoittamista ja liittovaltion hallituksen uudistamista.”[I] Hän jatkaa toteamalla, että ”budjetissa ehdotetaan 10 prosentin leikkausta vuoden 2026 puolustusmenoihin verrattuna”, ennen kuin korostaa, kuinka paljon budjetti keskittyy kansallisen turvallisuuden huolenaiheisiin.

 

Avajaisten jälkeen on päätason erittely osastoista ja virastoista. Kaksi Health-ISAC-jäsenten kannalta tärkeintä ovat kotimaan turvallisuusministeriö (DHS) sen CISA-osiota varten ja HHS. Näihin osioihin kuuluvat seuraavat:

  • CISA—Presidentin budjetissa esitetään CISAn budjetin leikkaamista 707 miljoonalla dollarilla. Tämän osion sanamuoto heijastaa edelleen Trumpin hallinnon halua muokata ja keskittää CISAn tehtävää ja organisaatiota liittovaltion verkon puolustukseen sekä kriittisen infrastruktuurin suojaamiseen ja sietokykyyn. Suuri osa tämän osion sanamuodosta näyttää olevan pitkälti kopioitu ja liitetty suoraan viime vuoden versiosta, ja siinä pilkataan tehtävän laajenemista, päällekkäisiä ohjelmia ja viraston politisointia.[Ii] [Iii]
  • HHS—HHS:n ehdotettu budjetti ”pyytää 111.1 miljardia dollaria harkinnanvaraista budjettivaltaa… mikä on 15.8 miljardia dollaria eli 12.5 prosenttia vähemmän kuin vuonna 2026 säädetty taso.”[IV] Tässä osiossa ajateltu yleispoliittinen prioriteetti on Make America Healthy Again (MAHA). Health-ISAC:n jäsenille olennaisin budjettikohta on kuitenkin todennäköisesti ehdotettu 356 miljoonan dollarin leikkaus strategisen valmiuden ja reagoinnin hallintoon (ASPR). Suuri osa tästä leikkauksesta selitetään vastauksena ASPR:n uudelleen suuntautumiseen takaisin ydintehtäviinsä ja pois COVID-19-toimiin liittyvistä laajennetuista vastuista.

Vaikka HHS:n ja CISA:n ehdotetut budjettileikkaukset vaikuttavat hieman huolestuttavilta, presidentin budjetti on strateginen ja korkean tason. Jotta ymmärrettäisiin, miten ehdotetut budjettileikkaukset voisivat vaikuttaa asiaankuuluviin kyberturvallisuus- ja vikasietoisuusohjelmiin, ministeriöiden kongressin perustelut tarjoavat yksityiskohtia.

Mitä HHS:n ja CISA:n kongressin budjettiperustelut sanovat?

Saadakseen selkeämmän kuvan siitä, miten presidentin budjetti toteutettaisiin, kongressin HHS:n ja CISA:n budjettiperustelut tarjoavat paljon enemmän tietoa.

  • CISA—279-sivuinen CISA:n kongressin budjettiperustelu tarjoaa kattavan erittelyn siitä, mistä ehdotetut 700 miljoonan dollarin budjettileikkaukset tulisivat. Olennaisimpia poliittisia ja budjettikohtia ovat:
    • Uusi työvoiman perustaso on 2 865 työntekijää. Tämä on vähemmän kuin Bidenin hallinnon lopussa, jolloin työntekijämäärä oli 3 732, ja se tarkoittaa 206 työpaikan menetystä kyberturvallisuusosastolta, 225 työpaikan menetystä integroitujen operaatioiden osastolta ja käytännössä koko sidosryhmäyhteistyöosaston menetystä. Henkilöstövähennykset muodostavat noin ~360.5 miljoonaa dollaria budjettileikkauksesta.
    • Viiden miljoonan dollarin lisäys analyysiin ja suunnitteluun kansallisen riskirekisterin kehittämiseksi. Rekisteri tukee jatkuvaa työtä kansalliseen infrastruktuuriin ja järjestelmiin kohdistuvien riskien tunnistamiseksi, valikoitujen riskiskenaarioiden ja -arviointien kehittämiseksi sekä valikoitujen riskien esittämiseksi raportissa, johon sisältyy visuaalinen esitys riskien seurausten ja todennäköisyyden tai uskottavuuden vertailemiseksi toisiinsa nähden. Tätä toimintaa vaadittiin presidentti Trumpin aiemmassa toimeenpanomääräyksessä. Tehokkuuden saavuttaminen valtion ja paikallisen valmiuden avulla.
    • Joint Cyber ​​Defense Collaborative (JCDC) -ohjelman budjettia leikattiin 9.8 miljoonalla dollarilla.
    • Prioriteetti CISA:n kyberturvallisuusosavaltioiden koordinaattoreiden täyttämiselle ja rahoitukselle. Koordinaattorien on toimittava liittovaltion määrääminä osavaltiokohtaisina kyberturvallisuuden tukihenkilöinä, jotka auttavat vahvistamaan paikallista puolustusta, ohjaavat koordinoitua reagointia ja tukevat toipumistoimia kyberuhkien lisääntyessä.
    • Rahoituksen ja henkilöstön vaatimaton lisäys yhteyshenkilötuen laajentamiseksi CISAn ja SRMA:n ulkopuolisilla sektoreilla, mukaan lukien kahdeksan uutta sektoririskienhallinnan yhteyshenkilön tehtävää sektoreille, joilla CISA ei ole sektoririskienhallintavirasto (SRMA).
    • Kiinan kansantasavallan hallitukselle ja kriittiselle infrastruktuurille aiheuttamien uhkien torjuntatoimien nimenomainen priorisointi. Tämä sisältää tiedonjaon.
  • HHS: ASPR— ASPR:n kongressin budjettiehdotuksen 62-sivuinen perustelu osoittaa noin 355 miljoonan dollarin yleisen leikkausta ja jäljellä olevan budjetin lisäsiirtoja. Terveydenhuollon valmius- ja toipumisohjelmassa tehdään valtava leikkaus noin 305 miljoonasta dollarista hieman alle 30 miljoonaan dollariin, mikä näyttää vaikuttavan sairaaloiden valmiusohjelman (HPP) yhteistyösopimuksiin, alueelliseen katastrofien terveysalan yhteistyösopimukseen (RDHRS), traumahoitotoimintaan, terveydenhuollon valmius- ja toipumisohjelman mahdollistaviin toimintoihin ja operaatioihin, yhteisön vahinkojen lieventämiseen ja toipumiseen sekä teknisten resurssien, avustuskeskuksen ja tiedonvaihdon (TRACIE) ohjelmaan. Asiakirjassa kuitenkin todetaan, että kyberturvallisuuden ja infrastruktuurin suojaamisen (CIP) budjetin ehdotetaan pysyvän muuttumattomana kahteen edelliseen tilikauteen verrattuna.[V] Asiakirjassa tuodaan esiin lähes 2 000 kyberturvallisuuspoikkeamaa, jotka CIP arvioi vuoden 2024 lopun ja 2025 lopun välisenä aikana, ja mainostetaan uutta moduulia riskien tunnistamisen ja kohdekriittisyyden (RISC) työkalupakkiinsa, joka julkaistaan ​​vuonna 2026. Se on linjassa NIST CSF 2.0:n sekä terveydenhuollon ja kansanterveysalan kyberturvallisuuden suorituskykytavoitteiden (CPG) kanssa.
  • HHS: Sihteerin toimisto—190-sivuinen kongressin budjettiperustelu ministerin toimistolle sisältää joitakin ehdotuksia osastojen uudelleenjärjestelyistä.[Vi] Asiakirjan mukaan kansalaisoikeustoimisto (OCR), lääketieteellisten kuulemisten ja valitusten toimisto, ministeriöiden valituslautakunta, ihmistutkimuksen suojelutoimisto, eläintutkimuksen suojelutoimisto ja tutkimuksen eheyden toimisto yhdistyvät kansalaisoikeus- ja valitusasioiden apulaissihteerin toimistoksi (ASCRA). Tämä uudelleenjärjestely näyttää samankaltaiselta kuin viime maaliskuussa tehty ehdotus, jossa osa näistä toimistoista asetettiin uuden täytäntöönpanosta vastaavan apulaissihteerin alaisuuteen.[Vii]

    Asiakirjassa kuvataan edelleen, kuinka ASCRA "toteuttaa lainsäädännön noudattamisen valvonnan ja lainkäyttömenettelyjen avulla terveys- ja sosiaalipalveluympäristössä" ja kuinka "ehdotettu yhdistäminen on suunniteltu virtaviivaistamaan valvontaa, parantamaan valvonnan ja lainkäyttömenettelyjen koordinointia, tarjoamaan koulutusta ja ohjausta asiaankuuluville oikeusviranomaisille sekä vahvistamaan HHS:n kykyä täyttää lakisääteiset velvoitteensa".[VIII]

    Presidentin ASCRA-budjettipyyntö tilikaudella 2027 on hieman yli 241 miljoonaa dollaria, mitä asiakirjassa kuvataan lähes viiden miljoonan dollarin lisäykseksi tilikaudella 2026 säädettyyn tasoon verrattuna. Lisäksi kokonaissummaan ”sisältää arvion 10 000 000 dollarin siviilioikeudellisten sovintojen rahoituksesta, jota kansalaisoikeuksien toimisto käyttää HIPAA-lain täytäntöönpanon edistämiseen”.[IX]

  • HHS: FDA—Elintarvike- ja lääkeviraston (FDA) 91-sivuinen kongressin budjettiperustelu ei mainitse lainkaan nimenomaisesti kyberturvallisuutta.[X] Se sisältää kuitenkin laitteet ja radiologisen terveyden osan, joka kattaa myös laitteiden ja radiologisen terveyden keskuksen (CDRH). Tässä osiossa korostetaan laitteiden ja radiologisen terveyden alan budjettiin tehtyä vaatimatonta kasvua hieman yli tilivuoden 2026 säädetystä noin 913 miljoonasta dollarista hieman yli miljardiin dollariin. FDA perustelee tätä kasvua toteamalla, että se on "yhtä lailla sitoutunut havaitsemaan ja käsittelemään turvallisuusriskejä aikaisemmin suojellakseen potilaita vaaroilta ja varmistaakseen, että virasto pysyy jatkuvasti maailman ensimmäisenä sääntelyvirastona lääkinnällisiin laitteisiin liittyvien turvallisuussignaalien tunnistamisessa ja niiden perusteella toimimisessa".[Xi]

 

Toiminta ja analyysi
**Sisältyy Health-ISAC-jäsenyyteen**

 

[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[IV] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

[VIII] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[IX] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[X] https://www.fda.gov/media/191778/download?attachment

[Xi] https://www.fda.gov/media/191778/download?attachment

[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

[Xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

Health-ISAC merkitsee puutteita kyberturvallisuusriskien sietokyvyssä ja tietoturvaloukkauksiin reagoinnissa…
Myytit ja vastaavat tekoälytyökalut nostavat panoksia terveydenhuollon kyberturvallisuudessa