Ana içeriğe atla

Sağlık-ISAC Sağlık Hizmetlerini Hackliyor 4-14-2026

Bu hafta, Sağlık-ISAC®'nin Sağlık Hizmetlerini Hacklemesi® Başkanın yeni açıklanan bütçesini ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile Sağlık ve İnsan Hizmetleri Bakanlığı'ndan (HHS) gelen Kongre bütçe gerekçelendirme belgelerini inceliyoruz. Bu belgelerin ne olduğunu açıklıyor, her birinin sağlık sektörü siber güvenliğiyle ilgili yönlerini ele alıyor ve ardından bunların en iyi nasıl yorumlanacağına dair bağlam sunuyoruz.

Hatırlatma olarak, bu Hacking Healthcare blogunun herkese açık versiyonudur. Daha derinlemesine analiz ve görüş için H-ISAC üyesi olun ve bu blogun TLP Amber versiyonunu edinin (Üye Portalında mevcuttur.)

 

PDF Versiyonu:

 

Metin Versiyonu:

Hacking Healthcare'e tekrar hoş geldiniz® !

Trump Yönetiminin 2027 Mali Yılı Federal Bütçe Talebinin Sağlık Sektörü Siber Güvenliği İçin Anlamı Ne Olabilir?

Geçtiğimiz hafta Trump yönetimi, Başkanın 2027 mali yılı (FY27) bütçesini yayınladı ve federal bakanlıklar ve kurumlar da ilgili Kongre bütçe gerekçelerini yayımladı. Bu belgeler yasal olarak bağlayıcı olmasa ve federal bütçeyi belirlemese de, ödenek sürecinde kritik bir rol oynar ve Trump yönetiminin politika önceliklerini ve niyetini gösterir.

 

Başkanın bütçesi nedir?

Genel olarak, Başkanın bütçesi, yılın başlarında Kongreye sunulan ve Başkanın politika hedeflerine ilişkin üst düzey bir genel bakış, bu politika hedeflerine ulaşmak için önceliklendirilecek programların bir seçimi ve yönetimin bu hedefleri gerçekleştirmek için gerekli olduğunu belirlediği bütçeyi içeren bir belgedir. Trump, 3 Nisan'da 27 mali yılı için 92 sayfalık yeni bütçesini yayınladı.

 

Kongre Bütçe Gerekçeleri Nelerdir?

Kongre bütçe gerekçeleri, federal bakanlıklar ve ajanslar tarafından hazırlanan ve kuruluşları için Başkanın bütçe talebini destekleyen veya "gerekçelendiren" belgelerdir. Bu belgeler, kuruluşun ne kadar para istediğini, neye harcamayı planladığını, bu faaliyetlerin neden önemli olduğunu ve hangi sonuçları veya çıktıları beklediğini ayrıntılı olarak açıklar. Kongre daha sonra bu belgeyi kullanarak talebi inceler ve sorgular, geçmiş harcamalarla karşılaştırır ve fonlamayı onaylamaya veya değiştirmeye karar verir.

27 Mali Yılı Başkanlık Bütçesi Ne Diyor?

ABD Yönetim ve Bütçe Ofisi (OMB) Direktörü Russel Vought, Kongreye bir mesaj niteliğinde olan Başkanın bütçesinin açılış metnini kaleme aldı. Açılış metninde, "2027 Bütçesi, savunma dışı harcamaları kısıtlamaya ve Federal Hükümeti reforme etmeye devam ederek Başkanın vizyonunu temel almaktadır" denildi.[I] Bütçenin 2026 yılına kıyasla savunma dışı harcamalarda yüzde 10'luk bir kesinti öngördüğünü belirten yetkili, bütçenin ulusal güvenlik endişelerine ne kadar odaklandığının altını çiziyor.

 

Açılış bölümünün ardından departman ve kurumların üst düzey dökümleri yer almaktadır. Health-ISAC üyeleri için en ilgili iki kurum, CISA bölümüyle İç Güvenlik Bakanlığı (DHS) ve HHS'dir. Bu bölümler şunları içermektedir:

  • CISA—Başkanın bütçesi, CISA'nın bütçesinde 707 milyon dolarlık bir kesinti öngörüyor. Bu bölümdeki ifadeler, Trump yönetiminin CISA'nın misyonunu ve organizasyonunu federal ağ savunması, kritik altyapı koruma ve dayanıklılığına odaklama ve yeniden şekillendirme arzusunu yansıtmaya devam ediyor. Bu bölümdeki ifadelerin büyük bir kısmı geçen yılki versiyondan doğrudan kopyalanıp yapıştırılmış gibi görünüyor ve misyon genişlemesini, mükerrer programları ve kurumun siyasallaştırılmasını eleştiriyor.[Ii] [III]
  • HHS—Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) için önerilen bütçe, "111.1 milyar dolarlık isteğe bağlı bütçe yetkisi talep ediyor... bu da 2026'da yürürlüğe giren seviyeye göre 15.8 milyar dolar veya %12.5'lik bir azalma anlamına geliyor."[IV] ' Bu bölümde savunulan en önemli politika önceliği Amerika'yı Yeniden Sağlıklı Hale Getirmek (MAHA)'dır. Bununla birlikte, Sağlık-ISAC üyeleri için en önemli madde, Stratejik Hazırlık ve Müdahale İdaresi'ne (ASPR) önerilen 356 milyon dolarlık kesintidir. Bu kesintinin büyük bir kısmı, ASPR'nin COVID-19 müdahalesiyle ilgili genişletilmiş sorumluluklarından uzaklaşarak temel görevlerine geri dönmesine bir yanıt olarak açıklanmaktadır.

HHS ve CISA için önerilen genel bütçe kesintileri biraz endişe verici görünse de, Başkanın bütçesi stratejik ve üst düzeydir. Önerilen bütçe kesintilerinin ilgili siber güvenlik ve dayanıklılık programlarını nasıl etkileyebileceğini anlamak için, Bakanlıkların Kongreye Sunulan Gerekçeleri ayrıntılı bilgi vermektedir.

ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) ve Tüketici İşleri Bürosu'nun (CISA) Kongreye sunduğu bütçe gerekçelerinde ne söyleniyor?

Başkanın bütçesinin nasıl hayata geçirileceğine dair daha net bir tablo için, Kongre'nin Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) ve Bilgi Güvenliği ve Denetim Ofisi (CISA) için hazırladığı bütçe gerekçeleri çok daha fazla bilgi sunmaktadır.

  • CISA—CISA'nın Kongre'ye sunduğu 279 sayfalık bütçe gerekçesi, önerilen 700 milyon dolarlık bütçe kesintilerinin nereden karşılanacağına dair kapsamlı bir döküm sunuyor. En önemli politika ve bütçe kalemleri arasında şunlar yer alıyor:
    • Yeni iş gücü tabanı 2,865 çalışandan oluşuyor. Bu rakam, Biden yönetiminin sonundaki 3,732'den düşüş gösteriyor ve Siber Güvenlik Bölümü'nden 206, Entegre Operasyonlar Bölümü'nden 225 ve Paydaş İlişkileri Bölümü'nün neredeyse tamamının kaybını temsil ediyor. Personel azaltımları, bütçe kesintisinin yaklaşık 360.5 milyon dolarını oluşturuyor.
    • Ulusal Risk Kaydı'nın geliştirilmesine yönelik analiz ve planlama için 5 milyon dolarlık bir artış yapıldı. Bu artış, ulusal altyapı ve sistemlere yönelik risklerin belirlenmesi, seçilmiş risk senaryolarının ve değerlendirmelerinin geliştirilmesi ve risklerin sonuçlarını ve olasılıklarını veya makuliyetini birbirleriyle karşılaştırmak için görsel bir sunum içerecek bir raporda seçilmiş risklerin sunulması çalışmalarını destekleyecektir. Bu faaliyet, Başkan Trump'ın daha önceki Başkanlık Kararnamesinde talep edilmişti. Devlet ve Yerel Hazırlıklarla Verimliliğe Ulaşmak.
    • Ortak Siber Savunma İşbirliği (JCDC) programından 9.8 milyon dolarlık bir bütçe kesintisi.
    • CISA'nın Siber Güvenlik Eyalet Koordinatörleri pozisyonlarının doldurulması ve finanse edilmesi için önceliklendirme yapılmıştır. Bu koordinatörler, federal olarak atanmış eyalet bazlı siber güvenlik destek personeli olarak görev yapacak ve artan siber tehditler karşısında yerel savunmaları güçlendirmeye, koordineli müdahaleye rehberlik etmeye ve kurtarma çabalarını desteklemeye yardımcı olacaklardır.
    • CISA'nın Sektör Risk Yönetimi Ajansı (SRMA) olmadığı sektörlerdeki irtibat desteğini genişletmek için fon ve personel sayısında mütevazı bir artış yapıldı; bu kapsamda CISA'nın Sektör Risk Yönetimi Ajansı (SRMA) olmadığı sektörler için 8 yeni sektör risk yönetimi irtibat görevlisi pozisyonu oluşturuldu.
    • Çin Halk Cumhuriyeti'nin hükümete ve kritik altyapıya yönelik tehditlerine karşı koyma çabalarına açıkça öncelik verilmesi. Bu, bilgi paylaşımını da içermektedir.
  • HHS: ASPR—62 sayfalık ASPR kongre bütçe gerekçesi, yaklaşık 355 milyon dolarlık bir genel bütçe kesintisi ve kalan bütçede ek düzenlemeler gösteriyor. Sağlık Hizmetleri Hazırlık ve Kurtarma programı, yaklaşık 305 milyon dolardan 30 milyon doların altına düşerek büyük bir azalma gösteriyor; bu da Hastane Hazırlık Programı (HPP) işbirliği anlaşmalarını, Bölgesel Afet Sağlık Müdahale Sistemi İşbirliği Anlaşmasını (RDHRS), Travma Bakımı faaliyetlerini, Sağlık Hizmetleri Hazırlık ve Kurtarma Destekleyici Faaliyetleri ve Operasyonlarını, Topluluk Azaltma ve Kurtarma programını ve Teknik Kaynaklar, Yardım Merkezi ve Bilgi Alışverişi (TRACIE) programını etkileyecek gibi görünüyor. Bununla birlikte, belge, Siber Güvenlik ve Altyapı Koruma (CIP) bütçesinin önceki iki mali yıla göre değişmeden kalmasının önerildiğini belirtiyor.[V] Belge, CIP'nin 2024 sonu ile 2025 sonu arasında önceliklendirdiği yaklaşık 2,000 siber güvenlik olayını vurguluyor ve 2026'da piyasaya sürülecek olan, NIST CSF 2.0 ve sağlık ve kamu sağlığı sektörü Siber Güvenlik Performans Hedefleri (CPG'ler) ile uyumlu Risk Tanımlama ve Saha Kritikliği (RISC) araç setine yeni bir modül eklediğini belirtiyor.
  • HHS: Bakanlık Ofisi—Kongre tarafından hazırlanan 190 sayfalık Bakanlık bütçe gerekçesi, bazı departman yeniden yapılanma önerilerini içeriyor.[Vi] Belgeye göre, Sivil Haklar Ofisi (OCR), Medicare Duruşmaları ve Temyizleri Ofisi, Bakanlık Temyiz Kurulu, İnsan Araştırmaları Koruma Ofisi, Hayvan Araştırmaları Koruma Ofisi ve Araştırma Bütünlüğü Ofisi, Sivil Haklar ve Temyizlerden Sorumlu Genel Sekreter Yardımcılığı Ofisi (ASCRA) çatısı altında birleşecek. Bu yeniden yapılanma, geçen Mart ayında bu ofislerin bazılarının yeni bir Uygulama Genel Sekreter Yardımcılığı'na bağlanması önerisine benziyor.[VII]

    Belge, ASCRA'nın "sağlık ve sosyal hizmetler ortamında yaptırım ve yargılama yoluyla yasal uyumluluğu nasıl sağlayacağını" ve "önerilen birleşmenin denetimi kolaylaştırmak, yaptırım ve yargılama koordinasyonunu iyileştirmek, ilgili yasal merciler hakkında eğitim ve rehberlik sağlamak ve HHS'nin yasal yükümlülüklerini yerine getirme kabiliyetini güçlendirmek" amacıyla nasıl tasarlandığını açıklamaya devam ediyor.[VIII]

    27 Mali Yılı için Başkanın ASCRA bütçe talebi 241 milyon doların biraz üzerinde olup, belgede bu rakamın 26 Mali Yılındaki yürürlüğe giren seviyeye göre yaklaşık 5 milyon dolarlık bir artış olduğu belirtiliyor. Ayrıca, toplam tutar "Sivil Haklar Ofisi tarafından HIPAA uygulama çabalarını daha da geliştirmek için kullanılacak 10,000,000 dolarlık sivil parasal uzlaşma fonu tahminini de içermektedir."[IX]

  • HHS: FDA—ABD Gıda ve İlaç İdaresi'nin (FDA) Kongre'ye sunduğu 91 sayfalık bütçe gerekçesinde siber güvenliğe dair açık bir referans bulunmamaktadır.[X] Ancak, Tıbbi Cihazlar ve Radyolojik Sağlık Merkezi'ni (CDRH) de kapsayan bir Tıbbi Cihazlar ve Radyolojik Sağlık bölümü de içermektedir. Bu bölüm, Tıbbi Cihazlar ve Radyolojik Sağlık için ayrılan bütçenin, 26 mali yılındaki yaklaşık 913 milyon dolardan 1 milyar doların biraz üzerine çıkarıldığını vurgulamaktadır. FDA bu artışı, "hastaları zarardan korumak ve ajansın tıbbi cihazlarla ilgili güvenlik sinyallerini belirleme ve bunlara göre hareket etme konusunda dünyanın düzenleyici kurumları arasında sürekli olarak ilk sırada yer almasını sağlamak için güvenlik risklerini daha erken tespit etmeye ve ele almaya eşit derecede kararlı olduklarını" belirterek gerekçelendirmektedir.[XI]

 

Eylem ve Analiz
**Health-ISAC Üyeliğine Dahildir**

 

[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[III]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[IV] ' https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[VII] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

[VIII] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[IX] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[X] https://www.fda.gov/media/191778/download?attachment

[XI] https://www.fda.gov/media/191778/download?attachment

[XII] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

[XIII]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[XIV]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

Health-ISAC, siber dayanıklılık ve olay müdahalesinde eksikliklere dikkat çekiyor…
Mythos ve Benzeri Yapay Zeka Araçları Sağlık Alanındaki Siber Güvenlik Risklerini Artırıyor