"Proaktīvās modrības" iekļaušana Pentagona augsto tehnoloģiju piegādes ķēdē

Valsts aizsardzībā piegādes ķēdes kļūdas, ja tās tiek atklātas pārāk vēlu, var būt milzīgas un grūti pārvaramas. Un tomēr Pentagons pārāk nevēlas ieviest aktīvākas noteikšanas sistēmas, kas ir potenciāli dārgs process, kurā nejauši pārbauda līgumslēdzēja garantijas.

Taču šim “proaktīvās modrības” trūkumam var būt lielas izmaksas. Kuģu būves gadījumos tērauds, kas neatbilst specifikācijām, ir būtiska sastāvdaļa, tika izmantots ASV Jūras spēku zemūdenēs divas desmitgades, pirms Pentagons uzzināja par problēmām. Pavisam nesen krasta apsardzes ārzonas patruļas kuteri, kas neatbilst specifikācijām. bija jāuzstāda un jānoņem— apkaunojoša laika un līdzekļu izšķiešana gan darbuzņēmējiem, gan valdības klientiem.

Ja šīs problēmas būtu atklātas agri, īstermiņa trieciens peļņai vai grafikam būtu vairāk nekā kompensējis sarežģītās un ilgtermiņa piegādes ķēdes atteices plašākos zaudējumus.

Citiem vārdiem sakot, piegādātāji var gūt labumu no stingrām ārējām pārbaudēm un stingrākām vai pat izlases atbilstības pārbaudēm.

Cietokšņa informācijas drošības dibinātājs Pēteris Kasabovs, runājot par a Aizsardzības un kosmosa ziņojuma aplāde šī gada sākumā atzīmēja, ka attieksme mainās un, visticamāk, arvien vairāk aizsardzības līderu sāks raudzīties uz "piegādes ķēdi ne tikai kā veicinātāju, bet arī kā potenciālu risku".

Aizsardzības regulējums joprojām tiek izstrādāts. Taču, lai uzņēmumi nopietnāk uztvertu proaktīvo piegādes ķēdes modrību, uzņēmumi var saskarties ar lielākiem stimuliem, lielākām sankcijām vai, iespējams, pat prasību, ka galveno galveno darbuzņēmēju vadītāji ir personīgi atbildīgi par zaudējumiem.

Vecie atbilstības režīmi koncentrējas uz veciem mērķiem

Turklāt Pentagona piegādes ķēdes atbilstības sistēma, kāda tā ir, joprojām ir vērsta uz pamata strukturālo komponentu fundamentālās fiziskās integritātes nodrošināšanu. Un, lai gan Pentagona pašreizējās kvalitātes kontroles sistēmas tik tikko spēj novērst konkrētas fiziskas problēmas, Pentagons patiešām cīnās, lai ieviestu pašreizējos Aizsardzības departamenta integritātes standartus elektronikai un programmatūrai.

Grūtības novērtēt elektronikas un programmatūras integritāti ir liela problēma. Mūsdienās militāro "melnajās kastēs" izmantotais aprīkojums un programmatūra ir daudz kritiskāki. Kā viens gaisa spēku ģenerālis paskaidrots 2013. gadā, “B-52 dzīvoja un nomira, pateicoties tā lokšņu metāla kvalitātei. Šodien mūsu lidmašīnas dzīvos vai mirs mūsu programmatūras kvalitātes dēļ.

Kasabovs atkārto šīs bažas, brīdinot, ka "pasaule mainās un mums ir jāmaina mūsu aizsardzības līdzekļi".

Protams, lai gan “vecmodīgās” skrūvju un stiprinājumu specifikācijas joprojām ir svarīgas, programmatūra patiešām ir gandrīz jebkura mūsdienu ieroča vērtības piedāvājuma pamatā. Attiecībā uz F-35, elektronisko ieroci un galveno kaujas lauka informācijas un sakaru vārteju, Pentagonam vajadzētu būt daudz vairāk pielāgotam Ķīnas, Krievijas vai citam apšaubāmam ieguldījumam kritiskās programmatūras izstrādē, nekā tas varētu būt dažu Ķīnā ražotu sakausējumu noteikšanā.

Ne jau tā, ka strukturālo komponentu nacionālajam saturam trūkst nozīmes, taču, programmatūras formulēšanai kļūstot sarežģītākai, ko atbalsta visuresošas modulāras apakšprogrammas un atvērtā pirmkoda veidošanas bloki, palielinās ļaunumu iespējamība. Citiem vārdiem sakot, Ķīnas izcelsmes sakausējums pats par sevi nesagāzīs lidmašīnu, bet korumpēta, Ķīnā ražota programmatūra, kas tika ieviesta ļoti agrīnā apakšsistēmas ražošanas posmā.

Jautājumu ir vērts uzdot. Ja Amerikas augstākās prioritātes ieroču sistēmu piegādātāji neievēro kaut ko tik vienkāršu kā tērauda un vārpstas specifikācijas, kāda ir iespēja, ka kaitīga, specifikācijām neatbilstoša programmatūra tiek nejauši piesārņota ar satraucošu kodu?

Programmatūrai ir nepieciešama rūpīgāka pārbaude

Likmes ir augstas. Pagājušajā gadā, ikgadējā atskaite no Pentagona ieroču testētājiem Operatīvās pārbaudes un novērtēšanas direktora birojā (DOT&E) brīdināja, ka “lielākā daļa DOD sistēmu ir ļoti programmatūras ietilpīgas. Programmatūras kvalitāte un sistēmas vispārējā kiberdrošība bieži vien ir faktori, kas nosaka darbības efektivitāti un izdzīvošanu, un dažreiz arī letalitāti.

"Svarīgākais, ko varam nodrošināt, ir programmatūra, kas nodrošina šīs sistēmas," saka Kasabovs. “Aizsardzības piegādātāji nevar tikai koncentrēties un pārliecināties, ka sistēma nenāk no Krievijas vai Ķīnas. Svarīgāk ir saprast, kas ir šīs sistēmas programmatūra un kā šī programmatūra galu galā ir neaizsargāta.

Taču testētājiem var nebūt nepieciešamo rīku, lai novērtētu darbības risku. Saskaņā ar DOT&E operatori lūdz, lai kāds Pentagonā "pastāstītu viņiem, kādi ir kiberdrošības riski un to iespējamās sekas, un palīdzētu viņiem izstrādāt seku mazināšanas iespējas, lai cīnītos pret spēju zaudēšanu."

Lai to paveiktu, ASV valdība paļaujas uz kritiskām zema profila struktūrām, piemēram, Nacionālais standartu un tehnoloģiju institūtsvai NIST, lai ģenerētu standartus un citus pamata atbilstības rīkus, kas nepieciešami programmatūras drošībai. Bet finansējuma vienkārši nav. Marks Montgomerijs, Kibertelpas solāriju komisijas izpilddirektors, ir bijis aizņemts brīdinājums ka NIST būs grūti izdarīt tādas lietas kā, piemēram, publicēt norādījumus par drošības pasākumiem kritiskai programmatūrai, izstrādāt programmatūras testēšanas minimālos standartus vai vadīt piegādes ķēdes drošību, izmantojot budžetu, kas gadiem ilgi ir svārstījies nedaudz zem 80 miljonu ASV dolāru.

Vienkāršs risinājums nav redzams. NIST “back-office” norādījumi kopā ar agresīvākiem atbilstības centieniem var palīdzēt, taču Pentagonam ir jāatsakās no vecmodīgās “reaktīvās” pieejas piegādes ķēdes integritātei. Protams, lai gan ir lieliski pieķert neveiksmes, ir daudz labāk, ja proaktīvi centieni saglabāt piegādes ķēdes integritāti iedarbosies, kad aizsardzības darbuzņēmēji vispirms sāk izstrādāt ar aizsardzību saistītu kodu.