Začlenenie „proaktívnej bdelosti“ do high-tech dodávateľského reťazca Pentagonu

V národnej obrane môžu byť chyby dodávateľského reťazca, keď sa zistia príliš neskoro, masívne a ťažko sa prekonávajú. Napriek tomu Pentagon nie je príliš ochotný implementovať proaktívnejšie detekčné systémy, čo je potenciálne nákladný proces náhodného testovania záruk dodávateľov.

Tento nedostatok „proaktívnej bdelosti“ však môže znamenať veľké náklady. V prípadoch stavby lodí sa na ponorkách amerického námorníctva dve desaťročia predtým, ako sa Pentagon dozvedel o problémoch, používala oceľ mimo špecifikácie – kritická zložka. Nedávno, mimo špecifikácie šachtovanie na palube pobrežnej stráže Offshore Patrol Cutter bolo potrebné nainštalovať a odstrániť– trápne plytvanie časom a finančnými prostriedkami pre dodávateľov aj vládnych klientov.

Ak by sa tieto problémy zachytili včas, krátkodobý zásah do ziskov alebo harmonogramu by viac než vykompenzoval širšie škody spôsobené komplexným a dlhodobým zlyhaním dodávateľského reťazca.

Inými slovami, dodávatelia môžu ťažiť z ráznych externých testov a prísnejších – alebo dokonca náhodných – testov zhody.

Zakladateľ informačnej bezpečnosti pevnosti Peter Kassabov v rozhovore pre a Podcast Správa o obrane a letectve začiatkom tohto roka poznamenal, že postoje sa menia a viac obranných lídrov sa pravdepodobne začne pozerať „na dodávateľský reťazec nielen ako na faktor, ktorý umožňuje, ale aj ako na potenciálne riziko“.

Ochranná regulácia sa stále vyvíja. Aby však spoločnosti brali proaktívnu bdelosť dodávateľského reťazca vážnejšie, spoločnosti môžu čeliť väčším stimulom, väčším sankciám – alebo dokonca požiadavke, aby vedúci pracovníci hlavných hlavných dodávateľov boli osobne zodpovední za škody.

Staré režimy dodržiavania pravidiel sa zameriavajú na staré ciele

Ba čo viac, rámec dodržiavania dodávateľského reťazca Pentagonu, taký aký je, zostáva zameraný na zabezpečenie základnej fyzickej integrity základných štrukturálnych komponentov. A zatiaľ čo súčasné systémy kontroly kvality Pentagonu sú sotva schopné zachytiť konkrétne fyzické problémy, Pentagon skutočne bojuje s presadzovaním súčasných noriem integrity ministerstva obrany pre elektroniku a softvér.

Ťažkosti pri posudzovaní integrity elektroniky a softvéru sú veľkým problémom. V súčasnosti sú zariadenia a softvér používané vo vojenských „čiernych skrinkách“ oveľa kritickejšie. Ako jeden generál letectva vysvetlené v roku 2013“B-52 žila a zomrela na kvalite svojho plechu. Dnes bude naše lietadlo žiť alebo zomrieť na kvalite nášho softvéru.“

Kassabov opakuje túto obavu a varuje, že „svet sa mení a my musíme zmeniť našu obranu“.

Iste, zatiaľ čo „staromódne“ špecifikácie skrutiek a spojok sú stále dôležité, softvér je skutočne jadrom takmer každej modernej zbrane. Pre F-35, elektronickú zbraň a kľúčovú informačnú a komunikačnú bránu na bojisku, by mal byť Pentagon oveľa viac naladený na čínske, ruské alebo iné pochybné príspevky do kritického softvéru, než by mohol byť pri detekcii niektorých zliatin pochádzajúcich z Číny.

Nie že by národný obsah štrukturálnych komponentov postrádal dôležitosť, ale ako sa formulácia softvéru stáva zložitejšou, podporovanou všadeprítomnými modulárnymi podprogramami a open-source stavebnicami, potenciál pre neplechu rastie. Inými slovami, zliatina čínskeho pôvodu sama osebe nezničí lietadlo, ale skorumpovaný softvér čínskeho pôvodu, ktorý bol zavedený vo veľmi ranom štádiu výroby subsystému, by mohol.

Otázka stojí za položenie. Ak dodávatelia amerických zbraňových systémov s najvyššou prioritou prehliadajú niečo také jednoduché, ako sú špecifikácie ocele a hriadeľov, aká je šanca, že škodlivý softvér, ktorý nezodpovedá špecifikácii, bude neúmyselne kontaminovaný znepokojujúcim kódom?

Softvér potrebuje viac kontroly

V stávke je veľa. Minulý rok, výročná správa od testerov zbraní Pentagonu v Office of the Director, Operational Test and Evaluation (DOT&E) varovali, že „prevažná väčšina systémov DOD je extrémne softvérovo náročná. Kvalita softvéru a celková kybernetická bezpečnosť systému sú často faktormi, ktoré určujú operačnú efektivitu a schopnosť prežitia a niekedy aj smrteľnosť.“

„Najdôležitejšia vec, ktorú môžeme zabezpečiť, je softvér, ktorý umožňuje tieto systémy,“ hovorí Kassabov. „Dodávatelia obrany sa nemôžu len sústrediť a uistiť sa, že systém nepochádza z Ruska alebo z Číny. Je dôležitejšie skutočne pochopiť, čo je softvér vo vnútri tohto systému a ako je tento softvér v konečnom dôsledku zraniteľný.“

Testeri však nemusia mať nástroje potrebné na vyhodnotenie operačného rizika. Podľa DOT&E operátori žiadajú niekoho z Pentagonu, aby im „povedal, aké sú riziká kybernetickej bezpečnosti a ich potenciálne dôsledky, a aby im pomohol navrhnúť možnosti na zmiernenie straty spôsobilosti“.

Aby to dokázala, vláda USA sa spolieha na kritické nízkoprofilové subjekty, ako je napr Národný inštitút pre normy a technológie, alebo NIST, na generovanie štandardov a iných základných nástrojov zhody potrebných na zabezpečenie softvéru. Ale financie jednoducho chýbajú. Mark Montgomery, výkonný riaditeľ komisie Cyberspace Solarium Commission, bol zaneprázdnený varovaním že NIST bude musieť robiť veci, ako je publikovanie pokynov o bezpečnostných opatreniach pre kritický softvér, vývoj minimálneho štandardu pre testovanie softvéru alebo vedenie bezpečnosti dodávateľského reťazca „s rozpočtom, ktorý sa roky pohybuje na úrovni tesne pod 80 miliónmi dolárov“.

Jednoduché riešenie nie je v dohľade. Usmernenie NIST „back-office“ spojené s agresívnejším úsilím o dodržiavanie predpisov môže pomôcť, ale Pentagon sa musí vzdialiť od staromódneho „reaktívneho“ prístupu k integrite dodávateľského reťazca. Iste, aj keď je skvelé zachytiť zlyhania, je oveľa lepšie, ak proaktívne úsilie o udržanie integrity dodávateľského reťazca nakopne druhých dodávateľov obrany, ktorí najprv začnú vytvárať kód súvisiaci s obranou.