Убудаванне «праектыўнай пільнасці» ў высокатэхналагічны ланцужок паставак Пентагона

У сферы нацыянальнай абароны памылкі ў ланцужку паставак, калі іх выяўляюць занадта позна, могуць быць масавымі і іх цяжка пераадолець. Тым не менш, Пентагон не надта імкнецца ўкараняць больш актыўныя сістэмы выяўлення, патэнцыйна дарагі працэс выпадковага тэсціравання гарантый падрадчыка.

Але гэты недахоп «актыўнай пільнасці» можа мець вялікія выдаткі. У караблебудаўнічых выпадках сталь, якая не адпавядае спецыфікацыям, - найважнейшы кампанент - выкарыстоўвалася на падводных лодках ВМС ЗША на працягу двух дзесяцігоддзяў, перш чым Пентагон даведаўся аб праблемах. Зусім нядаўна па-за спецыфікацыямі валы на борце марскога патрульнага катэра берагавой аховы трэба было ўсталяваць і зняць— няёмкая трата часу і сродкаў як для падрадчыкаў, так і для дзяржаўных кліентаў.

Калі б гэтыя праблемы былі выяўлены рана, кароткатэрміновы ўдар па прыбытку або графіку з лішкам кампенсаваў бы большы ўрон ад складанага і доўгатэрміновага збою ў ланцужку паставак.

Іншымі словамі, пастаўшчыкі могуць выйграць ад інтэнсіўных знешніх выпрабаванняў і больш строгіх ці нават выпадковых тэстаў на адпаведнасць.

Заснавальнік Fortress Information Security Пётр Касабаў, выступаючы на ​​а Падкаст Defense and Aerospace Report раней у гэтым годзе адзначыў, што стаўленне мяняецца, і ўсё больш кіраўнікоў у сферы абароны, верагодна, пачнуць разглядаць «ланцужок паставак не толькі як фактар, які спрыяе, але і як патэнцыйную рызыку».

Ахоўнае рэгуляванне яшчэ распрацоўваецца. Але каб прымусіць кампаніі больш сур'ёзна ставіцца да пільнасці ланцужкоў паставак, кампаніі могуць сутыкнуцца з большымі стымуламі, большымі санкцыямі або, магчыма, нават з патрабаваннем, каб кіраўнікі буйных галоўных падрадчыкаў неслі асабістую адказнасць за шкоду.

Старыя рэжымы адпаведнасці засяроджваюцца на старых мэтах

Больш за тое, структура адпаведнасці ланцужкоў паставак Пентагона, якая яна ёсць, па-ранейшаму сканцэнтравана на забеспячэнні фундаментальнай фізічнай цэласнасці асноўных структурных кампанентаў. І ў той час як цяперашнія сістэмы кантролю якасці Пентагона ледзьве здольныя ўлавіць канкрэтныя фізічныя праблемы, Пентагон сапраўды змагаецца за выкананне сучасных стандартаў добрасумленнасці Міністэрства абароны для электронікі і праграмнага забеспячэння.

Цяжкасці ў ацэнцы электронікі і цэласнасці праграмнага забеспячэння з'яўляюцца вялікай праблемай. У нашы дні абсталяванне і праграмнае забеспячэнне, якія выкарыстоўваюцца ў вайсковых «чорных скрынях», значна больш важныя. Як адзін генерал ВПС растлумачана ў 2013 годзе, «B-52 жыў і памёр дзякуючы якасці ліставога металу. Сёння наш самалёт будзе жыць або памрэ ад якасці нашага праграмнага забеспячэння».

Касабаў паўтарае гэтую заклапочанасць, папярэджваючы, што «свет мяняецца, і мы павінны змяніць нашу абарону».

Безумоўна, у той час як «старамодныя» спецыфікацыі нітаў і крапежных элементаў па-ранейшаму важныя, праграмнае забеспячэнне сапраўды з'яўляецца ядром практычна любой сучаснай зброі. Што тычыцца F-35, электроннай зброі і ключавога інфармацыйнага і камунікацыйнага шлюза на полі бою, Пентагон павінен быць значна больш прыстасаваны да кітайскага, расійскага або іншага сумнеўнага ўкладу ў крытычна важнае праграмнае забеспячэнне, чым гэта можа быць пры выяўленні некаторых сплаваў кітайскага паходжання.

Не тое, каб нацыянальны змест структурных кампанентаў не меў значэння, але па меры ўскладнення распрацоўкі праграмнага забеспячэння, падтрымоўванага паўсюднымі модульнымі падпраграмамі і будаўнічых блокаў з адкрытым зыходным кодам, патэнцыял для свавольства расце. Іншымі словамі, сплаў кітайскага паходжання не можа збіць самалёт сам па сабе, але карумпаванае праграмнае забеспячэнне кітайскага паходжання, уведзенае на вельмі ранняй стадыі вытворчасці падсістэм, можа.

Пытанне варта задаць. Калі пастаўшчыкі найбольш прыярытэтных амерыканскіх сістэм узбраення не звяртаюць увагі на нешта такое простае, як спецыфікацыі сталі і вала, якая верагоднасць таго, што шкоднае праграмнае забеспячэнне, якое не адпавядае спецыфікацыям, ненаўмысна заражана трывожным кодам?

Праграмнае забеспячэнне патрабуе больш пільнай увагі

Стаўкі высокія. У мінулым годзе, ст гадавы справаздачу Выпрабавальнікі зброі Пентагона ў офісе дырэктара аддзела аператыўных выпрабаванняў і ацэнкі (DOT&E) папярэдзілі, што «пераважная большасць сістэм Міністэрства абароны надзвычай інтэнсіўна патрабуе праграмнага забеспячэння. Якасць праграмнага забеспячэння і агульная кібербяспека сістэмы часта з'яўляюцца фактарамі, якія вызначаюць аператыўную эфектыўнасць і жывучасць, а часам і смяротнасць».

«Самае галоўнае, што мы можам абараніць, — гэта праграмнае забеспячэнне, якое забяспечвае працу гэтых сістэм, — кажа Касабаў. «Пастаўшчыкі абароннай тэхнікі не могуць проста засяродзіцца і пераканацца, што сістэма не паходзіць з Расеі ці Кітая. Больш важна на самой справе зразумець, што такое праграмнае забеспячэнне ўнутры гэтай сістэмы і наколькі гэта праграмнае забеспячэнне ўразлівае».

Але тэсціроўшчыкі могуць не мець інструментаў, неабходных для ацэнкі аперацыйнай рызыкі. Згодна з DOT&E, аператары просяць каго-небудзь з Пентагона «расказаць ім, якія рызыкі кібербяспекі і іх магчымыя наступствы, і дапамагчы ім распрацаваць варыянты змякчэння наступстваў для барацьбы са стратай здольнасці».

Каб дапамагчы ў гэтым, урад ЗША абапіраецца на важныя суб'екты нізкага профілю, такія як Нацыянальны інстытут стандартаў і тэхналогій, або NIST, для стварэння стандартаў і іншых асноўных інструментаў адпаведнасці, неабходных для забеспячэння бяспекі праграмнага забеспячэння. Але фінансавання проста няма. Марк Мантгомеры, выканаўчы дырэктар Камісіі па салярыі ў кіберпрасторы, быў заняты папярэджаннем што NIST будзе цяжка рабіць такія рэчы, як публікацыя рэкамендацый па мерах бяспекі для крытычнага праграмнага забеспячэння, распрацоўка мінімальных стандартаў для тэсціравання праграмнага забеспячэння або кіраўніцтва па бяспецы ланцужкоў паставак «з бюджэтам, які гадамі вагаўся ў крыху менш за 80 мільёнаў долараў».

Простага рашэння не відаць. «Бэк-офісныя» рэкамендацыі NIST у спалучэнні з больш агрэсіўнымі намаганнямі па адпаведнасці могуць дапамагчы, але Пентагон павінен адысці ад старамоднага «рэактыўнага» падыходу да цэласнасці ланцужкоў паставак. Безумоўна, хаця фіксаваць няўдачы вельмі добра, значна лепш, калі актыўныя намаганні па падтрыманні цэласнасці ланцужкоў паставак дадуць вынік другім абаронным падрадчыкам, якія спачатку пачнуць ствараць код, звязаны з абаронай.