המאבק של הפנטגון להבטיח אבטחת תוכנה לא הולך להיות קל יותר
דרך תמונות
בהגנה הלאומית, טעויות בשרשרת האספקה, כאשר נמצאות מאוחר מדי, יכולות להיות מסיביות וקשה להתגבר עליהן. ועדיין, הפנטגון לא להוט מדי ליישם מערכות זיהוי פרואקטיביות יותר, תהליך שעלול להיות יקר של בדיקה אקראית של הבטחות קבלן.
אבל לחוסר הזה של "עירנות יזומה" עלולות להיות עלויות גדולות. במקרים של בניית ספינות, פלדה מחוץ למפרט - רכיב קריטי - שימשה בצוללות של הצי האמריקני במשך שני עשורים לפני שהפנטגון נודע על הבעיות. לאחרונה, יציאה מחוץ למפרט על סיפון חותך הסיור הימי של משמר החופים היה צריך להתקין ולהסיר-בזבוז מביך של זמן וכספים הן לקבלנים והן ללקוחות הממשלה.
אילו הבעיות הללו היו נתפסות מוקדם, המכה לטווח הקצר ברווחים או בלוח הזמנים הייתה יותר מקזזת את הנזק הרחב יותר של כשל מורכב וארוך טווח בשרשרת האספקה.
במילים אחרות, הספקים עשויים להפיק תועלת מבדיקות חיצוניות נמרצות וממבחני התאמה קפדניים יותר - או אפילו אקראיים.
מייסד אבטחת המידע של מבצר, פיטר קסאבוב, נואם על א פודקאסט דוחות הגנה וחלל מוקדם יותר השנה, ציין כי הגישות משתנות ומנהיגי הגנה נוספים עשויים להתחיל להסתכל "על שרשרת האספקה לא רק כמאפשרת, אלא גם כסיכון פוטנציאלי".
רגולציה מגן עדיין בפיתוח. אבל כדי לגרום לחברות להתייחס ברצינות רבה יותר לעירנות בשרשרת האספקה, חברות עשויות לעמוד בפני תמריצים גדולים יותר, סנקציות גדולות יותר - או אולי אפילו דרישה שמנהלים בקבלני ראש גדולים יהיו אחראים אישית לנזקים.
זה מספיק קשה כדי להבטיח את שלמות הרכיבים. שלמות התוכנה היא אפילו.קשה יותר.
זכויות יוצרים 2022 The Associated Press. כל הזכויות שמורות
משטרי ציות ישנים מתמקדים ביעדים ישנים
יתרה מכך, מסגרת התאימות לשרשרת האספקה של הפנטגון, כמו שהיא, נותרה ממוקדת בהבטחת השלמות הפיזית הבסיסית של רכיבים מבניים בסיסיים. ובעוד שמערכות בקרת האיכות הנוכחיות של הפנטגון בקושי מסוגלות לתפוס בעיות קונקרטיות, פיזיות, הפנטגון באמת מתקשה לאכוף את תקני היושרה הנוכחיים של משרד ההגנה לאלקטרוניקה ותוכנה.
הקושי בהערכת תקינות האלקטרוניקה והתוכנה הוא בעיה גדולה. בימים אלה, הציוד והתוכנה המשמשים ב"קופסאות השחורות" של הצבא קריטיים הרבה יותר. בתור גנרל אחד בחיל האוויר הוסבר ב-2013, "ה-B-52 חי ומת על איכות הפח שלו. היום המטוס שלנו יחיה או ימות על איכות התוכנה שלנו".
קסאבוב מהדהד את החשש הזה, מזהיר כי "העולם משתנה ואנחנו צריכים לשנות את ההגנות שלנו".
אין ספק, בעוד שמפרטי הברגים וההדקים "מיושנים" עדיין חשובים, התוכנה היא באמת הליבה של הצעת הערך של כמעט כל נשק מודרני. עבור ה-F-35, נשק אלקטרוני ושער מידע ותקשורת מרכזי בשדה הקרב, הפנטגון צריך להיות הרבה יותר מותאם לתרומות סיניות, רוסיות או מפוקפקות אחרות לתוכנה קריטית מאשר בזיהוי של כמה סגסוגות מסין.
לא שהתוכן הלאומי של רכיבים מבניים חסר חשיבות, אבל ככל שניסוח התוכנה נעשה מורכב יותר, נתמך על ידי תתי שגרות מודולריות בכל מקום ואבני בניין בקוד פתוח, הפוטנציאל לשובבות גדל. במילים אחרות, סגסוגת שמקורה בסין לא תפיל מטוס בעצמה, אבל תוכנה מושחתת ממקור סינית שהוצגה בשלב מוקדם מאוד בייצור תת-מערכת יכולה.
שווה לשאול את השאלה. אם ספקי מערכות הנשק בעדיפות הגבוהה ביותר של אמריקה מתעלמים ממשהו פשוט כמו פלדה ומפרטי גלים, מה הסיכוי שתוכנות מזיקות שאינן ממפרטות מזוהמות ללא כוונה בקוד מטריד?
אלקטרוניקה ותוכנה הם הגבול הבא של אבטחת שרשרת האספקה
גטי אימג'ס
תוכנה זקוקה לבדיקה נוספת
ההימור גבוה. בשנה שעברה, ה דוח שנתי מבחני נשק של הפנטגון במשרד המנהל, בדיקה והערכה מבצעית (DOT&E) הזהירו כי "הרוב המכריע של מערכות ה-DOD עתירות תוכנה ביותר. איכות התוכנה, ואבטחת הסייבר הכוללת של המערכת, הם לרוב הגורמים שקובעים את האפקטיביות התפעולית ואת השרידות, ולעיתים גם קטלניות".
"הדבר החשוב ביותר שאנו יכולים לאבטח הוא התוכנה שמאפשרת את המערכות הללו", אומר קסאבוב. "ספקי ביטחון לא יכולים רק להתמקד ולוודא שהמערכת לא מגיעה מרוסיה או מסין. חשוב יותר להבין מהי התוכנה בתוך המערכת הזו וכיצד בסופו של דבר התוכנה הזו פגיעה".
אבל ייתכן שלבודקים אין את הכלים הדרושים להערכת סיכון תפעולי. לפי DOT&E, המפעילים מבקשים שמישהו בפנטגון "יגיד להם מה הם סיכוני אבטחת הסייבר, וההשלכות האפשריות שלהם, ולעזור להם לתכנן אפשרויות הפחתה כדי להילחם באובדן יכולת".
כדי לעזור לעשות זאת, ממשלת ארה"ב מסתמכת על ישויות קריטיות בפרופיל נמוך כמו המכון הלאומי לתקנים וטכנולוגיה, או NIST, כדי ליצור תקנים וכלי תאימות בסיסיים אחרים הדרושים לאבטחת תוכנה. אבל המימון פשוט לא קיים. מארק מונטגומרי, המנכ"ל של ועדת הסולריום במרחב הסייבר, היה עסוק באזהרה של-NIST יהיה קשה לעשות דברים כמו לפרסם הנחיות לגבי אמצעי אבטחה עבור תוכנות קריטיות, לפתח תקן מינימלי לבדיקות תוכנה, או להנחות אבטחת שרשרת אספקה "בתקציב שבמשך שנים נע על קצת פחות מ-80 מיליון דולר."
פתרון פשוט לא נראה באופק. הנחיית "המשרד האחורי" של NIST, יחד עם מאמצי ציות אגרסיביים יותר, יכולים לעזור, אך הפנטגון חייב להתרחק מהגישה ה"תגובתית" המיושנת לשלמות שרשרת האספקה. אין ספק, למרות שזה נהדר לתפוס כישלונות, עדיף בהרבה אם מאמצים יזומים לשמור על שלמות שרשרת האספקה בועטים ברגע שבו קבלני הגנה יתחילו לראשונה ליצור קוד הקשור להגנה.
מקור: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/