"Proactieve waakzaamheid" inbedden in de hightech supply chain van het Pentagon

In de nationale defensie kunnen fouten in de toeleveringsketen, wanneer ze te laat worden ontdekt, enorm zijn en moeilijk te verhelpen. En toch staat het Pentagon niet te popelen om meer proactieve detectiesystemen te implementeren, een potentieel duur proces van willekeurig testen van garanties van aannemers.

Maar dit gebrek aan "proactieve waakzaamheid" kan grote kosten met zich meebrengen. In scheepsbouwzaken werd gedurende twee decennia niet-specifiek staal - een cruciaal onderdeel - gebruikt op onderzeeërs van de Amerikaanse marine voordat het Pentagon op de hoogte was van de problemen. Meer recentelijk, out-of-specificatie schachten aan boord van de Coast Guard's Offshore Patrol Cutter moest worden geïnstalleerd en verwijderd- een gênante verspilling van tijd en geld voor zowel de aannemers als de overheidsklanten.

Als deze problemen vroeg waren opgemerkt, zou de klap op de korte termijn voor de winst of het schema de bredere schade van een complexe en langdurige storing in de toeleveringsketen ruimschoots hebben gecompenseerd.

Anders gezegd, de leveranciers kunnen profiteren van krachtige externe tests en strengere, of zelfs willekeurige, nalevingstests.

Fortress Information Security oprichter Peter Kassabov, sprekend op a Defensie en ruimtevaartverslag podcast merkte eerder dit jaar op dat de houding aan het veranderen is en dat meer defensieleiders waarschijnlijk "naar de toeleveringsketen gaan kijken, niet alleen als een enabler, maar ook als een potentieel risico."

Beschermende regelgeving is nog in ontwikkeling. Maar om bedrijven ertoe aan te zetten waakzaamheid in de toeleveringsketen serieuzer te nemen, kunnen bedrijven te maken krijgen met grotere prikkels, grotere sancties - of misschien zelfs de eis dat leidinggevenden bij grote hoofdaannemers persoonlijk aansprakelijk zijn voor schade.

Oude nalevingsregimes richten zich op oude doelen

Wat meer is, is dat het kader voor naleving van de toeleveringsketen van het Pentagon, zoals het is, gericht blijft op het waarborgen van de fundamentele fysieke integriteit van structurele basiscomponenten. En hoewel de huidige kwaliteitscontrolesystemen van het Pentagon nauwelijks in staat zijn om concrete, fysieke problemen op te vangen, worstelt het Pentagon echt om de huidige integriteitsnormen van het Ministerie van Defensie voor elektronica en software te handhaven.

De moeilijkheid bij het beoordelen van de integriteit van elektronica en software is een groot probleem. Tegenwoordig zijn de uitrusting en software die in de 'zwarte dozen' van het leger worden gebruikt, veel kritischer. Als een generaal van de luchtmacht uitgelegd in 2013, “De B-52 leefde en stierf op de kwaliteit van zijn plaatwerk. Vandaag zal ons vliegtuig leven of sterven van de kwaliteit van onze software.”

Kassabov herhaalt deze bezorgdheid en waarschuwt dat "de wereld aan het veranderen is en dat we onze verdediging moeten veranderen."

Zeker, hoewel "ouderwetse" bout-en-bevestigingsspecificaties nog steeds belangrijk zijn, vormt software echt de kern van de waardepropositie van bijna elk modern wapen. Voor de F-35, een elektronisch wapen en een belangrijke toegangspoort tot informatie en communicatie op het slagveld, zou het Pentagon veel meer afgestemd moeten zijn op Chinese, Russische of andere twijfelachtige bijdragen aan kritieke software dan bij de detectie van legeringen uit China.

Niet dat de nationale inhoud van structurele componenten niet belangrijk is, maar naarmate de softwareformulering complexer wordt, ondersteund door alomtegenwoordige modulaire subroutines en open-source bouwstenen, groeit het potentieel voor kattenkwaad. Anders gezegd: een legering van Chinese oorsprong zal niet vanzelf een vliegtuig neerhalen, maar corrupte software van Chinese oorsprong die in een zeer vroeg stadium van de productie van subsystemen is geïntroduceerd, zou dat wel kunnen.

De vraag is het stellen waard. Als leveranciers van Amerikaanse wapensystemen met de hoogste prioriteit iets eenvoudigs als staal- en schachtspecificaties over het hoofd zien, wat is dan de kans dat schadelijke, buiten de specificaties vallende software onbedoeld besmet wordt met verontrustende code?

Software heeft meer controle nodig

De inzet is hoog. Vorig jaar was de jaarverslag van wapentesters van het Pentagon bij het Office of the Director, Operational Test and Evaluation (DOT&E) waarschuwden dat “de overgrote meerderheid van DOD-systemen extreem software-intensief is. Softwarekwaliteit en de algehele cyberbeveiliging van het systeem zijn vaak de factoren die de operationele effectiviteit en overlevingskansen bepalen, en soms dodelijk.”

“Het belangrijkste dat we kunnen beveiligen, is de software die deze systemen mogelijk maakt”, zegt Kassabov. “Defensieleveranciers kunnen niet alleen focussen en ervoor zorgen dat het systeem niet uit Rusland of China komt. Het is belangrijker om daadwerkelijk te begrijpen wat de software in dit systeem is en hoe deze software uiteindelijk kwetsbaar is.”

Maar testers hebben mogelijk niet de tools die nodig zijn om het operationele risico te evalueren. Volgens DOT&E vragen operators om iemand bij het Pentagon om "hen te vertellen wat de cyberbeveiligingsrisico's en hun mogelijke gevolgen zijn, en om hen te helpen mitigatie-opties te bedenken om een ​​verlies van capaciteit te bestrijden."

Om dit te helpen doen, vertrouwt de Amerikaanse regering op kritische onopvallende entiteiten zoals de Nationaal instituut voor normen en technologie, of NIST, om normen en andere basishulpmiddelen voor naleving te genereren die nodig zijn om software te beveiligen. Maar de financiering is er gewoon niet. Mark Montgomery, uitvoerend directeur van de Cyberspace Solarium Commission, is bezig geweest waarschuwing dat NIST het moeilijk zal hebben om dingen te doen zoals het publiceren van richtlijnen over beveiligingsmaatregelen voor kritieke software, het ontwikkelen van een minimumstandaard voor het testen van software of het begeleiden van supply chain-beveiliging "met een budget dat al jaren schommelt rond iets minder dan $ 80 miljoen."

Een simpele oplossing is niet in zicht. NIST's "back-office" begeleiding, in combinatie met agressievere nalevingsinspanningen, kan helpen, maar het Pentagon moet afstand nemen van de ouderwetse "reactieve" benadering van de integriteit van de toeleveringsketen. Zeker, hoewel het geweldig is om fouten op te sporen, is het veel beter als proactieve inspanningen om de integriteit van de toeleveringsketen te handhaven, de tweede keer dat defensiecontractanten beginnen met het maken van defensiegerelateerde code.