Menanamkan "Kewaspadaan Proaktif" ke dalam Rantaian Bekalan Berteknologi Tinggi Pentagon

Dalam pertahanan negara, kesilapan rantaian bekalan, apabila ditemui terlambat, boleh menjadi besar dan sukar untuk diatasi. Namun, Pentagon tidak terlalu bersemangat untuk melaksanakan sistem pengesanan yang lebih proaktif, proses yang berpotensi mahal untuk menguji jaminan kontraktor secara rawak.

Tetapi kekurangan "kewaspadaan proaktif" ini boleh menyebabkan kos yang besar. Dalam kes pembinaan kapal, keluli di luar spesifikasi - komponen kritikal - digunakan pada kapal selam Tentera Laut AS selama dua dekad sebelum Pentagon mengetahui masalah itu. Baru-baru ini, aci di luar spesifikasi di atas Pemotong Peronda Luar Pesisir Pengawal Pantai terpaksa dipasang dan ditanggalkan— pembaziran masa dan dana yang memalukan untuk kedua-dua kontraktor dan pelanggan kerajaan.

Sekiranya isu-isu ini ditangkap lebih awal, tamparan jangka pendek kepada keuntungan atau jadual akan lebih daripada mengimbangi kerosakan yang lebih luas daripada kegagalan rantaian bekalan yang kompleks dan jangka panjang.

Dengan kata lain, pembekal mungkin mendapat manfaat daripada ujian luaran yang kuat dan ujian pematuhan yang lebih ketat—atau rawak.

Pengasas Keselamatan Maklumat Kubu Peter Kassabov, bercakap mengenai a Podcast Laporan Pertahanan dan Aeroangkasa awal tahun ini, menyatakan bahawa sikap berubah dan lebih ramai pemimpin pertahanan mungkin mula melihat "rantaian bekalan bukan sahaja sebagai pemboleh, tetapi juga sebagai potensi risiko."

Peraturan perlindungan masih dibangunkan. Tetapi untuk mendapatkan syarikat mengambil proaktiviti kewaspadaan rantaian bekalan dengan lebih serius, syarikat mungkin menghadapi insentif yang lebih besar, sekatan yang lebih besar-atau mungkin juga keperluan bahawa eksekutif di kontraktor utama utama bertanggungjawab secara peribadi untuk ganti rugi.

Rejim Pematuhan Lama Fokus Pada Sasaran Lama

Apatah lagi rangka kerja pematuhan rantaian bekalan Pentagon, seperti yang sedia ada, kekal tertumpu pada memastikan integriti fizikal asas komponen struktur asas. Dan sementara sistem kawalan kualiti Pentagon sekarang hampir tidak dapat menangkap masalah fizikal yang konkrit, Pentagon benar-benar bergelut untuk menguatkuasakan piawaian integriti Jabatan Pertahanan semasa untuk elektronik dan perisian.

Kesukaran dalam menilai integriti elektronik dan perisian adalah masalah besar. Hari ini, peralatan dan perisian yang digunakan dalam "kotak hitam" tentera jauh lebih kritikal. Sebagai seorang Jeneral Tentera Udara dijelaskan pada tahun 2013, “B-52 hidup dan mati berdasarkan kualiti kepingan logamnya. Hari ini pesawat kami akan hidup atau mati berdasarkan kualiti perisian kami."

Kassabov menyuarakan kebimbangan ini, memberi amaran bahawa "dunia sedang berubah dan kita perlu mengubah pertahanan kita."

Sudah tentu, walaupun spesifikasi bolt-and-fastener "kuno" masih penting, perisian benar-benar menjadi teras kepada hampir semua cadangan nilai senjata moden. Bagi F-35, senjata elektronik dan pintu masuk maklumat dan komunikasi medan perang utama, Pentagon seharusnya lebih selaras dengan sumbangan China, Rusia atau lain-lain yang meragukan kepada perisian kritikal berbanding pengesanan beberapa aloi sumber China.

Bukannya kandungan nasional komponen struktur tidak mempunyai kepentingan, tetapi apabila penggubalan perisian menjadi lebih kompleks, disokong oleh subrutin modular di mana-mana dan blok binaan sumber terbuka, potensi kerosakan semakin meningkat. Dengan kata lain, aloi sumber China tidak akan menjatuhkan pesawat dengan sendirinya, tetapi perisian sumber China yang rosak yang diperkenalkan pada peringkat awal dalam pengeluaran subsistem boleh.

Soalan itu patut ditanya. Jika pembekal sistem persenjataan keutamaan tertinggi Amerika melihat sesuatu yang semudah spesifikasi keluli dan aci, apakah kemungkinan perisian yang berbahaya dan di luar spesifikasi secara tidak sengaja tercemar dengan kod yang merisaukan?

Perisian Memerlukan Lebih Banyak Penelitian

Taruhannya tinggi. Tahun lepas, the laporan Tahunan daripada penguji senjata Pentagon di Pejabat Pengarah, Ujian Operasi dan Penilaian (DOT&E) memberi amaran bahawa “sebahagian besar sistem DOD adalah sangat intensif perisian. Kualiti perisian, dan keselamatan siber keseluruhan sistem, selalunya merupakan faktor yang menentukan keberkesanan operasi dan kemandirian, dan kadangkala membawa maut.”

"Perkara paling penting yang boleh kami selamatkan ialah perisian yang membolehkan sistem ini, kata Kassabov. “Pembekal pertahanan tidak boleh hanya fokus dan memastikan sistem itu tidak datang dari Rusia atau dari China. Adalah lebih penting untuk benar-benar memahami apakah perisian di dalam sistem ini dan bagaimana akhirnya perisian ini terdedah."

Tetapi penguji mungkin tidak mempunyai alat yang diperlukan untuk menilai risiko operasi. Menurut DOT&E, pengendali meminta seseorang di Pentagon untuk "memberitahu mereka tentang risiko keselamatan siber, dan kemungkinan akibatnya, dan untuk membantu mereka merangka pilihan mitigasi untuk melawan kehilangan keupayaan."

Untuk membantu melakukan ini, kerajaan AS bergantung pada entiti berprofil rendah yang kritikal seperti Institut Piawaian dan Teknologi Kebangsaan, atau NIST, untuk menjana piawaian dan alat pematuhan asas lain yang diperlukan untuk mendapatkan perisian. Tetapi pembiayaan tidak ada. Mark Montgomery, pengarah eksekutif Suruhanjaya Solarium Cyberspace, telah sibuk memberi amaran bahawa NIST akan tertekan untuk melakukan perkara seperti menerbitkan panduan tentang langkah keselamatan untuk perisian kritikal, membangunkan standard minimum untuk ujian perisian, atau membimbing keselamatan rantaian bekalan "dengan bajet yang selama bertahun-tahun telah berlegar di bawah $80 juta."

Tiada penyelesaian mudah dilihat. Panduan "pejabat belakang" NIST, ditambah dengan usaha pematuhan yang lebih agresif, boleh membantu, tetapi Pentagon perlu beralih daripada pendekatan "reaktif" yang lama kepada integriti rantaian bekalan. Sudah tentu, walaupun hebat untuk menangkap kegagalan, adalah jauh lebih baik jika usaha proaktif untuk mengekalkan integriti rantaian bekalan di kontraktor pertahanan kedua mula-mula mula mencipta kod berkaitan pertahanan.