Hopp til hovedinnhold

Health-ISAC Hacking Healthcare 4-14-2026

Denne uken, Health-ISAC®'s Hacking Healthcare® gjennomgår det nylig offentliggjorte presidentbudsjettet og tilhørende budsjettbegrunnelsesdokumenter fra Kongressen fra Cybersecurity and Infrastructure Security Agency (CISA) og Department of Health and Human Services (HHS). Vi forklarer hva disse dokumentene er, undersøker relevante aspekter ved cybersikkerhet i helsesektoren, og gir deretter kontekst for hvordan de best kan tolkes.

Som en påminnelse er dette den offentlige versjonen av Hacking Healthcare-bloggen. For ytterligere dybdeanalyse og meninger, bli medlem av H-ISAC og motta TLP Amber-versjonen av denne bloggen (tilgjengelig i medlemsportalen.)

 

PDF-versjon:

 

Tekstversjon:

Velkommen tilbake til Hacking Healthcare® !

Hva Trump-administrasjonens forespørsel om føderalt budsjett for regnskapsåret 2027 kan bety for cybersikkerhet i helsesektoren

Forrige uke publiserte Trump-administrasjonen presidentens budsjett for regnskapsåret 2027 (FY27), og føderale departementer og etater publiserte sine tilhørende kongressbudsjettbegrunnelser. Selv om disse dokumentene ikke er juridisk bindende og ikke fastsetter det føderale budsjettet, spiller de en kritisk rolle i bevilgningsprosessen og signaliserer Trump-administrasjonens politiske prioriteringer og intensjoner.

 

Hva er presidentens budsjett?

Vanligvis er presidentens budsjett et dokument som leveres til Kongressen tidlig på året, og som gir en oversikt over presidentens politiske mål, et utvalg programmer som skal prioriteres for å oppnå disse politiske målene, og budsjettet som administrasjonen har bestemt er nødvendig for å oppfylle disse målene. Trump la frem sitt nye 92-siders budsjett for regnskapsåret 27 3. april.

 

Hva er Kongressens budsjettbegrunnelser?

Kongressens budsjettbegrunnelser er dokumenter utarbeidet av føderale departementer og etater som støtter eller «begrunner» presidentens budsjettforespørsel for organisasjonen deres. Disse dokumentene beskriver hvor mye penger organisasjonen ønsker, hva den planlegger å bruke dem på, hvorfor disse aktivitetene er viktige, og hvilke resultater eller utfall den forventer. Kongressen bruker deretter dette dokumentet til å gjennomgå og stille spørsmål ved forespørselen, sammenligne den med tidligere utgifter og bestemme seg for å godkjenne eller endre finansieringen.

Hva sier presidentbudsjettet for regnskapsåret 27?

Russel Vought, direktøren for Office of Management and Budget (OMB), skrev åpningen av presidentens budsjett, som lyder som en melding til Kongressen. I åpningen bemerkes det at «2027-budsjettet bygger på presidentens visjon ved å fortsette å begrense ikke-forsvarsutgifter og reformere den føderale regjeringen.»[I] Han fortsetter med å si at «budsjettet foreslår et kutt på 10 prosent sammenlignet med ikke-forsvarsnivåer i 2026», før han understreker hvor mye budsjettet fokuserer på nasjonale sikkerhetshensyn.

 

Etter åpningen følger en oversikt over departementer og etater. De to mest relevante for medlemmer av Health-ISAC er Department of Homeland Security (DHS) for sin seksjon om CISA, og HHS. Disse seksjonene inkluderer følgende:

  • CISA– Presidentens budsjett krever en reduksjon av CISAs budsjett med 707 millioner dollar. Ordlyden i denne delen gjenspeiler fortsatt Trump-administrasjonens ønske om å omforme og fokusere CISAs oppdrag og organisering på føderalt nettverksforsvar og beskyttelse og robusthet av kritisk infrastruktur. Mye av ordlyden i denne delen ser ut til å være i stor grad kopiert og limt direkte fra fjorårets versjon, og den latterliggjør oppdragsutvidelser, dupliserende programmer og politiseringen av byrået.[Ii] [Iii]
  • HHS– Det foreslåtte budsjettet for HHS «ber om 111.1 milliarder dollar i skjønnsmessig budsjettmyndighet ... en reduksjon på 15.8 milliarder dollar eller 12.5 prosent fra det vedtatte nivået i 2026».[Iv] Den overordnede politiske prioriteringen som fremmes i denne delen er Make America Healthy Again (MAHA). Den mest relevante posten for Health-ISAC-medlemmer er imidlertid sannsynligvis det foreslåtte kuttet på 356 millioner dollar til Administration for Strategic Preparedness and Response (ASPR). Mye av dette kuttet forklares som en respons på at ASPR har rettet seg tilbake mot kjerneoppgaver og bort fra utvidet ansvar knyttet til COVID-19-responsen.

Selv om de foreslåtte reduksjonene for HHS og CISA i hovedtrekk virker noe bekymringsfulle, er presidentens budsjett strategisk og på et overordnet nivå. For å forstå hvordan foreslåtte budsjettreduksjoner kan påvirke relevante programmer for cybersikkerhet og robusthet, gir departementale kongressbegrunnelser detaljene.

Hva sier HHS og CISAs kongressbudsjettbegrunnelser?

For et klarere bilde av hvordan presidentens budsjett vil bli satt ut i livet, gir Kongressens budsjettbegrunnelser for HHS og CISA mye mer informasjon.

  • CISA– Den 279 sider lange budsjettbegrunnelsen for CISA fra Kongressen gir en omfattende oversikt over hvor de foreslåtte budsjettkuttene på 700 millioner dollar skal komme fra. Blant de mer relevante politiske og budsjettpostene er:
    • En ny arbeidsstyrkebase på 2,865 ansatte. Dette er en nedgang fra 3,732 ved slutten av Biden-administrasjonen og representerer et tap på 206 stillinger fra avdelingen for cybersikkerhet, 225 fra avdelingen for integrerte operasjoner og i hovedsak hele avdelingen for interessentengasjement. Bemanningsreduksjonene står for omtrent ~360.5 millioner dollar av budsjettreduksjonen.
    • En økning på 5 millioner dollar til analyse og planlegging for å informere utviklingen av et nasjonalt risikoregister, som vil støtte fortsatt arbeid med å identifisere risikoer for nasjonal infrastruktur og systemer, utvikle utvalgte risikoscenarier og vurderinger, og presentere utvalgte risikoer i en rapport som skal inkludere en visuell fremstilling for å sammenligne konsekvensene og sannsynligheten eller plausibiliteten til risikoer i forhold til hverandre. Denne aktiviteten ble etterlyst i president Trumps tidligere presidentordre. Oppnå effektivitet gjennom statlig og lokal beredskap.
    • En budsjettreduksjon på 9.8 millioner dollar fra Joint Cyber ​​Defense Collaborative (JCDC)-programmet.
    • En prioritering for å ansette og finansiere CISAs cybersikkerhetskoordinatorer for å fungere som føderalt tildelt, statlig basert støttepersonell for cybersikkerhet for å bistå i å styrke lokalt forsvar, veilede koordinert respons og støtte gjenopprettingsarbeid i møte med eskalerende cybertrusler.
    • En beskjeden økning i finansiering og bemanning for å utvide støtten til kontaktpersonstøtte på tvers av sektorer som ikke er omfattet av CISA SRMA, inkludert 8 nye stillinger for kontaktperson innen risikostyring i sektorer der CISA ikke er Sector Risk Management Agency (SRMA).
    • Den eksplisitte prioriteringen av innsatsen for å motvirke trusler fra Folkerepublikken Kina mot myndigheter og kritisk infrastruktur. Dette inkluderer gjennom informasjonsdeling.
  • HHS: ASPR– Den 62 sider lange budsjettbegrunnelsen for ASPR i Kongressen viser en totalreduksjon på ~355 millioner dollar og ytterligere omlegging av det gjenværende budsjettet. Helsevesenets beredskap og gjenoppretting tar en enorm reduksjon fra ~305 millioner dollar til rett under 30 millioner dollar, noe som ser ut til å påvirke samarbeidsavtalene for sykehusberedskapsprogrammet (HPP), samarbeidsavtalen for regionale katastrofehelseresponssystemer (RDHRS), traumeomsorgsaktiviteter, aktiviteter og drift knyttet til helsevesenets beredskap og gjenoppretting, samfunnsavbøtende tiltak og gjenoppretting, og programmet for tekniske ressurser, assistansesenter og informasjonsutveksling (TRACIE). Dokumentet beskriver imidlertid at budsjettet for cybersikkerhet og infrastrukturbeskyttelse (CIP) foreslås å forbli uendret fra de to foregående regnskapsårene.[V] Dokumentet fremhever videre de nesten 2,000 cybersikkerhetshendelsene som CIP triaget mellom slutten av 2024 og slutten av 2025, og skryter av en ny modul i verktøykassen deres for risikoidentifisering og kritiske områder (RISC) som vil bli utgitt i 2026, og som er i samsvar med NIST CSF 2.0 og ytelsesmålene for cybersikkerhet (CPG-er) for helsevesenet og folkehelsesektoren.
  • HHS: Sekretærens kontor– Den 190 sider lange budsjettbegrunnelsen fra Kongressen for statssekretærens kontor inkluderer noen foreslåtte omorganiseringer av departementene.[Vi] I følge dokumentet vil Kontoret for sivile rettigheter (OCR), Kontoret for høringer og anker i Medicare, Det avdelingsbaserte ankenemnda, Kontoret for beskyttelse av menneskelig forskning, Kontoret for beskyttelse av dyreforskning og Kontoret for forskningsintegritet slå seg sammen til Kontoret til assisterende sekretær for sivile rettigheter og anker (ASCRA). Denne omstruktureringen ligner på et forslag fra mars i fjor, som plasserte noen av disse kontorene under en ny assisterende håndhevingssekretær.[Vii]

    Dokumentet beskriver videre hvordan ASCRA «vil utføre juridisk samsvar gjennom håndheving og domsavsigelse i helse- og omsorgstjenestemiljøet» og hvordan den «foreslåtte konsolideringen er utformet for å effektivisere tilsyn, forbedre koordinering av håndheving og domsavsigelse, gi opplæring og veiledning om relevante juridiske myndigheter, og styrke HHS’ evne til å oppfylle sine juridiske forpliktelser».[Viii]

    Budsjettforespørselen fra presidenten for regnskapsåret 27 til ASCRA er på litt over 241 millioner dollar, som dokumentet beskriver som en økning på nesten 5 millioner dollar i forhold til det vedtatte nivået for regnskapsåret 26. I tillegg inkluderer totalen «en anslag på 10 000 000 dollar i sivile pengeoppgjørsmidler brukt av Kontoret for sivile rettigheter for å fremme håndheving av HIPAA».[Ix]

  • HHS: FDA– Den 91 sider lange budsjettbegrunnelsen fra Kongressen i Food and Drug Administration (FDA) refererer ikke eksplisitt til cybersikkerhet i det hele tatt.[X] Den inkluderer imidlertid en seksjon for utstyr og radiologisk helse, som også dekker Center for Devices and Radiological Health (CDRH). Denne seksjonen fremhever en beskjeden budsjettøkning for Devices and Radiological Health fra litt over det vedtatte beløpet på ~913 millioner dollar for regnskapsåret 26 til litt over 1 milliard dollar. FDA begrunner denne økningen med at de er «like forpliktet til å oppdage og håndtere sikkerhetsrisikoer tidligere for å beskytte pasienter mot skade og sikre at byrået konsekvent forblir først blant verdens reguleringsorganer til å identifisere og handle på sikkerhetssignaler knyttet til medisinsk utstyr».[Xi]

 

Handling og analyse
**Inkludert med Health-ISAC-medlemskap**

 

[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

[Viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[Ix] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[X] https://www.fda.gov/media/191778/download?attachment

[Xi] https://www.fda.gov/media/191778/download?attachment

[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

[XIII]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[XIV]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

Helse-ISAC avslører mangler i cyberrobusthet og hendelsesrespons …
Mythos og lignende AI-verktøy øker innsatsen for cybersikkerhet i helsevesenet