Përfshirja e "Vigjilencës Proaktive" në zinxhirin e furnizimit të teknologjisë së lartë të Pentagonit

Në mbrojtjen kombëtare, gabimet e zinxhirit të furnizimit, kur gjenden shumë vonë, mund të jenë masive dhe të vështira për t'u kapërcyer. E megjithatë, Pentagoni nuk është shumë i etur për të zbatuar sisteme më proaktive zbulimi, një proces potencialisht i shtrenjtë i testimit të rastësishëm të garancive të kontraktorëve.

Por kjo mungesë e “vigjilencës proaktive” mund të ketë kosto të mëdha. Në rastet e ndërtimit të anijeve, çeliku jashtë specifikimeve - një komponent kritik - u përdor në nëndetëset e marinës amerikane për dy dekada përpara se Pentagoni të mësonte për problemet. Kohët e fundit, boshti jashtë specifikimeve në bordin e patrullës në det të hapur të Gardës Bregdetare duhej instaluar dhe hequr- një humbje e turpshme kohe dhe fondesh si për kontraktorët ashtu edhe për klientët e qeverisë.

Sikur këto çështje të kapeshin herët, goditja afatshkurtër ndaj fitimeve ose planit do të kishte më shumë se kompensuar dëmin më të gjerë të një dështimi kompleks dhe afatgjatë të zinxhirit të furnizimit.

E thënë ndryshe, furnitorët mund të përfitojnë nga teste të fuqishme të jashtme dhe teste më rigoroze ose edhe të rastësishme të pajtueshmërisë.

Themeluesi i Sigurisë së Informacionit të Kalasë, Peter Kassabov, duke folur në a Podkasti i Raportit të Mbrojtjes dhe Hapësirës Ajrore në fillim të këtij viti, vuri në dukje se qëndrimet po ndryshojnë dhe më shumë liderë të mbrojtjes ka të ngjarë të fillojnë të shikojnë "zinxhirin e furnizimit jo vetëm si një mundësi, por edhe si një rrezik potencial".

Rregullorja mbrojtëse është ende duke u zhvilluar. Por për t'i bërë kompanitë të marrin më seriozisht vigjilencën e zinxhirit të furnizimit proaktive, kompanitë mund të përballen me stimuj më të mëdhenj, sanksione më të mëdha - ose ndoshta edhe një kërkesë që drejtuesit e kontraktorëve kryesorë të jenë personalisht përgjegjës për dëmet.

Regjimet e vjetra të pajtueshmërisë fokusohen në objektivat e vjetra

Për më tepër, korniza e pajtueshmërisë me zinxhirin e furnizimit të Pentagonit, siç është, mbetet e fokusuar në sigurimin e integritetit fizik themelor të komponentëve bazë strukturorë. Dhe ndërsa sistemet aktuale të kontrollit të cilësisë të Pentagonit mezi janë në gjendje të kapin probleme konkrete fizike, Pentagoni me të vërtetë lufton për të zbatuar standardet aktuale të integritetit të Departamentit të Mbrojtjes për elektronikën dhe softuerin.

Vështirësia në vlerësimin e integritetit të elektronikës dhe softuerit është një problem i madh. Këto ditë, pajisjet dhe programet kompjuterike të përdorura në "kutitë e zeza" të ushtrisë janë shumë më kritike. Si një gjeneral i Forcave Ajrore shpjeguar në vitin 2013, “B-52 jetoi dhe vdiq në cilësinë e llamarinës së tij. Sot avioni ynë do të jetojë ose do të vdesë nga cilësia e softuerit tonë.”

Kassabov i bën jehonë këtij shqetësimi, duke paralajmëruar se "bota po ndryshon dhe ne duhet të ndryshojmë mbrojtjen tonë".

Sigurisht, ndërsa specifikimet "të modës së vjetër" të bulonave dhe kapëseve janë ende të rëndësishme, softueri është me të vërtetë në thelb të propozimit të vlerës së pothuajse çdo arme moderne. Për F-35, një armë elektronike dhe një portë kyçe e informacionit dhe komunikimit në fushën e betejës, Pentagoni duhet të jetë shumë më i përshtatur me kontributet kineze, ruse ose të tjera të dyshimta në softuer kritik sesa mund të jetë në zbulimin e disa lidhjeve me origjinë nga Kina.

Jo se përmbajtjes kombëtare të komponentëve strukturorë i mungon rëndësia, por ndërsa formulimi i softuerit bëhet më kompleks, i mbështetur nga nënprograme modulare të kudogjendura dhe blloqe ndërtimi me burim të hapur, rritet potenciali për keqbërje. E thënë ndryshe, një aliazh me origjinë kineze nuk do të rrëzojë një avion në vetvete, por softueri i korruptuar me origjinë kineze i prezantuar në një fazë shumë të hershme në prodhimin e nënsistemeve mund ta rrëzojë.

Pyetja ia vlen të bëhet. Nëse furnizuesit e sistemeve të armëve me prioritet më të lartë të Amerikës po anashkalojnë diçka të thjeshtë si çeliku dhe specifikimet e boshtit, cilat janë shanset që softueri i dëmshëm, jashtë specifikimeve, të kontaminohet pa dashje me kode shqetësuese?

Softueri ka nevojë për më shumë shqyrtim

Aksionet janë të larta. Vitin e kaluar, Raporti vjetor nga testuesit e armëve të Pentagonit në Zyrën e Drejtorit, Testimi dhe Vlerësimi Operacional (DOT&E) paralajmëruan se “shumica dërrmuese e sistemeve DOD janë jashtëzakonisht intensive me softuer. Cilësia e softuerit dhe siguria e përgjithshme kibernetike e sistemit, shpesh janë faktorët që përcaktojnë efektivitetin operacional dhe mbijetesën, dhe ndonjëherë edhe vdekjen.”

“Gjëja më e rëndësishme që ne mund të sigurojmë është softueri që mundëson këto sisteme, thotë Kassabov. “Furnizuesit e mbrojtjes nuk mund të fokusohen vetëm dhe të sigurohen që sistemi të mos vijë nga Rusia apo nga Kina. Është më e rëndësishme të kuptojmë se çfarë është softueri brenda këtij sistemi dhe se si përfundimisht ky softuer është i cenueshëm.”

Por testuesit mund të mos kenë mjetet e nevojshme për të vlerësuar rrezikun operacional. Sipas DOT&E, operatorët po kërkojnë që dikush në Pentagon t'u "tregojë atyre se cilat janë rreziqet e sigurisë kibernetike dhe pasojat e tyre të mundshme, dhe t'i ndihmojë ata të krijojnë opsione zbutëse për të luftuar me humbjen e aftësisë".

Për ta ndihmuar këtë, qeveria amerikane mbështetet në entitete kritike të profilit të ulët si Instituti Kombëtar i Standardeve dhe Teknologjisë, ose NIST, për të gjeneruar standarde dhe mjete të tjera bazë të pajtueshmërisë të nevojshme për të siguruar softuerin. Por financimi thjesht nuk është aty. Mark Montgomery, drejtor ekzekutiv i Komisionit të Solariumit të Hapësirës Kibernetike, ka qenë i zënë duke paralajmëruar se NIST do të jetë i vështirë për të bërë gjëra të tilla si publikimi i udhëzimeve për masat e sigurisë për softuerin kritik, zhvillimi i standardeve minimale për testimin e softuerit ose udhëheqja e sigurisë së zinxhirit të furnizimit "me një buxhet që për vite ka qëndruar në pak më pak se 80 milionë dollarë".

Asnjë zgjidhje e thjeshtë nuk është në horizont. Udhëzimet "back-office" të NIST, së bashku me përpjekjet më agresive të pajtueshmërisë, mund të ndihmojnë, por Pentagoni duhet të largohet nga qasja "reaktive" e modës së vjetër për integritetin e zinxhirit të furnizimit. Sigurisht, ndërsa është e mrekullueshme të kapësh dështimet, është shumë më mirë nëse përpjekjet proaktive për të ruajtur integritetin e zinxhirit të furnizimit, në kontraktorët e dytë të mbrojtjes, fillimisht fillojnë të krijojnë kode të lidhura me mbrojtjen.