Pentagoni võitlus tarkvara turvalisuse tagamise nimel ei muutu lihtsamaks
NurPhoto Getty Images'i kaudu
Riigikaitses võivad tarneahela vead, kui need avastatakse liiga hilja, olla tohutud ja neid on raske ületada. Ja veel, Pentagon ei ole liiga innukas rakendama ennetavamaid tuvastamissüsteeme, mis on potentsiaalselt kulukas töövõtjate tagatiste juhusliku testimise protsess.
Kuid sellel "ennetava valvsuse" puudumisel võivad olla suured kulud. Laevaehituses kasutati USA mereväe allveelaevadel kaks aastakümmet, enne kui Pentagon probleemidest teada sai, spetsifikatsioonist väljasolevat terast – kriitilist komponenti. Hiljuti on rannavalve avamerepatrulllõikuri pardal spetsifikatsioonidest väljas töö tuli paigaldada ja eemaldada— piinlik aja ja raha raiskamine nii töövõtjate kui ka valitsuse klientide jaoks.
Kui need probleemid oleks varakult tabatud, oleks lühiajaline löök kasumile või ajakavale rohkem kui korvanud keeruka ja pikaajalise tarneahela tõrke laiema kahju.
Teisisõnu võivad tarnijad kasu saada jõulistest välistestidest ja rangematest või isegi juhuslikest vastavustestidest.
Fortress Information Security asutaja Peter Kassabov, kõneles a Kaitse- ja lennundusaruannete taskuhääling märkis selle aasta alguses, et hoiakud on muutumas ja tõenäoliselt hakkavad rohkem kaitseväe juhte vaatama "tarneahelat mitte ainult võimaldaja, vaid ka potentsiaalse riskina".
Kaitseregulatsioon on alles väljatöötamisel. Kuid selleks, et ettevõtted võtaksid tarneahela ettenägelikku valvsust tõsisemalt, võivad ettevõtted silmitsi seista suuremate stiimulite, suuremate sanktsioonidega või isegi nõudega, et suuremate peatöövõtjate juhid vastutaksid kahjude eest isiklikult.
Komponentide terviklikkuse tagamiseks on piisavalt raske. Tarkvara terviklikkus on veelgi raskem.
Autoriõigus 2022 The Associated Press. Kõik õigused kaitstud
Vanad vastavusrežiimid keskenduvad vanadele eesmärkidele
Veelgi enam, Pentagoni tarneahela vastavusraamistik, nagu see on, keskendub põhiliste konstruktsioonikomponentide füüsilise terviklikkuse tagamisele. Ja kuigi Pentagoni praegused kvaliteedikontrollisüsteemid suudavad vaevu tabada konkreetseid füüsilisi probleeme, on Pentagonil tõesti raske jõustada praegusi kaitseministeeriumi elektroonika ja tarkvara terviklikkuse standardeid.
Raskused elektroonika ja tarkvara terviklikkuse hindamisel on suur probleem. Tänapäeval on sõjaväe mustades kastides kasutatav varustus ja tarkvara palju kriitilisemad. Ühe õhuväekindralina selgitati 2013. aastal, "B-52 elas ja suri oma lehtmetalli kvaliteedi tõttu. Täna meie lennukid elavad või surevad meie tarkvara kvaliteedi tõttu.
Kassabov kordab seda muret, hoiatades, et "maailm muutub ja me peame muutma oma kaitsemehhanisme".
Kindlasti, kuigi "vanaaegsed" poltide ja kinnitusdetailide spetsifikatsioonid on endiselt olulised, on tarkvara peaaegu iga kaasaegse relva väärtuspakkumise keskmes. Elektroonilise relva F-35, lahinguvälja teabe ja side võtmevärava jaoks peaks Pentagon olema Hiina, Venemaa või muu kahtlase panusega kriitilises tarkvaras palju rohkem häälestatud kui mõne Hiinast pärit sulami tuvastamisel.
Mitte, et struktuurikomponentide riiklikul sisul poleks tähtsust, kuid tarkvara koostamise muutudes keerukamaks, mida toetavad üldlevinud modulaarsed alamprogrammid ja avatud lähtekoodiga ehitusplokid, kasvab pahanduste potentsiaal. Teisisõnu, Hiina päritolu sulam ei kukuta lennukit üksi, kuid korrumpeerunud Hiina päritolu tarkvara, mis võeti kasutusele alamsüsteemi tootmise väga varases staadiumis, võib seda teha.
Küsimus on küsimist väärt. Kui Ameerika kõrgeima prioriteediga relvasüsteemide tarnijad jätavad tähelepanuta midagi nii lihtsat nagu terase ja võlli spetsifikatsioonid, siis kui suur on tõenäosus, et kahjulik, spetsifikatsioonidest väljas tarkvara saastub tahtmatult murettekitava koodiga?
Elektroonika ja tarkvara on tarneahela turvalisuse järgmine piir
Getty Images
Tarkvara vajab põhjalikumat kontrolli
Panused on kõrged. Eelmisel aastal, aasta raport Pentagoni relvakatsetajate büroo Operatiivtesti ja -hindamise (DOT&E) direktori büroo hoiatas, et "valdav enamus DOD-süsteeme on äärmiselt tarkvaramahukad. Tarkvara kvaliteet ja süsteemi üldine küberturvalisus on sageli tegurid, mis määravad töö tõhususe ja ellujäämise ning mõnikord ka surma.
"Kõige olulisem asi, mida saame kaitsta, on tarkvara, mis neid süsteeme võimaldab," ütleb Kassabov. «Kaitsetarnijad ei saa lihtsalt keskenduda ja jälgida, et süsteem ei tuleks Venemaalt või Hiinast. Tähtsam on tegelikult mõista, mis on selle süsteemi sees olev tarkvara ja kuidas see tarkvara lõpuks haavatav on.
Kuid testijatel ei pruugi olla operatsiooniriski hindamiseks vajalikke tööriistu. DOT&E andmetel paluvad operaatorid, et keegi Pentagonis "ütleks neile, millised on küberjulgeoleku riskid ja nende võimalikud tagajärjed, ning aitaks neil välja töötada leevendusvõimalused võimekuse kaotamise vastu võitlemiseks".
Selle abistamiseks toetub USA valitsus sellistele kriitilistele madala profiiliga üksustele nagu Riiklik standardite ja tehnoloogia instituutvõi NIST, et luua tarkvara turvalisuse tagamiseks vajalikke standardeid ja muid põhilisi vastavustööriistu. Kuid raha lihtsalt pole. Mark Montgomery, küberruumi solaariumikomisjoni tegevdirektor, on olnud hõivatud hoiatus et NISTil on raske teha selliseid asju nagu kriitilise tarkvara turvameetmete juhendite avaldamine, tarkvara testimise miinimumstandardite väljatöötamine või tarneahela turvalisuse suunamine „eelarvega, mis on aastaid püsinud veidi alla 80 miljoni dollari”.
Lihtsat lahendust ei paista. NIST-i "back-office" juhised koos agressiivsemate järgimispüüdlustega võivad aidata, kuid Pentagon peab tarneahela terviklikkuse tagama vanamoodsast "reaktiivsest" lähenemisviisist. Kindlasti, kuigi rikkeid on suurepärane tabada, on palju parem, kui ennetavad jõupingutused tarneahela terviklikkuse säilitamiseks hakkavad teisest küljest kaitsetöövõtjad esmalt kaitsealase koodi välja töötama.
Allikas: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/