در دفاع ملی، اشتباهات زنجیره تامین، زمانی که خیلی دیر تشخیص داده شوند، می توانند عظیم و غلبه بر آنها سخت باشد. با این حال، پنتاگون آنقدر مشتاق نیست که سیستمهای شناسایی فعالتر را پیادهسازی کند، یک فرآیند بالقوه گران برای آزمایش تصادفی تضمینهای پیمانکار.
اما این فقدان "هشیاری فعال" می تواند هزینه های زیادی داشته باشد. در موارد کشتی سازی، فولاد خارج از مشخصات - یک جزء حیاتی - برای دو دهه قبل از اینکه پنتاگون از مشکلات مطلع شود، در زیردریایی های نیروی دریایی ایالات متحده استفاده می شد. اخیراً، شفتینگ خارج از مشخصات روی کاتر گشت دریایی گارد ساحلی باید نصب و حذف می شد- اتلاف وقت و بودجه شرم آور هم برای پیمانکاران و هم برای مشتریان دولتی.
اگر این مسائل زود تشخیص داده میشد، ضربه کوتاهمدت به سودها یا برنامهریزیها بیش از آسیبهای گستردهتر یک شکست پیچیده و بلندمدت زنجیره تامین را جبران میکرد.
به عبارت دیگر، تأمینکنندگان ممکن است از آزمایشهای خارجی شدید و آزمایشهای انطباق دقیقتر یا حتی تصادفیتر بهره ببرند.
پیتر کاسابوف، بنیانگذار امنیت اطلاعات قلعه، در حال صحبت در یک پادکست گزارش دفاع و هوافضا در اوایل سال جاری، اشاره کرد که نگرش ها در حال تغییر است و بیشتر رهبران دفاعی احتمالاً شروع به نگاه کردن به زنجیره تامین نه تنها به عنوان یک توانمندساز، بلکه به عنوان یک خطر بالقوه خواهند کرد.
مقررات حفاظتی هنوز در حال توسعه است. اما برای واداشتن شرکتها به جدیتر گرفتن هوشیاری زنجیره تامین، شرکتها ممکن است با انگیزههای بیشتر، تحریمهای بزرگتر مواجه شوند – یا شاید حتی با الزامی که مدیران پیمانکاران اصلی شخصاً در قبال خسارات مسئول باشند.
تمرکز رژیمهای انطباق قدیمی بر اهداف قدیمی
علاوه بر این، چارچوب انطباق زنجیره تامین پنتاگون، مانند آنچه که هست، بر تضمین یکپارچگی فیزیکی اساسی اجزای ساختاری اساسی متمرکز است. و در حالی که سیستمهای کنترل کیفیت کنونی پنتاگون به سختی قادر به حل مشکلات فیزیکی و بتن هستند، پنتاگون واقعاً برای اجرای استانداردهای یکپارچگی فعلی وزارت دفاع برای الکترونیک و نرمافزار تلاش میکند.
مشکل در ارزیابی یکپارچگی الکترونیک و نرم افزار یک مشکل بزرگ است. این روزها، ابزار و نرم افزار مورد استفاده در "جعبه های سیاه" ارتش بسیار حیاتی تر است. به عنوان یک ژنرال نیروی هوایی در سال 2013 توضیح داده شد"B-52 با کیفیت ورق فلز خود زندگی کرد و مرد. امروز هواپیمای ما با کیفیت نرم افزار ما زنده خواهد شد یا خواهد مرد.»
کاسابوف این نگرانی را تکرار می کند و هشدار می دهد که "جهان در حال تغییر است و ما باید دفاع خود را تغییر دهیم."
مطمئناً، در حالی که مشخصات پیچ و بست "قدیمی" هنوز مهم است، نرم افزار واقعاً هسته اصلی ارزش پیشنهادی تقریباً هر سلاح مدرن است. برای F-35، یک سلاح الکترونیکی و یک دروازه کلیدی اطلاعات و ارتباطات در میدان نبرد، پنتاگون باید بسیار بیشتر از آنچه ممکن است در تشخیص برخی از آلیاژهای چینی باشد، با چین، روسیه یا سایر مشارکت های مشکوک به نرم افزارهای حیاتی هماهنگ باشد.
نه اینکه محتوای ملی اجزای ساختاری اهمیت چندانی ندارد، اما با پیچیدهتر شدن فرمولبندی نرمافزار، که توسط زیرروالهای مدولار در همه جا و بلوکهای سازنده منبع باز پشتیبانی میشود، پتانسیل برای شیطنت افزایش مییابد. به عبارت دیگر، یک آلیاژ چینی به خودی خود هواپیما را از بین نمی برد، اما نرم افزار فاسد چینی که در مراحل اولیه تولید زیرسیستم معرفی شده بود، می توانست.
سوال ارزش پرسیدن را دارد. اگر تامینکنندگان سیستمهای تسلیحاتی با اولویت آمریکا از چیزی به سادگی مشخصات فولاد و میلشفت چشم پوشی کنند، چه احتمالاتی وجود دارد که نرمافزارهای مضر و خارج از مشخصات به طور ناخواسته به کد مشکلساز آلوده شوند؟
نرم افزار نیاز به بررسی بیشتر دارد
مخاطرات بالا هستند. سال گذشته، گزارش سالانه از آزمایشکنندگان تسلیحات پنتاگون در دفتر مدیر، آزمایش و ارزیابی عملیاتی (DOT&E) هشدار داد که «اکثریت قریب به اتفاق سیستمهای DOD بسیار نرمافزار فشرده هستند. کیفیت نرمافزار و امنیت سایبری کلی سیستم، اغلب عواملی هستند که اثربخشی و بقای عملیاتی و گاهی مرگبار را تعیین میکنند.
کاسابوف می گوید: «مهم ترین چیزی که می توانیم ایمن کنیم، نرم افزاری است که این سیستم ها را فعال می کند. «تامین کنندگان دفاعی نمی توانند فقط تمرکز کنند و مطمئن شوند که این سیستم از روسیه یا چین نمی آید. مهمتر این است که بدانیم نرمافزار داخل این سیستم چیست و در نهایت این نرمافزار چگونه آسیبپذیر میشود.»
اما آزمایشگران ممکن است ابزار لازم برای ارزیابی ریسک عملیاتی را نداشته باشند. به گفته DOT&E، اپراتورها از شخصی در پنتاگون درخواست میکنند که «به آنها بگوید که خطرات امنیت سایبری و پیامدهای بالقوه آن چیست و به آنها کمک کند تا گزینههای کاهشی را برای مبارزه با از دست دادن توانایی ابداع کنند».
برای کمک به انجام این کار، دولت ایالات متحده به نهادهای مهم و کم اهمیتی مانند دولت متکی است موسسه ی ملی استانداردها و تکنولوژییا NIST، برای تولید استانداردها و سایر ابزارهای انطباق اولیه مورد نیاز برای ایمن سازی نرم افزار. اما بودجه وجود ندارد. مارک مونتگومری، مدیر اجرایی کمیسیون سولاریوم فضای مجازی، مشغول هشدار بوده است که NIST برای انجام کارهایی مانند انتشار راهنمایی در مورد اقدامات امنیتی برای نرم افزارهای حیاتی، ایجاد حداقل استاندارد برای آزمایش نرم افزار، یا هدایت امنیت زنجیره تامین "با بودجه ای که برای سال ها کمتر از 80 میلیون دلار بوده است" به سختی تحت فشار خواهد بود.
هیچ راه حل ساده ای در چشم نیست. رهنمودهای «پشت کار» NIST، همراه با تلاشهای تهاجمیتر برای انطباق، میتواند کمک کند، اما پنتاگون باید از رویکرد قدیمی «واکنشی» برای یکپارچگی زنجیره تأمین فاصله بگیرد. مطمئناً، در حالی که تشخیص خرابی ها عالی است، بسیار بهتر است اگر تلاش های پیشگیرانه برای حفظ یکپارچگی زنجیره تأمین در پیمانکاران دفاعی دوم ابتدا شروع به ایجاد کدهای مرتبط با دفاع کند.
منبع: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/