การต่อสู้ของเพนตากอนเพื่อให้แน่ใจว่าความปลอดภัยของซอฟต์แวร์จะไม่ง่ายไปกว่านี้อีกแล้ว
NurPhoto ผ่าน Getty Images
ในการป้องกันประเทศ ความผิดพลาดของห่วงโซ่อุปทาน หากพบว่าสายเกินไป อาจมีขนาดใหญ่และยากที่จะเอาชนะได้ แต่ถึงกระนั้น เพนตากอนก็ไม่กระตือรือร้นที่จะใช้ระบบตรวจจับเชิงรุกมากเกินไป ซึ่งเป็นกระบวนการที่อาจมีราคาแพงในการทดสอบการรับประกันของผู้รับเหมาแบบสุ่ม
แต่การขาด "ความระมัดระวังเชิงรุก" นี้อาจมีค่าใช้จ่ายสูง ในกรณีต่อเรือ เหล็กที่ไม่เป็นไปตามข้อกำหนด ซึ่งเป็นส่วนประกอบที่สำคัญ ถูกใช้กับเรือดำน้ำของกองทัพเรือสหรัฐฯ เป็นเวลาสองทศวรรษก่อนที่เพนตากอนจะทราบถึงปัญหาดังกล่าว เมื่อเร็ว ๆ นี้เพลานอกข้อกำหนดบนเรือลาดตระเวนนอกชายฝั่งของหน่วยยามฝั่ง ต้องติดตั้งและถอดออก—การเสียเวลาและเงินทุนที่น่าอับอายสำหรับทั้งผู้รับเหมาและลูกค้าภาครัฐ
หากพบปัญหาเหล่านี้ตั้งแต่เนิ่นๆ ผลกระทบระยะสั้นต่อผลกำไรหรือกำหนดการจะชดเชยความเสียหายในวงกว้างของความล้มเหลวของห่วงโซ่อุปทานที่ซับซ้อนและในระยะยาวได้
ในอีกทางหนึ่ง ซัพพลายเออร์อาจได้รับประโยชน์จากการทดสอบภายนอกที่เข้มงวดและการทดสอบการปฏิบัติตามข้อกำหนดที่เข้มงวดยิ่งขึ้น หรือแม้กระทั่งแบบสุ่ม
Peter Kassabov ผู้ก่อตั้ง Fortress Information Security พูดเกี่ยวกับ พอดคาสต์รายงานกลาโหมและอวกาศ เมื่อต้นปีนี้ ทัศนคติกำลังเปลี่ยนแปลงไป และผู้นำด้านการป้องกันมีแนวโน้มที่จะเริ่มมองว่า “ห่วงโซ่อุปทานไม่เพียงแต่เป็นตัวขับเคลื่อน แต่ยังรวมถึงความเสี่ยงที่อาจเกิดขึ้นด้วย”
ระเบียบการป้องกันยังอยู่ในระหว่างการพัฒนา แต่เพื่อให้บริษัทต่างๆ ใช้ความระมัดระวังในห่วงโซ่อุปทานอย่างจริงจังมากขึ้น บริษัทต่างๆ อาจต้องเผชิญกับสิ่งจูงใจที่มากขึ้น การคว่ำบาตรที่ใหญ่ขึ้น หรือแม้แต่ข้อกำหนดที่ผู้บริหารของผู้รับเหมารายใหญ่รายใหญ่ต้องรับผิดต่อความเสียหายเป็นการส่วนตัว
มันยากพอที่จะรับรองความสมบูรณ์ของส่วนประกอบ ความสมบูรณ์ของซอฟต์แวร์นั้นยากยิ่งกว่า
ลิขสิทธิ์ 2022 The Associated Press. สงวนลิขสิทธิ์
ระบบการปฏิบัติตามกฎระเบียบเดิมมุ่งเน้นไปที่เป้าหมายเดิม
ยิ่งไปกว่านั้น กรอบการปฏิบัติตามกฎระเบียบซัพพลายเชนของเพนตากอน ยังคงมุ่งเน้นไปที่การสร้างความมั่นใจถึงความสมบูรณ์ทางกายภาพขั้นพื้นฐานของส่วนประกอบโครงสร้างพื้นฐาน และในขณะที่ระบบควบคุมคุณภาพในปัจจุบันของเพนตากอนแทบจะไม่สามารถตรวจจับปัญหาทางกายภาพและเป็นรูปธรรมได้ แต่เพนตากอนก็พยายามอย่างยิ่งที่จะบังคับใช้มาตรฐานความสมบูรณ์ของกระทรวงกลาโหมในปัจจุบันสำหรับอุปกรณ์อิเล็กทรอนิกส์และซอฟต์แวร์
ความยากลำบากในการประเมินความสมบูรณ์ของซอฟต์แวร์และอิเล็กทรอนิกส์เป็นปัญหาใหญ่ ทุกวันนี้ อุปกรณ์และซอฟต์แวร์ที่ใช้ใน "กล่องดำ" ของกองทัพมีความสำคัญมากกว่ามาก ในฐานะนายพลกองทัพอากาศคนหนึ่ง อธิบายไว้ในปี 2013, “B-52 อาศัยและตายด้วยคุณภาพของแผ่นโลหะ วันนี้เครื่องบินของเราจะมีชีวิตอยู่หรือตายด้วยคุณภาพของซอฟต์แวร์ของเรา”
Kassabov สะท้อนความกังวลนี้ โดยเตือนว่า “โลกกำลังเปลี่ยนแปลงและเราจำเป็นต้องเปลี่ยนการป้องกันของเรา”
แน่นอนว่าในขณะที่ข้อกำหนดของโบลต์และสลัก "ล้าสมัย" ยังคงมีความสำคัญ ซอฟต์แวร์เป็นหัวใจสำคัญของคุณค่าของอาวุธสมัยใหม่เกือบทุกชนิด สำหรับ F-35 ซึ่งเป็นอาวุธอิเล็กทรอนิกส์และเกตเวย์ข้อมูลและการสื่อสารในสนามรบที่สำคัญ กระทรวงกลาโหมควรปรับให้เข้ากับจีน รัสเซีย หรือผลงานที่น่าสงสัยอื่นๆ ในซอฟต์แวร์ที่สำคัญมากกว่าที่จะตรวจพบโลหะผสมที่มาจากจีน
ไม่ใช่ว่าเนื้อหาระดับประเทศของส่วนประกอบโครงสร้างขาดความสำคัญ แต่เมื่อการกำหนดซอฟต์แวร์มีความซับซ้อนมากขึ้น ได้รับการสนับสนุนโดยรูทีนย่อยแบบแยกส่วนแบบแพร่หลายและการสร้างบล็อคแบบโอเพนซอร์ส โอกาสในการก่อความเสียหายจึงเพิ่มขึ้น ในอีกทางหนึ่ง โลหะผสมที่มาจากจีนจะไม่ทำลายเครื่องบินด้วยตัวมันเอง แต่ซอฟต์แวร์ที่มาจากจีนที่เสียหายซึ่งนำมาใช้ในช่วงแรกๆ ในการผลิตระบบย่อยอาจทำได้
คำถามนั้นคุ้มค่าที่จะถาม หากซัพพลายเออร์ของระบบอาวุธที่มีลำดับความสำคัญสูงสุดในอเมริกามองข้ามบางสิ่งที่ง่ายเหมือนข้อกำหนดของเหล็กและด้ามมีด มีโอกาสมากน้อยเพียงใดที่ซอฟต์แวร์ที่เป็นอันตรายและไม่เป็นไปตามข้อกำหนดจะปนเปื้อนโค้ดที่เป็นปัญหาโดยไม่ได้ตั้งใจ
อิเล็กทรอนิคส์และซอฟต์แวร์คือพรมแดนถัดไปของการรักษาความปลอดภัยในห่วงโซ่อุปทาน
เก็ตตี้อิมเมจ
ซอฟต์แวร์ต้องการการตรวจสอบเพิ่มเติม
เดิมพันสูง ปีที่แล้ว รายงานประจำปี จากผู้ทดสอบอาวุธเพนตากอนที่สำนักงานผู้อำนวยการ การทดสอบและประเมินผลการปฏิบัติงาน (DOT&E) เตือนว่า “ระบบ DOD ส่วนใหญ่เป็นซอฟต์แวร์เข้มข้นมาก คุณภาพของซอฟต์แวร์และความปลอดภัยทางไซเบอร์โดยรวมของระบบ มักเป็นปัจจัยที่กำหนดประสิทธิภาพในการดำเนินงานและความอยู่รอด และบางครั้งอาจถึงตายได้”
“สิ่งสำคัญที่สุดที่เราสามารถรักษาความปลอดภัยได้คือซอฟต์แวร์ที่เปิดใช้งานระบบเหล่านี้” Kassabov กล่าว “ซัพพลายเออร์ด้านการป้องกันไม่สามารถโฟกัสและทำให้แน่ใจว่าระบบไม่ได้มาจากรัสเซียหรือจีน สิ่งที่สำคัญกว่าคือต้องเข้าใจจริง ๆ ว่าซอฟต์แวร์ภายในระบบคืออะไร และในที่สุดซอฟต์แวร์นี้จะมีความเสี่ยงได้อย่างไร”
แต่ผู้ทดสอบอาจไม่มีเครื่องมือที่จำเป็นในการประเมินความเสี่ยงด้านปฏิบัติการ ตาม DOT&E ผู้ปฏิบัติงานกำลังขอให้ใครบางคนที่กระทรวงกลาโหม "บอกพวกเขาว่าความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์และผลที่ตามมาคืออะไร และเพื่อช่วยพวกเขาสร้างทางเลือกในการบรรเทาผลกระทบเพื่อต่อสู้กับการสูญเสียความสามารถ"
เพื่อช่วยในเรื่องนี้ รัฐบาลสหรัฐฯ อาศัยหน่วยงานที่มีรายละเอียดต่ำที่สำคัญ เช่น สถาบันมาตรฐานและเทคโนโลยีแห่งชาติหรือ NIST เพื่อสร้างมาตรฐานและเครื่องมือการปฏิบัติตามข้อกำหนดพื้นฐานอื่นๆ ที่จำเป็นต่อการรักษาความปลอดภัยซอฟต์แวร์ แต่เงินทุนไม่ได้อยู่ที่นั่น Mark Montgomery กรรมการบริหารของ Cyberspace Solarium Commission ได้รับการเตือนไม่ว่าง ว่า NIST จะถูกกดดันอย่างหนักเพื่อทำสิ่งต่าง ๆ เช่น เผยแพร่คำแนะนำเกี่ยวกับมาตรการรักษาความปลอดภัยสำหรับซอฟต์แวร์ที่สำคัญ พัฒนามาตรฐานขั้นต่ำสำหรับการทดสอบซอฟต์แวร์ หรือแนะนำความปลอดภัยของห่วงโซ่อุปทาน “ด้วยงบประมาณที่ต่ำกว่า 80 ล้านดอลลาร์มาหลายปีแล้ว”
ไม่มีวิธีแก้ปัญหาง่ายๆ คำแนะนำ "back-office" ของ NIST ควบคู่ไปกับความพยายามในการปฏิบัติตามกฎระเบียบที่เข้มงวดมากขึ้น สามารถช่วยได้ แต่เพนตากอนต้องย้ายออกจากแนวทาง "เชิงโต้ตอบ" ที่ล้าสมัยไปสู่ความสมบูรณ์ของห่วงโซ่อุปทาน แน่นอน แม้ว่าการจับความล้มเหลวเป็นเรื่องที่ดี แต่จะดีกว่ามากหากความพยายามเชิงรุกเพื่อรักษาความสมบูรณ์ของห่วงโซ่อุปทานในผู้รับเหมาด้านการป้องกันที่สองเริ่มสร้างรหัสที่เกี่ยวข้องกับการป้องกันก่อน
ที่มา: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/