تعبیه "هشیاری فعال" در زنجیره تامین فناوری پیشرفته پنتاگون

تلاش پنتاگون برای تضمین امنیت نرم افزار آسان تر نخواهد شد

NurPhoto از طریق گتی ایماژ

در دفاع ملی، اشتباهات زنجیره تامین، زمانی که خیلی دیر تشخیص داده شوند، می توانند عظیم و غلبه بر آنها سخت باشد. با این حال، پنتاگون آنقدر مشتاق نیست که سیستم‌های شناسایی فعال‌تر را پیاده‌سازی کند، یک فرآیند بالقوه گران برای آزمایش تصادفی تضمین‌های پیمانکار.

اما این فقدان "هشیاری فعال" می تواند هزینه های زیادی داشته باشد. در موارد کشتی سازی، فولاد خارج از مشخصات - یک جزء حیاتی - برای دو دهه قبل از اینکه پنتاگون از مشکلات مطلع شود، در زیردریایی های نیروی دریایی ایالات متحده استفاده می شد. اخیراً، شفتینگ خارج از مشخصات روی کاتر گشت دریایی گارد ساحلی باید نصب و حذف می شد- اتلاف وقت و بودجه شرم آور هم برای پیمانکاران و هم برای مشتریان دولتی.

اگر این مسائل زود تشخیص داده می‌شد، ضربه کوتاه‌مدت به سودها یا برنامه‌ریزی‌ها بیش از آسیب‌های گسترده‌تر یک شکست پیچیده و بلندمدت زنجیره تامین را جبران می‌کرد.

به عبارت دیگر، تأمین‌کنندگان ممکن است از آزمایش‌های خارجی شدید و آزمایش‌های انطباق دقیق‌تر یا حتی تصادفی‌تر بهره ببرند.

پیتر کاسابوف، بنیانگذار امنیت اطلاعات قلعه، در حال صحبت در یک پادکست گزارش دفاع و هوافضا در اوایل سال جاری، اشاره کرد که نگرش ها در حال تغییر است و بیشتر رهبران دفاعی احتمالاً شروع به نگاه کردن به زنجیره تامین نه تنها به عنوان یک توانمندساز، بلکه به عنوان یک خطر بالقوه خواهند کرد.

مقررات حفاظتی هنوز در حال توسعه است. اما برای واداشتن شرکت‌ها به جدی‌تر گرفتن هوشیاری زنجیره تامین، شرکت‌ها ممکن است با انگیزه‌های بیشتر، تحریم‌های بزرگ‌تر مواجه شوند – یا شاید حتی با الزامی که مدیران پیمانکاران اصلی شخصاً در قبال خسارات مسئول باشند.

اطمینان از یکپارچگی اجزا به اندازه کافی سخت است. یکپارچگی نرم افزار حتی سخت تر است.

حق چاپ 2022 آسوشیتدپرس. تمامی حقوق محفوظ است

تمرکز رژیم‌های انطباق قدیمی بر اهداف قدیمی

علاوه بر این، چارچوب انطباق زنجیره تامین پنتاگون، مانند آنچه که هست، بر تضمین یکپارچگی فیزیکی اساسی اجزای ساختاری اساسی متمرکز است. و در حالی که سیستم‌های کنترل کیفیت کنونی پنتاگون به سختی قادر به حل مشکلات فیزیکی و بتن هستند، پنتاگون واقعاً برای اجرای استانداردهای یکپارچگی فعلی وزارت دفاع برای الکترونیک و نرم‌افزار تلاش می‌کند.

مشکل در ارزیابی یکپارچگی الکترونیک و نرم افزار یک مشکل بزرگ است. این روزها، ابزار و نرم افزار مورد استفاده در "جعبه های سیاه" ارتش بسیار حیاتی تر است. به عنوان یک ژنرال نیروی هوایی در سال 2013 توضیح داده شد"B-52 با کیفیت ورق فلز خود زندگی کرد و مرد. امروز هواپیمای ما با کیفیت نرم افزار ما زنده خواهد شد یا خواهد مرد.»

کاسابوف این نگرانی را تکرار می کند و هشدار می دهد که "جهان در حال تغییر است و ما باید دفاع خود را تغییر دهیم."

مطمئناً، در حالی که مشخصات پیچ و بست "قدیمی" هنوز مهم است، نرم افزار واقعاً هسته اصلی ارزش پیشنهادی تقریباً هر سلاح مدرن است. برای F-35، یک سلاح الکترونیکی و یک دروازه کلیدی اطلاعات و ارتباطات در میدان نبرد، پنتاگون باید بسیار بیشتر از آنچه ممکن است در تشخیص برخی از آلیاژهای چینی باشد، با چین، روسیه یا سایر مشارکت های مشکوک به نرم افزارهای حیاتی هماهنگ باشد.

نه اینکه محتوای ملی اجزای ساختاری اهمیت چندانی ندارد، اما با پیچیده‌تر شدن فرمول‌بندی نرم‌افزار، که توسط زیرروال‌های مدولار در همه جا و بلوک‌های سازنده منبع باز پشتیبانی می‌شود، پتانسیل برای شیطنت افزایش می‌یابد. به عبارت دیگر، یک آلیاژ چینی به خودی خود هواپیما را از بین نمی برد، اما نرم افزار فاسد چینی که در مراحل اولیه تولید زیرسیستم معرفی شده بود، می توانست.

سوال ارزش پرسیدن را دارد. اگر تامین‌کنندگان سیستم‌های تسلیحاتی با اولویت آمریکا از چیزی به سادگی مشخصات فولاد و میل‌شفت چشم پوشی کنند، چه احتمالاتی وجود دارد که نرم‌افزارهای مضر و خارج از مشخصات به طور ناخواسته به کد مشکل‌ساز آلوده شوند؟

الکترونیک و نرم افزار مرز بعدی امنیت زنجیره تامین هستند

گتی ایماژ

نرم افزار نیاز به بررسی بیشتر دارد

مخاطرات بالا هستند. سال گذشته، گزارش سالانه از آزمایش‌کنندگان تسلیحات پنتاگون در دفتر مدیر، آزمایش و ارزیابی عملیاتی (DOT&E) هشدار داد که «اکثریت قریب به اتفاق سیستم‌های DOD بسیار نرم‌افزار فشرده هستند. کیفیت نرم‌افزار و امنیت سایبری کلی سیستم، اغلب عواملی هستند که اثربخشی و بقای عملیاتی و گاهی مرگ‌بار را تعیین می‌کنند.

کاسابوف می گوید: «مهم ترین چیزی که می توانیم ایمن کنیم، نرم افزاری است که این سیستم ها را فعال می کند. «تامین کنندگان دفاعی نمی توانند فقط تمرکز کنند و مطمئن شوند که این سیستم از روسیه یا چین نمی آید. مهم‌تر این است که بدانیم نرم‌افزار داخل این سیستم چیست و در نهایت این نرم‌افزار چگونه آسیب‌پذیر می‌شود.»

اما آزمایشگران ممکن است ابزار لازم برای ارزیابی ریسک عملیاتی را نداشته باشند. به گفته DOT&E، اپراتورها از شخصی در پنتاگون درخواست می‌کنند که «به آنها بگوید که خطرات امنیت سایبری و پیامدهای بالقوه آن چیست و به آنها کمک کند تا گزینه‌های کاهشی را برای مبارزه با از دست دادن توانایی ابداع کنند».

برای کمک به انجام این کار، دولت ایالات متحده به نهادهای مهم و کم اهمیتی مانند دولت متکی است موسسه ی ملی استانداردها و تکنولوژییا NIST، برای تولید استانداردها و سایر ابزارهای انطباق اولیه مورد نیاز برای ایمن سازی نرم افزار. اما بودجه وجود ندارد. مارک مونتگومری، مدیر اجرایی کمیسیون سولاریوم فضای مجازی، مشغول هشدار بوده است که NIST برای انجام کارهایی مانند انتشار راهنمایی در مورد اقدامات امنیتی برای نرم افزارهای حیاتی، ایجاد حداقل استاندارد برای آزمایش نرم افزار، یا هدایت امنیت زنجیره تامین "با بودجه ای که برای سال ها کمتر از 80 میلیون دلار بوده است" به سختی تحت فشار خواهد بود.

هیچ راه حل ساده ای در چشم نیست. رهنمودهای «پشت کار» NIST، همراه با تلاش‌های تهاجمی‌تر برای انطباق، می‌تواند کمک کند، اما پنتاگون باید از رویکرد قدیمی «واکنشی» برای یکپارچگی زنجیره تأمین فاصله بگیرد. مطمئناً، در حالی که تشخیص خرابی ها عالی است، بسیار بهتر است اگر تلاش های پیشگیرانه برای حفظ یکپارچگی زنجیره تأمین در پیمانکاران دفاعی دوم ابتدا شروع به ایجاد کدهای مرتبط با دفاع کند.

منبع: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/