Încorporarea „Vigilenței proactive” în lanțul de aprovizionare de înaltă tehnologie al Pentagonului

În apărarea națională, greșelile lanțului de aprovizionare, când sunt găsite prea târziu, pot fi masive și greu de depășit. Și totuși, Pentagonul nu este prea dornic să implementeze sisteme de detectare mai proactive, un proces potențial costisitor de testare aleatorie a asigurărilor contractorilor.

Dar această lipsă de „vigilență proactivă” poate avea costuri mari. În cazul construcțiilor navale, oțelul care nu corespunde specificațiilor – o componentă critică – a fost folosit pe submarinele marinei americane timp de două decenii înainte ca Pentagonul să afle despre probleme. Mai recent, arborele în afara specificațiilor la bordul Gărzii de Coastă Offshore Patrol Cutter trebuia instalat și demontat— o pierdere jenantă de timp și fonduri atât pentru contractori, cât și pentru clienții guvernamentali.

Dacă aceste probleme ar fi fost depistate mai devreme, lovitura pe termen scurt adusă profiturilor sau programului ar fi compensat mai mult decât daunele mai ample ale unui eșec complex și pe termen lung al lanțului de aprovizionare.

Cu alte cuvinte, furnizorii pot beneficia de teste externe riguroase și de teste de conformitate mai riguroase – sau chiar aleatorii.

Fondatorul Fortress Information Security Peter Kassabov, vorbind pe a Podcast Raport privind apărarea și aerospațiul la începutul acestui an, a remarcat că atitudinile se schimbă și că mai mulți lideri ai apărării vor începe să se uite „la lanțul de aprovizionare nu doar ca pe un facilitator, ci și ca pe un risc potențial”.

Reglementarea de protecție este încă în curs de dezvoltare. Dar pentru a determina companiile să ia mai în serios vigilența lanțului de aprovizionare, companiile se pot confrunta cu stimulente mai mari, sancțiuni mai mari sau poate chiar cu o cerință ca directorii de la antreprenorii principali să fie personal răspunzători pentru daune.

Vechile regimuri de conformitate se concentrează pe ținte vechi

În plus, cadrul de conformare a lanțului de aprovizionare al Pentagonului, așa cum este, rămâne axat pe asigurarea integrității fizice fundamentale a componentelor structurale de bază. Și în timp ce sistemele actuale de control al calității ale Pentagonului abia reușesc să surprindă probleme fizice concrete, Pentagonul se luptă cu adevărat să aplice standardele actuale de integritate ale Departamentului Apărării pentru electronice și software.

Dificultatea de a evalua integritatea electronică și software este o mare problemă. În zilele noastre, echipamentul și software-ul folosit în „cutiile negre” ale armatei sunt mult mai critice. Ca un general al forțelor aeriene explicat în 2013, „B-52 a trăit și a murit pe baza calității tablei sale. Astăzi, aeronava noastră va trăi sau va muri din cauza calității software-ului nostru.”

Kassabov face ecou această îngrijorare, avertizând că „lumea se schimbă și trebuie să ne schimbăm apărarea”.

Cu siguranță, în timp ce specificațiile „de modă veche” pentru șuruburi și elemente de fixare sunt încă importante, software-ul este într-adevăr la baza propunerii de valoare a aproape oricărei arme moderne. Pentru F-35, o armă electronică și o poartă cheie de informare și comunicații pe câmpul de luptă, Pentagonul ar trebui să fie mult mai adaptat la contribuțiile chineze, rusești sau alte contribuții dubioase la software-ul critic decât ar putea fi în detectarea unor aliaje provenite din China.

Nu că conținutul național al componentelor structurale nu are importanță, dar pe măsură ce formularea software-ului devine mai complexă, susținută de subrutine modulare omniprezente și blocuri de construcție open-source, potențialul de rău crește. Cu alte cuvinte, un aliaj din sursă chineză nu va doborî o aeronavă de la sine, dar software-ul corupt, din sursă chineză, introdus într-un stadiu foarte incipient al producției de subsistem ar putea.

Întrebarea merită pusă. Dacă furnizorii de sisteme de arme cu cea mai mare prioritate din America trec cu vederea ceva la fel de simplu precum specificațiile din oțel și ale arborelui, care sunt șansele ca software-ul dăunător, care nu corespunde specificațiilor, să fie contaminat neintenționat cu cod deranjant?

Software-ul are nevoie de mai mult control

Miza este mare. Anul trecut, raport anual Testerii de arme de la Pentagon de la Biroul Director, Teste Operaționale și Evaluare (DOT&E) au avertizat că „marea majoritate a sistemelor DOD sunt extrem de intensive în software. Calitatea software-ului și securitatea cibernetică generală a sistemului sunt adesea factorii care determină eficacitatea operațională și capacitatea de supraviețuire și, uneori, letalitatea.”

„Cel mai important lucru pe care îl putem securiza este software-ul care permite aceste sisteme”, spune Kassabov. „Furnizorii de apărare nu pot să se concentreze și să se asigure că sistemul nu vine din Rusia sau din China. Este mai important să înțelegem de fapt care este software-ul din interiorul acestui sistem și cât de vulnerabil este în cele din urmă acest software.”

Dar este posibil ca testerii să nu aibă instrumentele necesare pentru a evalua riscul operațional. Potrivit DOT&E, operatorii cer ca cineva de la Pentagon „să le spună care sunt riscurile pentru securitatea cibernetică și potențialele lor consecințe și să-i ajute să elaboreze opțiuni de atenuare pentru a lupta împotriva pierderii capacității”.

Pentru a ajuta la acest lucru, guvernul SUA se bazează pe entități critice de profil redus, cum ar fi Institutul Național de Standarde și Tehnologie, sau NIST, pentru a genera standarde și alte instrumente de conformitate de bază necesare pentru a securiza software-ul. Dar finanțarea pur și simplu nu există. Mark Montgomery, directorul executiv al Comisiei Cyberspace Solarium, a fost ocupat cu avertisment că NIST va avea greutăți să facă lucruri precum publicarea îndrumărilor privind măsurile de securitate pentru software-ul critic, dezvoltarea standardelor minime pentru testarea software-ului sau ghidarea securității lanțului de aprovizionare „cu un buget care de ani de zile s-a situat la puțin sub 80 de milioane de dolari”.

Nu se vede o soluție simplă. Îndrumările „back-office” ale NIST, împreună cu eforturi mai agresive de conformitate, pot ajuta, dar Pentagonul trebuie să se îndepărteze de abordarea „reactivă” de modă veche a integrității lanțului de aprovizionare. Cu siguranță, deși este grozav să prindeți eșecurile, este mult mai bine dacă eforturile proactive de a menține integritatea lanțului de aprovizionare se lansează în al doilea rând, contractorii de apărare încep mai întâi să creeze coduri legate de apărare.