將“主動警惕”嵌入五角大樓的高科技供應鏈

在國防領域，供應鏈錯誤如果發現得太晚，可能會非常嚴重且難以克服。 然而，五角大樓並不太急於實施更主動的檢測系統，這是一個隨機測試承包商保證的潛在昂貴過程。

但這種“主動警惕”的缺乏可能會帶來巨大的代價。 在造船案例中，在五角大樓發現這些問題之前，美國海軍潛艇使用了不合格鋼材（一種關鍵部件）長達 XNUMX 年之久。 最近，海岸警衛隊的近海巡邏刀上的軸係不合規格 必須安裝和移除——對於承包商和政府客戶來說，這是一種令人尷尬的時間和資金浪費。

如果及早發現這些問題，對利潤或進度的短期打擊將足以抵消複雜且長期的供應鏈故障帶來的更廣泛的損害。

換句話說，供應商可能會受益於嚴格的外部測試和更嚴格的——甚至是隨機的——合規性測試。

Fortress Information Security 創始人 Peter Kassabov 在 國防和航空航天報告播客 今年早些時候，他指出態度正在發生變化，更多的國防領導人可能會開始“將供應鏈不僅視為推動因素，還視為潛在風險”。

保護性法規仍在製定中。 但是，為了讓公司更加認真地對待供應鏈方面的警惕性，公司可能會面臨更大的激勵措施、更大的製裁——或者甚至可能要求主要總承包商的高管對損失承擔個人責任。

舊合規制度專注於舊目標

更重要的是，五角大樓的供應鏈合規框架仍然專注於確保基本結構組件的基本物理完整性。 雖然五角大樓目前的質量控制系統幾乎無法發現具體的物理問題，但五角大樓確實在努力執行國防部當前的電子和軟件完整性標準。

評估電子和軟件完整性的困難是一個大問題。 如今，軍方“黑匣子”中使用的設備和軟件變得更加關鍵。 作為一名空軍將軍 2013 年解釋, “B-52 的生死存亡取決於其鈑金的質量。 今天，我們的飛機生死存亡取決於我們軟件的質量。”

卡薩博夫回應了這一擔憂，警告說“世界正在發生變化，我們需要改變我們的防禦措施。”

當然，雖然“老式”螺栓和緊固件規格仍然很重要，但軟件實際上是幾乎所有現代武器價值主張的核心。 對於 F-35，一種電子武器和關鍵的戰場信息和通信網關，五角大樓應該更關注中國、俄羅斯或其他對關鍵軟件的可疑貢獻，而不是檢測一些中國採購的合金。

並不是說結構組件的國家內容缺乏重要性，而是隨著軟件製定變得更加複雜，在無處不在的模塊化子程序和開源構建塊的支持下，惡作劇的可能性也在增加。 換句話說，中國採購的合金不會自行擊落飛機，但在子系統生產的早期階段引入的腐敗的中國採購軟件可以。

這個問題值得一問。 如果美國最高優先級武器系統的供應商忽視了像鋼材和軸系規範這樣簡單的東西，那麼有害的、不符合規範的軟件無意中被令人不安的代碼污染的可能性有多大？

軟件需要更多審查

賭注很高。 去年，該 年度報告 五角大樓作戰測試和評估主任辦公室（DOT&E）的武器測試人員警告說，“絕大多數國防部系統都是軟件密集型的。 軟件質量和系統的整體網絡安全通常是決定運營效率和生存能力的因素，有時甚至是致命的因素。”

“我們可以保護的最重要的事情是啟用這些系統的軟件，”Kassabov 說。 “國防供應商不能只關注並確保該系統不是來自俄羅斯或中國。 更重要的是真正了解這個系統內部的軟件是什麼，以及這個軟件最終是如何易受攻擊的。”

但測試人員可能沒有評估操作風險所需的工具。 根據 DOT&E 的說法，運營商正在要求五角大樓的某個人“告訴他們網絡安全風險及其潛在後果是什麼，並幫助他們設計緩解方案以應對能力喪失。”

為了幫助做到這一點，美國政府依靠關鍵的低調實體，如 國家標準與技術研究所或 NIST，以生成保護軟件所需的標準和其他基本合規工具。 但資金並不存在。 網絡空間日光浴室委員會執行主任馬克·蒙哥馬利， 一直忙警告 NIST 將很難在“多年來一直徘徊在 80 萬美元以下的預算下”發布關鍵軟件安全措施指南、制定軟件測試最低標准或指導供應鏈安全等事情。

看不到簡單的解決方案。 NIST 的“後台”指導，再加上更積極的合規工作，可以提供幫助，但五角大樓必須擺脫老式的“反應式”供應鏈完整性方法。 當然，雖然發現故障很好，但如果主動努力維護供應鏈的完整性，讓第二道防務承包商首先開始編寫與防務相關的代碼，那就更好了。