Внедрение «активной бдительности» в цепочку поставок высоких технологий Пентагона

В национальной обороне ошибки цепочки поставок, обнаруженные слишком поздно, могут быть массовыми и трудноустранимыми. И все же Пентагон не слишком стремится внедрять более проактивные системы обнаружения, что является потенциально дорогостоящим процессом случайной проверки гарантий подрядчиков.

Но это отсутствие «активной бдительности» может дорого обойтись. В судостроении сталь, не отвечающая техническим требованиям, — критически важный компонент — использовалась на подводных лодках ВМС США в течение двух десятилетий, прежде чем Пентагон узнал о проблемах. Совсем недавно нестандартный вал на борту морского патрульного катера береговой охраны. пришлось установить и удалить— досадная трата времени и средств как для подрядчиков, так и для государственных заказчиков.

Если бы эти проблемы были обнаружены на раннем этапе, краткосрочный удар по прибыли или графику с лихвой компенсировал бы более широкий ущерб от сложного и долгосрочного сбоя цепочки поставок.

Иными словами, поставщики могут извлечь выгоду из интенсивных внешних испытаний и более строгих — или даже выборочных — проверок на соответствие.

Основатель Fortress Information Security Петр Кассабов, выступая на Подкаст Defense and Aerospace Report ранее в этом году отметил, что отношение меняется, и все больше руководителей оборонных ведомств, вероятно, начнут рассматривать «цепочку поставок не только как фактор, но и как потенциальный риск».

Защитное регулирование все еще разрабатывается. Но чтобы заставить компании более серьезно относиться к проактивной бдительности цепочки поставок, компании могут столкнуться с более сильными стимулами, более серьезными санкциями или, возможно, даже с требованием, чтобы руководители крупных генеральных подрядчиков несли личную ответственность за ущерб.

Старые режимы соответствия фокусируются на старых целях

Более того, структура соответствия цепочек поставок Пентагона, как она есть, по-прежнему сосредоточена на обеспечении фундаментальной физической целостности основных структурных компонентов. И в то время как нынешние системы контроля качества Пентагона едва способны выявлять конкретные физические проблемы, Пентагон действительно изо всех сил пытается обеспечить соблюдение текущих стандартов целостности Министерства обороны для электроники и программного обеспечения.

Сложность оценки целостности электроники и программного обеспечения является большой проблемой. В наши дни оборудование и программное обеспечение, используемые в военных «черных ящиках», гораздо важнее. Как один генерал ВВС объяснил в 2013 году, «В-52 жил и умер благодаря качеству своего листового металла. Сегодня наши самолеты будут жить или умрут в зависимости от качества нашего программного обеспечения».

Касабов разделяет эту обеспокоенность, предупреждая, что «мир меняется, и нам нужно изменить нашу защиту».

Конечно, хотя «старомодные» характеристики болтов и застежек по-прежнему важны, программное обеспечение действительно лежит в основе ценностного предложения почти любого современного оружия. Что касается F-35, электронного оружия и ключевого информационного и коммуникационного шлюза на поле боя, Пентагон должен быть гораздо более настроен на китайский, российский или другой сомнительный вклад в критически важное программное обеспечение, чем на обнаружение некоторых сплавов китайского производства.

Не то чтобы национальное содержание структурных компонентов не имело значения, но по мере того, как разработка программного обеспечения становилась все более сложной, поддерживаемой вездесущими модульными подпрограммами и строительными блоками с открытым исходным кодом, потенциал для вреда растет. Иными словами, сплав китайского производства сам по себе не сможет сбить самолет, но поврежденное программное обеспечение китайского производства, внедренное на очень ранней стадии производства подсистемы, может.

Вопрос стоит задать. Если поставщики самых приоритетных систем вооружений Америки упускают из виду такие простые вещи, как спецификации стали и валов, каковы шансы, что вредоносное, не соответствующее спецификациям программное обеспечение будет непреднамеренно заражено тревожным кодом?

Программное обеспечение нуждается в дополнительной проверке

Ставки высоки. В прошлом году годовой отчет из Пентагона испытатели оружия из Управления директора по оперативным испытаниям и оценке (DOT&E) предупредили, что «подавляющее большинство систем Министерства обороны чрезвычайно интенсивно используют программное обеспечение. Качество программного обеспечения и общая кибербезопасность системы часто являются факторами, определяющими операционную эффективность и живучесть, а иногда и летальность».

«Самое важное, что мы можем защитить, — это программное обеспечение, на котором работают эти системы, — говорит Касабов. «Поставщики вооружений не могут просто сосредоточиться и убедиться, что система не из России или Китая. Более важно на самом деле понять, что представляет собой программное обеспечение внутри этой системы и насколько в конечном итоге это программное обеспечение уязвимо».

Но у тестировщиков может не быть инструментов, необходимых для оценки операционного риска. Согласно DOT&E, операторы просят кого-нибудь в Пентагоне «рассказать им, каковы риски кибербезопасности и их потенциальные последствия, и помочь им разработать варианты смягчения последствий для борьбы с потерей возможностей».

Чтобы помочь в этом, правительство США полагается на критически важные низкопрофильные организации, такие как Национальный Институт Стандартов и Технологий, или NIST, для создания стандартов и других основных инструментов соответствия, необходимых для защиты программного обеспечения. Но финансирования просто нет. Марк Монтгомери, исполнительный директор Комиссии Cyberspace Solarium, был занят предупреждение что NIST будет трудно сделать такие вещи, как публикация руководства по мерам безопасности для критически важного программного обеспечения, разработка минимального стандарта для тестирования программного обеспечения или обеспечение безопасности цепочки поставок «с бюджетом, который в течение многих лет колебался в размере чуть менее 80 миллионов долларов».

Простого решения не видно. Руководство «бэк-офиса» NIST в сочетании с более активными усилиями по соблюдению требований может помочь, но Пентагон должен отойти от старомодного «реактивного» подхода к целостности цепочки поставок. Конечно, несмотря на то, что выявлять сбои — это здорово, гораздо лучше, если упреждающие усилия по поддержанию целостности цепочки поставок дадут толчок второму оборонному подрядчику, который сначала начнет разрабатывать код, связанный с обороной.