პენტაგონის ბრძოლა პროგრამული უზრუნველყოფის უსაფრთხოების უზრუნველსაყოფად არ გაადვილდება
NurPhoto მეშვეობით გეტის სურათები
ეროვნულ თავდაცვაში, მიწოდების ჯაჭვის შეცდომები, როდესაც აღმოჩენილია ძალიან გვიან, შეიძლება იყოს მასიური და ძნელი დასაძლევად. და მაინც, პენტაგონს არც თუ ისე დიდი სურვილი აქვს განახორციელოს უფრო აქტიური აღმოჩენის სისტემები, კონტრაქტორის გარანტიების შემთხვევითი ტესტირების პოტენციურად ძვირი პროცესი.
მაგრამ ამ „პროაქტიული სიფხიზლის“ ნაკლებობამ შეიძლება გამოიწვიოს დიდი ხარჯები. გემთმშენებლობის შემთხვევებში, სპეციფიკაციების გარეშე ფოლადი - კრიტიკული კომპონენტი - გამოიყენებოდა აშშ-ს საზღვაო ძალების წყალქვეშა ნავებზე ორი ათწლეულის განმავლობაში, სანამ პენტაგონი შეიტყობდა პრობლემების შესახებ. ცოტა ხნის წინ, სპეციფიკაციის მიღმა შახტი სანაპირო დაცვის ოფშორული საპატრულო საჭრელზე საჭირო იყო დაყენება და ამოღება— დროისა და სახსრების უხერხული კარგვაა როგორც კონტრაქტორებისთვის, ასევე მთავრობის კლიენტებისთვის.
თუ ეს საკითხები ადრე დაფიქსირდა, მოკლევადიანი დარტყმა მოგებაზე ან გრაფიკზე მეტზე მეტს ანაზღაურებდა რთული და გრძელვადიანი მიწოდების ჯაჭვის უკმარისობის უფრო ფართო ზარალს.
სხვაგვარად რომ ვთქვათ, მომწოდებლებს შეუძლიათ ისარგებლონ ენერგიული გარე ტესტებით და უფრო მკაცრი, ან თუნდაც შემთხვევითი, შესაბამისობის ტესტებით.
ციხის საინფორმაციო უსაფრთხოების დამფუძნებელი პეტრე კასაბოვი, რომელიც საუბრობს ა თავდაცვისა და აერონავტიკის ანგარიშის პოდკასტი ამ წლის დასაწყისში მან აღნიშნა, რომ დამოკიდებულება იცვლება და თავდაცვის უფრო მეტი ლიდერი სავარაუდოდ დაიწყებს „მოწოდების ჯაჭვის შეხედვას არა მხოლოდ როგორც გამაძლიერებელს, არამედ როგორც პოტენციურ რისკს“.
დამცავი რეგულაციები ჯერ კიდევ მუშავდება. მაგრამ იმისთვის, რომ კომპანიებმა უფრო სერიოზულად მიიღონ პროაქტიული მიწოდების ჯაჭვის სიფხიზლე, კომპანიებს შეიძლება დაემუქროთ უფრო დიდი წახალისება, უფრო დიდი სანქციები - ან შესაძლოა მოთხოვნაც კი, რომ ძირითადი ძირითადი კონტრაქტორების აღმასრულებლები პირადად იყვნენ პასუხისმგებელი ზიანისთვის.
საკმარისად რთულია კომპონენტის მთლიანობის უზრუნველყოფა. პროგრამული უზრუნველყოფის მთლიანობა კიდევ უფრო რთულია.
საავტორო უფლება 2022 Associated Press. Ყველა უფლება დაცულია
ძველი შესაბამისობის რეჟიმები ფოკუსირებულია ძველ მიზნებზე
უფრო მეტიც, პენტაგონის მიწოდების ჯაჭვის შესაბამისობის ჩარჩო, როგორიც არის, რჩება ორიენტირებული ძირითადი სტრუქტურული კომპონენტების ფუნდამენტური ფიზიკური მთლიანობის უზრუნველყოფაზე. და მაშინ, როცა პენტაგონის ამჟამინდელი ხარისხის კონტროლის სისტემები ძლივს ახერხებენ კონკრეტული, ფიზიკური პრობლემების დაჭერას, პენტაგონი ნამდვილად იბრძვის თავდაცვის დეპარტამენტის მთლიანობის სტანდარტების დაცვაში ელექტრონიკისა და პროგრამული უზრუნველყოფის შესახებ.
ელექტრონიკისა და პროგრამული უზრუნველყოფის მთლიანობის შეფასების სირთულე დიდი პრობლემაა. ამ დღეებში სამხედრო „შავ ყუთებში“ გამოყენებული აღჭურვილობა და პროგრამული უზრუნველყოფა ბევრად უფრო კრიტიკულია. როგორც საჰაერო ძალების ერთი გენერალი განმარტა 2013 წელს, „B-52 ცხოვრობდა და კვდებოდა ლითონის ფურცლის ხარისხზე. დღეს ჩვენი თვითმფრინავი იცოცხლებს ან მოკვდება ჩვენი პროგრამული უზრუნველყოფის ხარისხზე. ”
კასაბოვი ეხმიანება ამ შეშფოთებას და აფრთხილებს, რომ „სამყარო იცვლება და ჩვენ უნდა შევცვალოთ ჩვენი თავდაცვა“.
რა თქმა უნდა, მიუხედავად იმისა, რომ „მოძველებული“ ჭანჭიკები და შესაკრავები ჯერ კიდევ მნიშვნელოვანია, პროგრამული უზრუნველყოფა ნამდვილად არის თითქმის ნებისმიერი თანამედროვე იარაღის ღირებულების წინადადების ბირთვი. F-35-ისთვის, ელექტრონული იარაღისთვის და ბრძოლის ველზე საინფორმაციო და საკომუნიკაციო კარიბჭისთვის, პენტაგონი ბევრად უფრო მეტად უნდა იყოს მორგებული ჩინურ, რუსულ ან სხვა საეჭვო წვლილებთან კრიტიკულ პროგრამულ უზრუნველყოფაში, ვიდრე ეს შეიძლება იყოს ჩინეთიდან წარმოებული შენადნობების გამოვლენისას.
არა ის, რომ სტრუქტურული კომპონენტების ეროვნულ შინაარსს არ აქვს მნიშვნელობა, მაგრამ რაც უფრო რთული ხდება პროგრამული უზრუნველყოფის ფორმულირება, რომელსაც მხარს უჭერს ყველგან გავრცელებული მოდულური ქვეპროგრამები და ღია წყაროს სამშენებლო ბლოკები, ბოროტების პოტენციალი იზრდება. სხვაგვარად რომ ვთქვათ, ჩინური წარმოების შენადნობი თავისთავად არ ჩამოაგდებს თვითმფრინავს, მაგრამ კორუმპირებული, ჩინური წარმოების პროგრამული უზრუნველყოფა, რომელიც შემოღებულ იქნა ქვესისტემის წარმოების ძალიან ადრეულ ეტაპზე.
კითხვის დასმა ღირს. თუ ამერიკის უმაღლესი პრიორიტეტული იარაღის სისტემების მომწოდებლები უყურებენ რაღაც მარტივს, როგორიც არის ფოლადის და ლილვის სპეციფიკაციები, რა არის იმის შანსი, რომ მავნე, სპეციფიკაციის მიღმა პროგრამული უზრუნველყოფა უნებურად დაბინძურდეს შემაშფოთებელი კოდით?
ელექტრონიკა და პროგრამული უზრუნველყოფა არის მიწოდების ჯაჭვის უსაფრთხოების შემდეგი საზღვარი
გეტის სურათები
პროგრამული უზრუნველყოფა საჭიროებს მეტ შემოწმებას
ფსონები მაღალია. გასულ წელს, წლიური ანგარიში პენტაგონის იარაღის ტესტერებიდან დირექტორის ოფისში, ოპერატიული ტესტირებისა და შეფასების (DOT&E) გაფრთხილება, რომ ”DOD სისტემების დიდი უმრავლესობა უკიდურესად პროგრამული ინტენსიურია. პროგრამული უზრუნველყოფის ხარისხი და სისტემის მთლიანი კიბერუსაფრთხოება ხშირად არის ფაქტორები, რომლებიც განსაზღვრავენ ოპერაციულ ეფექტურობას და სიცოცხლისუნარიანობას, ზოგჯერ კი ლეტალურობას“.
„ყველაზე მნიშვნელოვანი, რისი დაცვაც შეგვიძლია, არის პროგრამული უზრუნველყოფა, რომელიც ამ სისტემებს საშუალებას აძლევს, ამბობს კასაბოვი. „თავდაცვის მომწოდებლებს არ შეუძლიათ მხოლოდ ფოკუსირება და დარწმუნდნენ, რომ სისტემა არ მოდის რუსეთიდან ან ჩინეთიდან. უფრო მნიშვნელოვანია იმის გაგება, თუ რა არის პროგრამული უზრუნველყოფა ამ სისტემის შიგნით და რამდენად დაუცველია ეს პროგრამა. ”
მაგრამ ტესტერებს შესაძლოა არ ჰქონდეთ საოპერაციო რისკის შესაფასებლად საჭირო ინსტრუმენტები. DOT&E-ის თანახმად, ოპერატორები სთხოვენ ვინმეს პენტაგონში, რომ „უთხრას რა არის კიბერუსაფრთხოების რისკები და მათი პოტენციური შედეგები და დაეხმაროს მათ შერბილების ვარიანტების შემუშავებაში, რათა ებრძოლონ შესაძლებლობების დაკარგვას“.
ამაში დასახმარებლად, აშშ-ს მთავრობა ეყრდნობა კრიტიკულ დაბალპროფილურ ერთეულებს, როგორიცაა სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი, ან NIST, სტანდარტებისა და სხვა ძირითადი შესაბამისობის ინსტრუმენტების გენერირებისთვის, რომლებიც საჭიროა პროგრამული უზრუნველყოფის დასაცავად. მაგრამ დაფინანსება უბრალოდ არ არის. მარკ მონტგომერი, კიბერსივრცის სოლარიუმის კომისიის აღმასრულებელი დირექტორი, დაკავებული იყო გაფრთხილებით რომ NIST-ს გაუჭირდება ისეთი რამ, როგორიცაა კრიტიკული პროგრამული უზრუნველყოფის უსაფრთხოების ზომების შესახებ სახელმძღვანელოს გამოქვეყნება, პროგრამული უზრუნველყოფის ტესტირების მინიმალური სტანდარტის შემუშავება ან მიწოდების ჯაჭვის უსაფრთხოების მართვა „ბიუჯეტზე, რომელიც წლების განმავლობაში 80 მილიონ დოლარზე ნაკლები იყო“.
მარტივი გამოსავალი არ ჩანს. NIST-ის „უკანა ოფისის“ მითითებები, უფრო აგრესიული შესაბამისობის მცდელობებთან ერთად, შეიძლება დაგვეხმაროს, მაგრამ პენტაგონმა უნდა დატოვოს მოძველებული „რეაქტიული“ მიდგომა მიწოდების ჯაჭვის მთლიანობის მიმართ. რა თქმა უნდა, მიუხედავად იმისა, რომ წარუმატებლობის დაჭერა კარგია, ბევრად უკეთესია, თუ პროაქტიული ძალისხმევა მიწოდების ჯაჭვის მთლიანობის შესანარჩუნებლად მეორე თავდაცვის კონტრაქტორებში დაიწყებს თავდაცვასთან დაკავშირებული კოდის შემუშავებას.
წყარო: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/