Innbygging av "proaktiv årvåkenhet" i Pentagons høyteknologiske forsyningskjede

I nasjonalt forsvar kan feil i forsyningskjeden, når de oppdages for sent, være massive og vanskelige å overvinne. Og likevel, Pentagon er ikke så ivrig etter å implementere mer proaktive deteksjonssystemer, en potensielt kostbar prosess med tilfeldig testing av entreprenørforsikringer.

Men denne mangelen på "proaktiv årvåkenhet" kan ha store kostnader. I skipsbyggingstilfeller ble stål uten spesifikasjon – en kritisk komponent – ​​brukt på US Navy-ubåter i to tiår før Pentagon fikk vite om problemene. Mer nylig, ut-av-spesifikasjonen shafting ombord Coast Guard's Offshore Patrol Cutter måtte installeres og fjernes—en pinlig sløsing med tid og midler for både entreprenørene og offentlige oppdragsgivere.

Hadde disse problemene blitt fanget opp tidlig, ville det kortsiktige slaget mot fortjeneste eller tidsplan ha mer enn oppveid den bredere skaden av en kompleks og langsiktig forsyningskjedesvikt.

Sagt på en annen måte kan leverandørene dra nytte av kraftige eksterne tester og strengere – eller til og med tilfeldige – samsvarstester.

Grunnlegger av Fortress Information Security, Peter Kassabov, taler om en Podcast for forsvars- og romfartsrapport tidligere i år, bemerket at holdninger endrer seg og flere forsvarsledere vil sannsynligvis begynne å se "på forsyningskjeden ikke bare som en muliggjører, men også som en potensiell risiko."

Beskyttende regulering er fortsatt under utvikling. Men for å få selskaper til å ta proaktiv forsyningskjedevåkenhet mer alvorlig, kan selskaper møte større insentiver, større sanksjoner – eller kanskje til og med et krav om at ledere hos store hovedentreprenører skal være personlig erstatningsansvarlige.

Gamle overholdelsesregimer fokuserer på gamle mål

Dessuten er Pentagons rammeverk for samsvar med forsyningskjeden, slik det er, fortsatt fokusert på å sikre den grunnleggende fysiske integriteten til grunnleggende strukturelle komponenter. Og mens Pentagons nåværende kvalitetskontrollsystemer knapt er i stand til å fange opp konkrete, fysiske problemer, sliter Pentagon virkelig med å håndheve gjeldende forsvarsdepartements integritetsstandarder for elektronikk og programvare.

Vanskeligheten med å vurdere elektronikk og programvareintegritet er et stort problem. I disse dager er utstyret og programvaren som brukes i militærets "svarte bokser" langt mer kritisk. Som en luftvåpengeneral forklart i 2013, "B-52 levde og døde på kvaliteten på metallplatene. I dag vil flyet vårt leve eller dø av kvaliteten på programvaren vår."

Kassabov ekko denne bekymringen, og advarer om at "verden er i endring og vi må endre forsvaret vårt."

Selv om "gammeldagse" bolt-og-feste-spesifikasjoner fortsatt er viktige, er programvare egentlig kjernen i nesten alle moderne våpens verdiforslag. For F-35, et elektronisk våpen og en viktig informasjons- og kommunikasjonsgateway på slagmarken, burde Pentagon være langt mer tilpasset kinesiske, russiske eller andre tvilsomme bidrag til kritisk programvare enn det kan være i deteksjonen av noen legeringer fra Kina.

Ikke det at det nasjonale innholdet i strukturelle komponenter mangler betydning, men etter hvert som programvareformuleringen blir mer kompleks, støttet av allestedsnærværende modulære subrutiner og åpen kildekode-byggeklosser, vokser potensialet for ugagn. Sagt på en annen måte, en legering fra kinesisk kilde vil ikke ødelegge et fly av seg selv, men korrupt, kinesisk kildet programvare introdusert på et veldig tidlig stadium i delsystemproduksjonen kunne.

Spørsmålet er verdt å stille. Hvis leverandører av USAs høyest prioriterte våpensystemer overser noe så enkelt som stål- og akselspesifikasjoner, hva er sjansene for at skadelig programvare som ikke er spesifisert, utilsiktet er forurenset med urovekkende kode?

Programvare trenger mer gransking

Innsatsen er høy. I fjor ble årlig rapport fra Pentagon våpentestere ved kontoret til direktøren, operasjonell test og evaluering (DOT&E) advarte om at "de aller fleste DOD-systemer er ekstremt programvareintensive. Programvarekvalitet, og systemets generelle cybersikkerhet, er ofte faktorene som bestemmer operasjonell effektivitet og overlevelse, og noen ganger dødelighet.»

"Det viktigste vi kan sikre er programvaren som muliggjør disse systemene, sier Kassabov. «Forsvarsleverandører kan ikke bare fokusere og sørge for at systemet ikke kommer fra Russland eller Kina. Det er viktigere å faktisk forstå hva som er programvaren inne i dette systemet og hvordan denne programvaren til slutt er sårbar."

Men testere har kanskje ikke de nødvendige verktøyene for å evaluere operasjonell risiko. I følge DOT&E ber operatører om at noen i Pentagon «fortell dem hva cybersikkerhetsrisikoene, og deres potensielle konsekvenser, er, og for å hjelpe dem med å finne avbøtende alternativer for å kjempe gjennom tap av kapasitet».

For å hjelpe til med dette, er den amerikanske regjeringen avhengig av kritiske lavprofilerte enheter som Nasjonalt institutt for standarder og teknologi, eller NIST, for å generere standarder og andre grunnleggende samsvarsverktøy som trengs for å sikre programvare. Men finansieringen er bare ikke der. Mark Montgomery, administrerende direktør for Cyberspace Solarium Commission, har vært opptatt med å advare at NIST vil bli hardt presset til å gjøre ting som å publisere veiledning om sikkerhetstiltak for kritisk programvare, utvikle minimumsstandard for programvaretesting eller veilede forsyningskjedesikkerhet "på et budsjett som i årevis har svevet på i underkant av $80 millioner."

Ingen enkel løsning er i sikte. NISTs "back-office"-veiledning, kombinert med mer aggressiv overholdelsesinnsats, kan hjelpe, men Pentagon må gå bort fra den gammeldagse "reaktive" tilnærmingen til forsyningskjedens integritet. Selv om det er flott å fange feil, er det absolutt mye bedre hvis proaktiv innsats for å opprettholde forsyningskjedens integritet sparker i det andre forsvarsentreprenører først begynner å lage forsvarsrelatert kode.