Incorporare la "vigilanza proattiva" nella catena di approvvigionamento high-tech del Pentagono

Nella difesa nazionale, gli errori della catena di approvvigionamento, se rilevati troppo tardi, possono essere enormi e difficili da superare. Eppure, il Pentagono non è troppo ansioso di implementare sistemi di rilevamento più proattivi, un processo potenzialmente costoso per testare casualmente le assicurazioni degli appaltatori.

Ma questa mancanza di “vigilanza proattiva” può avere costi elevati. Nei casi di costruzione navale, l'acciaio fuori specifica - un componente critico - è stato utilizzato sui sottomarini della Marina degli Stati Uniti per due decenni prima che il Pentagono venisse a conoscenza dei problemi. Più recentemente, un pozzo fuori specifica a bordo dell'Offshore Patrol Cutter della Guardia Costiera doveva essere installato e rimosso—un'imbarazzante perdita di tempo e denaro sia per gli appaltatori che per i clienti del governo.

Se questi problemi fossero stati presi in anticipo, il colpo a breve termine ai profitti o alla pianificazione avrebbe più che compensato il danno più ampio di un fallimento complesso ea lungo termine della catena di approvvigionamento.

In altre parole, i fornitori possono trarre vantaggio da rigorosi test esterni e test di conformità più rigorosi, o addirittura casuali.

Il fondatore della Fortress Information Security Peter Kassabov, parlando a Podcast del rapporto sulla difesa e sull'aerospazio all'inizio di quest'anno, ha osservato che gli atteggiamenti stanno cambiando ed è probabile che più leader della difesa inizieranno a guardare "alla catena di approvvigionamento non solo come un fattore abilitante, ma anche come un potenziale rischio".

La regolamentazione protettiva è ancora in fase di elaborazione. Ma per convincere le aziende a prendere più sul serio la vigilanza proattiva della catena di approvvigionamento, le aziende potrebbero dover affrontare maggiori incentivi, sanzioni maggiori o forse anche l'obbligo che i dirigenti dei principali appaltatori principali siano personalmente responsabili dei danni.

I vecchi regimi di conformità si concentrano su vecchi obiettivi

Inoltre, il quadro di conformità della catena di approvvigionamento del Pentagono, così com'è, rimane focalizzato sulla garanzia dell'integrità fisica fondamentale dei componenti strutturali di base. E mentre gli attuali sistemi di controllo della qualità del Pentagono sono a malapena in grado di rilevare problemi fisici e concreti, il Pentagono fatica davvero a far rispettare gli attuali standard di integrità del Dipartimento della Difesa per l'elettronica e il software.

La difficoltà nel valutare l'integrità dell'elettronica e del software è un grosso problema. In questi giorni, l'attrezzatura e il software utilizzati nelle "scatole nere" dei militari sono molto più critici. Come un generale dell'aeronautica spiegato nel 2013, “Il B-52 visse e morì grazie alla qualità della sua lamiera. Oggi i nostri aerei vivranno o moriranno grazie alla qualità del nostro software”.

Kassabov fa eco a questa preoccupazione, avvertendo che "il mondo sta cambiando e dobbiamo cambiare le nostre difese".

Certamente, mentre le specifiche "vecchio stile" di bullone e fissaggio sono ancora importanti, il software è davvero al centro della proposta di valore di quasi tutte le armi moderne. Per l'F-35, un'arma elettronica e un gateway chiave per le informazioni e le comunicazioni sul campo di battaglia, il Pentagono dovrebbe essere molto più in sintonia con i contributi cinesi, russi o altri dubbi al software critico di quanto potrebbe essere nel rilevamento di alcune leghe di origine cinese.

Non che il contenuto nazionale dei componenti strutturali manchi di importanza, ma man mano che la formulazione del software diventa più complessa, supportata da subroutine modulari onnipresenti e blocchi di costruzione open source, il potenziale di danno cresce. In altre parole, una lega di origine cinese non abbatterà un aereo da sola, ma potrebbe farlo un software corrotto di origine cinese introdotto in una fase molto precoce nella produzione di sottosistemi.

Vale la pena porsi la domanda. Se i fornitori dei sistemi d'arma con la priorità più alta d'America trascurano qualcosa di semplice come le specifiche dell'acciaio e degli alberi, quali sono le possibilità che software dannoso e fuori specifica siano involontariamente contaminati da codice problematico?

Il software ha bisogno di più controllo

La posta in gioco è alta. L'anno scorso, il relazione annuale dai tester di armi del Pentagono presso l'Office of the Director, Operational Test and Evaluation (DOT&E) ha avvertito che "la stragrande maggioranza dei sistemi DOD è estremamente ad alta intensità di software. La qualità del software e la sicurezza informatica complessiva del sistema sono spesso i fattori che determinano l'efficacia operativa e la sopravvivenza, e talvolta la letalità".

"La cosa più importante che possiamo proteggere è il software che abilita questi sistemi", afferma Kassabov. “I fornitori della difesa non possono semplicemente concentrarsi e assicurarsi che il sistema non provenga dalla Russia o dalla Cina. È più importante capire effettivamente quale sia il software all'interno di questo sistema e come alla fine questo software sia vulnerabile".

Ma i tester potrebbero non disporre degli strumenti necessari per valutare il rischio operativo. Secondo DOT&E, gli operatori chiedono a qualcuno al Pentagono di "dire loro quali sono i rischi per la sicurezza informatica e le loro potenziali conseguenze e di aiutarli a escogitare opzioni di mitigazione per combattere una perdita di capacità".

Per aiutare a fare ciò, il governo degli Stati Uniti fa affidamento su entità critiche di basso profilo come la Istituto Nazionale di Standard e Tecnologie, o NIST, per generare standard e altri strumenti di conformità di base necessari per proteggere il software. Ma il finanziamento semplicemente non c'è. Mark Montgomery, direttore esecutivo della Cyberspace Solarium Commission, è stato occupato avviso che il NIST avrà difficoltà a fare cose come pubblicare una guida sulle misure di sicurezza per il software critico, sviluppare standard minimi per i test del software o guidare la sicurezza della catena di approvvigionamento "con un budget che per anni è stato di poco inferiore a $ 80 milioni".

Nessuna soluzione semplice è in vista. La guida del "back-office" del NIST, unita a sforzi di conformità più aggressivi, possono aiutare, ma il Pentagono deve allontanarsi dal vecchio approccio "reattivo" all'integrità della catena di approvvigionamento. Certamente, sebbene sia fantastico rilevare i guasti, è molto meglio se gli sforzi proattivi per mantenere l'integrità della catena di approvvigionamento si attivano nel secondo momento in cui gli appaltatori della difesa iniziano a creare codice relativo alla difesa.