„Proaktyvaus budrumo“ įtraukimas į Pentagono aukštųjų technologijų tiekimo grandinę

Krašto apsaugos srityje tiekimo grandinės klaidos, kai jos nustatomos per vėlai, gali būti didžiulės ir sunkiai įveikiamos. Ir vis dėlto, Pentagonas ne itin nori įdiegti aktyvesnes aptikimo sistemas – potencialiai brangų procesą atsitiktinai tikrinant rangovo garantijas.

Tačiau šis „aktyvaus budrumo“ trūkumas gali turėti didelių išlaidų. Laivų statyboje du dešimtmečius, kol Pentagonas sužinojo apie problemas, JAV karinio jūrų laivyno povandeniniuose laivuose buvo naudojamas nespecifinis plienas – esminis komponentas. Visai neseniai pakrantės apsaugos jūroje patruliuojantis kateris, neatitinkantis specifikacijų reikėjo sumontuoti ir nuimti– gėdingas laiko ir lėšų švaistymas tiek rangovams, tiek vyriausybiniams klientams.

Jei šios problemos būtų pastebėtos anksti, trumpalaikis smūgis pelnui ar tvarkaraščiui būtų daugiau nei kompensavęs platesnę sudėtingo ir ilgalaikio tiekimo grandinės gedimo žalą.

Kitaip tariant, tiekėjams gali būti naudingi intensyvūs išoriniai bandymai ir griežtesni arba net atsitiktiniai atitikties testai.

Informacinio saugumo tvirtovės įkūrėjas Petras Kasabovas, kalbėdamas apie a Gynybos ir aviacijos ataskaitų podcast'as anksčiau šiais metais pažymėjo, kad požiūris keičiasi ir tikėtina, kad daugiau gynybos lyderių pradės žiūrėti „į tiekimo grandinę ne tik kaip į veiksnį, bet ir kaip į galimą riziką“.

Apsauginis reglamentas vis dar kuriamas. Tačiau norint, kad įmonės rimčiau žiūrėtų į atsargų tiekimo grandinės budrumą, įmonės gali susidurti su didesnėmis paskatomis, didesnėmis sankcijomis arba net reikalavimu, kad pagrindinių pagrindinių rangovų vadovai būtų asmeniškai atsakingi už žalą.

Seni atitikties režimai sutelkia dėmesį į senus tikslus

Dar daugiau yra tai, kad Pentagono tiekimo grandinės atitikties sistema, tokia, kokia ji yra, ir toliau yra orientuota į pagrindinio fizinio pagrindinių struktūrinių komponentų vientisumo užtikrinimą. Ir nors dabartinės Pentagono kokybės kontrolės sistemos vos nepajėgia susigaudyti konkrečių fizinių problemų, Pentagonas tikrai stengiasi įgyvendinti dabartinius Gynybos departamento elektronikos ir programinės įrangos vientisumo standartus.

Sunkumai vertinant elektronikos ir programinės įrangos vientisumą yra didelė problema. Šiomis dienomis kariuomenės „juodosiose dėžėse“ naudojama įranga ir programinė įranga yra daug svarbesnė. Kaip vienas oro pajėgų generolas paaiškino 2013 m„B-52 gyveno ir mirė dėl savo lakštinio metalo kokybės. Šiandien mūsų orlaiviai gyvuos arba mirs dėl mūsų programinės įrangos kokybės.

Kassabovas kartoja šį susirūpinimą ir perspėja, kad „pasaulis keičiasi ir mes turime pakeisti savo gynybą“.

Žinoma, nors „senamadiškos“ varžtų ir tvirtinimo detalių specifikacijos vis dar svarbios, programinė įranga iš tikrųjų yra beveik bet kurio šiuolaikinio ginklo vertės pasiūlymo pagrindas. Kalbant apie F-35, elektroninį ginklą ir pagrindinius mūšio lauko informacijos ir ryšių vartus, Pentagonas turėtų būti kur kas labiau pritaikytas Kinijos, Rusijos ar kitokiam abejotinam indėliui į svarbią programinę įrangą, nei aptikti kai kuriuos iš Kinijos pagamintus lydinius.

Ne todėl, kad nacionaliniam struktūrinių komponentų turiniui trūktų svarbos, tačiau programinės įrangos formulavimui tampant sudėtingesnei, palaikomai visur esančių modulinių paprogramių ir atvirojo kodo kūrimo blokų, didėja piktnaudžiavimo galimybė. Kitaip tariant, iš Kinijos gautas lydinys pats nepanaikins orlaivio, tačiau sugadinta Kinijos programinė įranga, pristatyta labai ankstyvame posistemio gamybos etape.

Klausimas vertas. Jei Amerikos aukščiausio prioriteto ginklų sistemų tiekėjai nepaiso tokių paprastų dalykų, kaip plieno ir velenų specifikacijos, kokia tikimybė, kad žalinga, specifikacijų neatitinkanti programinė įranga bus netyčia užteršta nerimą keliančiu kodu?

Programinei įrangai reikia daugiau patikrinimo

Statos didelės. Praėjusiais metais, metinis pranešimas Pentagono ginklų bandytojai iš Operatyvinio bandymo ir vertinimo direktoriaus biuro (DOT&E) perspėjo, kad „didžioji dauguma DOD sistemų yra itin daug programinės įrangos. Programinės įrangos kokybė ir bendras sistemos kibernetinis saugumas dažnai yra veiksniai, lemiantys veiklos efektyvumą ir išgyvenamumą, o kartais ir mirtingumą.

„Svarbiausias dalykas, kurį galime apsaugoti, yra programinė įranga, kuri įgalina šias sistemas“, – sako Kassabovas. „Gynybos tiekėjai negali tiesiog susikaupti ir užtikrinti, kad sistema nebūtų iš Rusijos ar Kinijos. Svarbiau iš tikrųjų suprasti, kas yra šios sistemos programinė įranga ir kaip galiausiai ši programinė įranga yra pažeidžiama.

Tačiau testuotojai gali neturėti įrankių, reikalingų operacinei rizikai įvertinti. Pasak DOT&E, operatoriai prašo, kad kas nors iš Pentagono „pasakytų jiems, kokia yra kibernetinio saugumo rizika ir galimos jų pasekmės, ir padėtų jiems sugalvoti švelninimo būdus, kaip kovoti su pajėgumų praradimu“.

Kad padėtų tai padaryti, JAV vyriausybė remiasi kritinėmis žemo profilio subjektais, pvz., Nacionalinis standartų ir technologijų institutasarba NIST, kad sukurtų standartus ir kitas pagrindines atitikties priemones, reikalingas programinei įrangai apsaugoti. Tačiau finansavimo tiesiog nėra. Markas Montgomery, Kibernetinės erdvės soliariumo komisijos vykdomasis direktorius, buvo užsiėmęs įspėjimas kad NIST bus sunku daryti tokius dalykus, kaip paskelbti svarbios programinės įrangos saugos priemonių gaires, parengti minimalius programinės įrangos testavimo standartus arba vadovauti tiekimo grandinės saugumui „su biudžetu, kuris daugelį metų siekė šiek tiek mažiau nei 80 mln.

Paprasto sprendimo nematyti. NIST „back-office“ gairės kartu su agresyvesnėmis atitikties pastangomis gali padėti, tačiau Pentagonas turi atsisakyti senamadiško „reaktyvaus“ požiūrio į tiekimo grandinės vientisumą. Žinoma, nors ir puiku užfiksuoti gedimus, daug geriau, jei aktyvios pastangos išlaikyti tiekimo grandinės vientisumą padėtų antrajai gynybos rangovai pradėtų kurti su gynyba susijusį kodą.