Вбудовування «проактивної пильності» в високотехнологічний ланцюг поставок Пентагону

У сфері національної оборони помилки в ланцюзі поставок, якщо їх виявляють надто пізно, можуть бути масовими і їх важко подолати. І все ж Пентагон не дуже хоче впроваджувати більш проактивні системи виявлення, потенційно дорогий процес випадкового тестування гарантій підрядників.

Але ця відсутність «проактивної пильності» може мати великі витрати. У суднобудівних випадках на підводних човнах ВМС США протягом двох десятиліть до того, як Пентагон дізнався про проблеми, використовувалася сталь, яка не відповідала специфікаціям – критичний компонент. Зовсім нещодавно, поза специфікацією шахти на борту морського патрульного катера берегової охорони довелося встановлювати і знімати— ганебна трата часу та коштів як для підрядників, так і для державних клієнтів.

Якби ці проблеми були виявлені на ранній стадії, короткостроковий удар по прибутку чи графіку з лишком компенсував би більший збиток від складного та довгострокового збою ланцюжка поставок.

Іншими словами, постачальники можуть отримати вигоду від ретельних зовнішніх тестів і більш суворих — або навіть випадкових — тестів на відповідність.

Засновник Fortress Information Security Петро Касабов, виступаючи на a Подкаст Defense and Aerospace Report на початку цього року зазначив, що ставлення змінюється, і все більше керівників оборонного сектору, швидше за все, почнуть дивитися на «ланцюжок поставок не лише як на фактор, але й як на потенційний ризик».

Охоронне регулювання ще розробляється. Але для того, щоб змусити компанії більш серйозно ставитися до пильності ланцюга постачання, компанії можуть зіткнутися з більшими стимулами, більшими санкціями або, можливо, навіть з вимогою, щоб керівники великих головних підрядників несли особисту відповідальність за збитки.

Старі режими відповідності зосереджені на старих цілях

Більше того, система відповідності ланцюга постачання Пентагону, як вона є, залишається зосередженою на забезпеченні фундаментальної фізичної цілісності основних структурних компонентів. І хоча нинішні системи контролю якості Пентагону ледь здатні вловити конкретні фізичні проблеми, Пентагону справді важко забезпечити дотримання поточних стандартів цілісності Міністерства оборони для електроніки та програмного забезпечення.

Труднощі в оцінці електроніки та цілісності програмного забезпечення є великою проблемою. У наші дні спорядження та програмне забезпечення, які використовуються у військових «чорних скриньках», набагато важливіші. Як один генерал ВПС пояснив у 2013 році, «B-52 жив і помер завдяки якості свого листового металу. Сьогодні наш літак житиме або помре від якості нашого програмного забезпечення».

Касабов повторює це занепокоєння, попереджаючи, що «світ змінюється, і нам потрібно змінити наш захист».

Безумовно, незважаючи на те, що «старомодні» специфікації болтів і кріплень все ще важливі, програмне забезпечення насправді є основою ціннісної пропозиції майже будь-якої сучасної зброї. Щодо F-35, електронної зброї та ключового інформаційно-комунікаційного шлюзу на полі бою, Пентагон повинен бути набагато більше налаштований на китайські, російські чи інші сумнівні внески в критично важливе програмне забезпечення, ніж на виявлення деяких сплавів китайського походження.

Не те, щоб національний зміст структурних компонентів був неважливий, але оскільки формулювання програмного забезпечення стає складнішим, підтримуючи всюдисущі модульні підпрограми та будівельні блоки з відкритим вихідним кодом, зростає потенціал для лиха. Іншими словами, сплав китайського виробництва сам по собі не виведе з ладу літак, але пошкоджене китайське програмне забезпечення, запроваджене на дуже ранній стадії виробництва підсистеми, може.

Питання варто поставити. Якщо постачальники найпріоритетніших американських систем озброєнь не звертають уваги на щось таке просте, як специфікації сталі та вала, які ймовірності того, що шкідливе програмне забезпечення, що не відповідає специфікаціям, ненавмисно заражене тривожним кодом?

Програмне забезпечення потребує більш ретельної перевірки

Ставки високі. Минулого року, річний звіт Тестери зброї Пентагону в Офісі директора відділу операційних випробувань та оцінки (DOT&E) попередили, що «переважна більшість систем Міністерства оборони надзвичайно інтенсивно потребують програмного забезпечення. Якість програмного забезпечення та загальна кібербезпека системи часто є факторами, які визначають ефективність роботи та живучість, а іноді й летальність».

«Найголовніше, що ми можемо захистити, — це програмне забезпечення, яке підтримує ці системи, — каже Касабов. «Постачальники оборонної продукції не можуть просто зосередитися і переконатися, що система не надходить з Росії чи Китаю. Важливіше насправді зрозуміти, що таке програмне забезпечення всередині цієї системи та наскільки це програмне забезпечення вразливе».

Але тестувальники можуть не мати інструментів, необхідних для оцінки операційного ризику. Згідно з DOT&E, оператори просять когось із Пентагону «розповісти їм, які ризики для кібербезпеки та їхні потенційні наслідки, а також допомогти їм розробити варіанти пом’якшення для боротьби із втратою можливостей».

Щоб допомогти зробити це, уряд США покладається на критичні маловідомі організації, такі як Національний інститут стандартів і технологій, або NIST, для створення стандартів та інших основних інструментів відповідності, необхідних для захисту програмного забезпечення. Але фінансування просто немає. Марк Монтгомері, виконавчий директор Комісії Cyberspace Solarium, попередження про зайнятість що NIST буде важко робити такі речі, як публікація вказівок щодо заходів безпеки для критичного програмного забезпечення, розробка мінімальних стандартів для тестування програмного забезпечення або керівництво безпекою ланцюга постачання «з бюджетом, який роками коливався на рівні трохи менше 80 мільйонів доларів».

Простого рішення не видно. Рекомендації NIST «бек-офіс» у поєднанні з більш агресивними зусиллями щодо відповідності можуть допомогти, але Пентагон має відійти від старомодного «реактивного» підходу до цілісності ланцюжка поставок. Звичайно, хоча виявляти невдачі чудово, набагато краще, якщо проактивні зусилля щодо підтримки цілісності ланцюга постачання дадуть удар у другій частині оборонних підрядників, які спочатку почнуть створювати пов’язаний з обороною код.