Ugradnja "proaktivne budnosti" u visokotehnološki lanac opskrbe Pentagona

U nacionalnoj obrani, pogreške u opskrbnom lancu, kada se otkriju prekasno, mogu biti velike i teško ih je prevladati. Pa ipak, Pentagon nije previše željan implementirati proaktivnije sustave detekcije, potencijalno skup proces nasumičnog testiranja jamstava izvođača.

Ali ovaj nedostatak "proaktivnog opreza" može imati velike troškove. U slučajevima brodogradnje, čelik izvan specifikacija – kritična komponenta – korišten je na podmornicama američke mornarice dva desetljeća prije nego što je Pentagon saznao za probleme. U novije vrijeme, izvanspecifična osovina na brodu obalne straže Patrol Cutter morao biti instaliran i uklonjen— neugodno gubljenje vremena i sredstava i za izvođače i za vladine klijente.

Da su ovi problemi rano uočeni, kratkoročni udar na dobit ili raspored više bi nego nadoknadio širu štetu složenog i dugoročnog kvara u lancu opskrbe.

Drugim riječima, dobavljači mogu imati koristi od snažnih vanjskih testova i rigoroznijih—ili čak nasumičnih—testova usklađenosti.

Osnivač Fortress Information Security Peter Kassabov, govoreći na a Podcast Defense and Aerospace Report ranije ove godine primijetio je da se stavovi mijenjaju i da će više čelnika obrane vjerojatno početi gledati "na opskrbni lanac ne samo kao na pokretača, već i kao na potencijalni rizik".

Zaštitna regulativa se još razvija. Ali kako bi se tvrtke natjerale da ozbiljnije shvate proaktivni nadzor opskrbnog lanca, tvrtke se mogu suočiti s većim poticajima, većim sankcijama - ili možda čak sa zahtjevom da rukovoditelji glavnih izvođača budu osobno odgovorni za štetu.

Stari režimi usklađenosti fokusirani su na stare ciljeve

Štoviše, Pentagonov okvir usklađenosti opskrbnog lanca, takav kakav jest, ostaje usredotočen na osiguravanje temeljnog fizičkog integriteta osnovnih strukturnih komponenti. I dok su sadašnji Pentagonovi sustavi kontrole kvalitete jedva u stanju uhvatiti konkretne, fizičke probleme, Pentagon se stvarno bori da provede trenutne standarde integriteta Ministarstva obrane za elektroniku i softver.

Poteškoće u procjeni integriteta elektronike i softvera veliki su problem. Danas su oprema i softver koji se koriste u vojnim "crnim kutijama" mnogo kritičniji. Kao jedan general zrakoplovstva objašnjeno 2013, “B-52 je živio i umro na kvaliteti svog lima. Danas će naši zrakoplovi živjeti ili umrijeti na kvaliteti našeg softvera.”

Kassabov ponavlja tu zabrinutost, upozoravajući da se "svijet mijenja i da moramo promijeniti našu obranu."

Svakako, iako su "staromodne" specifikacije vijaka i zatvarača još uvijek važne, softver je zapravo srž ponude vrijednosti gotovo svakog modernog oružja. Za F-35, elektroničko oružje i ključni informacijski i komunikacijski pristupnik na bojnom polju, Pentagon bi trebao biti mnogo više usklađen s kineskim, ruskim ili drugim sumnjivim doprinosima kritičnom softveru nego što bi to mogao biti u otkrivanju nekih legura iz Kine.

Nije da nacionalnom sadržaju strukturnih komponenti nedostaje važnost, ali kako formulacija softvera postaje sve složenija, podržana sveprisutnim modularnim potprogramima i gradivnim blokovima otvorenog koda, potencijal za nestašluke raste. Drugim riječima, legura kineskog porijekla neće sama srušiti zrakoplov, ali korumpirani softver kineskog porijekla uveden u vrlo ranoj fazi proizvodnje podsustava bi mogao.

Pitanje vrijedi postaviti. Ako dobavljači američkih oružanih sustava najvišeg prioriteta zanemaruju nešto tako jednostavno kao što su specifikacije čelika i osovine, kolike su šanse da je štetni softver izvan specifikacija nenamjerno kontaminiran problematičnim kodom?

Softveru je potrebno dodatno ispitivanje

Ulozi su veliki. Prošle godine, godišnji izvještaj iz Pentagonovih ispitivača oružja u Uredu direktora, Operational Test and Evaluation (DOT&E) upozorio je da je “velika većina DOD sustava iznimno softverski intenzivna. Kvaliteta softvera i cjelokupna kibernetička sigurnost sustava često su čimbenici koji određuju operativnu učinkovitost i sposobnost preživljavanja, a ponekad i smrtonosnost.”

“Najvažnija stvar koju možemo osigurati je softver koji omogućuje ove sustave, kaže Kassabov. “Dobavljači obrambenih proizvoda ne mogu se samo usredotočiti i pobrinuti se da sustav ne dolazi iz Rusije ili Kine. Važnije je zapravo razumjeti koji je softver unutar ovog sustava i koliko je na kraju taj softver ranjiv.”

Ali testeri možda nemaju alate potrebne za procjenu operativnog rizika. Prema DOT&E-u, operateri traže nekoga iz Pentagona da im "kaže koji su rizici kibernetičke sigurnosti i njihove moguće posljedice te da im pomogne u osmišljavanju opcija ublažavanja za borbu s gubitkom sposobnosti".

Kako bi pomogla u tome, američka vlada oslanja se na kritične niskoprofilne subjekte poput Nacionalni institut za standarde i tehnologiju, ili NIST, za generiranje standarda i drugih osnovnih alata za usklađenost potrebnih za sigurnost softvera. Ali sredstava jednostavno nema. Mark Montgomery, izvršni direktor Cyberspace solarium komisije, je zauzet upozorenje da će NIST biti pod teškim pritiskom da radi stvari kao što je objavljivanje smjernica o sigurnosnim mjerama za kritični softver, razvoj minimalnog standarda za testiranje softvera ili usmjeravanje sigurnosti opskrbnog lanca "s proračunom koji se godinama kreće ispod 80 milijuna dolara."

Jednostavno rješenje se ne nazire. NIST-ove “pozadinske” smjernice, u kombinaciji s agresivnijim naporima za usklađenost, mogu pomoći, ali Pentagon se mora odmaknuti od staromodnog “reaktivnog” pristupa integritetu opskrbnog lanca. Svakako, iako je sjajno uhvatiti neuspjehe, puno je bolje ako proaktivni napori za održavanje integriteta opskrbnog lanca počnu raditi u drugom obrambenom sektoru, prvi počnu s izradom koda koji se odnosi na obranu.