Pentagonin kamppailu ohjelmistojen turvallisuuden takaamiseksi ei tule helpommaksi
NurPhoto Getty Imagesin kautta
Maanpuolustuksessa toimitusketjun virheet voivat, jos ne havaitaan liian myöhään, olla massiivisia ja vaikeita voittaa. Ja silti, Pentagon ei ole liian innokas ottamaan käyttöön ennakoivampia tunnistusjärjestelmiä, mikä on mahdollisesti kallis prosessi, jossa urakoitsijan vakuutukset testataan satunnaisesti.
Mutta tällä "ennakoivan valppauden" puutteella voi olla suuria kustannuksia. Laivanrakennustapauksissa määritelmien ulkopuolista terästä – kriittistä komponenttia – käytettiin Yhdysvaltain laivaston sukellusveneissä kahden vuosikymmenen ajan ennen kuin Pentagon sai tietää ongelmista. Äskettäin rannikkovartioston Offshore Patrol Cutter -laitteessa eriteltyjä piti asentaa ja poistaa— kiusallista ajan ja varojen tuhlausta sekä urakoitsijoiden että valtion asiakkaiden kannalta.
Jos nämä ongelmat olisi havaittu ajoissa, lyhyen aikavälin isku voittoon tai aikatauluun olisi enemmän kuin kompensoinut monimutkaisen ja pitkän aikavälin toimitusketjun epäonnistumisen laajemman vahingon.
Toisin sanoen toimittajat voivat hyötyä tiukoista ulkoisista testeistä ja tiukemmista – tai jopa satunnaisista – vaatimustenmukaisuustesteistä.
Fortress Information Securityn perustaja Peter Kassabov puhumassa a Puolustus- ja ilmailuraportti podcast aiemmin tänä vuonna, totesi, että asenteet ovat muuttumassa ja yhä useammat puolustusjohtajat alkavat katsoa "toimitusketjua paitsi mahdollistajana myös mahdollisena riskinä".
Suojamääräyksiä kehitetään edelleen. Mutta saadakseen yritykset ottamaan ennakoivaan toimitusketjun valppauteen vakavammin, yritykset voivat kohdata suurempia kannustimia, suurempia sanktioita – tai ehkä jopa vaatimuksen, että suurten pääurakoitsijoiden johtajat ovat henkilökohtaisesti vastuussa vahingoista.
On tarpeeksi vaikea varmistaa komponenttien eheys. Ohjelmiston eheys on vielä vaikeampaa.
Tekijänoikeus 2022 The Associated Press. Kaikki oikeudet pidätetään
Vanhat vaatimustenmukaisuusjärjestelmät keskittyvät vanhoihin tavoitteisiin
Lisäksi Pentagonin toimitusketjun noudattamista koskeva kehys, sellaisena kuin se on, keskittyy edelleen varmistamaan perusrakenneosien fyysisen perustavanlaatuisen eheyden. Ja vaikka Pentagonin nykyiset laadunvalvontajärjestelmät pystyvät hädin tuskin havaitsemaan konkreettisia fyysisiä ongelmia, Pentagonilla on todella vaikeuksia panna täytäntöön nykyiset puolustusministeriön elektroniikan ja ohjelmiston eheysstandardit.
Elektroniikan ja ohjelmistojen eheyden arvioinnin vaikeus on suuri ongelma. Nykyään armeijan "mustissa laatikoissa" käytetyt varusteet ja ohjelmistot ovat paljon kriittisempiä. Yhtenä ilmavoimien kenraalina Selitettiin vuonna 2013, "B-52 eli ja kuoli peltinsä laadusta. Tänään lentokoneemme elää tai kuolee ohjelmistojemme laadun vuoksi."
Kassabov toistaa tämän huolen ja varoittaa, että "maailma muuttuu ja meidän on muutettava puolustusta".
Vaikka "vanhanaikaiset" pulttien ja kiinnikkeiden tekniset tiedot ovat edelleen tärkeitä, ohjelmistot ovat todellakin melkein minkä tahansa nykyaikaisen aseen arvolupauksen ytimessä. F-35:n, elektronisen aseen ja keskeisen taistelukentän tieto- ja viestintäyhdyskäytävän, osalta Pentagonin pitäisi olla paljon paremmin virittynyt kiinalaisten, venäläisten tai muiden kyseenalaisten panostuksiin kriittisissä ohjelmistoissa kuin joidenkin Kiinasta peräisin olevien metalliseosten havaitsemisessa.
Ei sillä, että rakenteellisten komponenttien kansallisella sisällöllä olisi merkitystä, mutta kun ohjelmistojen muotoilu muuttuu monimutkaisemmaksi, kaikkialla olevien modulaaristen aliohjelmien ja avoimen lähdekoodin rakennuspalikoiden tukemana, ilkivallan mahdollisuus kasvaa. Toisin sanoen Kiinasta peräisin oleva metalliseos ei sinällään tuhoa lentokonetta, mutta korruptoituneet, Kiinasta peräisin olevat ohjelmistot, jotka esiteltiin osajärjestelmän tuotannon varhaisessa vaiheessa, voivat.
Kysymys on kysymisen arvoinen. Jos Amerikan tärkeimpien asejärjestelmien toimittajat jättävät huomiotta jotain niin yksinkertaista kuin teräksen ja akselin tekniset tiedot, mitkä ovat todennäköisyydet, että haitalliset, määritelmien ulkopuoliset ohjelmistot saastuvat tahattomasti huolestuttavalla koodilla?
Elektroniikka ja ohjelmistot ovat toimitusketjun turvallisuuden seuraava raja
Getty Images
Ohjelmisto tarvitsee enemmän tarkastelua
Panokset ovat korkeat. Viime vuonna, vuosikatsaus Pentagonin asetestaajat Office of the Director, Operational Test and Evaluation (DOT&E) varoittivat, että "valtaosa DOD-järjestelmistä on erittäin ohjelmistointensiivisiä. Ohjelmiston laatu ja järjestelmän yleinen kyberturvallisuus ovat usein tekijöitä, jotka määräävät toiminnan tehokkuuden ja selviytymisen ja joskus myös kuoleman."
"Tärkein asia, jonka voimme turvata, on ohjelmisto, joka mahdollistaa nämä järjestelmät", Kassabov sanoo. ”Puolustustoimittajat eivät voi vain keskittyä ja varmistaa, ettei järjestelmä tule Venäjältä tai Kiinasta. On tärkeämpää ymmärtää, mikä ohjelmisto tämän järjestelmän sisällä on ja kuinka tämä ohjelmisto lopulta on haavoittuvainen."
Mutta testaajilla ei ehkä ole tarvittavia työkaluja operatiivisen riskin arvioimiseen. DOT&E:n mukaan operaattorit pyytävät jotakuta Pentagonista "kerromaan heille, mitkä ovat kyberturvallisuusriskit ja niiden mahdolliset seuraukset, ja auttamaan heitä suunnittelemaan lievennysvaihtoehtoja kyvykkyyden menettämisen torjumiseksi".
Tämän auttamiseksi Yhdysvaltain hallitus luottaa kriittisiin matalan profiilin yksiköihin, kuten Kansallinen standardointi- ja teknologiainstituutti, tai NIST, luomaan standardeja ja muita perusvaatimustenmukaisuustyökaluja, joita tarvitaan ohjelmistojen suojaamiseen. Mutta rahoitusta ei vain ole. Mark Montgomery, Cyberspace Solarium Commissionin toiminnanjohtaja, on ollut kiireinen varoitus että NIST:n on vaikea tehdä asioita, kuten julkaista ohjeita kriittisten ohjelmistojen turvatoimista, kehittää vähimmäisstandardeja ohjelmistotestauksille tai ohjata toimitusketjun turvallisuutta "budjetilla, joka on ollut vuosia hieman alle 80 miljoonassa dollarissa".
Yksinkertaista ratkaisua ei ole näköpiirissä. NIST:n "back-office" -opastus yhdistettynä aggressiivisempiin noudattamistoimiin voi auttaa, mutta Pentagonin on siirryttävä pois vanhanaikaisesta "reaktiivisesta" lähestymistavasta toimitusketjun eheyden suhteen. Vaikka onkin hienoa havaita epäonnistumisia, on paljon parempi, jos ennakoivat toimet toimitusketjun eheyden ylläpitämiseksi alkavat toistaiseksi puolustusurakoitsijat alkavat ensin laatia puolustukseen liittyvää koodia.
Lähde: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/