Health-ISAC Hacking Healthcare 4

Ezen a héten Health-ISAC^®'s Hacking Healthcare^® megvizsgálja az újonnan közzétett elnöki költségvetést és a kapcsolódó kongresszusi költségvetési indoklásokat, amelyeket a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és az Egészségügyi és Humán Szolgáltatások Minisztériuma (HHS) készített. Elmagyarázzuk, hogy mik ezek a dokumentumok, megvizsgáljuk mindegyikük egészségügyi szektorra vonatkozó kiberbiztonsági aspektusait, majd kontextust adunk a legjobb értelmezésükhöz.

Emlékeztetőül: ez a Hacking Healthcare blog nyilvános verziója. Ha további mélyreható elemzést és véleményt szeretne kapni, legyen a H-ISAC tagja, és megkapja a blog TLP Amber verzióját (elérhető a tagportálon).

PDF verzió:

Szöveges verzió:

Üdvözöljük újra a Hacking Healthcare-ben^® !

Mit jelenthet a Trump-adminisztráció 2027-es költségvetési évre vonatkozó szövetségi költségvetési kérelme az egészségügyi szektor kiberbiztonsága szempontjából?

A múlt héten a Trump-adminisztráció közzétette az elnök 2027-es pénzügyi évre (FY27) vonatkozó költségvetését, a szövetségi minisztériumok és ügynökségek pedig közzétették a kapcsolódó kongresszusi költségvetési indoklásaikat. Bár ezek a dokumentumok nem jogilag kötelező érvényűek, és nem határozzák meg a szövetségi költségvetést, kritikus szerepet játszanak a költségvetési előirányzatok elosztási folyamatában, és jelzik a Trump-adminisztráció politikai prioritásait és szándékait.

Mi az elnök költségvetése?

Az elnöki költségvetés általában egy olyan dokumentum, amelyet az év elején nyújtanak be a Kongresszusnak, és amely átfogó képet ad az elnök politikai céljairól, felsorolja azokat a programokat, amelyeket prioritásként kell kezelni e politikai célok elérése érdekében, valamint azt a költségvetést, amelyet az adminisztráció a célok eléréséhez szükségesnek határozott meg. Trump április 3-án tette közzé új, 92 oldalas költségvetését a 27-es pénzügyi évre.

Mik azok a kongresszusi költségvetési indoklások?

A kongresszusi költségvetési indoklások a szövetségi minisztériumok és ügynökségek által készített dokumentumok, amelyek alátámasztják vagy „igazolják” az elnök szervezetükre vonatkozó költségvetési kérelmét. Ezek a dokumentumok lebontják, hogy a szervezet mennyi pénzt szeretne, mire tervezi költeni, miért fontosak ezek a tevékenységek, és milyen eredményeket vagy kimeneteleket vár. A Kongresszus ezután ezt a dokumentumot használja a kérelem felülvizsgálatára és megkérdőjelezésére, a korábbi kiadásokkal való összehasonlítására, valamint a finanszírozás jóváhagyásáról vagy módosításáról szóló döntésre.

Mit mond a 27-es pénzügyi év elnöki költségvetése?

Russel Vought, a Költségvetési és Igazgatási Hivatal (OMB) igazgatója írta az elnök költségvetésének nyitóbeszédét, amely üzenetként szolgál a Kongresszusnak. A nyitóbeszéd megjegyzi, hogy „a 2027-es költségvetés az elnök víziójára épít azáltal, hogy továbbra is korlátozza a nem védelmi kiadásokat és megreformálja a szövetségi kormányt”.^[I] Azzal folytatja, hogy „a költségvetés 10 százalékos csökkentést javasol a 2026-os nem védelmi szinthez képest”, mielőtt hangsúlyozná, hogy a költségvetés mennyire összpontosít a nemzetbiztonsági aggályokra.

A megnyitót követően a minisztériumok és ügynökségek magas szintű bontása következik. A Health-ISAC tagjai számára a két legfontosabb a Belbiztonsági Minisztérium (DHS) a CISA-ról szóló szekciója, illetve a HHS. Ezek a szekciók a következőket foglalják magukban:

• CISA– Az elnök költségvetése a CISA költségvetésének 707 millió dolláros csökkentését javasolja. Az ebben a részben található szöveg továbbra is tükrözi a Trump-adminisztráció azon szándékát, hogy átalakítsa és újrafókuszálja a CISA küldetését és szervezetét a szövetségi hálózatvédelemre, valamint a kritikus infrastruktúra védelmére és ellenálló képességére. Úgy tűnik, hogy a szakasz szövegének nagy része nagyrészt közvetlenül a tavalyi verzióból lett átmásolva, és gúnyolja a küldetésbeli áttéréseket, a párhuzamos programokat és az ügynökség politizálását.^[II] [III]
• HHS– A HHS javasolt költségvetése „111.1 milliárd dollárnyi diszkrecionális költségvetési hatáskört igényel… ami 15.8 milliárd dollárral, azaz 12.5 százalékkal kevesebb a 2026-os elfogadott szinthez képest.”^[Iv] Az ebben a szakaszban hangoztatott átfogó politikai prioritás a „Tegyük Amerikát újra egészségessé” (MAHA). A Health-ISAC tagjai számára azonban valószínűleg a legrelevánsabb tétel a Stratégiai Felkészültségi és Reagálási Igazgatóság (ASPR) számára javasolt 356 millió dolláros csökkentés. E csökkentés nagy részét az ASPR COVID-19-re adott válaszhoz kapcsolódó kibővített felelősségi köröktől való eltávolodására adott válaszként magyarázzák.

Bár a HHS és a CISA esetében javasolt költségvetési csökkentések némileg aggasztónak tűnnek, az elnök költségvetése stratégiai és magas szintű. Annak megértéséhez, hogy a javasolt költségvetési csökkentések hogyan befolyásolhatják a vonatkozó kiberbiztonsági és rugalmassági programokat, a minisztériumi kongresszusi indokolások részleteket tartalmaznak.

Mit mondanak a HHS és a CISA kongresszusi költségvetési indoklásai?

Az elnök költségvetésének megvalósításáról szóló világosabb kép érdekében a HHS és a CISA kongresszusi költségvetési indoklásai sokkal több információt nyújtanak.

• CISA—A 279 oldalas CISA kongresszusi költségvetési indoklás átfogó elemzést nyújt arról, hogy honnan származna a javasolt 700 millió dolláros költségvetési megszorítás. A relevánsabb szakpolitikai és költségvetési tételek közé tartoznak:
  • Az új munkaerő-bázis 2,865 alkalmazott. Ez csökkenést jelent a Biden-kormányzat végén mért 3,732 alkalmazotthoz képest, és 206 álláshely elvesztését jelenti a Kiberbiztonsági Osztályon, 225 álláshely elvesztését az Integrált Műveleti Osztályon, és lényegében a teljes Érdekelt Felek Kapcsolattartásával Foglalkozó Osztályon. A létszámleépítés a költségvetés-csökkentés nagyjából 360.5 millió dollárját teszi ki.
  • 5 millió dolláros emelés elemzésre és tervezésre egy Nemzeti Kockázatnyilvántartás fejlesztésének támogatására, amely támogatja a nemzeti infrastruktúrát és rendszereket fenyegető kockázatok azonosítására irányuló folyamatos munkát, kiválasztott kockázati forgatókönyvek és értékelések kidolgozását, valamint a kiválasztott kockázatok egy olyan jelentésben való bemutatását, amely vizuális ábrázolást is tartalmaz a kockázatok következményeinek és valószínűségének vagy hihetőségének egymáshoz viszonyított összehasonlításához. Ezt a tevékenységet Trump elnök korábbi végrehajtási rendelete írta elő. Hatékonyság elérése állami és helyi felkészültség révén.
  • 9.8 millió dolláros költségvetés-csökkentés a Közös Kibervédelmi Együttműködési (JCDC) programban.
  • Prioritásként kezelik a CISA kiberbiztonsági állami koordinátorainak betöltését és finanszírozását, akik szövetségileg kijelölt állami kiberbiztonsági támogató személyzetként működnek, hogy segítsék a helyi védelem megerősítését, irányítsák az összehangolt reagálást és támogassák a helyreállítási erőfeszítéseket az eszkalálódó kiberfenyegetésekkel szemben.
  • A finanszírozás és a személyzet szerény növelése a nem CISA SRMA ágazatokban a kapcsolattartói támogatás kiterjesztésére, beleértve 8 új ágazati kockázatkezelési kapcsolattartói pozíciót azokban az ágazatokban, ahol a CISA nem az Ágazati Kockázatkezelési Ügynökség (SRMA).
  • A Kínai Népköztársaság által a kormányra és a kritikus infrastruktúrára jelentett fenyegetések elhárítására irányuló erőfeszítések kifejezett prioritása. Ez magában foglalja az információmegosztást is.
• HHS: ASPR– Az ASPR kongresszusi költségvetésének 62 oldalas indoklása ~355 millió dolláros főbb tételcsökkentést és a fennmaradó költségvetés további átcsoportosítását mutatja be. Az Egészségügyi Felkészültségi és Helyreállítási program hatalmas csökkentést mutat be ~305 millió dollárról alig 30 millió dollárra, ami úgy tűnik, hogy érinti a Kórházi Felkészültségi Program (HPP) együttműködési megállapodásait, a Regionális Katasztrófavédelmi Rendszer Együttműködési Megállapodását (RDHRS), a Traumaellátási tevékenységeket, az Egészségügyi Felkészültségi és Helyreállítási Támogatási Tevékenységeket és Műveleteket, a Közösségi Kárenyhítést és Helyreállítást, valamint a Műszaki Erőforrások, Segítségnyújtó Központ és Információcsere (TRACIE) programot. A dokumentum azonban felvázolja, hogy a Kiberbiztonsági és Infrastruktúra-védelmi (CIP) költségvetést az előző két pénzügyi évhez képest változatlannak javasolják.^[V] A dokumentum ezután kiemeli a CIP által 2024 vége és 2025 vége között trializált közel 2,000 kiberbiztonsági incidenst, és bemutatja a 2026-ban megjelenő kockázatazonosítási és helyszínkritikussági (RISC) eszközkészletük egy új modulját, amely összhangban van a NIST CSF 2.0-val, valamint az egészségügyi és közegészségügyi szektor kiberbiztonsági teljesítménycéljaival (CPG-k).
• HHS: A titkárság hivatala– A Minisztérium 190 oldalas kongresszusi költségvetési indoklása tartalmaz néhány javasolt minisztériumi átszervezést.^[Vi] A dokumentum szerint a Polgári Jogok Hivatala (OCR), a Medicare Meghallgatások és Fellebbezések Hivatala, a Minisztériumi Fellebbezési Tanács, az Emberi Kutatások Védelméért Hivatal, az Állatkutatások Védelméért Hivatal és a Kutatási Integritás Hivatala a Polgári Jogokért és Fellebbezésekért Felelős Államtitkárhelyettes Hivatalába (ASCRA) egyesül. Ez az átszervezés hasonlónak tűnik egy tavaly márciusi javaslathoz, amely ezen hivatalok egy részét egy új, végrehajtásért felelős államtitkár-helyettes alá helyezte.^[Vii]

  A dokumentum továbbá leírja, hogy az ASCRA „miként fogja megvalósítani a jogszabályoknak való megfelelést az egészségügyi és humán szolgáltatási környezetben a végrehajtás és az ítélkezés révén”, és hogy a „javasolt konszolidáció hogyan hivatott egyszerűsíteni a felügyeletet, javítani a végrehajtás és az ítélkezés koordinációját, oktatást és útmutatást nyújtani az illetékes jogi hatóságoknak, valamint megerősíteni a HHS azon képességét, hogy teljesítse jogi kötelezettségeit”.^[Viii]

  Az elnök ASCRA-ra vonatkozó költségvetési kérelme a 2027-es pénzügyi évben valamivel több mint 241 millió dollár, amit a dokumentum a 2026-os pénzügyi évben elfogadott szinthez képest közel 5 millió dolláros növekedésként ír le. Ezenkívül a teljes összeg „tartalmazza a Polgári Jogok Hivatala által a HIPAA végrehajtási erőfeszítéseinek előmozdítására felhasznált 10 000 000 dolláros polgári pénzügyi megállapodási finanszírozás előrejelzését”.^[Ix]

• HHS: FDA—Az Élelmiszer- és Gyógyszerügyi Hatóság (FDA) 91 oldalas kongresszusi költségvetési indoklása egyáltalán nem utal kifejezetten a kiberbiztonságra.^[X] Tartalmaz azonban egy Eszközök és Radiológiai Egészségügy részt, amely az Eszközök és Radiológiai Egészségügy Központját (CDRH) is lefedi. Ez a rész kiemeli az Eszközök és Radiológiai Egészségügy költségvetésének szerény növekedését, a 26-os pénzügyi évben elfogadott ~913 millió dolláros összeghez képest valamivel több mint 1 milliárd dollárra. Az FDA ezt a növekedést azzal indokolja, hogy „ugyanolyan elkötelezettek a biztonsági kockázatok korábbi felismerése és kezelése iránt, hogy megvédjék a betegeket a veszélyektől, és biztosítsák, hogy az ügynökség továbbra is következetesen a világ szabályozó ügynökségei között az orvostechnikai eszközökkel kapcsolatos biztonsági jelzések azonosításában és azokra való reagálásban”.^[Xi]

Akció és elemzés
**A Health-ISAC tagsággal együtt**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[II] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[III]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[Viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Ix] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[Xi] https://www.fda.gov/media/191778/download?attachment

^[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[Xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• Kapcsolódó források és hírek
• 30 legutóbbi kibertámadás és mit árulnak el a kiberbiztonság jövőjéről
• Claude Mythos és annak egészségügyi vonatkozásai
• Health-ISAC Hacking Healthcare 5
• Egy CISO kézikönyve, 2. kötet – 0Auth token sebezhetőség, amely Salesforce incidenst okozott
• Havi hírlevél – 2026. május
• Quarterly Threat Insights – 1 I. negyedév
• Mit tár fel a Stryker támadás az orvostechnikai eszközök biztonságáról?
• A mesterséges intelligencia biztonságos használatára vonatkozó irányelvek és biztosítékok
• A HSCC bemutatta a harmadik féltől származó mesterséges intelligencia kockázatkezelési és ellátási lánc átláthatósági útmutatóját
• Az Anthropic bemutatja a varázslatos 0-napos számítógépistent