Začlenění „proaktivní bdělosti“ do high-tech dodavatelského řetězce Pentagonu

V národní obraně mohou být chyby v dodavatelském řetězci, pokud jsou odhaleny příliš pozdě, masivní a těžko překonatelné. A přesto se Pentagon příliš nesnaží implementovat proaktivnější detekční systémy, což je potenciálně nákladný proces náhodného testování záruk dodavatelů.

Tento nedostatek „proaktivní bdělosti“ však může mít velké náklady. V případech stavby lodí byla ocel mimo specifikaci – kritická součást – používána na ponorkách amerického námořnictva po dvě desetiletí, než se o problémech dozvěděl Pentagon. V poslední době, mimo specifikace šachty na palubě pobřežní stráže Offshore Patrol Cutter musel být nainstalován a odstraněn— trapná ztráta času a finančních prostředků jak pro dodavatele, tak pro vládní klienty.

Pokud by byly tyto problémy zachyceny brzy, krátkodobý zásah do zisků nebo harmonogramu by více než vyrovnal širší škody způsobené komplexním a dlouhodobým selháním dodavatelského řetězce.

Jinými slovy, dodavatelé mohou těžit z přísných externích testů a přísnějších – nebo dokonce náhodných – testů shody.

Zakladatel Fortress Information Security Peter Kassabov, který hovořil o a Defence and Aerospace Report podcast začátkem tohoto roku poznamenal, že postoje se mění a více vůdců v oblasti obrany se pravděpodobně začne dívat „na dodavatelský řetězec nejen jako na prostředek, který umožňuje, ale také jako na potenciální riziko“.

Ochranná regulace se stále vyvíjí. Aby však společnosti braly proactie bdělost dodavatelského řetězce vážněji, mohou společnosti čelit větším pobídkám, větším sankcím – nebo dokonce požadavku, aby vedoucí pracovníci hlavních hlavních dodavatelů byli osobně odpovědní za škody.

Staré režimy dodržování předpisů se zaměřují na staré cíle

A co víc je, že rámec dodržování dodavatelského řetězce Pentagonu, takový, jaký je, se i nadále zaměřuje na zajištění základní fyzické integrity základních konstrukčních součástí. A zatímco současné systémy kontroly kvality Pentagonu jsou stěží schopny zachytit konkrétní fyzické problémy, Pentagon se skutečně snaží prosadit současné standardy integrity ministerstva obrany pro elektroniku a software.

Obtížnost při posuzování integrity elektroniky a softwaru je velkým problémem. V dnešní době jsou vybavení a software používaný v armádních „černých skříňkách“ mnohem kritičtější. Jako jeden generál letectva vysvětleno v roce 2013„B-52 žil a umíral na kvalitě svého plechu. Dnes bude naše letadlo žít nebo zemřít na kvalitě našeho softwaru.“

Kassabov opakuje tuto obavu a varuje, že „svět se mění a my musíme změnit naši obranu“.

Jistě, zatímco „staromódní“ specifikace šroubů a spojovacích prvků jsou stále důležité, software je skutečně jádrem nabídky hodnot téměř každé moderní zbraně. Pro F-35, elektronickou zbraň a klíčovou informační a komunikační bránu na bojišti, by měl být Pentagon mnohem více naladěn na čínské, ruské nebo jiné pochybné příspěvky do kritického softwaru, než by tomu mohlo být při detekci některých slitin pocházejících z Číny.

Ne že by národní obsah strukturálních komponent postrádal důležitost, ale jak se formulace softwaru stává složitější, podporovaná všudypřítomnými modulárními podprogramy a open-source stavebními bloky, roste potenciál pro neplechu. Jinými slovy, slitina čínského původu sama o sobě letadlo nesestřelí, ale zkorumpovaný software pocházející z Číny, který byl zaveden ve velmi rané fázi výroby subsystému, by mohl.

Otázka stojí za položení. Pokud dodavatelé amerických zbraňových systémů s nejvyšší prioritou přehlížejí něco tak jednoduchého, jako jsou specifikace oceli a hřídelí, jaká je pravděpodobnost, že škodlivý software, který nesplňuje specifikace, bude neúmyslně kontaminován znepokojivým kódem?

Software potřebuje více kontroly

Sázky jsou vysoké. V loňském roce, výroční zpráva od testerů zbraní Pentagonu v Office of the Director, Operational Test and Evaluation (DOT&E) varovali, že „převážná většina systémů DOD je extrémně softwarově náročná. Kvalita softwaru a celková kybernetická bezpečnost systému jsou často faktory, které určují provozní efektivitu a schopnost přežití a někdy i smrtelnost.“

„Nejdůležitější věc, kterou můžeme zabezpečit, je software, který tyto systémy umožňuje,“ říká Kassabov. „Dodavatelé obrany se nemohou jen soustředit a ujistit se, že systém nepochází z Ruska nebo Číny. Je důležitější skutečně pochopit, co je software uvnitř tohoto systému a jak je nakonec tento software zranitelný.“

Testeři však nemusí mít nástroje potřebné k vyhodnocení operačního rizika. Podle DOT&E operátoři žádají někoho z Pentagonu, aby jim „řekl, jaká jsou rizika kybernetické bezpečnosti a jejich potenciální důsledky, a pomohl jim navrhnout možnosti zmírnění, jak se vypořádat se ztrátou schopnosti“.

Aby toho dosáhla, spoléhá vláda USA na kritické nízkoprofilové subjekty, jako je např Národní institut standardů a technologií, nebo NIST, ke generování standardů a dalších základních nástrojů pro dodržování předpisů potřebných k zabezpečení softwaru. Ale finance prostě nejsou. Mark Montgomery, výkonný ředitel komise Cyberspace Solarium Commission, byl zaneprázdněn varováním že NIST bude těžce nucen dělat věci, jako je publikovat pokyny k bezpečnostním opatřením pro kritický software, vyvinout minimální standard pro testování softwaru nebo vést zabezpečení dodavatelského řetězce „s rozpočtem, který se léta pohyboval těsně pod 80 miliony dolarů“.

Žádné jednoduché řešení není v dohledu. Pomoci mohou pokyny „back-office“ NIST spojené s agresivnějším úsilím o dodržování předpisů, ale Pentagon se musí odklonit od staromódního „reaktivního“ přístupu k integritě dodavatelského řetězce. Jistě, i když je skvělé zachytit selhání, je mnohem lepší, když proaktivní úsilí o zachování integrity dodavatelského řetězce nakopne druhé dodavatele obrany, aby nejprve začali vytvářet kód související s obranou.