"Proaktiv Vigilance" an d'High-Tech Supply Chain vum Pentagon integréiert

An der nationaler Verteidegung, Versuergungskettenfehler, wann se ze spéit fonnt ginn, kënne massiv a schwéier ze iwwerwannen. An awer ass de Pentagon net ze gäeren méi proaktiv Detektiounssystemer ëmzesetzen, e potenziell deiere Prozess fir zoufälleg Kontrakterversécherungen ze testen.

Awer dëse Mangel u "proaktiven Vigilance" kann grouss Käschten hunn. A Schëffsbaufäll, ausser der Spezifizéierung Stahl - e kriteschen Bestanddeel - gouf op US Navy U-Booter fir zwee Joerzéngte benotzt ier de Pentagon iwwer d'Problemer geléiert huet. Méi viru kuerzem, ausser der Spezifizéierung shafting u Bord vun der Coast Guard Offshore Patrol Cutter huet missen installéiert an ewechgeholl ginn- eng peinlech Offall vun Zäit a Fongen fir béid Optraghueler an d'Regierungsclienten.

Wann dës Themen fréi gefaange wieren, hätt de kuerzfristeg Schlag fir de Gewënn oder de Zäitplang de méi breede Schued vun engem komplexen a laangfristeg Versuergungskettenfehler méi wéi kompenséiert.

Anescht gesot, d'Liwweranten kënne vu kräftegen externen Tester a méi rigoréis - oder souguer zoufälleg - Konformitéitstester profitéieren.

Festung Informatiounssécherheet Grënner Peter Kassabov, geschwat op engem Verteidegung an Aerospace Bericht Podcast virdrun dëst Joer, bemierkt datt d'Astellungen änneren a méi Verteidegungsleit wäerte wahrscheinlech ufänken "d'Versuergungskette net nëmmen als Enabler ze kucken, awer och als potenziell Risiko."

Schutzreguléierung gëtt nach ëmmer entwéckelt. Awer fir Firmen ze kréien fir d'Proaktiv Versuergungskette Vigilance méi eescht ze huelen, kënnen d'Firmen méi grouss Ureiz stellen, méi grouss Sanktiounen - oder vläicht souguer eng Fuerderung datt d'Exekutive bei grousse Premier Kontrakter perséinlech fir Schied verantwortlech sinn.

Al Konformitéitsregimer fokusséieren op al Ziler

Wat méi ass, ass datt de Pentagon Versuergungsketten Konformitéitskader, sou wéi et ass, konzentréiert bleift fir déi fundamental kierperlech Integritéit vun de fundamentale strukturelle Komponenten ze garantéieren. A wärend dem Pentagon seng aktuell Qualitéitskontrollsystemer kaum fäeg sinn konkret, kierperlech Probleemer ze fangen, kämpft de Pentagon wierklech fir den aktuellen Verteidegungsdepartement Integritéitsnormen fir Elektronik a Software ëmzesetzen.

D'Schwieregkeet fir Elektronik a Software Integritéit ze bewäerten ass e grousse Problem. Dës Deeg sinn d'Ausrüstung an d'Software, déi an de "schwaarze Këschte" vum Militär benotzt ginn, vill méi kritesch. Als eng Air Force General 2013 erkläert, "De B-52 huet gelieft a gestuerwen op der Qualitéit vu sengem Blech. Haut wäert eise Fliger liewen oder stierwen op der Qualitéit vun eiser Software.

Kassabov widderhëlt dës Suerg, warnt datt "d'Welt ännert sech a mir mussen eis Verteidegung änneren."

Bestëmmt, wärend "almodesch" Bolt-a-Befestigungsspezifikatiounen nach ëmmer wichteg sinn, ass Software wierklech am Kär vu bal all moderner Waff Wäertpropositioun. Fir den F-35, eng elektronesch Waff an e Schlëssel Schluechtfeld Informatiouns- a Kommunikatiounspaart, sollt de Pentagon vill méi op Chinesesch, Russesch oder aner zweifelhaft Bäiträg zu kritescher Software ugepasst sinn wéi et an der Detektioun vun e puer China-sourced Legierungen kéint sinn.

Net datt den nationalen Inhalt vu strukturelle Komponenten Wichtegkeet feelt, awer wéi d'Softwareformuléierung méi komplex gëtt, ënnerstëtzt vun ubiquitäre modulare Subroutinen an Open-Source Bausteng, wiisst de Potenzial fir Mëssbrauch. Anescht gesot, eng Legierung aus China bréngt net e Fliger eleng erof, awer korrupt, chinesesch Quelle Software, déi an engem ganz fréie Stadium an der Produktioun vum Subsystem agefouert gouf.

D'Fro ass derwäert ze stellen. Wann Fournisseuren vun Amerika d'héchste Prioritéit Waffen Systemer iwwersinn eppes esou einfach wéi Stol an shafting Spezifikatioune, wat sinn d'Chancen, datt schiedlech, ausser Spezifizéierung Software sinn onbedéngt mat beonrouegend Code kontaminéierte?

Software brauch méi Iwwerpréiwung

D'Spiller sinn héich. D'lescht Joer huet de Joresrapport vu Pentagon Waffen Tester am Office of the Director, Operational Test and Evaluation (DOT&E) warnt datt "déi grouss Majoritéit vun DOD Systemer extrem Softwareintensiv sinn. Softwarequalitéit, an d'Gesamt Cybersécherheet vum System, sinn dacks d'Faktoren déi d'operativ Effizienz an d'Iwwerliewensfäegkeet bestëmmen, an heiansdo d'Dödlechkeet.

"Déi wichtegst Saach, déi mir sécher kënne sinn, ass d'Software, déi dës Systemer erméiglecht, seet Kassabov. "Verdeedegung Fournisseuren kënnen net nëmmen konzentréieren an sécherstellen, datt de System net aus Russland oder aus China kënnt. Et ass méi wichteg fir tatsächlech ze verstoen wat d'Software bannent dësem System ass a wéi schliisslech dës Software vulnérabel ass.

Awer Tester hu vläicht net déi néideg Tools fir operationell Risiko ze evaluéieren. Laut DOT&E froen d'Betreiber fir een am Pentagon fir "ze soen wat d'Cybersécherheetsrisiken, an hir potenziell Konsequenzen sinn, an hinnen ze hëllefen Ofsenkungsoptiounen z'entwéckelen fir duerch e Verloscht vu Kapazitéit ze kämpfen."

Fir dëst ze hëllefen, setzt d'US Regierung op kritesch niddereg-Profil Entitéite wéi de National Institut vun Normen an Technologie, oder NIST, fir Standarden an aner Basiskonformitéitstools ze generéieren déi néideg sinn fir Software ze sécheren. Awer d'Finanzéierung ass just net do. Mark Montgomery, Exekutivdirekter vun der Cyberspace Solarium Commission, war beschäftegt Warnung datt den NIST schwéier presséiert gëtt fir Saachen ze maachen wéi Orientéierung iwwer Sécherheetsmoossnamen fir kritesch Software ze publizéieren, Mindeststandard fir Software Testen z'entwéckelen oder d'Versuergungskette Sécherheet ze guidéieren "op engem Budget, dee fir Joeren op knapp $ 80 Milliounen gehuewen huet."

Keng einfach Léisung ass a Siicht. Dem NIST seng "Back-Office" Leedung, gekoppelt mat méi aggressiven Konformitéitsefforten, kann hëllefen, awer de Pentagon muss vun der almoudescher "reaktiver" Approche fir d'Versuergungsketten Integritéit fort goen. Bestëmmt, och wann et super ass Feeler ze fangen, ass et vill besser wann proaktiv Efforten fir d'Versuergungsketten Integritéit Kick an der zweeter Verteidegungskontrakter ze halen fir d'éischt Verteidegungsrelatéierte Code ze bastelen.