Ενσωμάτωση της «προληπτικής επαγρύπνησης» στην αλυσίδα εφοδιασμού υψηλής τεχνολογίας του Πενταγώνου

Στην εθνική άμυνα, τα λάθη της εφοδιαστικής αλυσίδας, όταν διαπιστωθούν πολύ αργά, μπορεί να είναι τεράστια και δύσκολο να ξεπεραστούν. Και όμως, το Πεντάγωνο δεν είναι πολύ πρόθυμο να εφαρμόσει πιο προληπτικά συστήματα ανίχνευσης, μια δυνητικά δαπανηρή διαδικασία τυχαίας δοκιμής διαβεβαιώσεων εργολάβων.

Αλλά αυτή η έλλειψη «προορατικής επαγρύπνησης» μπορεί να έχει μεγάλο κόστος. Σε περιπτώσεις ναυπηγικής, χάλυβας εκτός προδιαγραφών – ένα κρίσιμο συστατικό – χρησιμοποιήθηκε στα υποβρύχια του Πολεμικού Ναυτικού των ΗΠΑ για δύο δεκαετίες προτού το Πεντάγωνο μάθει για τα προβλήματα. Πιο πρόσφατα, άξονες εκτός προδιαγραφών στο Offshore Patrol Cutter του Λιμενικού Σώματος έπρεπε να εγκατασταθεί και να αφαιρεθεί— ένα ενοχλητικό χάσιμο χρόνου και κεφαλαίων τόσο για τους εργολάβους όσο και για τους κυβερνητικούς πελάτες.

Εάν αυτά τα ζητήματα είχαν εντοπιστεί νωρίς, το βραχυπρόθεσμο πλήγμα στα κέρδη ή το χρονοδιάγραμμα θα είχε υπεραντιστάθμισε την ευρύτερη ζημιά μιας περίπλοκης και μακροπρόθεσμης αποτυχίας της εφοδιαστικής αλυσίδας.

Με άλλα λόγια, οι προμηθευτές μπορεί να επωφεληθούν από έντονες εξωτερικές δοκιμές και πιο αυστηρές —ή ακόμα και τυχαίες— δοκιμές συμμόρφωσης.

Ο ιδρυτής του Fortress Information Security Peter Kassabov, μιλώντας στο a Άμυνα και Αεροδιαστημική Έκθεση podcast νωρίτερα αυτό το έτος, σημείωσε ότι οι συμπεριφορές αλλάζουν και περισσότεροι αμυντικοί ηγέτες είναι πιθανό να αρχίσουν να εξετάζουν «την αλυσίδα εφοδιασμού όχι μόνο ως παράγοντα ενεργοποίησης, αλλά και ως πιθανό κίνδυνο».

Ο προστατευτικός κανονισμός εξακολουθεί να αναπτύσσεται. Αλλά για να κάνουν τις εταιρείες να λάβουν πιο σοβαρά υπόψη την επαγρύπνηση της εφοδιαστικής αλυσίδας, οι εταιρείες ενδέχεται να αντιμετωπίσουν μεγαλύτερα κίνητρα, μεγαλύτερες κυρώσεις - ή ίσως ακόμη και μια απαίτηση να είναι προσωπικά υπεύθυνα στελέχη σε μεγάλους κύριους εργολάβους για ζημιές.

Παλιά καθεστώτα συμμόρφωσης εστιάζουν σε παλιούς στόχους

Επιπλέον, το πλαίσιο συμμόρφωσης της εφοδιαστικής αλυσίδας του Πενταγώνου, όπως είναι, παραμένει επικεντρωμένο στη διασφάλιση της θεμελιώδης φυσικής ακεραιότητας των βασικών δομικών στοιχείων. Και ενώ τα σημερινά συστήματα ποιοτικού ελέγχου του Πενταγώνου μετά βίας είναι σε θέση να συλλάβουν συγκεκριμένα, φυσικά προβλήματα, το Πεντάγωνο πραγματικά αγωνίζεται να επιβάλει τα τρέχοντα πρότυπα ακεραιότητας του Υπουργείου Άμυνας για ηλεκτρονικά και λογισμικό.

Η δυσκολία στην αξιολόγηση της ακεραιότητας των ηλεκτρονικών και του λογισμικού είναι μεγάλο πρόβλημα. Αυτές τις μέρες, ο εξοπλισμός και το λογισμικό που χρησιμοποιούνται στα «μαύρα κουτιά» του στρατού είναι πολύ πιο κρίσιμα. Ως στρατηγός της Πολεμικής Αεροπορίας εξηγήθηκε το 2013, «Το B-52 έζησε και πέθανε από την ποιότητα της λαμαρίνας του. Σήμερα το αεροσκάφος μας θα ζήσει ή θα πεθάνει με βάση την ποιότητα του λογισμικού μας».

Ο Kassabov απηχεί αυτήν την ανησυχία, προειδοποιώντας ότι «ο κόσμος αλλάζει και πρέπει να αλλάξουμε τις άμυνές μας».

Σίγουρα, ενώ οι «παλιομοδίτικες» προδιαγραφές βιδών και συνδετήρων εξακολουθούν να είναι σημαντικές, το λογισμικό βρίσκεται πραγματικά στον πυρήνα σχεδόν κάθε πρότασης αξίας σύγχρονου όπλου. Για το F-35, ένα ηλεκτρονικό όπλο και μια βασική πύλη πληροφοριών και επικοινωνιών στο πεδίο της μάχης, το Πεντάγωνο θα πρέπει να είναι πολύ πιο προσαρμοσμένο με την κινεζική, τη ρωσική ή άλλες αμφίβολες συνεισφορές σε κρίσιμο λογισμικό από ό,τι θα μπορούσε να είναι στην ανίχνευση ορισμένων κραμάτων που προέρχονται από την Κίνα.

Όχι ότι το εθνικό περιεχόμενο των δομικών στοιχείων στερείται σημασίας, αλλά καθώς η διατύπωση λογισμικού γίνεται πιο περίπλοκη, υποστηριζόμενη από πανταχού παρούσες αρθρωτές υπορουτίνες και δομικά στοιχεία ανοιχτού κώδικα, η πιθανότητα για αταξίες αυξάνεται. Με άλλα λόγια, ένα κράμα κινεζικής προέλευσης δεν θα καταρρίψει ένα αεροσκάφος από μόνο του, αλλά το διεφθαρμένο λογισμικό κινεζικής προέλευσης που εισήχθη σε πολύ πρώιμο στάδιο στην παραγωγή υποσυστημάτων θα μπορούσε.

Αξίζει να τεθεί το ερώτημα. Εάν οι προμηθευτές των οπλικών συστημάτων υψηλότερης προτεραιότητας της Αμερικής παραβλέπουν κάτι τόσο απλό όπως οι προδιαγραφές χάλυβα και άξονα, ποιες είναι οι πιθανότητες το επιβλαβές λογισμικό εκτός προδιαγραφών να μολυνθεί ακούσια με ενοχλητικό κώδικα;

Το λογισμικό χρειάζεται περισσότερο έλεγχο

Το διακύβευμα είναι μεγάλο. Πέρυσι, το ετήσια Έκθεση από τους ελεγκτές όπλων του Πενταγώνου στο Γραφείο Διευθυντή, Επιχειρησιακές Δοκιμές και Αξιολόγηση (DOT&E) προειδοποίησαν ότι «η συντριπτική πλειονότητα των συστημάτων DOD είναι εξαιρετικά εντάσεως λογισμικού. Η ποιότητα του λογισμικού και η συνολική ασφάλεια του συστήματος στον κυβερνοχώρο, είναι συχνά οι παράγοντες που καθορίζουν την λειτουργική αποτελεσματικότητα και τη δυνατότητα επιβίωσης, και μερικές φορές τη φονικότητα».

«Το πιο σημαντικό πράγμα που μπορούμε να εξασφαλίσουμε είναι το λογισμικό που ενεργοποιεί αυτά τα συστήματα», λέει ο Kassabov. «Οι προμηθευτές άμυνας δεν μπορούν απλώς να επικεντρωθούν και να διασφαλίσουν ότι το σύστημα δεν προέρχεται από τη Ρωσία ή την Κίνα. Είναι πιο σημαντικό να κατανοήσουμε πραγματικά τι είναι το λογισμικό μέσα σε αυτό το σύστημα και πώς τελικά αυτό το λογισμικό είναι ευάλωτο.”

Ωστόσο, οι δοκιμαστές μπορεί να μην έχουν τα απαραίτητα εργαλεία για την αξιολόγηση του λειτουργικού κινδύνου. Σύμφωνα με το DOT&E, οι φορείς εκμετάλλευσης ζητούν από κάποιον στο Πεντάγωνο να τους «πει ποιοι είναι οι κίνδυνοι για την κυβερνοασφάλεια και οι πιθανές συνέπειές τους και να τους βοηθήσει να επινοήσουν επιλογές μετριασμού για την καταπολέμηση της απώλειας ικανότητας».

Για να γίνει αυτό, η κυβέρνηση των ΗΠΑ βασίζεται σε κρίσιμες οντότητες χαμηλού προφίλ όπως η Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας, ή NIST, για τη δημιουργία προτύπων και άλλων βασικών εργαλείων συμμόρφωσης που απαιτούνται για την ασφάλεια του λογισμικού. Αλλά η χρηματοδότηση απλά δεν υπάρχει. Mark Montgomery, εκτελεστικός διευθυντής της Επιτροπής Solarium Cyberspace, ήταν απασχολημένος με προειδοποίηση ότι το NIST θα πιεστεί σκληρά για να κάνει πράγματα όπως η δημοσίευση καθοδήγησης σχετικά με μέτρα ασφαλείας για κρίσιμο λογισμικό, η ανάπτυξη ελάχιστων προτύπων για τη δοκιμή λογισμικού ή η καθοδήγηση της ασφάλειας της εφοδιαστικής αλυσίδας «σε έναν προϋπολογισμό που επί χρόνια κυμαίνεται σε κάτι λιγότερο από 80 εκατομμύρια δολάρια».

Δεν διαφαίνεται απλή λύση. Η καθοδήγηση «back-office» του NIST, σε συνδυασμό με πιο επιθετικές προσπάθειες συμμόρφωσης, μπορεί να βοηθήσει, αλλά το Πεντάγωνο πρέπει να απομακρυνθεί από την παλιομοδίτικη «αντιδραστική» προσέγγιση για την ακεραιότητα της εφοδιαστικής αλυσίδας. Σίγουρα, ενώ είναι υπέροχο να αντιλαμβάνονται τις αποτυχίες, είναι πολύ καλύτερο εάν οι προληπτικές προσπάθειες για τη διατήρηση της ακεραιότητας της εφοδιαστικής αλυσίδας ξεκινήσουν στο δεύτερο αμυντικό εργολάβο αρχικά να δημιουργούν κώδικα που σχετίζεται με την άμυνα.