Պենտագոնի պայքարը ծրագրային ապահովման անվտանգությունն ապահովելու համար ավելի հեշտ չի լինի
NurPhoto- ը Getty Images- ի միջոցով
Ազգային պաշտպանության ոլորտում մատակարարման շղթայի սխալները, երբ հայտնաբերվում են շատ ուշ, կարող են լինել զանգվածային և դժվար հաղթահարելի: Եվ, այնուամենայնիվ, Պենտագոնը այնքան էլ հակված չէ կիրառել ավելի ակտիվ հայտնաբերման համակարգեր՝ կապալառուի հավաստիացումների պատահական փորձարկման հնարավոր թանկ գործընթաց:
Բայց այս «պրակտիվ զգոնության» բացակայությունը կարող է մեծ ծախսեր ունենալ: Նավաշինության դեպքերում ստանդարտներից դուրս պողպատը, որը կարևոր բաղադրիչ է, օգտագործվել է ԱՄՆ ռազմածովային ուժերի սուզանավերի վրա երկու տասնամյակ, մինչև Պենտագոնն իմացավ խնդիրների մասին: Բոլորովին վերջերս, Առափնյա պահակախմբի օֆշորային պարեկային կտրիչով լիսեռներ պետք էր տեղադրել և հեռացնել— ժամանակի և միջոցների ամոթալի վատնում ինչպես կապալառուների, այնպես էլ պետական պատվիրատուների համար:
Եթե այս խնդիրները վաղ բացահայտվեին, կարճաժամկետ հարվածը շահույթին կամ ժամանակացույցին ավելի քան կփոխհատուցեր մատակարարման շղթայի բարդ և երկարաժամկետ ձախողման ավելի լայն վնասը:
Այլ կերպ ասած, մատակարարները կարող են օգտվել ուժեղ արտաքին թեստերից և ավելի խիստ կամ նույնիսկ պատահական համապատասխանության թեստերից:
Ամրոցի տեղեկատվական անվտանգության հիմնադիր Պյոտր Կասաբովը, ելույթ ունենալով ա Պաշտպանության և օդատիեզերական զեկույցի փոդքաստ Այս տարվա սկզբին նա նշեց, որ վերաբերմունքը փոխվում է, և պաշտպանության ավելի շատ ղեկավարներ, հավանաբար, կսկսեն դիտարկել «մատակարարման շղթան ոչ միայն որպես հնարավորություն, այլ նաև որպես պոտենցիալ ռիսկ»:
Պաշտպանական կանոնակարգը դեռ մշակվում է։ Բայց որպեսզի ընկերությունները ավելի լուրջ վերաբերվեն մատակարարման շղթայի ակտիվ զգոնությանը, ընկերությունները կարող են բախվել ավելի մեծ խթանների, ավելի մեծ պատժամիջոցների կամ գուցե նույնիսկ պահանջի, որ հիմնական գլխավոր կապալառուների ղեկավարներն անձամբ պատասխանատվություն կրեն վնասների համար:
Բաղադրիչների ամբողջականությունն ապահովելու համար բավական դժվար է: Ծրագրային ապահովման ամբողջականությունը նույնիսկ ավելի դժվար է:
Հեղինակային իրավունք 2022 Associated Press: Բոլոր իրավունքները պաշտպանված են
Հին համապատասխանության ռեժիմները կենտրոնանում են հին թիրախների վրա
Ավելին, Պենտագոնի մատակարարման շղթայի համապատասխանության շրջանակը, ինչպիսին կա, շարունակում է կենտրոնացած լինել հիմնական կառուցվածքային բաղադրիչների հիմնական ֆիզիկական ամբողջականության ապահովման վրա: Եվ մինչ Պենտագոնի ներկայիս որակի վերահսկման համակարգերը հազիվ են կարողանում բացահայտել կոնկրետ ֆիզիկական խնդիրները, Պենտագոնն իսկապես պայքարում է էլեկտրոնիկայի և ծրագրային ապահովման համար պաշտպանության նախարարության ամբողջականության ներկայիս ստանդարտները կիրառելու համար:
Էլեկտրոնիկայի և ծրագրային ապահովման ամբողջականության գնահատման դժվարությունը մեծ խնդիր է: Այս օրերին ռազմական «սև արկղերում» օգտագործվող հանդերձանքն ու ծրագրակազմը շատ ավելի կարևոր են: Որպես ռազմաօդային ուժերի մեկ գեներալ բացատրվել է 2013թ, «B-52-ն ապրում ու մահանում էր իր թիթեղի որակի վրա։ Այսօր մեր ինքնաթիռը կապրի կամ կմահանա մեր ծրագրաշարի որակի վրա»։
Կասաբովը կրկնում է այս մտահոգությունը՝ զգուշացնելով, որ «աշխարհը փոխվում է, և մենք պետք է փոխենք մեր պաշտպանությունը»։
Անշուշտ, թեև «հնաոճ» պտուտակների և ամրակների բնութագրերը դեռևս կարևոր են, ծրագրակազմն իսկապես գտնվում է գրեթե ցանկացած ժամանակակից զենքի արժեքային առաջարկի հիմքում: F-35-ի՝ էլեկտրոնային զենքի և մարտադաշտի տեղեկատվական և հաղորդակցության հիմնական դարպասի համար, Պենտագոնը պետք է շատ ավելի հարմարեցված լինի չինական, ռուսական կամ այլ կասկածելի ներդրմանը կարևոր ծրագրային ապահովման մեջ, քան դա կարող է լինել Չինաստանից ստացված որոշ համաձուլվածքների հայտնաբերման հարցում:
Ոչ թե կառուցվածքային բաղադրիչների ազգային բովանդակությունը կարևոր չէ, այլ քանի որ ծրագրային ապահովման ձևակերպումը դառնում է ավելի բարդ, որն աջակցվում է ամենուր տարածված մոդուլային ենթածրագրերի և բաց կոդով շինարարական բլոկների կողմից, չարության հավանականությունն աճում է: Այլ կերպ ասած, չինական ծագման համաձուլվածքն ինքնին չի կործանի ինքնաթիռը, սակայն ենթահամակարգի արտադրության շատ վաղ փուլում ներդրված կոռումպացված, չինական ծրագրակազմը կարող է:
Հարցն արժե տալ. Եթե Ամերիկայի ամենաառաջնահերթ սպառազինության համակարգերի մատակարարները անտեսում են այնպիսի պարզ բան, ինչպիսին է պողպատի և լիսեռի տեխնիկական բնութագրերը, ապա ինչպիսի՞ն են հավանականությունը, որ վնասակար, տեխնիկական պայմաններից դուրս ծրագրակազմը անգիտակցաբար աղտոտված լինի անհանգստացնող կոդով:
Էլեկտրոնիկան և ծրագրային ապահովումը մատակարարման շղթայի անվտանգության հաջորդ սահմանն են
Getty Images
Ծրագրային ապահովումն ավելի մանրամասն ուսումնասիրության կարիք ունի
Խաղադրույքները մեծ են: Անցյալ տարի, որ տարեկան հաշվետվություն Տնօրենի գրասենյակի Պենտագոնի զենքի փորձարկողները զգուշացրել են, որ «DOD համակարգերի ճնշող մեծամասնությունը չափազանց ծրագրային է: Ծրագրային ապահովման որակը և համակարգի ընդհանուր կիբերանվտանգությունը հաճախ այն գործոններն են, որոնք որոշում են գործառնական արդյունավետությունն ու գոյատևումը, իսկ երբեմն նաև մահացուությունը»:
«Ամենակարևորը, որ մենք կարող ենք ապահովել, դա ծրագրային ապահովումն է, որը հնարավորություն է տալիս այդ համակարգերին», - ասում է Կասաբովը: «Պաշտպանության մատակարարները չեն կարող պարզապես կենտրոնանալ և համոզվել, որ համակարգը չի գալիս Ռուսաստանից կամ Չինաստանից: Ավելի կարևոր է իրականում հասկանալ, թե որն է այս համակարգի ներսում գտնվող ծրագրակազմը և ինչպես է ի վերջո այս ծրագրաշարը խոցելի»:
Սակայն փորձարկողները կարող են չունենալ գործառնական ռիսկը գնահատելու համար անհրաժեշտ գործիքներ: Ըստ DOT&E-ի՝ օպերատորները Պենտագոնում ինչ-որ մեկին խնդրում են, որ «պատմեն նրանց, թե որոնք են կիբերանվտանգության ռիսկերը և դրանց հնարավոր հետևանքները, և օգնի նրանց մշակել մեղմացման տարբերակներ՝ պայքարելու կարողությունների կորստի դեմ»:
Դրան օգնելու համար ԱՄՆ կառավարությունը հենվում է այնպիսի քննադատական ցածր մակարդակի կազմակերպությունների վրա, ինչպիսիք են Ստանդարտների և տեխնոլոգիաների ազգային ինստիտուտ, կամ NIST՝ ստեղծելու ստանդարտներ և համապատասխանության այլ հիմնական գործիքներ, որոնք անհրաժեշտ են ծրագրային ապահովման ապահովման համար: Բայց ֆինանսավորումը պարզապես չկա: Կիբերտարածության սոլյարիումի հանձնաժողովի գործադիր տնօրեն Մարկ Մոնտգոմերին, զբաղված է եղել զգուշացնելով որ NIST-ին դժվար կլինի անել այնպիսի բաներ, ինչպիսիք են կարևոր ծրագրաշարի անվտանգության միջոցառումների վերաբերյալ ուղեցույցներ հրապարակելը, ծրագրային ապահովման փորձարկման համար նվազագույն ստանդարտ մշակելը կամ մատակարարման շղթայի անվտանգությունը «այն բյուջեով, որը տարիներ շարունակ եղել է 80 միլիոն դոլարից մի փոքր պակաս»:
Ոչ մի պարզ լուծում տեսանելի չէ. NIST-ի «հետին գրասենյակի» ուղեցույցը, որը զուգորդվում է համապատասխանության առավել ագրեսիվ ջանքերով, կարող է օգնել, սակայն Պենտագոնը պետք է հեռանա մատակարարման շղթայի ամբողջականության հնաոճ «ռեակտիվ» մոտեցումից: Անշուշտ, թեև անհաջողությունները հայտնաբերելը հիանալի է, շատ ավելի լավ է, եթե երկրորդ պաշտպանական կապալառուներում մատակարարման շղթայի ամբողջականությունը պահպանելու ակտիվ ջանքերը սկզբում սկսեն մշակել պաշտպանության հետ կապված կոդ:
Աղբյուր՝ https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/