لن يصبح كفاح البنتاغون لضمان أمن البرمجيات أسهل
NurPhoto عبر غيتي إيماجز
في الدفاع الوطني ، يمكن أن تكون أخطاء سلسلة التوريد ضخمة ويصعب التغلب عليها ، عندما يتم اكتشافها بعد فوات الأوان. ومع ذلك ، فإن البنتاغون ليس حريصًا جدًا على تنفيذ المزيد من أنظمة الكشف الاستباقية ، وهي عملية مكلفة محتملة للاختبار العشوائي لضمانات المقاول.
لكن هذا الافتقار إلى "اليقظة الاستباقية" يمكن أن يكون له تكاليف باهظة. في حالات بناء السفن ، تم استخدام الفولاذ غير المطابق للمواصفات - وهو مكون حاسم - في غواصات البحرية الأمريكية لمدة عقدين قبل أن يعلم البنتاغون بالمشكلات. في الآونة الأخيرة ، مهاوي غير مطابقة للمواصفات على متن قاطع الدوريات البحرية التابع لخفر السواحل يجب تثبيتها وإزالتها- إهدار محرج للوقت والمال لكل من المقاولين وعملاء الحكومة.
لو تم اكتشاف هذه المشكلات في وقت مبكر ، لكانت الضربة قصيرة المدى للأرباح أو الجدول الزمني ستعوض الضرر الأكبر الناتج عن فشل سلسلة التوريد المعقدة والطويلة الأجل.
بعبارة أخرى ، قد يستفيد الموردون من الاختبارات الخارجية القوية واختبارات الامتثال الأكثر صرامة - أو حتى العشوائية -.
يتحدث مؤسس Fortress Information Security ، بيتر كسابوف ، على أ تقرير الدفاع والفضاء البودكاست في وقت سابق من هذا العام ، لاحظنا أن المواقف تتغير ومن المرجح أن يبدأ المزيد من قادة الدفاع في النظر إلى "سلسلة التوريد ليس فقط كعامل تمكين ، ولكن أيضًا كخطر محتمل".
اللوائح الوقائية لا تزال قيد التطوير. ولكن لجعل الشركات تأخذ اليقظة الاستباقية لسلسلة التوريد بشكل أكثر جدية ، قد تواجه الشركات حوافز أكبر ، أو عقوبات أكبر - أو ربما حتى مطلبًا بأن يكون المدراء التنفيذيون في كبار المقاولين مسؤولين شخصيًا عن الأضرار.
من الصعب بما يكفي لضمان سلامة المكونات. تكامل البرنامج متساوٍ.
حقوق النشر 2022 وكالة أسوشيتد برس. كل الحقوق محفوظة
تركز أنظمة الامتثال القديمة على الأهداف القديمة
ما هو أكثر من ذلك هو أن إطار الامتثال لسلسلة التوريد في البنتاغون ، كما هو ، لا يزال يركز على ضمان السلامة المادية الأساسية للمكونات الهيكلية الأساسية. وفي حين أن أنظمة مراقبة الجودة الحالية في البنتاغون بالكاد قادرة على اكتشاف المشاكل المادية والمادية ، فإن البنتاغون يكافح حقًا لفرض معايير السلامة الحالية لوزارة الدفاع على الإلكترونيات والبرامج.
تعد صعوبة تقييم سلامة الإلكترونيات والبرامج مشكلة كبيرة. في هذه الأيام ، تعد المعدات والبرامج المستخدمة في "الصناديق السوداء" للجيش أكثر أهمية بكثير. كجنرال واحد بالقوات الجوية شرح في عام 2013، "عاشت B-52 وماتت على جودة صفائحها المعدنية. اليوم ستعيش طائرتنا أو تموت بناءً على جودة برامجنا ".
كسابوف يردد أصداء هذا القلق ، محذرا من أن "العالم يتغير ونحن بحاجة إلى تغيير دفاعاتنا".
بالتأكيد ، في حين أن مواصفات المسامير والمثبتات "القديمة" لا تزال مهمة ، فإن البرمجيات هي حقًا جوهر أي اقتراح قيمة لأي سلاح حديث تقريبًا. بالنسبة للطائرة F-35 ، وهي سلاح إلكتروني وبوابة معلومات واتصالات رئيسية في ساحة المعركة ، يجب أن يكون البنتاغون أكثر انسجامًا مع المساهمات الصينية أو الروسية أو غيرها من المساهمات المشبوهة في البرامج الهامة مما قد يكون في اكتشاف بعض السبائك الصينية.
لا يعني ذلك أن المحتوى الوطني للمكونات الهيكلية يفتقر إلى الأهمية ، ولكن عندما تصبح صياغة البرامج أكثر تعقيدًا ، مدعومة بالروتينات الفرعية المعيارية في كل مكان وكتل البناء مفتوحة المصدر ، فإن احتمالية حدوث الأذى تزداد. بعبارة أخرى ، لن تسقط سبيكة صينية المصدر طائرة بمفردها ، لكن البرامج الفاسدة الصينية المصدر التي تم تقديمها في مرحلة مبكرة جدًا من إنتاج النظام الفرعي يمكن أن تسقط.
السؤال يستحق السؤال. إذا كان موردو أنظمة الأسلحة الأمريكية ذات الأولوية القصوى يتجاهلون شيئًا بسيطًا مثل مواصفات الصلب والأعمدة ، فما هي احتمالات تلوث البرامج الضارة غير المطابقة للمواصفات عن غير قصد بشفرات مقلقة؟
تعد الإلكترونيات والبرامج بمثابة الحدود التالية لأمن سلسلة التوريد
محمل بالصور
يحتاج البرنامج إلى مزيد من التدقيق
الرهانات عالية. العام الماضي ، تقرير سنوي من مختبري أسلحة البنتاغون في مكتب المدير ، حذر الاختبار والتقييم التشغيلي (DOT & E) من أن "الغالبية العظمى من أنظمة DOD كثيفة الاستخدام للبرامج. غالبًا ما تكون جودة البرامج ، والأمن السيبراني العام للنظام ، من العوامل التي تحدد الفعالية التشغيلية والقدرة على البقاء ، وأحيانًا الفتك. "
يقول كسابوف: "أهم شيء يمكننا تأمينه هو البرنامج الذي يمكّن هذه الأنظمة. لا يمكن لموردي الدفاع التركيز فقط والتأكد من أن النظام لا يأتي من روسيا أو من الصين. والأهم من ذلك هو أن نفهم فعليًا ما هو البرنامج الموجود داخل هذا النظام وكيف يكون هذا البرنامج في النهاية عرضة للخطر. "
لكن قد لا يكون لدى المختبرين الأدوات اللازمة لتقييم المخاطر التشغيلية. وفقًا لـ DOT & E ، يطلب المشغلون من شخص ما في البنتاغون "إخبارهم بمخاطر الأمن السيبراني ، وعواقبها المحتملة ، ومساعدتهم على وضع خيارات التخفيف للقتال من خلال فقدان القدرة".
للمساعدة في القيام بذلك ، تعتمد حكومة الولايات المتحدة على كيانات مهمة غير بارزة مثل المعهد الوطني للمعايير والتكنولوجيا، أو NIST ، لإنشاء المعايير وأدوات الامتثال الأساسية الأخرى اللازمة لتأمين البرامج. لكن التمويل ليس موجودًا. مارك مونتغمري ، المدير التنفيذي للجنة الفضاء السيبراني سولاريوم ، كان مشغول التحذير أن المعهد القومي للمعايير والتكنولوجيا (NIST) سيتعرض لضغوط شديدة للقيام بأشياء مثل نشر إرشادات حول الإجراءات الأمنية للبرامج الهامة ، أو تطوير الحد الأدنى من المعايير لاختبار البرامج ، أو توجيه أمان سلسلة التوريد "بميزانية ظلت على مدار سنوات أقل بقليل من 80 مليون دولار".
لا يوجد حل بسيط يلوح في الأفق. يمكن أن تساعد إرشادات "المكتب الخلفي" الخاص بالمعهد الوطني للمعايير والتكنولوجيا (NIST) ، إلى جانب جهود الامتثال الأكثر قوة ، ولكن يتعين على البنتاغون الابتعاد عن النهج "التفاعلي" القديم تجاه سلامة سلسلة التوريد. بالتأكيد ، في حين أنه من الرائع اكتشاف الإخفاقات ، فمن الأفضل بكثير أن تبدأ الجهود الاستباقية للحفاظ على سلامة سلسلة التوريد في البدء أولاً في صياغة التعليمات البرمجية المتعلقة بالدفاع.
المصدر: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/