Przejdź do głównej zawartości

Zdrowie-ISAC Hacking Opieka zdrowotna 4-14-2026

W tym tygodniu Zdrowie-ISAC®Hackowanie opieki zdrowotnej® Analizujemy niedawno opublikowany budżet prezydenta i towarzyszące mu dokumenty uzasadniające budżet Kongresu, przygotowane przez Agencję Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) oraz Departament Zdrowia i Opieki Społecznej (HHS). Wyjaśniamy, czym są te dokumenty, analizujemy istotne aspekty cyberbezpieczeństwa w sektorze opieki zdrowotnej, a następnie przedstawiamy kontekst, który najlepiej je interpretować.

Przypominamy, że jest to publiczna wersja bloga Hacking Healthcare. Aby uzyskać bardziej dogłębną analizę i opinię, zostań członkiem H-ISAC i otrzymaj wersję TLP Amber tego bloga (dostępną w Portalu Członków).

 

Wersja PDF:

 

Wersja tekstowa:

Witamy ponownie w Hacking Healthcare® !

Jakie znaczenie dla cyberbezpieczeństwa sektora opieki zdrowotnej może mieć wniosek administracji Trumpa dotyczący budżetu federalnego na rok fiskalny 2027?

W zeszłym tygodniu administracja Trumpa opublikowała budżet prezydenta na rok fiskalny 2027 (FY27), a departamenty i agencje federalne opublikowały uzasadnienia budżetowe Kongresu. Chociaż dokumenty te nie są prawnie wiążące i nie ustalają budżetu federalnego, odgrywają one kluczową rolę w procesie przyznawania środków i sygnalizują priorytety i intencje polityczne administracji Trumpa.

 

Czym jest budżet prezydencki?

Zasadniczo budżet prezydenta to dokument składany Kongresowi na początku roku, który zawiera ogólny zarys celów politycznych prezydenta, wybór programów, które mają być priorytetowe w celu osiągnięcia tych celów, oraz budżet, który administracja uznała za niezbędny do ich realizacji. Trump opublikował swój nowy, 92-stronicowy budżet na rok fiskalny 27 3 kwietnia.

 

Czym są uzasadnienia budżetu Kongresu?

Uzasadnienia budżetowe Kongresu to dokumenty przygotowywane przez departamenty i agencje federalne, które popierają lub „uzasadniają” wniosek budżetowy prezydenta dla danej organizacji. Dokumenty te szczegółowo opisują, ile pieniędzy organizacja chce otrzymać, na co planuje je przeznaczyć, dlaczego te działania są ważne oraz jakich rezultatów lub efektów się spodziewa. Następnie Kongres wykorzystuje ten dokument do analizy i kwestionowania wniosku, porównania go z poprzednimi wydatkami oraz podjęcia decyzji o zatwierdzeniu lub zmianie finansowania.

Co mówi budżet prezydencki na rok fiskalny 27?

Russel Vought, dyrektor Biura Zarządzania i Budżetu (OMB), napisał wstęp do prezydenckiego budżetu, który brzmi jak przesłanie do Kongresu. W oświadczeniu czytamy: „Budżet na rok 2027 opiera się na wizji prezydenta, kontynuując ograniczanie wydatków niezwiązanych z obronnością i reformując rząd federalny”.[I] Następnie stwierdza, że ​​„budżet proponuje 10-procentową redukcję wydatków w porównaniu z poziomami wydatków na cele inne niż obronność w 2026 r.”, po czym podkreśla, jak bardzo budżet koncentruje się na kwestiach bezpieczeństwa narodowego.

 

Po otwarciu następuje przegląd departamentów i agencji na wysokim szczeblu. Dwie najważniejsze dla członków Health-ISAC to Departament Bezpieczeństwa Wewnętrznego (DHS) ze względu na jego sekcję dotyczącą CISA oraz Departament Zdrowia i Opieki Społecznej (HHS). Sekcje te obejmują:

  • CISA—Budżet prezydenta zakłada redukcję budżetu CISA o 707 milionów dolarów. Sformułowania w tej sekcji nadal odzwierciedlają dążenie administracji Trumpa do przekształcenia i przeorientowania misji i organizacji CISA na obronę sieci federalnych oraz ochronę i odporność infrastruktury krytycznej. Znaczna część sformułowań w tej sekcji wydaje się być w dużej mierze skopiowana bezpośrednio z zeszłorocznej wersji i wyśmiewa rozrost misji, duplikowanie programów i upolitycznienie agencji.[ii] [iii]
  • HHS—Proponowany budżet HHS „przewiduje przyznanie 111.1 miliardów dolarów w ramach uznaniowych uprawnień budżetowych… co stanowi spadek o 15.8 miliardów dolarów lub 12.5% w stosunku do kwoty przyjętej w 2026 r.”.[iv] Nadrzędnym priorytetem politycznym promowanym w tej sekcji jest program „Make America Healthy Again” (MAHA). Jednak najbardziej istotną pozycją budżetową dla członków Health-ISAC jest prawdopodobnie proponowana redukcja wydatków Administracji ds. Gotowości Strategicznej i Reagowania (ASPR) o 356 milionów dolarów. Znaczna część tej redukcji jest uzasadniana powrotem ASPR do podstawowych obowiązków, a odejściem od rozszerzonych obowiązków związanych z reakcją na COVID-19.

Choć proponowane cięcia budżetowe dla HHS i CISA wydają się nieco niepokojące, budżet prezydenta ma charakter strategiczny i ogólny. Aby zrozumieć, jak proponowane cięcia budżetowe mogą wpłynąć na odpowiednie programy cyberbezpieczeństwa i odporności, szczegółowe informacje można znaleźć w uzasadnieniach Departamentu Kongresu.

Co mówią uzasadnienia budżetu Kongresu przedstawione przez HHS i CISA?

Aby uzyskać jaśniejszy obraz tego, w jaki sposób będzie realizowany budżet prezydencki, uzasadnienia budżetowe Kongresu dla HHS i CISA dostarczają znacznie więcej informacji.

  • CISA—279-stronicowe uzasadnienie budżetu Kongresu CISA zawiera szczegółowe zestawienie źródeł proponowanych cięć budżetowych w wysokości 700 milionów dolarów. Wśród ważniejszych pozycji polityki i budżetu znajdują się:
    • Nowa baza zatrudnienia wynosi 2,865 pracowników. Jest to spadek z 3,732 pod koniec administracji Bidena i oznacza utratę 206 stanowisk w Dziale Cyberbezpieczeństwa, 225 w Dziale Operacji Zintegrowanych i zasadniczo całego Działu Zaangażowania Interesariuszy. Redukcje personelu odpowiadają za redukcję budżetu o około 360.5 miliona dolarów.
    • Zwiększenie o 5 milionów dolarów na analizę i planowanie w celu opracowania Krajowego Rejestru Ryzyka, który będzie wspierał dalsze prace nad identyfikacją zagrożeń dla infrastruktury i systemów krajowych, opracowywaniem wybranych scenariuszy i ocen ryzyka oraz prezentacją wybranych zagrożeń w raporcie, który będzie zawierał wizualną reprezentację umożliwiającą porównanie konsekwencji oraz prawdopodobieństwa lub wiarygodności poszczególnych zagrożeń. Działanie to zostało zalecone we wcześniejszym rozporządzeniu wykonawczym prezydenta Trumpa. Osiąganie efektywności poprzez gotowość na szczeblu stanowym i lokalnym.
    • Budżet programu Joint Cyber ​​Defense Collaborative (JCDC) został zmniejszony o 9.8 mln dolarów.
    • Priorytetem jest obsadzenie stanowisk i zapewnienie finansowania koordynatorom ds. cyberbezpieczeństwa CISA na szczeblu stanowym, którzy będą pełnić funkcję federalnego personelu wsparcia cyberbezpieczeństwa na szczeblu stanowym, wspomagającego wzmacnianie lokalnych mechanizmów obronnych, kierującego skoordynowaną reakcją i wspierającego działania naprawcze w obliczu narastających zagrożeń cybernetycznych.
    • Niewielkie zwiększenie środków finansowych i kadrowych w celu rozszerzenia wsparcia dla łączników w sektorach nieobjętych CISA SRMA, w tym 8 nowych stanowisk łącznikowych ds. zarządzania ryzykiem sektorowym dla sektorów, w których CISA nie jest Agencją Zarządzania Ryzykiem Sektorowym (SRMA).
    • Wyraźne priorytetyzowanie działań mających na celu przeciwdziałanie zagrożeniom stwarzanym przez Chińską Republikę Ludową dla rządu i infrastruktury krytycznej. Obejmuje to również wymianę informacji.
  • HHS: ASPR—62-stronicowe uzasadnienie budżetu Kongresu ASPR wskazuje na redukcję budżetu o ok. 355 mln dolarów i dodatkowe przesunięcia pozostałej części budżetu. Program Gotowości i Odbudowy Opieki Zdrowotnej (Health Care Readiness and Recovery) został znacząco zmniejszony z ok. 305 mln dolarów do niecałych 30 mln dolarów, co wydaje się mieć wpływ na umowy o współpracy w ramach Programu Gotowości Szpitali (HPP), Umowę o Współpracy Regionalnego Systemu Reagowania na Katastrofy (RDHRS), działania w zakresie opieki urazowej, działania i operacje umożliwiające gotowość i odbudowę opieki zdrowotnej, działania w zakresie łagodzenia skutków i odbudowy społeczności oraz program Centrum Zasobów Technicznych, Pomocy i Wymiany Informacji (TRACIE). Dokument podkreśla jednak, że budżet programu Cyberbezpieczeństwo i Ochrona Infrastruktury (CIP) ma pozostać niezmieniony w stosunku do poprzednich dwóch lat fiskalnych.[v] W dokumencie podkreślono również blisko 2,000 incydentów cyberbezpieczeństwa, które CIP poddał triażowi między końcem 2024 r. a końcem 2025 r., a także zapowiedziano nowy moduł do zestawu narzędzi do identyfikacji ryzyka i krytyczności lokalizacji (RISC), który zostanie wydany w 2026 r. i który jest zgodny z NIST CSF 2.0 oraz Celami wydajności cyberbezpieczeństwa (CPG) w sektorze opieki zdrowotnej i zdrowia publicznego.
  • HHS: Biuro Sekretarza—190-stronicowe uzasadnienie budżetu Kongresu dla Biura Sekretarza obejmuje propozycje reorganizacji departamentu.[VI], Zgodnie z dokumentem, Biuro Praw Obywatelskich (OCR), Biuro Przesłuchań i Odwołań Medicare, Departamentalna Rada Odwoławcza, Biuro Ochrony Badań na Ludziach, Biuro Ochrony Badań na Zwierzętach oraz Biuro ds. Integralności Badań zostaną połączone w Biuro Zastępcy Sekretarza ds. Praw Obywatelskich i Odwołań (ASCRA). Ta restrukturyzacja wydaje się podobna do propozycji z marca ubiegłego roku, która objęła niektóre z tych biur nowym Zastępcą Sekretarza ds. Egzekwowania Prawa.[VII]

    W dokumencie opisano dalej, w jaki sposób ASCRA „będzie zapewniać zgodność z prawem poprzez egzekwowanie i orzecznictwo w środowisku opieki zdrowotnej i usług społecznych” oraz w jaki sposób „proponowana konsolidacja ma na celu usprawnienie nadzoru, poprawę koordynacji egzekwowania i orzecznictwa, zapewnienie edukacji i wskazówek dotyczących odpowiednich organów prawnych oraz wzmocnienie zdolności HHS do wypełniania swoich zobowiązań prawnych”.[viii]

    Wniosek prezydenta dotyczący budżetu na rok fiskalny 2027 na ustawę ASCRA opiewa na nieco ponad 241 milionów dolarów, co w dokumencie opisano jako wzrost o prawie 5 milionów dolarów w porównaniu z kwotą uchwaloną na rok fiskalny 2026. Ponadto, kwota ta „obejmuje prognozę 10 000 000 dolarów na finansowanie ugód cywilnych, które Biuro Praw Obywatelskich wykorzysta do dalszych działań na rzecz egzekwowania ustawy HIPAA”.[IX]

  • HHS: FDA—91-stronicowe uzasadnienie budżetu Kongresu wydane przez Agencję ds. Żywności i Leków (FDA) w ogóle nie odnosi się wprost do cyberbezpieczeństwa.[X] Zawiera jednak sekcję „Urządzenia i Zdrowie Radiologiczne”, która obejmuje również Centrum Urządzeń i Zdrowia Radiologicznego (CDRH). Sekcja ta podkreśla niewielki wzrost budżetu na Urządzenia i Zdrowie Radiologiczne z kwoty nieco ponad 913 milionów dolarów, która została uchwalona na rok fiskalny 26, do nieco ponad 1 miliarda dolarów. FDA uzasadnia tę podwyżkę, stwierdzając, że „jest równie zaangażowana w wykrywanie i reagowanie na zagrożenia bezpieczeństwa na wczesnym etapie, aby chronić pacjentów przed szkodami i zapewnić, że agencja pozostaje niezmiennie pierwszą wśród światowych agencji regulacyjnych w zakresie identyfikacji i reagowania na sygnały bezpieczeństwa związane z wyrobami medycznymi”.[xi]

 

Akcja i analiza
**Wliczone w cenę członkostwa Health-ISAC**

 

[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[v] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

[VI], https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[VII] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

[viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[IX] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[X] https://www.fda.gov/media/191778/download?attachment

[xi] https://www.fda.gov/media/191778/download?attachment

[XII] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

[xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[XIV]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

Health-ISAC sygnalizuje luki w cyberodporności i reagowaniu na incydenty…
Mity i podobne narzędzia sztucznej inteligencji podnoszą stawkę w cyberbezpieczeństwie opieki zdrowotnej