国防総省のハイテクサプライチェーンに「積極的な警戒」を組み込む

国防では、サプライ チェーンのミスは、発見が遅すぎると大規模になり、克服するのが困難になる可能性があります。 とはいえ、国防総省は、請負業者の保証を無作為にテストするための潜在的に高価なプロセスである、より積極的な検出システムの実装にあまり熱心ではありません.

しかし、この「積極的な警戒」の欠如は、大きな損失をもたらす可能性があります。 造船のケースでは、国防総省が問題を知るまでの XNUMX 年間、重要なコンポーネントである規格外の鋼が米海軍の潜水艦で使用されていました。 最近では、沿岸警備隊のオフショア パトロール カッターに搭載された仕様外のシャフト インストールおよび削除する必要がありました—請負業者と政府のクライアントの両方にとって、時間と資金の恥ずかしい無駄遣いです。

これらの問題が早期に発見されていれば、利益やスケジュールへの短期的な打撃は、複雑で長期的なサプライ チェーンの失敗による広範な損害を相殺する以上のものだったでしょう。

別の言い方をすれば、サプライヤーは、積極的な外部テストと、より厳格な、または無作為のコンプライアンス テストから恩恵を受ける可能性があります。

Fortress Information Security の創設者 Peter Kassabov は、 防衛および航空宇宙レポートのポッドキャスト 今年の初めに、態度が変化しており、より多くの防衛リーダーが「サプライチェーンをイネーブラーとしてだけでなく、潜在的なリスクとしても」見始める可能性が高いと指摘しました.

保護規制はまだ開発中です。 しかし、企業がサプライ チェーンに対する積極的な警戒をより真剣に受け止めるようにするには、企業に、より大きなインセンティブやより大きな制裁を課す可能性があります。あるいは、大手元請業者の幹部が個人的に損害賠償責任を負うという要件に直面する可能性さえあります。

古いコンプライアンス体制は古い目標に焦点を当てる

さらに、国防総省のサプライチェーンコンプライアンスフレームワークは、基本的な構造コンポーネントの基本的な物理的完全性を確保することに引き続き重点を置いています. ペンタゴンの現在の品質管理システムは、具体的な物理的な問題をかろうじて捉えることができますが、ペンタゴンは、現在の国防総省の電子機器とソフトウェアの完全性基準を実施するのに本当に苦労しています.

エレクトロニクスとソフトウェアの完全性を評価することの難しさは大きな問題です。 最近では、軍の「ブラック ボックス」で使用される機器とソフトウェアは、はるかに重要になっています。 一人の空軍大将として 2013年に説明、「B-52は板金の品質で生き、死にました。 今日、私たちの航空機は、ソフトウェアの品質で生死を分けることになります。」

カサボフ氏はこの懸念に同調し、「世界は変化しており、防御を変える必要がある」と警告しています。

確かに、「昔ながらの」ボルトとファスナーの仕様は依然として重要ですが、ソフトウェアは、ほとんどすべての現代兵器の価値命題の中核を成しています。 F-35 は、電子兵器であり、重要な戦場の情報通信ゲートウェイであるが、国防総省は、中国産の合金の検出よりも、重要なソフトウェアへの中国、ロシア、またはその他の疑わしい貢献にはるかに注意を払う必要がある。

構造コンポーネントの国内コンテンツが重要性を欠いているわけではありませんが、ユビキタスなモジュラー サブルーチンとオープンソース ビルディング ブロックによってサポートされているソフトウェアの定式化がより複雑になるにつれて、いたずらの可能性が大きくなります。 別の言い方をすれば、中国製の合金はそれ自体で航空機を破壊することはありませんが、サブシステム生産の非常に初期の段階で導入された破損した中国製のソフトウェアは破壊する可能性があります.

質問する価値があります。 アメリカの最優先兵器システムのサプライヤーが鋼鉄やシャフトの仕様のような単純なものを見落としている場合、有害な仕様外のソフトウェアが意図せずに厄介なコードで汚染される可能性はどれくらいあるでしょうか?

ソフトウェアにはより精査が必要

賭け金は高いです。 昨年、 年次報告 国防総省の兵器テスターである運用テスト評価局 (DOT&E) は、次のように警告しています。 ソフトウェアの品質、およびシステムの全体的なサイバーセキュリティは、多くの場合、運用の有効性と存続可能性、および場合によっては致死性を決定する要因です。」

「私たちが確保できる最も重要なことは、これらのシステムを可能にするソフトウェアです」と Kassabov 氏は言います。 「防衛サプライヤーは、システムがロシアや中国から来ていないことに集中して確認することはできません。 このシステム内のソフトウェアが何であるか、そしてこのソフトウェアが最終的にどのように脆弱であるかを実際に理解することがより重要です。」

しかし、テスターは運用上のリスクを評価するために必要なツールを持っていない可能性があります。 DOT&E によると、オペレーターは国防総省の誰かに「サイバーセキュリティのリスクとその潜在的な結果が何であるかを伝え、機能の喪失を乗り切るための緩和オプションを考案するのを助ける」よう求めています。

これを行うために、米国政府は、 米国標準技術局、または NIST を使用して、ソフトウェアを保護するために必要な標準およびその他の基本的なコンプライアンス ツールを生成します。 しかし、資金はそこにありません。 サイバースペース・ソラリウム委員会の事務局長であるマーク・モンゴメリーは、 ビジー状態の警告 NIST は、重要なソフトウェアのセキュリティ対策に関するガイダンスを発行したり、ソフトウェア テストの最低基準を策定したり、サプライ チェーンのセキュリティを「何年もの間 80 万ドル弱で推移してきた予算で」ガイドしたりすることを迫られるでしょう。

簡単な解決策は見えません。 NIST の「バックオフィス」ガイダンスは、より積極的なコンプライアンスの取り組みと相まって、役に立ちますが、ペンタゴンは、サプライ チェーンの完全性に対する昔ながらの「反応的」アプローチから離れなければなりません。 確かに、失敗を発見することは素晴らしいことですが、サプライ チェーンの整合性を維持するための積極的な取り組みが、防衛関連のコードの作成を最初に開始する第 XNUMX の防衛請負業者で開始された場合は、はるかに優れています。