«Проактивті қырағылықты» Пентагонның жоғары технологиялық жеткізу тізбегіне енгізу

Ұлттық қорғаныста жеткізу тізбегіндегі қателер тым кеш табылса, ауқымды және жеңу қиын болуы мүмкін. Дегенмен, Пентагон проактивті анықтау жүйелерін енгізуге тым ынталы емес, бұл мердігерлердің кепілдіктерін кездейсоқ тестілеудің ықтимал қымбат процесі.

Бірақ бұл «белсенді қырағылықтың» болмауы үлкен шығындарға әкелуі мүмкін. Кеме жасау жағдайында АҚШ Әскери-теңіз күштерінің сүңгуір қайықтарында Пентагон проблемалар туралы білгенге дейін екі онжылдық бойына техникалық сипаттамадан тыс болат қолданылды. Жақында Жағалау күзетінің теңіздегі патрульдік кескішінің бортындағы спецификациядан тыс оқпан. орнатуға және алып тастауға тура келді— мердігерлер үшін де, мемлекеттік тапсырыс берушілер үшін де уақыт пен қаражатты ысырап ету.

Егер бұл мәселелер ертерек анықталса, пайдаға немесе кестеге қысқа мерзімді соққы күрделі және ұзақ мерзімді жеткізу тізбегінің сәтсіздігінің үлкен зиянын өтегеннен гөрі көп болар еді.

Басқаша айтқанда, жеткізушілер күшті сыртқы сынақтардан және неғұрлым қатаң немесе тіпті кездейсоқ сәйкестік сынақтарынан пайда көре алады.

Қамалдың ақпараттық қауіпсіздігінің негізін қалаушы Петр Касабов, а Қорғаныс және аэроғарыштық есеп подкаст Осы жылдың басында көзқарастар өзгеріп жатқанын және қорғаныс көшбасшыларының көпшілігі «жеткізу тізбегіне тек мүмкіндік беруші ретінде ғана емес, сонымен бірге ықтимал қауіп ретінде» қарай бастайды деп атап өтті.

Қорғаныс ережелері әлі де әзірленуде. Бірақ компанияларды жеткізу тізбегіндегі қырағылықты байыпты қабылдауға мәжбүрлеу үшін компаниялар үлкен ынталандыруларға, үлкен санкцияларға немесе тіпті ірі мердігерлердің басшылары келтірілген залал үшін жеке жауапкершілікке тартылуы мүмкін талаптарға тап болуы мүмкін.

Ескі сәйкестік режимдері ескі мақсаттарға назар аударады

Бұдан басқа, Пентагонның жеткізу тізбегінің сәйкестік құрылымы, мысалы, негізгі құрылымдық компоненттердің іргелі физикалық тұтастығын қамтамасыз етуге бағытталған. Пентагонның қазіргі сапаны бақылау жүйелері нақты, физикалық мәселелерді әрең шеше алатынымен, Пентагон шынымен де электроника мен бағдарламалық қамтамасыз ету үшін Қорғаныс департаментінің тұтастық стандарттарын орындау үшін күреседі.

Электроника мен бағдарламалық қамтамасыз етудің тұтастығын бағалау қиындығы үлкен мәселе болып табылады. Бұл күндері әскерилердің «қара жәшіктерінде» қолданылатын құрылғылар мен бағдарламалық қамтамасыз ету әлдеқайда маңызды. Бір әуе күштерінің генералы ретінде 2013 жылы түсіндірілді, «В-52 өзінің қаңылтырының сапасымен өмір сүрді және өлді. Бүгін біздің ұшақ бағдарламалық жасақтаманың сапасына қарай өмір сүреді немесе өледі ».

Қасабов бұл алаңдаушылықты қайталап, «әлем өзгеріп жатыр және біз қорғанысымызды өзгертуіміз керек» деп ескертті.

Әрине, «ескі» болттар мен бекіткіштердің сипаттамалары әлі де маңызды болғанымен, бағдарламалық жасақтама шын мәнінде кез келген заманауи қарудың құндылық ұсынысының негізі болып табылады. Электрондық қару және ұрыс даласының негізгі ақпараттық және коммуникациялық шлюзі болып табылатын F-35 үшін Пентагон Қытайдан алынған кейбір қорытпаларды анықтаудан гөрі маңызды бағдарламалық қамтамасыз етудегі қытайлық, ресейлік немесе басқа да күмәнді үлестерге көбірек бейімделуі керек.

Құрылымдық құрамдас бөліктердің ұлттық мазмұны маңызды емес деп айтуға болмайды, бірақ бағдарламалық жасақтаманың тұжырымы күрделірек болғандықтан, кең таралған модульдік ішкі бағдарламалар мен ашық бастапқы құрылымдық блоктармен қолдау көрсетіледі, бұзақылық әлеуеті артады. Басқаша айтқанда, Қытайдан алынған қорытпа ұшақты өздігінен құлатпайды, бірақ ішкі жүйе өндірісінің өте ерте сатысында енгізілген сыбайлас, қытайлық бағдарламалық жасақтама.

Сұрақ қоюға тұрарлық. Егер Американың ең басым қару-жарақ жүйелерін жеткізушілер болат пен біліктің сипаттамалары сияқты қарапайым нәрсені елемейтін болса, зиянды, спецификациядан тыс бағдарламалық қамтамасыз етудің қате кодпен абайсызда ластану мүмкіндігі қандай?

Бағдарламалық қамтамасыз ету қосымша тексеруді қажет етеді

Бәс жоғары. Өткен жылы, жылдық есеп Операциялық сынақ және бағалау (DOT&E) директорының кеңсесіндегі Пентагон қару сынаушылары «DOD жүйелерінің басым көпшілігі бағдарламалық қамтамасыз етуді өте қажет етеді» деп ескертті. Бағдарламалық қамтамасыз ету сапасы және жүйенің жалпы киберқауіпсіздігі көбінесе операциялық тиімділік пен өмір сүру мүмкіндігін, ал кейде өлімді анықтайтын факторлар болып табылады.

«Біз қорғай алатын ең маңызды нәрсе - бұл жүйелерді қамтамасыз ететін бағдарламалық жасақтама», - дейді Қасабов. «Қорғаныс жеткізушілері жүйенің Ресейден немесе Қытайдан келмейтініне көз жеткізе алмайды. Бұл жүйенің ішіндегі бағдарламалық жасақтаманың не екенін және бұл бағдарламалық жасақтаманың қалай осал екенін нақты түсіну маңызды ».

Бірақ тестерлерде операциялық тәуекелді бағалауға қажетті құралдар болмауы мүмкін. DOT&E мәліметтері бойынша, операторлар Пентагондағы біреуден «киберқауіпсіздік тәуекелдері және олардың ықтимал салдары туралы айтып беруін және мүмкіндіктерді жоғалту арқылы күресу үшін жеңілдету нұсқаларын әзірлеуге көмектесуін» сұрайды.

Бұған көмектесу үшін АҚШ үкіметі сыни беделі төмен ұйымдарға сүйенеді Ұлттық стандарттар мен технологиялар институты, немесе NIST, бағдарламалық құралды қорғау үшін қажетті стандарттар мен басқа да негізгі сәйкестік құралдарын жасау үшін. Бірақ қаржыландыру жоқ. Марк Монтгомери, киберғарыштық солярий комиссиясының атқарушы директоры, ескертумен айналысты NIST маңызды бағдарламалық қамтамасыз ету үшін қауіпсіздік шаралары бойынша нұсқаулықты жариялау, бағдарламалық қамтамасыз етуді тестілеудің ең төменгі стандартын әзірлеу немесе «жылдар бойы 80 миллион доллардан аз болған бюджетте» жеткізу тізбегінің қауіпсіздігін басқару сияқты нәрселерді орындау қиынға соғады.

Қарапайым шешім көрінбейді. NIST-тің «бэк-офис» нұсқаулары, сәйкестік бойынша неғұрлым агрессивті күш-жігермен бірге көмектесе алады, бірақ Пентагон жеткізу тізбегінің тұтастығына ескі «реактивті» көзқарастан бас тартуы керек. Әрине, сәтсіздіктерді анықтау өте жақсы болғанымен, екінші қорғаныс мердігерлерінде жеткізілім тізбегінің тұтастығын қолдауға бағытталған белсенді әрекеттер алдымен қорғанысқа қатысты кодты жасай бастаса, әлдеқайда жақсы.