Preskoči na glavno vsebino

Health-ISAC Hacking Healthcare 4

Ta teden Health-ISAC®Hecking Healthcare® preučuje novo objavljeni predsednikov proračun in spremljajoče dokumente o utemeljitvi kongresnega proračuna Agencije za kibernetsko varnost in varnost infrastrukture (CISA) ter Ministrstva za zdravje in socialne zadeve (HHS). Pojasnjujemo, kaj so ti dokumenti, preučujemo ustrezne vidike kibernetske varnosti v zdravstvenem sektorju vsakega od njih in nato ponujamo kontekst za njihovo najboljšo razlago.

Naj vas spomnimo, da je to javna različica spletnega dnevnika Hacking Healthcare. Za dodatno poglobljeno analizo in mnenje postanite član H-ISAC in prejmite TLP Amber različico tega bloga (na voljo na portalu za člane).

 

PDF Version:

 

Besedilna različica:

Dobrodošli nazaj v Hacking Healthcare® !

Kaj bi lahko zahteva Trumpove administracije glede zveznega proračuna za fiskalno leto 2027 pomenila za kibernetsko varnost v zdravstvenem sektorju

Prejšnji teden je Trumpova administracija objavila predsednikov proračun za fiskalno leto 2027 (FY27), zvezni oddelki in agencije pa so objavili svoje povezane kongresne proračunske utemeljitve. Čeprav ti dokumenti niso pravno zavezujoči in ne določajo zveznega proračuna, igrajo ključno vlogo v procesu dodeljevanja sredstev in signalizirajo politične prioritete in namere Trumpove administracije.

 

Kakšen je predsednikov proračun?

Predsednikov proračun je običajno dokument, ki se Kongresu predloži v začetku leta in ponuja pregled predsednikovih političnih ciljev na visoki ravni, izbor programov, ki jim je treba dati prednost za dosego teh političnih ciljev, in proračun, za katerega je administracija ugotovila, da je potreben za dosego teh ciljev. Trump je svoj novi 92-stranski proračun za proračunsko leto 27 izdal 3. aprila.

 

Kaj so utemeljitve kongresnega proračuna?

Kongresne utemeljitve proračuna so dokumenti, ki jih pripravijo zvezni oddelki in agencije, ki podpirajo ali »utemeljujejo« predsednikovo zahtevo po proračunu za njihovo organizacijo. Ti dokumenti podrobno opisujejo, koliko denarja organizacija želi, za kaj ga namerava porabiti, zakaj so te dejavnosti pomembne in kakšne rezultate ali izide pričakuje. Kongres nato s tem dokumentom pregleda in preuči zahtevo, jo primerja s preteklo porabo in se odloči o odobritvi ali spremembi financiranja.

Kaj pravi predsedniški proračun za fiskalno leto 27?

Russel Vought, direktor Urada za upravljanje in proračun (OMB), je napisal otvoritveni nagovor predsednikovega proračuna, ki se bere kot sporočilo kongresu. V uvodu je zapisano, da »proračun za leto 2027 gradi na predsednikovi viziji z nadaljnjim omejevanjem neobrambnih izdatkov in reformo zvezne vlade«.[I] Nadaljuje z izjavo, da »proračun predlaga 10-odstotno zmanjšanje v primerjavi z neobrambenimi ravnmi iz leta 2026«, preden poudari, koliko se proračun osredotoča na vprašanja nacionalne varnosti.

 

Po odprtju sledijo razčlenitve po oddelkih in agencijah na visoki ravni. Za člane Health-ISAC sta najpomembnejša Ministrstvo za domovinsko varnost (DHS) s svojim oddelkom o CISA in HHS. Ta oddelka vključujeta naslednje:

  • CISA— Predsednikov proračun predvideva zmanjšanje proračuna CISA za 707 milijonov dolarjev. Besedilo v tem razdelku še naprej odraža željo Trumpove administracije, da preoblikuje in ponovno osredotoči poslanstvo in organizacijo CISA na obrambo zveznega omrežja ter zaščito in odpornost kritične infrastrukture. Zdi se, da je bil velik del besedila v tem razdelku v veliki meri kopiran in prilepljen neposredno iz lanskoletne različice ter posmehuje širjenju poslanstva, podvajanju programov in politizaciji agencije.[Ii] [Iii]
  • HHS— Predlagani proračun za HHS „zahteva 111.1 milijarde dolarjev diskrecijskih proračunskih pooblastil ... kar je 15.8 milijarde dolarjev oziroma 12.5 odstotka manj kot v letu 2026.“[Iv] V tem razdelku se zavzema glavna prednostna naloga politike »Make America Healthy Again« (MAHA). Vendar pa je za člane Health-ISAC verjetno najpomembnejša postavka predlagano zmanjšanje sredstev Uprave za strateško pripravljenost in odzivanje (ASPR) za 356 milijonov dolarjev. Velik del tega zmanjšanja je pojasnjen kot odziv na preusmeritev ASPR nazaj k temeljnim nalogam in stran od razširjenih odgovornosti, povezanih z odzivom na COVID-19.

Čeprav se predlagana znižanja proračuna za HHS in CISA zdijo nekoliko zaskrbljujoča, je predsednikov proračun strateški in na visoki ravni. Da bi razumeli, kako bi predlagana znižanja proračuna lahko vplivala na ustrezne programe kibernetske varnosti in odpornosti, so podrobnosti na voljo v utemeljitvah ministrstev in kongresa.

Kaj pravijo utemeljitve kongresnega proračuna HHS in CISA?

Za jasnejšo sliko o tem, kako bi se predsednikov proračun izvajal, kongresne utemeljitve proračuna za HHS in CISA zagotavljajo veliko več informacij.

  • CISA—279-stranska utemeljitev proračuna Kongresa CISA ponuja celovito razčlenitev virov predlaganih proračunskih rezov v višini 700 milijonov dolarjev. Med pomembnejšimi postavkami politike in proračuna so:
    • Novo izhodišče za delovno silo je 2,865 zaposlenih. To je manj kot 3,732 na koncu Bidenove administracije in predstavlja izgubo 206 delovnih mest v oddelku za kibernetsko varnost, 225 v oddelku za integrirane operacije in v bistvu celotnega oddelka za sodelovanje z deležniki. Zmanjšanje števila zaposlenih predstavlja približno ~360.5 milijona dolarjev zmanjšanja proračuna.
    • Povečanje sredstev za 5 milijonov dolarjev za analizo in načrtovanje, ki bo podprlo razvoj nacionalnega registra tveganj, ki bo podpiral nadaljnje delo pri prepoznavanju tveganj za nacionalno infrastrukturo in sisteme, razvoj izbranih scenarijev in ocen tveganj ter predstavitev izbranih tveganj v poročilu, ki bo vključevalo vizualno predstavitev za primerjavo posledic in verjetnosti ali verjetnosti tveganj med seboj. To dejavnost je zahteval predsednik Trump v svojem prejšnjem izvršnem odloku. Doseganje učinkovitosti s pripravljenostjo na državni in lokalni ravni.
    • Zmanjšanje proračuna programa Skupnega sodelovanja na področju kibernetske obrambe (JCDC) za 9.8 milijona dolarjev.
    • Prednostna naloga pri zapolnjevanju in financiranju državnih koordinatorjev za kibernetsko varnost pri CISA, ki bodo delovali kot zvezno dodeljeno državno podporno osebje za kibernetsko varnost, da bi pomagali pri krepitvi lokalne obrambe, vodenju usklajenega odziva in podpori prizadevanjem za okrevanje ob naraščajočih kibernetskih grožnjah.
    • Zmerno povečanje financiranja in osebja za razširitev podpore za stike v sektorjih, ki niso vključeni v CISA SRMA, vključno z 8 novimi delovnimi mesti za stike v sektorju upravljanja tveganj, kjer CISA ni Agencija za upravljanje tveganj v sektorju (SRMA).
    • Izrecna prednostna obravnava prizadevanj za preprečevanje groženj, ki jih Ljudska republika Kitajska predstavlja za vlado in kritično infrastrukturo. To vključuje tudi izmenjavo informacij.
  • HHS: ASPR— 62-stranska utemeljitev kongresnega proračuna ASPR kaže na zmanjšanje prihodkov za ~355 milijonov dolarjev in dodatno prerazporeditev preostalega proračuna. Program za pripravljenost in okrevanje zdravstvene oskrbe se bo znatno zmanjšal s ~305 milijonov dolarjev na nekaj manj kot 30 milijonov dolarjev, kar očitno vpliva na sporazume o sodelovanju v okviru programa za pripravljenost bolnišnic (HPP), sporazum o sodelovanju v regionalnem sistemu za odzivanje na nesreče (RDHRS), dejavnosti oskrbe travm, dejavnosti in operacije za omogočanje pripravljenosti in okrevanja zdravstvene oskrbe, blaženje in okrevanje skupnosti ter program za tehnične vire, centre za pomoč in izmenjavo informacij (TRACIE). Vendar pa dokument poudarja, da naj bi proračun za kibernetsko varnost in zaščito infrastrukture (CIP) ostal nespremenjen v primerjavi s prejšnjima dvema fiskalnima letoma.[V] Dokument nadalje poudarja skoraj 2,000 incidentov na področju kibernetske varnosti, ki jih je CIP obravnaval med koncem leta 2024 in koncem leta 2025, in oglašuje nov modul v svojem kompletu orodij za prepoznavanje tveganj in kritičnost lokacije (RISC), ki bo izšel leta 2026 in je usklajen z NIST CSF 2.0 ter cilji uspešnosti kibernetske varnosti (CPG) v zdravstvenem in javnem sektorju.
  • HHS: Urad sekretarja—190-stranska utemeljitev kongresnega proračuna za Urad državnega sekretarja vključuje nekaj predlagane reorganizacije oddelka.[Vi] V skladu z dokumentom se bodo Urad za državljanske pravice (OCR), Urad za zaslišanja in pritožbe v zvezi z Medicare, Odbor za pritožbe ministrstva, Urad za zaščito človeških raziskav, Urad za zaščito raziskav na živalih in Urad za integriteto raziskav združili v Urad pomočnika sekretarja za državljanske pravice in pritožbe (ASCRA). To prestrukturiranje je podobno predlogu iz lanskega marca, ki je nekatere od teh uradov postavil pod novega pomočnika sekretarja za izvrševanje.[Vii]

    V dokumentu je nadalje opisano, kako bo ASCRA »izvajala pravno skladnost z izvrševanjem in odločanjem v okolju zdravstva in socialnih storitev« in kako je »predlagana konsolidacija zasnovana za poenostavitev nadzora, izboljšanje koordinacije izvrševanja in odločanja, zagotavljanje izobraževanja in smernic o ustreznih pravnih organih ter krepitev sposobnosti HHS za izpolnjevanje svojih zakonskih obveznosti«.[VIII]

    Predsednikova zahteva za proračun za ASCRA v fiskalnem letu 27 znaša nekaj več kot 241 milijonov dolarjev, kar dokument opisuje kot skoraj 5 milijonov dolarjev več kot sprejeta raven za fiskalno leto 26. Poleg tega skupni znesek »vključuje napoved 10,000,000 dolarjev financiranja civilnih denarnih poravnav, ki jih bo Urad za državljanske pravice uporabil za nadaljnje prizadevanje za izvrševanje zakona HIPAA«.[IX]

  • HHS: FDA—91-stranska utemeljitev proračuna za kongres, ki jo je pripravila Uprava za hrano in zdravila (FDA), sploh ne omenja izrecno kibernetske varnosti.[X] Vendar pa vključuje razdelek o napravah in radiološkem zdravju, ki zajema tudi Center za naprave in radiološko zdravje (CDRH). Ta razdelek poudarja skromno povečanje proračuna za naprave in radiološko zdravje z nekaj več kot zneska, sprejetega za proračunsko leto 26, v višini ~913 milijonov dolarjev, na nekaj več kot 1 milijardo dolarjev. FDA to povečanje utemeljuje z izjavo, da je »enako zavezana k zgodnejšemu odkrivanju in obravnavanju varnostnih tveganj, da bi zaščitila paciente pred škodo in zagotovila, da agencija dosledno ostaja prva med svetovnimi regulativnimi agencijami pri prepoznavanju in ukrepanju na podlagi varnostnih signalov, povezanih z medicinskimi pripomočki«.[xi]

 

Akcija in analiza
**Vključeno s članstvom Health-ISAC**

 

[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

[VIII] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[IX] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[X] https://www.fda.gov/media/191778/download?attachment

[xi] https://www.fda.gov/media/191778/download?attachment

[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

[Xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

Health-ISAC opozarja na vrzeli v kibernetski odpornosti in odzivanju na incidente ...
Mythos in podobna orodja umetne inteligence povečujejo tveganje za kibernetsko zdravstvo