การแฮ็กระบบสุขภาพ-ISAC 4-14-2026

สัปดาห์นี้ Health-ISAC^®การแฮ็กระบบดูแลสุขภาพ^® บทความนี้จะตรวจสอบงบประมาณของประธานาธิบดีที่เพิ่งเผยแพร่ และเอกสารชี้แจงเหตุผลประกอบงบประมาณจากรัฐสภา ซึ่งจัดทำโดยสำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และกระทรวงสาธารณสุขและบริการมนุษย์ (HHS) เราจะอธิบายว่าเอกสารเหล่านี้คืออะไร ตรวจสอบประเด็นด้านความมั่นคงทางไซเบอร์ที่เกี่ยวข้องกับภาคสาธารณสุขในแต่ละฉบับ และให้บริบทเกี่ยวกับวิธีการตีความเอกสารเหล่านั้นอย่างเหมาะสมที่สุด

ขอเตือนว่านี่คือเวอร์ชันสาธารณะของบล็อก Hacking Healthcare หากต้องการการวิเคราะห์และความคิดเห็นเชิงลึกเพิ่มเติม โปรดสมัครเป็นสมาชิกของ H-ISAC และรับบล็อกเวอร์ชัน TLP Amber (มีให้ในพอร์ทัลสมาชิก)

เวอร์ชัน PDF:

เวอร์ชันข้อความ:

ยินดีต้อนรับกลับสู่การแฮ็คการดูแลสุขภาพ^® !

งบประมาณประจำปี 2027 ของรัฐบาลทรัมป์ อาจส่งผลกระทบอย่างไรต่อความมั่นคงทางไซเบอร์ของภาคสาธารณสุข

เมื่อสัปดาห์ที่แล้ว รัฐบาลทรัมป์ได้เผยแพร่งบประมาณของประธานาธิบดีสำหรับปีงบประมาณ 2027 (FY27) และหน่วยงานและกระทรวงต่างๆ ของรัฐบาลกลางก็ได้เผยแพร่เอกสารชี้แจงงบประมาณต่อรัฐสภาที่เกี่ยวข้อง แม้ว่าเอกสารเหล่านี้จะไม่มีผลผูกพันทางกฎหมายและไม่ได้กำหนดงบประมาณของรัฐบาลกลาง แต่ก็มีบทบาทสำคัญในกระบวนการจัดสรรงบประมาณและบ่งชี้ถึงลำดับความสำคัญและเจตนารมณ์ด้านนโยบายของรัฐบาลทรัมป์

งบประมาณของประธานาธิบดีคืออะไร?

โดยทั่วไป งบประมาณของประธานาธิบดีเป็นเอกสารที่ส่งให้รัฐสภาในช่วงต้นปี ซึ่งให้ภาพรวมระดับสูงของเป้าหมายนโยบายของประธานาธิบดี โครงการต่างๆ ที่จะได้รับการจัดลำดับความสำคัญเพื่อให้บรรลุเป้าหมายนโยบายเหล่านั้น และงบประมาณที่ฝ่ายบริหารกำหนดว่าจำเป็นต่อการบรรลุเป้าหมายเหล่านั้น ทรัมป์ได้ประกาศงบประมาณฉบับใหม่ 92 หน้าสำหรับปีงบประมาณ 27 เมื่อวันที่ 3 เมษายน

การชี้แจงงบประมาณต่อรัฐสภาคืออะไร?

เอกสารชี้แจงงบประมาณต่อรัฐสภาเป็นเอกสารที่จัดทำโดยหน่วยงานและองค์กรของรัฐบาลกลาง เพื่อสนับสนุนหรือ "ชี้แจง" คำขอใช้งบประมาณของประธานาธิบดีสำหรับหน่วยงานนั้นๆ เอกสารเหล่านี้จะแจกแจงรายละเอียดว่าหน่วยงานต้องการเงินเท่าใด มีแผนจะใช้จ่ายไปกับอะไร เหตุใดกิจกรรมเหล่านั้นจึงมีความสำคัญ และคาดหวังผลลัพธ์หรือผลที่ตามมาอย่างไร จากนั้นรัฐสภาจะใช้เอกสารนี้ในการตรวจสอบและตั้งคำถามเกี่ยวกับคำขอ เปรียบเทียบกับงบประมาณที่ใช้จ่ายไปในอดีต และตัดสินใจอนุมัติหรือเปลี่ยนแปลงงบประมาณ

งบประมาณประจำปี 27 ของประธานาธิบดีกล่าวถึงอะไรบ้าง?

รัสเซล วอทท์ ผู้อำนวยการสำนักงานบริหารงบประมาณ (OMB) เป็นผู้เขียนคำนำของงบประมาณประจำปีของประธานาธิบดี ซึ่งเปรียบเสมือนสารที่ส่งถึงรัฐสภา โดยระบุว่า “งบประมาณปี 2027 นี้สร้างขึ้นบนวิสัยทัศน์ของประธานาธิบดี ด้วยการจำกัดการใช้จ่ายที่ไม่เกี่ยวข้องกับการป้องกันประเทศ และปฏิรูปรัฐบาลกลางอย่างต่อเนื่อง”^[I] เขากล่าวต่อว่า “งบประมาณเสนอให้ลดงบประมาณที่ไม่เกี่ยวข้องกับการป้องกันประเทศลง 10 เปอร์เซ็นต์ เมื่อเทียบกับงบประมาณปี 2026” ก่อนที่จะเน้นย้ำว่า งบประมาณฉบับนี้ให้ความสำคัญกับประเด็นด้านความมั่นคงแห่งชาติมากเพียงใด

หลังจากส่วนเปิดแล้ว จะเป็นการแบ่งส่วนงานระดับสูงของหน่วยงานและองค์กรต่างๆ สองหน่วยงานที่เกี่ยวข้องมากที่สุดสำหรับสมาชิก Health-ISAC คือ กระทรวงความมั่นคงแห่งชาติ (DHS) ในส่วนที่เกี่ยวข้องกับ CISA และ HHS ส่วนต่างๆ เหล่านี้ประกอบด้วยหัวข้อต่อไปนี้:

• ซีไอเอสเอ—งบประมาณของประธานาธิบดีเรียกร้องให้ลดงบประมาณของ CISA ลง 707 ล้านดอลลาร์ เนื้อหาในส่วนนี้ยังคงสะท้อนถึงความปรารถนาของรัฐบาลทรัมป์ที่จะปรับเปลี่ยนและมุ่งเน้นภารกิจและองค์กรของ CISA ไปที่การป้องกันเครือข่ายของรัฐบาลกลางและการปกป้องและฟื้นฟูโครงสร้างพื้นฐานที่สำคัญ เนื้อหาในส่วนนี้ส่วนใหญ่ดูเหมือนจะคัดลอกมาจากฉบับปีที่แล้วโดยตรง และยังวิพากษ์วิจารณ์การขยายภารกิจ โครงการที่ซ้ำซ้อน และการแทรกแซงทางการเมืองของหน่วยงาน^[Ii] [Iii]
• เอ็ช—งบประมาณที่เสนอสำหรับกระทรวงสาธารณสุขและบริการมนุษย์ (HHS) “ขออำนาจการใช้จ่ายตามดุลยพินิจจำนวน 111.1 พันล้านดอลลาร์… ซึ่งลดลง 15.8 พันล้านดอลลาร์ หรือ 12.5 เปอร์เซ็นต์ จากระดับที่ประกาศใช้ในปี 2026”^[Iv] นโยบายหลักที่ได้รับการสนับสนุนในส่วนนี้คือ โครงการทำให้ชาวอเมริกันมีสุขภาพดีอีกครั้ง (Make America Healthy Again: MAHA) อย่างไรก็ตาม รายการงบประมาณที่เกี่ยวข้องมากที่สุดสำหรับสมาชิก Health-ISAC น่าจะเป็นการลดงบประมาณที่เสนอไว้ 356 ล้านดอลลาร์สหรัฐฯ สำหรับสำนักงานบริหารการเตรียมความพร้อมและตอบสนองเชิงกลยุทธ์ (Administration for Strategic Preparedness and Response: ASPR) การลดงบประมาณส่วนใหญ่มีคำอธิบายว่าเป็นผลมาจากการที่ ASPR ปรับทิศทางกลับไปสู่ภารกิจหลักและลดบทบาทความรับผิดชอบที่เพิ่มขึ้นที่เกี่ยวข้องกับการรับมือกับ COVID-19

แม้ว่าการลดงบประมาณที่เสนอสำหรับ HHS และ CISA ดูเหมือนจะเป็นเรื่องที่น่ากังวลอยู่บ้าง แต่งบประมาณของประธานาธิบดีนั้นเป็นงบประมาณเชิงกลยุทธ์และระดับสูง เพื่อให้เข้าใจว่าการลดงบประมาณที่เสนออาจส่งผลกระทบต่อโครงการด้านความปลอดภัยทางไซเบอร์และความยืดหยุ่นที่เกี่ยวข้องอย่างไร เอกสารชี้แจงต่อรัฐสภาของแต่ละกระทรวงจะให้รายละเอียดเพิ่มเติม

เอกสารชี้แจงงบประมาณของ HHS และ CISA ต่อสภาคองเกรสระบุว่าอย่างไรบ้าง?

เพื่อให้เห็นภาพที่ชัดเจนยิ่งขึ้นว่างบประมาณของประธานาธิบดีจะถูกนำไปปฏิบัติอย่างไร เอกสารชี้แจงงบประมาณของรัฐสภาสำหรับกระทรวงสาธารณสุข (HHS) และศูนย์ข้อมูลข่าวสารสาธารณะ (CISA) ให้ข้อมูลเพิ่มเติมมากมาย

• ซีไอเอสเอ—เอกสารชี้แจงงบประมาณของ CISA ต่อรัฐสภาจำนวน 279 หน้า ให้รายละเอียดอย่างครอบคลุมว่าการตัดงบประมาณที่เสนอไว้จำนวน 700 ล้านดอลลาร์จะมาจากส่วนใดบ้าง ในบรรดาประเด็นนโยบายและงบประมาณที่เกี่ยวข้องมากที่สุด ได้แก่:
  • จำนวนพนักงานใหม่ลดลงเหลือ 2,865 คน จาก 3,732 คนเมื่อสิ้นสุดสมัยรัฐบาลไบเดน โดยเป็นการลดตำแหน่งงาน 206 ตำแหน่งจากฝ่ายความมั่นคงทางไซเบอร์ 225 ตำแหน่งจากฝ่ายปฏิบัติการแบบบูรณาการ และเกือบทั้งหมดของฝ่ายการมีส่วนร่วมกับผู้มีส่วนได้ส่วนเสีย การลดจำนวนพนักงานครั้งนี้ส่งผลให้งบประมาณถูกตัดลดลงประมาณ 360.5 ล้านดอลลาร์สหรัฐ
  • เพิ่มงบประมาณ 5 ล้านดอลลาร์สำหรับการวิเคราะห์และวางแผน เพื่อสนับสนุนการจัดทำทะเบียนความเสี่ยงแห่งชาติ ซึ่งจะสนับสนุนการทำงานอย่างต่อเนื่องในการระบุความเสี่ยงต่อโครงสร้างพื้นฐานและระบบของประเทศ พัฒนาสถานการณ์และประเมินความเสี่ยงที่เลือกไว้ และนำเสนอความเสี่ยงที่เลือกไว้ในรายงานซึ่งจะรวมถึงภาพประกอบเพื่อเปรียบเทียบผลกระทบและความน่าจะเป็นหรือความเป็นไปได้ของความเสี่ยงต่างๆ กิจกรรมนี้ได้รับการเรียกร้องในคำสั่งบริหารก่อนหน้านี้ของประธานาธิบดีทรัมป์ การบรรลุประสิทธิภาพผ่านการเตรียมความพร้อมของรัฐและท้องถิ่น.
  • งบประมาณของโครงการความร่วมมือด้านการป้องกันภัยทางไซเบอร์ร่วม (JCDC) ลดลง 9.8 ล้านดอลลาร์สหรัฐ
  • การจัดลำดับความสำคัญในการสรรหาและจัดสรรงบประมาณให้กับผู้ประสานงานด้านความปลอดภัยทางไซเบอร์ระดับรัฐของ CISA เพื่อปฏิบัติหน้าที่เป็นบุคลากรสนับสนุนด้านความปลอดภัยทางไซเบอร์ระดับรัฐที่ได้รับมอบหมายจากรัฐบาลกลาง เพื่อช่วยเสริมสร้างการป้องกันในระดับท้องถิ่น ชี้นำการตอบสนองที่ประสานงานกัน และสนับสนุนความพยายามในการฟื้นฟูเมื่อเผชิญกับภัยคุกคามทางไซเบอร์ที่ทวีความรุนแรงขึ้น
  • มีการเพิ่มงบประมาณและจำนวนบุคลากรเล็กน้อยเพื่อขยายการสนับสนุนด้านการประสานงานในภาคส่วนที่ไม่ใช่หน่วยงานบริหารความเสี่ยงประจำภาคส่วน (SRMA) ของ CISA รวมถึงตำแหน่งผู้ประสานงานด้านการบริหารความเสี่ยงประจำภาคส่วนใหม่ 8 ตำแหน่ง สำหรับภาคส่วนที่ CISA ไม่ใช่หน่วยงานบริหารความเสี่ยงประจำภาคส่วน (SRMA)
  • การให้ความสำคัญอย่างชัดเจนต่อความพยายามในการรับมือกับภัยคุกคามจากสาธารณรัฐประชาชนจีนต่อรัฐบาลและโครงสร้างพื้นฐานที่สำคัญ ซึ่งรวมถึงการแบ่งปันข้อมูลด้วย
• เอชเอชเอส: เอเอสพีอาร์—เอกสารชี้แจงงบประมาณของ ASPR จำนวน 62 หน้า แสดงให้เห็นถึงการลดงบประมาณโดยรวมลงประมาณ 355 ล้านดอลลาร์ และมีการปรับเปลี่ยนงบประมาณส่วนที่เหลือเพิ่มเติม งบประมาณด้านการเตรียมความพร้อมและการฟื้นฟูระบบสาธารณสุข (Health Care Readiness and Recovery) ลดลงอย่างมากจากประมาณ 305 ล้านดอลลาร์ เหลือเพียงไม่ถึง 30 ล้านดอลลาร์ ซึ่งดูเหมือนจะส่งผลกระทบต่อข้อตกลงความร่วมมือของโครงการเตรียมความพร้อมของโรงพยาบาล (Hospital Preparedness Program: HPP) ข้อตกลงความร่วมมือของระบบตอบสนองด้านสุขภาพในภัยพิบัติระดับภูมิภาค (Regional Disaster Health Response System Cooperative Agreement: RDHRS) กิจกรรมด้านการดูแลผู้บาดเจ็บ กิจกรรมและปฏิบัติการสนับสนุนการเตรียมความพร้อมและการฟื้นฟูระบบสาธารณสุข การบรรเทาและฟื้นฟูชุมชน และโครงการศูนย์ทรัพยากรทางเทคนิค ความช่วยเหลือ และการแลกเปลี่ยนข้อมูล (Technical Resources, Assistance Center, and Information Exchange: TRACIE) อย่างไรก็ตาม เอกสารระบุว่า งบประมาณด้านความปลอดภัยทางไซเบอร์และการคุ้มครองโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Protection: CIP) จะยังคงไม่เปลี่ยนแปลงจากสองปีงบประมาณที่ผ่านมา^[V] เอกสารดังกล่าวยังเน้นย้ำถึงเหตุการณ์ด้านความปลอดภัยทางไซเบอร์เกือบ 2,000 เหตุการณ์ที่ CIP ได้ทำการคัดกรองระหว่างปลายปี 2024 ถึงปลายปี 2025 และกล่าวถึงโมดูลใหม่ในชุดเครื่องมือการระบุความเสี่ยงและความสำคัญของไซต์ (RISC) ที่จะเปิดตัวในปี 2026 ซึ่งสอดคล้องกับ NIST CSF 2.0 และเป้าหมายด้านประสิทธิภาพความปลอดภัยทางไซเบอร์ (CPGs) ของภาคการดูแลสุขภาพและสาธารณสุข
• HHS: สำนักงานเลขาธิการ—เอกสารชี้แจงงบประมาณของรัฐสภาจำนวน 190 หน้าสำหรับสำนักงานเลขาธิการนั้น รวมถึงข้อเสนอการปรับโครงสร้างองค์กรของกระทรวงบางส่วนด้วย^[Vi] ตามเอกสารดังกล่าว สำนักงานสิทธิพลเมือง (OCR) สำนักงานการพิจารณาและอุทธรณ์ด้านเมดิแคร์ คณะกรรมการอุทธรณ์ของกระทรวง สำนักงานคุ้มครองการวิจัยมนุษย์ สำนักงานคุ้มครองการวิจัยสัตว์ และสำนักงานความซื่อสัตย์ในการวิจัย จะควบรวมเข้ากับสำนักงานผู้ช่วยรัฐมนตรีฝ่ายสิทธิพลเมืองและการอุทธรณ์ (ASCRA) การปรับโครงสร้างนี้ดูคล้ายกับข้อเสนอจากเดือนมีนาคมปีที่แล้ว ซึ่งได้จัดให้บางสำนักงานเหล่านี้อยู่ภายใต้ผู้ช่วยรัฐมนตรีฝ่ายบังคับใช้กฎหมายคนใหม่^[Vii]

  เอกสารดังกล่าวอธิบายต่อไปว่า ASCRA “จะดำเนินการปฏิบัติตามกฎหมายผ่านการบังคับใช้และการตัดสินในแวดวงสุขภาพและบริการสังคม” และ “การรวมกิจการที่เสนอมานี้ได้รับการออกแบบมาเพื่อปรับปรุงการกำกับดูแล ปรับปรุงการประสานงานด้านการบังคับใช้และการตัดสิน ให้ความรู้และคำแนะนำเกี่ยวกับอำนาจทางกฎหมายที่เกี่ยวข้อง และเสริมสร้างความสามารถของ HHS ในการปฏิบัติตามพันธกรณีทางกฎหมาย”^[Viii]

  งบประมาณที่ประธานาธิบดีขอสำหรับ ASCRA ในปีงบประมาณ 27 มีจำนวนกว่า 241 ล้านดอลลาร์ ซึ่งเอกสารระบุว่าเพิ่มขึ้นเกือบ 5 ล้านดอลลาร์จากระดับที่ได้รับการอนุมัติในปีงบประมาณ 26 นอกจากนี้ ยอดรวมยัง “รวมถึงการคาดการณ์เงินทุนชดเชยทางแพ่งจำนวน 10,000,000 ล้านดอลลาร์ที่สำนักงานสิทธิพลเมืองจะนำไปใช้เพื่อส่งเสริมความพยายามในการบังคับใช้ HIPAA”^[Ix]

• กระทรวงสาธารณสุข: องค์การอาหารและยา—เอกสารชี้แจงงบประมาณของสำนักงานคณะกรรมการอาหารและยา (FDA) ที่ยื่นต่อรัฐสภาจำนวน 91 หน้า ไม่ได้กล่าวถึงความปลอดภัยทางไซเบอร์อย่างชัดเจนเลย^[x] อย่างไรก็ตาม เอกสารนี้ยังรวมถึงส่วนอุปกรณ์และสุขภาพทางรังสีวิทยา ซึ่งครอบคลุมถึงศูนย์อุปกรณ์และสุขภาพทางรังสีวิทยา (CDRH) ด้วย ส่วนนี้เน้นย้ำถึงการเพิ่มงบประมาณเล็กน้อยสำหรับอุปกรณ์และสุขภาพทางรังสีวิทยา จากงบประมาณที่กำหนดไว้ในปีงบประมาณ 26 ประมาณ 913 ล้านดอลลาร์สหรัฐ เป็นมากกว่า 1 พันล้านดอลลาร์สหรัฐ องค์การอาหารและยา (FDA) ให้เหตุผลในการเพิ่มงบประมาณนี้โดยระบุว่า พวกเขา “มุ่งมั่นอย่างเท่าเทียมกันในการตรวจจับและแก้ไขความเสี่ยงด้านความปลอดภัยตั้งแต่เนิ่นๆ เพื่อปกป้องผู้ป่วยจากอันตราย และเพื่อให้มั่นใจว่าหน่วยงานยังคงเป็นอันดับหนึ่งในบรรดาหน่วยงานกำกับดูแลของโลกในการระบุและดำเนินการตามสัญญาณความปลอดภัยที่เกี่ยวข้องกับอุปกรณ์ทางการแพทย์อย่างสม่ำเสมอ”^[Xi]

การดำเนินการและการวิเคราะห์
**รวมอยู่ในการเป็นสมาชิก Health-ISAC**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[Viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Ix] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[x] https://www.fda.gov/media/191778/download?attachment

^[Xi] https://www.fda.gov/media/191778/download?attachment

^[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[Xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• แหล่งข้อมูลและข่าวสารที่เกี่ยวข้อง
• การแฮ็กระบบสุขภาพ-ISAC 5-11-2026
• คู่มือสำหรับ CISO เล่ม 2 – ช่องโหว่โทเค็น 0Auth ที่ทำให้เกิดการรั่วไหลของข้อมูลใน Salesforce
• จดหมายข่าวรายเดือน – พฤษภาคม 2026
• ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามรายไตรมาส – ไตรมาสที่ 1 ปี 2026
• สิ่งที่การโจมตี Stryker เผยให้เห็นเกี่ยวกับความปลอดภัยของอุปกรณ์ทางการแพทย์
• นโยบายและมาตรการป้องกันเพื่อการใช้งานปัญญาประดิษฐ์อย่างปลอดภัย
• HSCC เปิดตัวคู่มือความเสี่ยงด้าน AI และความโปร่งใสของห่วงโซ่อุปทานจากบุคคลที่สาม
• Anthropic เปิดตัวเทพเจ้าคอมพิวเตอร์สุดมหัศจรรย์แห่งวันสิ้นโลก
• ภาคการดูแลสุขภาพตกเป็นเป้าหมาย: ภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับอิหร่านเพิ่มความเสี่ยงให้กับโรงพยาบาล เทคโนโลยีทางการแพทย์ และห่วงโซ่อุปทานการส่งมอบการดูแล
• Health-ISAC ชี้ให้เห็นช่องโหว่ด้านความยืดหยุ่นต่อภัยคุกคามทางไซเบอร์และการตอบสนองต่อเหตุการณ์...