Inbädda "proaktiv vaksamhet" i Pentagons högteknologiska leveranskedja

Inom det nationella försvaret kan misstag i leveranskedjan, när de upptäcks för sent, vara enorma och svåra att övervinna. Och ändå är Pentagon inte alltför ivriga att implementera mer proaktiva detektionssystem, en potentiellt dyr process för att slumpmässigt testa entreprenörsförsäkringar.

Men denna brist på "proaktiv vaksamhet" kan ha stora kostnader. I skeppsbyggnadsfall användes stål utanför specifikationen – en kritisk komponent – ​​på amerikanska flottans ubåtar i två decennier innan Pentagon fick reda på problemen. På senare tid, utom specifikationen skaftning ombord på kustbevakningens Offshore Patrol Cutter måste installeras och tas bort— ett pinsamt slöseri med tid och pengar för både entreprenörerna och de statliga uppdragsgivarna.

Hade dessa problem uppmärksammats tidigt, skulle det kortsiktiga slaget mot vinster eller tidsplan ha mer än uppvägt den större skadan av ett komplext och långvarigt fel i leveranskedjan.

Med andra ord kan leverantörerna dra nytta av kraftfulla externa tester och mer rigorösa – eller till och med slumpmässiga – efterlevnadstester.

Fortress Information Security grundare Peter Kassabov, talar om en Podcast för försvar och flygrapport tidigare i år, noterade att attityder förändras och fler försvarsledare kommer sannolikt att börja se "på försörjningskedjan inte bara som en möjliggörare utan också som en potentiell risk."

Skyddsreglering utvecklas fortfarande. Men för att få företag att ta vaksamhet i försörjningskedjan mer seriöst kan företag möta större incitament, större sanktioner – eller kanske till och med ett krav på att chefer hos stora huvudentreprenörer ska vara personligen skadeståndsskyldiga.

Gamla efterlevnadsregimer fokuserar på gamla mål

Vad mer är att Pentagons ramverk för efterlevnad av leveranskedjan, som det är, förblir fokuserat på att säkerställa den grundläggande fysiska integriteten hos grundläggande strukturella komponenter. Och medan Pentagons nuvarande kvalitetskontrollsystem knappt kan fånga upp konkreta, fysiska problem, kämpar Pentagon verkligen för att upprätthålla nuvarande försvarsdepartementets integritetsstandarder för elektronik och mjukvara.

Svårigheten att bedöma elektronik- och mjukvarans integritet är ett stort problem. Nuförtiden är utrustningen och programvaran som används i militärens "svarta lådor" mycket mer kritiska. Som en flygvapengeneral förklaras 2013, "B-52 levde och dog på kvaliteten på sin plåt. Idag kommer vårt flygplan att leva eller dö på kvaliteten på vår mjukvara.”

Kassabov upprepar denna oro och varnar för att "världen förändras och vi måste ändra vårt försvar."

Visst, även om "gammaldags" bultar-och-fästningsspecifikationer fortfarande är viktiga, är programvaran verkligen kärnan i nästan alla moderna vapens värdeförslag. För F-35, ett elektroniskt vapen och en viktig informations- och kommunikationsport för slagfältet, borde Pentagon vara mycket mer anpassad till kinesiska, ryska eller andra tvivelaktiga bidrag till kritisk programvara än vad det kan vara när det gäller upptäckten av vissa kinesiska legeringar.

Inte för att det nationella innehållet i strukturella komponenter saknar betydelse, men när mjukvaruformulering blir mer komplex, med stöd av allestädes närvarande modulära subrutiner och öppen källkodsbyggstenar, växer potentialen för bus. Med andra ord, en legering från kinesiska källor kommer inte att fälla ett flygplan av sig själv, men korrupt programvara från kinesisk källa som introducerades i ett mycket tidigt skede i delsystemproduktionen skulle kunna göra det.

Frågan är värd att ställa. Om leverantörer av USA:s högst prioriterade vapensystem förbiser något så enkelt som stål- och skaftspecifikationer, vad är chansen då att skadlig programvara utanför specifikationen oavsiktligt förorenas med problemkod?

Programvara behöver mer granskning

Insatserna är höga. Förra året, den årlig rapport från Pentagon vapentestare vid direktörens kontor, Operational Test and Evaluation (DOT&E) varnade för att "de allra flesta DOD-system är extremt mjukvaruintensiva. Programvarukvalitet och systemets övergripande cybersäkerhet är ofta de faktorer som avgör operativ effektivitet och överlevnadsförmåga, och ibland dödlighet."

"Det viktigaste vi kan säkra är mjukvaran som möjliggör dessa system, säger Kassabov. ”Försvarsleverantörer kan inte bara fokusera och se till att systemet inte kommer från Ryssland eller Kina. Det är viktigare att faktiskt förstå vad som är programvaran inuti det här systemet och hur denna programvara till slut är sårbar."

Men testare kanske inte har de verktyg som krävs för att utvärdera operativ risk. Enligt DOT&E ber operatörer någon på Pentagon att "berätta för dem vad cybersäkerhetsriskerna och deras potentiella konsekvenser är, och för att hjälpa dem att ta fram begränsningsalternativ för att bekämpa en förlust av kapacitet."

För att hjälpa till att göra detta förlitar sig den amerikanska regeringen på kritiska lågprofilerade enheter som National Institute of Standards and Technology, eller NIST, för att generera standarder och andra grundläggande efterlevnadsverktyg som behövs för att säkra programvara. Men finansieringen finns helt enkelt inte. Mark Montgomery, verkställande direktör för Cyberspace Solarium Commission, har varit upptagen med att varna att NIST kommer att vara hårt pressade att göra saker som att publicera vägledning om säkerhetsåtgärder för kritisk programvara, utveckla minimistandard för mjukvarutestning eller vägleda säkerhet i leveranskedjan "på en budget som i flera år har legat på strax under $80 miljoner."

Ingen enkel lösning är i sikte. NIST:s "back-office"-vägledning, tillsammans med mer aggressiva efterlevnadsinsatser, kan hjälpa, men Pentagon måste gå bort från den gammaldags "reaktiva" strategin för leveranskedjans integritet. Visst, även om det är bra att fånga misslyckanden, är det mycket bättre om proaktiva ansträngningar för att upprätthålla försörjningskedjans integritet sparkar i det andra försvarsentreprenörerna först börjar skapa försvarsrelaterad kod.