Вграждане на „проактивна бдителност“ във високотехнологичната верига за доставки на Пентагона

В националната отбрана грешките във веригата на доставки, когато бъдат открити твърде късно, могат да бъдат масивни и трудни за преодоляване. И все пак Пентагонът не е твърде нетърпелив да внедри по-проактивни системи за откриване, потенциално скъп процес на произволно тестване на уверенията на изпълнителите.

Но тази липса на „проактивна бдителност“ може да има големи разходи. В случаите на корабостроене стомана извън спецификациите – критичен компонент – е била използвана на подводници на ВМС на САЩ в продължение на две десетилетия, преди Пентагонът да научи за проблемите. Съвсем наскоро, извън спецификациите валове на борда на офшорния патрулен катер на бреговата охрана трябваше да се инсталира и премахне— неудобна загуба на време и средства както за изпълнителите, така и за държавните клиенти.

Ако тези проблеми бяха уловени рано, краткосрочният удар върху печалбите или графика би компенсирал повече от по-големите щети от сложен и дългосрочен провал на веригата за доставки.

Казано по друг начин, доставчиците могат да се възползват от енергични външни тестове и по-строги — или дори произволни — тестове за съответствие.

Основателят на Fortress Information Security Петър Касабов, говорейки на a Подкаст за отбраната и аерокосмическия доклад по-рано тази година отбеляза, че нагласите се променят и повече лидери в областта на отбраната вероятно ще започнат да гледат „на веригата за доставки не само като на фактор, но и като на потенциален риск“.

Защитната регулация все още се разработва. Но за да накарат компаниите да приемат по-сериозно проактивната бдителност на веригата за доставки, компаниите може да се сблъскат с по-големи стимули, по-големи санкции или може би дори с изискване ръководителите на главни изпълнители да носят лична отговорност за щети.

Старите режими за съответствие се фокусират върху стари цели

Нещо повече е, че рамката за съответствие на веригата за доставки на Пентагона, такава каквато е, остава фокусирана върху осигуряването на фундаменталната физическа цялост на основните структурни компоненти. И докато настоящите системи за контрол на качеството на Пентагона едва успяват да уловят конкретни, физически проблеми, Пентагонът наистина се бори да наложи настоящите стандарти за интегритет на Министерството на отбраната за електроника и софтуер.

Трудността при оценката на целостта на електрониката и софтуера е голям проблем. В наши дни оборудването и софтуерът, използвани в „черните кутии“ на военните, са много по-критични. Като генерал от ВВС обяснено през 2013 г, „B-52 живя и умря от качеството на ламарината си. Днес нашите самолети ще живеят или ще умрат от качеството на нашия софтуер.“

Касабов повтаря тази загриженост, като предупреждава, че „светът се променя и ние трябва да променим защитата си“.

Разбира се, докато „старомодните“ спецификации на болтовете и закопчалките са все още важни, софтуерът наистина е в основата на ценностното предложение на почти всяко съвременно оръжие. За F-35, електронно оръжие и ключов информационен и комуникационен портал на бойното поле, Пентагонът трябва да бъде много по-настроен към китайски, руски или друг съмнителен принос към критичен софтуер, отколкото може да бъде при откриването на някои произхождащи от Китай сплави.

Не че националното съдържание на структурните компоненти няма значение, но тъй като софтуерната формулировка става по-сложна, поддържана от повсеместни модулни подпрограми и градивни блокове с отворен код, потенциалът за зло расте. Казано по друг начин, сплав с китайски произход няма да свали самолет сама по себе си, но корумпираният китайски софтуер, въведен на много ранен етап в производството на подсистеми, би могъл.

Въпросът си заслужава. Ако доставчиците на оръжейни системи с най-висок приоритет на Америка пренебрегват нещо толкова просто като спецификациите на стоманата и валовете, какви са шансовете вреден софтуер, който не отговаря на спецификациите, неволно да бъде замърсен с обезпокоителен код?

Софтуерът се нуждае от повече проверка

Залозите са големи. Миналата година, годишен доклад от тестери на оръжия на Пентагона в офиса на директора, Оперативен тест и оценка (DOT&E) предупреди, че „по-голямата част от системите на DOD са изключително интензивни към софтуера. Качеството на софтуера и цялостната киберсигурност на системата често са факторите, които определят оперативната ефективност и оцеляването, а понякога и смъртоносността.“

„Най-важното нещо, което можем да осигурим, е софтуерът, който позволява тези системи, казва Касабов. „Доставчиците на отбрана не могат просто да се съсредоточат и да се уверят, че системата не идва от Русия или Китай. По-важно е всъщност да разберем какъв е софтуерът вътре в тази система и как в крайна сметка този софтуер е уязвим.

Но тестерите може да нямат необходимите инструменти за оценка на оперативния риск. Според DOT&E, операторите молят някой от Пентагона да им „каже какви са рисковете за киберсигурността и техните потенциални последици и да им помогне да измислят варианти за смекчаване, за да се борят със загубата на способности“.

За да помогне за това, правителството на САЩ разчита на критични субекти с нисък профил като Национален институт за стандарти и технологии, или NIST, за генериране на стандарти и други основни инструменти за съответствие, необходими за защита на софтуера. Но финансиране просто няма. Марк Монтгомъри, изпълнителен директор на Cyberspace Solarium Commission, е зает предупреждение че NIST ще бъде притиснат да прави неща като публикуване на насоки за мерки за сигурност за критичен софтуер, разработване на минимални стандарти за тестване на софтуер или насочване на сигурността на веригата за доставки „с бюджет, който от години се движи на малко под 80 милиона долара“.

Не се вижда просто решение. Насоките на NIST за „бек-офис“, съчетани с по-агресивни усилия за съответствие, могат да помогнат, но Пентагонът трябва да се отдалечи от старомодния „реактивен“ подход към целостта на веригата за доставки. Разбира се, въпреки че е страхотно да се улавят неуспехи, е много по-добре, ако проактивните усилия за поддържане на целостта на веригата за доставки дадат удар във втория изпълнител на отбраната, който първо започне да създава код, свързан с отбраната.