Health-ISAC Hacking Healthcare 4

Ovaj tjedan, Health-ISAC^®'s Hacking Healthcare^® ispituje novoobjavljeni predsjednički proračun i prateće dokumente o opravdanju kongresnog proračuna Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) i Ministarstva zdravstva i socijalnih usluga (HHS). Objašnjavamo što su ti dokumenti, ispitujemo relevantne aspekte kibernetičke sigurnosti zdravstvenog sektora svakog od njih, a zatim pružamo kontekst o tome kako ih najbolje interpretirati.

Podsjećamo, ovo je javna verzija bloga Hacking Healthcare. Za dodatnu dubinsku analizu i mišljenje, postanite član H-ISAC-a i primite TLP Amber verziju ovog bloga (dostupnu na Portalu za članove.)

Verzija PDF-a:

Tekstna verzija:

Dobrodošli natrag u Hacking Healthcare^® !

Što bi zahtjev Trumpove administracije za savezni proračun za fiskalnu godinu 2027. mogao značiti za kibernetičku sigurnost zdravstvenog sektora

Prošli tjedan, Trumpova administracija objavila je predsjednički proračun za fiskalnu godinu 2027. (FY27), a savezni odjeli i agencije objavili su svoja povezana kongresna opravdanja proračuna. Iako ti dokumenti nisu pravno obvezujući i ne određuju savezni proračun, oni igraju ključnu ulogu u procesu dodjele sredstava i signaliziraju političke prioritete i namjere Trumpove administracije.

Što je predsjednikov proračun?

Općenito, predsjednikov proračun je dokument koji se Kongresu dostavlja početkom godine, a koji pruža opći pregled predsjednikovih političkih ciljeva, odabir programa kojima treba dati prioritet kako bi se postigli ti politički ciljevi i proračun koji je administracija utvrdila da je potreban za ispunjenje tih ciljeva. Trump je 3. travnja objavio svoj novi proračun od 92 stranice za fiskalnu godinu 27.

Što su opravdanja za proračun Kongresa?

Kongresna opravdanja proračuna dokumenti su koje pripremaju savezni odjeli i agencije koji podupiru ili „opravdavaju“ predsjednikov proračunski zahtjev za njihovu organizaciju. U tim dokumentima se detaljno navodi koliko novca organizacija želi, na što ga planira potrošiti, zašto su te aktivnosti važne i koje rezultate ili ishode očekuje. Kongres zatim koristi ovaj dokument za pregled i propitivanje zahtjeva, usporedbu s prošlom potrošnjom i odluku o odobrenju ili promjeni financiranja.

Što kaže predsjednički proračun za fiskalnu 27. godinu?

Russel Vought, ravnatelj Ureda za upravljanje i proračun (OMB), napisao je uvodni govor predsjednikovog proračuna, koji se čita kao poruka Kongresu. U uvodu se navodi da se „proračun za 2027. temelji na predsjednikovoj viziji nastavkom ograničavanja potrošnje koja nije vezana uz obranu i reformom savezne vlade.“^[I] Nastavlja navodeći da „proračun predlaže smanjenje od 10 posto u usporedbi s razinama neobrambenih troškova iz 2026.“, prije nego što naglasi koliko se proračun usredotočuje na probleme nacionalne sigurnosti.

Nakon otvaranja slijede detaljne analize odjela i agencija. Dva najrelevantnija odjela za članove Health-ISAC-a su Ministarstvo domovinske sigurnosti (DHS) za svoj odjeljak o CISA-i i HHS. Ti odjeljci uključuju sljedeće:

• CISA—Predsjednički proračun predviđa smanjenje proračuna CISA-e za 707 milijuna dolara. Jezik u ovom odjeljku i dalje odražava želju Trumpove administracije da preoblikuje i preusmjeri misiju i organizaciju CISA-e na obranu savezne mreže te zaštitu i otpornost kritične infrastrukture. Čini se da je velik dio jezika u ovom odjeljku uglavnom kopiran i zalijepljen izravno iz prošlogodišnje verzije te ismijava širenje misije, dupliciranje programa i politizaciju agencije.^[Ii] [Iii]
• HHS— Predloženi proračun za HHS „zahtijeva 111.1 milijardi dolara diskrecijskih proračunskih ovlasti... što je smanjenje od 15.8 milijardi dolara ili 12.5 posto u odnosu na razinu donesenu 2026.“^[Iv] Sveobuhvatni prioritet politike koji se zagovara u ovom odjeljku je "Učinimo Ameriku ponovno zdravom" (MAHA). Međutim, najrelevantnija stavka za članove Health-ISAC-a vjerojatno je predloženo smanjenje od 356 milijuna dolara za Upravu za stratešku spremnost i odgovor (ASPR). Velik dio ovog smanjenja objašnjava se kao odgovor na preusmjeravanje ASPR-a natrag na temeljne dužnosti, a ne na proširene odgovornosti povezane s odgovorom na COVID-19.

Iako predložena smanjenja za HHS i CISA djeluju pomalo zabrinjavajuće, predsjednikov proračun je strateški i na visokoj razini. Kako bi se razumjelo kako bi predložena smanjenja proračuna mogla utjecati na relevantne programe kibernetičke sigurnosti i otpornosti, detalje pružamo u obrazloženjima Ministarstva i Kongresa.

Što kažu obrazloženja kongresnog proračuna HHS-a i CISA-e?

Za jasniju sliku o tome kako bi se predsjednikov proračun proveo u djelo, kongresna opravdanja proračuna za HHS i CISA pružaju mnogo više informacija.

• CISA—Obrazloženje proračuna Kongresa CISA-e od 279 stranica pruža sveobuhvatnu analizu izvora predloženih proračunskih rezova od 700 milijuna dolara. Među relevantnijim stavkama politike i proračuna su:
  • Nova početna vrijednost radne snage iznosi 2,865 zaposlenika. To je pad u odnosu na 3,732 na kraju Bidenove administracije i predstavlja gubitak 206 radnih mjesta u Odjelu za kibernetičku sigurnost, 225 u Odjelu za integrirane operacije i u biti cijelog Odjela za suradnju s dionicima. Smanjenje broja zaposlenih čini otprilike ~360.5 milijuna dolara smanjenja proračuna.
  • Povećanje od 5 milijuna dolara za analizu i planiranje kako bi se informirao razvoj Nacionalnog registra rizika, koji će podržati kontinuirani rad na identificiranju rizika za nacionalnu infrastrukturu i sustave, razvoju odabranih scenarija i procjena rizika te predstavljanju odabranih rizika u izvješću koje će uključivati ​​vizualni prikaz za usporedbu posljedica i vjerojatnosti ili vjerodostojnosti rizika u odnosu na jedan drugi. Ova aktivnost je predviđena ranijom Izvršnom uredbom predsjednika Trumpa. Postizanje učinkovitosti kroz državnu i lokalnu spremnost.
  • Smanjenje proračuna za 9.8 milijuna dolara iz programa Zajedničke suradnje u kibernetičkoj obrani (JCDC).
  • Prioritet za popunjavanje i financiranje državnih koordinatora za kibernetičku sigurnost CISA-e koji će djelovati kao savezno dodijeljeno državno osoblje za podršku kibernetičkoj sigurnosti kako bi pomogli u jačanju lokalne obrane, vođenju koordiniranog odgovora i podršci naporima za oporavak suočeni s eskalirajućim kibernetičkim prijetnjama.
  • Umjereno povećanje financiranja i osoblja za proširenje podrške za vezu u sektorima koji nisu obuhvaćeni CISA SRMA, uključujući 8 novih radnih mjesta za vezu u upravljanju sektorskim rizicima za sektore u kojima CISA nije Agencija za upravljanje sektorskim rizicima (SRMA).
  • Eksplicitno davanje prioriteta naporima za suzbijanje prijetnji koje Narodna Republika Kina predstavlja vladi i kritičnoj infrastrukturi. To uključuje i razmjenu informacija.
• HHS: ASPR—Obrazloženje kongresnog proračuna ASPR-a od 62 stranice pokazuje smanjenje ukupnog iznosa od ~355 milijuna dolara i dodatno preusmjeravanje preostalog proračuna. Program spremnosti i oporavka zdravstvene skrbi enormno se smanjuje s ~305 milijuna dolara na nešto manje od 30 milijuna dolara, što, čini se, utječe na sporazume o suradnji u Programu spremnosti bolnica (HPP), Sporazum o suradnji regionalnog sustava za odgovor na katastrofe u zdravstvu (RDHRS), aktivnosti skrbi za traumu, aktivnosti i operacije omogućavanja spremnosti i oporavka zdravstvene skrbi, ublažavanje i oporavak zajednice te program tehničkih resursa, centra za pomoć i razmjene informacija (TRACIE). Međutim, dokument ističe da se predlaže da proračun za kibernetičku sigurnost i zaštitu infrastrukture (CIP) ostane nepromijenjen u odnosu na prethodne dvije fiskalne godine.^[V] U dokumentu se nadalje ističe gotovo 2,000 incidenata u kibernetičkoj sigurnosti koje je CIP trijažirao između kraja 2024. i kraja 2025. te se najavljuje novi modul u njihovom alatu za identifikaciju rizika i kritičnost lokacije (RISC) koji će biti objavljen 2026., a koji je usklađen s NIST CSF 2.0 i ciljevima kibernetičke sigurnosti (CPG) u sektoru zdravstva i javnog zdravstva.
• HHS: Ured tajnika— Kongresno obrazloženje proračuna za Ured državnog tajnika na 190 stranica uključuje neke predložene reorganizacije odjela.^[VI] Prema dokumentu, Ured za građanska prava (OCR), Ured za saslušanja i žalbe Medicarea, Odbor za žalbe Ministarstva, Ured za zaštitu ljudskih istraživanja, Ured za zaštitu istraživanja na životinjama i Ured za integritet istraživanja spojit će se u Ured pomoćnika tajnika za građanska prava i žalbe (ASCRA). Ovo restrukturiranje slično je prijedlogu iz prošlog ožujka kojim su neki od tih ureda stavljeni pod novog pomoćnika tajnika za provedbu.^[VII]

  U dokumentu se dalje opisuje kako će ASCRA „provoditi pravnu usklađenost putem provedbe i suđenja u području zdravstva i socijalnih usluga“ te kako je „predložena konsolidacija osmišljena kako bi se pojednostavio nadzor, poboljšala koordinacija provedbe i suđenja, pružila edukacija i smjernice o relevantnim pravnim tijelima te ojačala sposobnost HHS-a da ispuni svoje zakonske obveze“.^[Viii]

  Zahtjev predsjednika za proračun za ASCRA-u za fiskalnu godinu 27. iznosi nešto više od 241 milijun dolara, što dokument opisuje kao povećanje od gotovo 5 milijuna dolara u odnosu na donesenu razinu za fiskalnu godinu 26. Osim toga, ukupni iznos „uključuje projekciju od 10,000,000 dolara financiranja građanskih novčanih nagodbi koje će Ured za građanska prava koristiti za daljnje napore u provedbi HIPAA-e.“^[IX]

• HHS: FDA—U 91-stranici obrazloženja proračuna Kongresa Agencije za hranu i lijekove (FDA) uopće se izričito ne spominje kibernetička sigurnost.^[X] Međutim, uključuje odjeljak o uređajima i radiološkom zdravlju, koji također pokriva Centar za uređaje i radiološko zdravlje (CDRH). Ovaj odjeljak ističe umjereno povećanje proračuna za uređaje i radiološko zdravlje s nešto više od iznosa od ~913 milijuna dolara predviđenog za fiskalnu godinu 2026. na nešto više od milijardu dolara. FDA opravdava ovo povećanje izjavom da su „jednako predani ranijem otkrivanju i rješavanju sigurnosnih rizika kako bi zaštitili pacijente od štete i osigurali da agencija dosljedno ostane prva među svjetskim regulatornim agencijama koje identificiraju i djeluju na temelju sigurnosnih signala povezanih s medicinskim uređajima.“^[Xi]

Akcija i analiza
**Uključeno uz Health-ISAC članstvo**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[VI] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[VII] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[Viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[IX] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[Xi] https://www.fda.gov/media/191778/download?attachment

^[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[Xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• Povezani izvori i vijesti
• Priručnik CISO-a, svezak 2 – Ranjivost tokena 0Auth koja je uzrokovala kršenje sigurnosti Salesforcea
• Mjesečni bilten – svibanj 2026
• Tromjesečni uvidi u prijetnje – Q1 2026
• Što napad Stryker otkriva o sigurnosti medicinskih uređaja
• Politike i zaštitne mjere za sigurnu upotrebu umjetne inteligencije
• HSCC predstavlja Vodič za rizike i transparentnost lanca opskrbe u području umjetne inteligencije treće strane
• Anthropic otkriva čarobnog 0-Day računalnog boga
• Zdravstvo na meti: Kibernetičke prijetnje povezane s Iranom povećavaju rizik za bolnice, medicinsku tehnologiju i lance opskrbe pružanjem zdravstvene skrbi
• Health-ISAC ukazuje na nedostatke u kibernetičkoj otpornosti i odgovoru na incidente…
• Mythos i slični AI alati povećavaju uloge u kibernetičkom zdravstvu