Indlejring af "proaktiv årvågenhed" i Pentagons højteknologiske forsyningskæde

I det nationale forsvar kan forsyningskædefejl, når de opdages for sent, være massive og svære at overvinde. Og alligevel er Pentagon ikke så ivrig efter at implementere mere proaktive detektionssystemer, en potentielt dyr proces med tilfældig test af entreprenørforsikringer.

Men denne mangel på "proaktiv årvågenhed" kan have store omkostninger. I skibsbygningssager blev stål uden for specifikationen - en kritisk komponent - brugt på US Navy-ubåde i to årtier, før Pentagon fik kendskab til problemerne. Mere for nylig, ud-af-specifikation shafting ombord på Coast Guard's Offshore Patrol Cutter skulle installeres og fjernes-et pinligt spild af tid og midler for både entreprenørerne og de offentlige kunder.

Hvis disse problemer var blevet fanget tidligt, ville det kortsigtede slag for overskud eller tidsplan have mere end opvejet den bredere skade ved en kompleks og langsigtet forsyningskædefejl.

Sagt på en anden måde kan leverandørerne drage fordel af kraftige eksterne tests og mere strenge – eller endda tilfældige – overholdelsestests.

Fortress Information Security grundlægger Peter Kassabov, taler om en Forsvars- og rumfartsrapport podcast bemærkede tidligere i år, at holdninger ændrer sig, og flere forsvarsledere vil sandsynligvis begynde at se "på forsyningskæden ikke kun som en muliggører, men også som en potentiel risiko."

Beskyttende regulering er stadig under udvikling. Men for at få virksomheder til at tage proaktiv forsyningskædevagt mere alvorligt, kan virksomheder stå over for større incitamenter, større sanktioner – eller måske endda et krav om, at ledere hos større hovedentreprenører er personligt erstatningsansvarlige.

Gamle overholdelsesregimer fokuserer på gamle mål

Hvad mere er, er, at Pentagons forsyningskæde-overholdelsesramme, som den er, forbliver fokuseret på at sikre den grundlæggende fysiske integritet af grundlæggende strukturelle komponenter. Og mens Pentagons nuværende kvalitetskontrolsystemer knap er i stand til at fange konkrete, fysiske problemer, kæmper Pentagon virkelig for at håndhæve de nuværende forsvarsministeriums integritetsstandarder for elektronik og software.

Vanskeligheden ved at vurdere elektronik og softwareintegritet er et stort problem. I disse dage er det udstyr og software, der bruges i militærets "sorte kasser", langt mere kritisk. Som en luftvåbengeneral forklaret i 2013, "B-52'eren levede og døde på kvaliteten af ​​dens metalplader. I dag vil vores fly leve eller dø af kvaliteten af ​​vores software."

Kassabov gentager denne bekymring og advarer om, at "verden er under forandring, og vi er nødt til at ændre vores forsvar."

Selv om "gammeldags" bolt-og-fastener-specifikationer stadig er vigtige, er software virkelig kernen i næsten ethvert moderne våbens værdiforslag. For F-35'eren, et elektronisk våben og en vigtig informations- og kommunikationsport på slagmarken, burde Pentagon være langt mere tilpasset kinesiske, russiske eller andre tvivlsomme bidrag til kritisk software, end det måtte være i afsløringen af ​​nogle kinesiske legeringer.

Ikke at det nationale indhold af strukturelle komponenter mangler betydning, men efterhånden som softwareformulering bliver mere kompleks, understøttet af allestedsnærværende modulære subrutiner og open source byggeklodser, vokser potentialet for fortræd. Sagt på en anden måde, vil en legering fra kinesisk oprindelse ikke sænke et fly af sig selv, men korrupt, kinesisk-sourcet software introduceret på et meget tidligt tidspunkt i delsystemproduktionen kunne.

Spørgsmålet er værd at stille. Hvis leverandører af USA's højest prioriterede våbensystemer overser noget så simpelt som stål- og skaftspecifikationer, hvad er chancerne for, at skadelig software uden for specifikationen utilsigtet er forurenet med problematisk kode?

Software kræver mere undersøgelse

Indsatsen er høj. Sidste år årsrapport fra Pentagon våbentestere på kontoret for direktøren, operationel test og evaluering (DOT&E) advarede om, at "det store flertal af DOD-systemer er ekstremt software-intensive. Softwarekvalitet og systemets overordnede cybersikkerhed er ofte de faktorer, der bestemmer operationel effektivitet og overlevelsesevne, og nogle gange dødelighed."

"Det vigtigste, vi kan sikre, er softwaren, der muliggør disse systemer," siger Kassabov. ”Forsvarsleverandører kan ikke bare fokusere og sørge for, at systemet ikke kommer fra Rusland eller fra Kina. Det er vigtigere rent faktisk at forstå, hvad softwaren er inde i dette system, og hvordan denne software i sidste ende er sårbar."

Men testere har muligvis ikke de nødvendige værktøjer til at evaluere operationelle risici. Ifølge DOT&E beder operatører en person i Pentagon om at "fortælle dem, hvad cybersikkerhedsrisiciene og deres potentielle konsekvenser er, og for at hjælpe dem med at udtænke afbødende muligheder for at kæmpe gennem et tab af kapacitet."

For at hjælpe med at gøre dette er den amerikanske regering afhængig af kritiske lavprofilenheder som f.eks National Institute of Standards and Technology, eller NIST, til at generere standarder og andre grundlæggende overholdelsesværktøjer, der er nødvendige for at sikre software. Men finansiering er der bare ikke. Mark Montgomery, den administrerende direktør for Cyberspace Solarium Commission, har haft travlt med at advare at NIST vil være hårdt presset til at gøre ting som at udgive vejledning om sikkerhedsforanstaltninger for kritisk software, udvikle minimumsstandarder for softwaretest eller guide forsyningskædesikkerhed "på et budget, der i årevis har ligget på lige under $80 millioner."

Ingen enkel løsning er i sigte. NISTs "back-office"-vejledning, kombineret med mere aggressive overholdelsesbestræbelser, kan hjælpe, men Pentagon er nødt til at bevæge sig væk fra den gammeldags "reaktive" tilgang til forsyningskædens integritet. Selv om det er fantastisk at fange fiaskoer, er det bestemt langt bedre, hvis proaktive bestræbelser på at opretholde forsyningskædens integritet sparker i det andet forsvarsentreprenører først begynder at udarbejde forsvarsrelateret kode.