Перейти до основного матеріалу

Health-ISAC Hacking Healthcare 4-14-2026

Цього тижня Health-ISAC®'s Hacking Healthcare® розглядає нещодавно опублікований бюджет Президента та супровідні документи Конгресу з обґрунтування бюджету від Агентства з кібербезпеки та безпеки інфраструктури (CISA) та Міністерства охорони здоров'я та соціальних служб (HHS). Ми пояснюємо, що являють собою ці документи, розглядаємо відповідні аспекти кібербезпеки в секторі охорони здоров'я кожного з них, а потім надаємо контекст для найкращого їх тлумачення.

Нагадуємо, що це публічна версія блогу Hacking Healthcare. Для додаткового поглибленого аналізу та думки приєднайтеся до H-ISAC і отримайте TLP Amber версію цього блогу (доступну на порталі для учасників).

 

Версія PDF:

 

Текстова версія:

Ласкаво просимо назад у Hacking Healthcare® !

Що може означати запит адміністрації Трампа щодо федерального бюджету на 2027 фінансовий рік для кібербезпеки в секторі охорони здоров'я

Минулого тижня адміністрація Трампа опублікувала бюджет Президента на 2027 фінансовий рік (FY27), а федеральні міністерства та агентства опублікували відповідні обґрунтування бюджету для Конгресу. Хоча ці документи не є юридично обов'язковими та не встановлюють федеральний бюджет, вони відіграють вирішальну роль у процесі асигнувань та сигналізують про політичні пріоритети та наміри адміністрації Трампа.

 

Який бюджет Президента?

Зазвичай, бюджет Президента – це документ, що подається до Конгресу на початку року та містить загальний огляд політичних цілей Президента, вибір програм, яким слід надати пріоритет для досягнення цих політичних цілей, та бюджет, який адміністрація визначила як необхідний для досягнення цих цілей. Трамп опублікував свій новий 92-сторінковий бюджет на 27 фінансовий рік 3 квітня.

 

Що таке обґрунтування бюджету Конгресу?

Обґрунтування бюджету Конгресу – це документи, підготовлені федеральними департаментами та агентствами, які підтверджують або «обґрунтовують» бюджетний запит Президента для їхньої організації. У цих документах детально викладено, скільки грошей організація хоче, на що вона планує їх витратити, чому ці види діяльності важливі та яких результатів чи наслідків вона очікує. Потім Конгрес використовує цей документ для розгляду та обговорення запиту, порівняння його з минулими витратами та прийняття рішення про затвердження або зміну фінансування.

Що передбачає президентський бюджет на 27 фінансовий рік?

Рассел Воут, директор Адміністративно-бюджетного управління (OMB), написав вступну промову до бюджету Президента, яка читається як звернення до Конгресу. У вступній промові зазначається, що «Бюджет 2027 року базується на баченні Президента, продовжуючи обмежувати витрати, не пов’язані з обороною, та реформувати федеральний уряд».[Я] Він продовжує, заявляючи, що «бюджет пропонує 10-відсоткове скорочення порівняно з необоронними рівнями 2026 року», перш ніж наголосити, наскільки бюджет зосереджений на питаннях національної безпеки.

 

Після відкриття наведено загальний розподіл департаментів та агентств. Двома найважливішими для членів Health-ISAC є Міністерство внутрішньої безпеки (DHS) з його розділом про CISA та HHS. Ці розділи включають наступне:

  • СНД— Бюджет Президента передбачає скорочення бюджету CISA на 707 мільйонів доларів. Формулювання в цьому розділі продовжує відображати бажання адміністрації Трампа змінити та переорієнтувати місію та організацію CISA на захист федеральної мережі та захист і стійкість критичної інфраструктури. Значна частина формулювань у цьому розділі, схоже, була скопійована безпосередньо з минулорічної версії та висміює розповсюдження місії, дублювання програм та політизацію агентства.[Ii] [Iii]
  • HHS— Запропонований бюджет для HHS «передбачає 111.1 мільярда доларів дискреційних бюджетних повноважень… що на 15.8 мільярда доларів або 12.5 відсотка менше, ніж прийнятий рівень 2026 року».[Iv] Головним політичним пріоритетом, який відстоюється в цьому розділі, є ініціатива «Зробимо Америку знову здоровою» (MAHA). Однак найважливішою статтею витрат для членів Health-ISAC, ймовірно, є запропоноване скорочення на 356 мільйонів доларів США фінансування Адміністрації стратегічної готовності та реагування (ASPR). Значна частина цього скорочення пояснюється відповіддю на переорієнтацію ASPR назад до основних обов'язків та відхід від розширеної відповідальності, пов'язаної з реагуванням на COVID-19.

Хоча запропоновані скорочення бюджету для HHS та CISA виглядають дещо тривожними, бюджет Президента є стратегічним та високорівневим. Щоб зрозуміти, як запропоновані скорочення бюджету можуть вплинути на відповідні програми кібербезпеки та стійкості, детальну інформацію можна знайти у відомчих обґрунтуваннях Конгресу.

Що говорять обґрунтування бюджету Конгресу HHS та CISA?

Для чіткішого уявлення про те, як буде впроваджуватися бюджет Президента, обґрунтування бюджету Конгресу для HHS та CISA надають набагато більше інформації.

  • СНД— 279-сторінкове обґрунтування бюджету Конгресу CISA містить вичерпний аналіз того, звідки будуть отримані запропоновані скорочення бюджету на 700 мільйонів доларів. Серед найбільш актуальних політичних та бюджетних статей є:
    • Новий базовий показник робочої сили становить 2,865 співробітників. Це менше, ніж 3,732 наприкінці терміну адміністрації Байдена, і це означає втрату 206 посад у Відділі кібербезпеки, 225 у Відділі інтегрованих операцій та, по суті, у всьому Відділі взаємодії із зацікавленими сторонами. Скорочення персоналу становить приблизно ~360.5 мільйона доларів США від скорочення бюджету.
    • Збільшення на 5 мільйонів доларів США на аналіз та планування для розробки Національного реєстру ризиків, який підтримуватиме подальшу роботу з виявлення ризиків для національної інфраструктури та систем, розробки окремих сценаріїв ризиків та оцінок, а також представлення окремих ризиків у звіті, що включатиме візуальне представлення для порівняння наслідків та ймовірності або правдоподібності ризиків один відносно одного. Ця діяльність була передбачена попереднім Указом президента Трампа. Досягнення ефективності завдяки готовності на рівні штату та місцевих органів влади.
    • Зменшення бюджету на 9.8 мільйона доларів США в рамках програми Спільної співпраці з кіберзахисту (JCDC).
    • Пріоритетність заповнення та фінансування посади державних координаторів CISA з кібербезпеки для роботи як призначеного федеральним урядом штатного персоналу з підтримки кібербезпеки, який сприятиме зміцненню місцевої оборони, керуватиме скоординованим реагуванням та підтримуватиме зусилля з відновлення в умовах ескалації кіберзагроз.
    • Незначне збільшення фінансування та персоналу для розширення підтримки зв'язків у секторах, що не входять до CISA SRMA, включаючи 8 нових посад зв'язків з питань управління ризиками в секторах, де CISA не є Агентством з управління ризиками в секторі (SRMA).
    • Чітке визначення пріоритетів зусиль щодо протидії загрозам, що виникають з боку Китайської Народної Республіки для уряду та критично важливої ​​інфраструктури. Це включає обмін інформацією.
  • HHS: ASPR— 62-сторінкове обґрунтування бюджету ASPR, запропоноване Конгресом, показує скорочення головних витрат приблизно на 355 мільйонів доларів США та додаткове перерозподіл решти бюджету. Програма готовності та відновлення охорони здоров’я значно скорочується з приблизно 305 мільйонів доларів США до трохи менше 30 мільйонів доларів США, що, схоже, впливає на угоди про співпрацю в рамках Програми готовності лікарень (HPP), Угоду про співпрацю в рамках Регіональної системи реагування на стихійні лиха (RDHRS), заходи з надання допомоги в травмах, заходи та операції з забезпечення готовності та відновлення охорони здоров’я, пом’якшення наслідків та відновлення громад, а також програму технічних ресурсів, центру допомоги та обміну інформацією (TRACIE). Однак у документі зазначається, що бюджет на кібербезпеку та захист інфраструктури (CIP) пропонується залишити незмінним порівняно з попередніми двома фінансовими роками.[V] Далі в документі висвітлюється майже 2,000 інцидентів кібербезпеки, які CIP обробила в період з кінця 2024 року до кінця 2025 року, а також рекламується новий модуль до їхнього інструментарію з виявлення ризиків та критичності об'єктів (RISC), який буде випущено у 2026 році та відповідає NIST CSF 2.0 та Цілям ефективності кібербезпеки (CPG) у секторі охорони здоров'я та громадського здоров'я.
  • HHS: Офіс секретаря— 190-сторінкове обґрунтування бюджету Конгресу для Офісу секретаря включає деякі запропоновані відомчі реорганізації.[Vi] Згідно з документом, Управління з питань громадянських прав (OCR), Управління слухань та апеляцій Medicare, Департаментська апеляційна рада, Управління захисту досліджень на людях, Управління захисту досліджень на тваринах та Управління доброчесності досліджень об'єднаються в Офіс помічника секретаря з питань громадянських прав та апеляцій (ASCRA). Ця реструктуризація схожа на пропозицію від березня минулого року, яка передала деякі з цих офісів під керівництво нового помічника секретаря з питань забезпечення виконання.[VII]

    Далі в документі описується, як ASCRA «забезпечуватиме дотримання законодавства шляхом правозастосування та судового розгляду в сфері охорони здоров’я та соціальних послуг», і як «пропонована консолідація покликана впорядкувати нагляд, покращити координацію правозастосування та судового розгляду, забезпечити навчання та рекомендації щодо відповідних юридичних органів, а також посилити здатність HHS виконувати свої юридичні зобов’язання».[viii]

    Бюджетний запит Президента на 2027 фінансовий рік для ASCRA становить трохи більше 241 мільйона доларів, що в документі описується як майже на 5 мільйонів доларів більше, ніж прийнятий рівень на 2026 фінансовий рік. Крім того, загальна сума «включає прогнозовані 10 000 000 доларів США на фінансування цивільного грошового врегулювання, що використовуються Управлінням з громадянських прав для подальших зусиль щодо забезпечення дотримання HIPAA».[IX]

  • HHS: FDA— У 91-сторінковому обґрунтуванні бюджету Конгресу, розробленому Управлінням з контролю за продуктами харчування та лікарськими засобами (FDA), взагалі немає прямого посилання на кібербезпеку.[X] Однак, він містить розділ «Пристрої та радіологічне здоров’я», який також охоплює Центр пристроїв та радіологічного здоров’я (CDRH). У цьому розділі висвітлюється незначне збільшення бюджету на «Пристрої та радіологічне здоров’я» з трохи більше ніж затвердженої суми у 26 фінансовому році, яка становила ~913 мільйонів доларів, до трохи більше ніж 1 мільярда доларів. FDA обґрунтовує це збільшення, заявляючи, що вони «так само віддані виявленню та усуненню ризиків безпеки на ранніх стадіях, щоб захистити пацієнтів від шкоди та забезпечити, щоб агентство постійно залишалося першим серед регуляторних органів світу у виявленні та реагуванні на сигнали безпеки, пов’язані з медичними виробами».[xi]

 

Дія та аналіз
**Входить до складу Health-ISAC Membership**

 

[Я] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[VII] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

[viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[IX] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

[X] https://www.fda.gov/media/191778/download?attachment

[xi] https://www.fda.gov/media/191778/download?attachment

[xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

[xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

[xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

Health-ISAC виявляє прогалини в кіберстійкості та реагуванні на інциденти…
Mythos та подібні інструменти штучного інтелекту підвищують ставки для кібернетичної охорони здоров'я