펜타곤의 하이테크 공급망에 "사전적 경계" 포함

국방에서 너무 늦게 발견되는 공급망 실수는 방대하고 극복하기 어려울 수 있습니다. 그러나 펜타곤은 계약자 보증을 무작위로 테스트하는 잠재적으로 비용이 많이 드는 프로세스인 보다 사전 예방적 탐지 시스템을 구현하기를 열망하지 않습니다.

그러나 이러한 "선제적 경계"의 부족은 큰 비용을 초래할 수 있습니다. 조선의 경우, 미 국방부가 문제를 알기 전에 XNUMX년 동안 미해군 잠수함에 핵심 부품인 규격 외 강철이 사용되었습니다. 보다 최근에는 해안 경비대의 Offshore Patrol Cutter에서 사양을 벗어난 샤프트를 사용했습니다. 설치하고 제거해야했습니다- 계약자와 정부 고객 모두에게 난처한 시간과 자금 낭비.

이러한 문제가 조기에 발견되었다면 이익이나 일정에 대한 단기적인 타격은 복잡하고 장기적인 공급망 실패로 인한 광범위한 피해를 상쇄하는 것 이상이었을 것입니다.

다시 말해, 공급업체는 강력한 외부 테스트와 더 엄격한(또는 무작위) 준수 테스트의 이점을 얻을 수 있습니다.

Fortress Information Security 설립자 Peter Kassabov, 국방 및 항공우주 보고서 팟캐스트 올해 초, 태도가 바뀌고 더 많은 국방 지도자들이 "공급망을 가능하게 할 뿐만 아니라 잠재적인 위험으로" 보기 시작할 가능성이 있다고 언급했습니다.

보호 규정은 아직 개발 중입니다. 그러나 기업이 사전 공급망 경계를 더 심각하게 받아들이도록 하기 위해 기업은 더 큰 인센티브, 더 큰 제재 또는 심지어 주요 주계약자의 경영진이 개인적으로 손해에 대해 책임을 져야 한다는 요구 사항에 직면할 수 있습니다.

오래된 규정 준수 체제는 오래된 목표에 중점을 둡니다.

더욱이 펜타곤의 공급망 규정 준수 프레임워크는 그대로 기본 구조 구성 요소의 근본적인 물리적 무결성을 보장하는 데 초점을 맞추고 있습니다. 그리고 국방부의 현재 품질 관리 시스템은 구체적이고 물리적인 문제를 간신히 포착할 수 있는 반면, 국방부는 전자 및 소프트웨어에 대한 현재 국방부 무결성 표준을 시행하기 위해 정말 고군분투하고 있습니다.

전자 및 소프트웨어 무결성 평가의 어려움은 큰 문제입니다. 요즘은 군용 '블랙박스'에 사용되는 장비와 소프트웨어가 훨씬 더 중요하다. 한 공군 장교로서 2013년에 설명, “B-52는 판금의 품질로 살았고 죽었습니다. 오늘날 우리 항공기는 소프트웨어 품질에 따라 살 수도 죽을 것입니다.”

Kassabov는 "세상은 변하고 있고 우리는 방어선을 바꿔야 한다"고 경고하면서 이러한 우려를 되풀이했습니다.

확실히, "구식" 볼트 및 패스너 사양이 여전히 중요하지만 소프트웨어는 실제로 거의 모든 현대 무기의 가치 제안의 핵심입니다. 전자 무기이자 주요 전장 정보 및 통신 게이트웨이인 F-35의 경우 국방부는 일부 중국산 합금을 탐지하는 것보다 중요한 소프트웨어에 대한 중국, 러시아 또는 기타 모호한 기여에 훨씬 더 잘 맞춰야 합니다.

구조적 구성요소의 국가적 내용이 중요하지 않다는 것은 아니지만 유비쿼터스 모듈식 서브루틴과 오픈 소스 빌딩 블록에 의해 지원되는 소프트웨어 공식이 더 복잡해짐에 따라 장난의 가능성이 커집니다. 다시 말해, 중국산 합금은 그 자체로 항공기를 격추시키지는 않지만 하위 시스템 생산의 초기 단계에서 도입된 부패한 중국산 소프트웨어는 그렇게 할 수 있습니다.

질문할 가치가 있습니다. 미국의 최우선 무기 시스템 공급업체가 강철 및 샤프트 사양과 같은 단순한 것을 간과한다면 사양에 맞지 않는 유해한 소프트웨어가 의도하지 않게 문제가 되는 코드로 오염될 가능성은 얼마나 됩니까?

더 많은 조사가 필요한 소프트웨어

판돈이 높습니다. 작년에는 연간 보고서 DOT&E(Office of the Director, Operational Test and Evaluation)의 펜타곤 무기 테스터는 “대다수의 DOD 시스템은 극도로 소프트웨어 집약적입니다. 소프트웨어 품질과 시스템의 전반적인 사이버 보안은 종종 운영 효율성과 생존 가능성을 결정하는 요소이며 때로는 치명적입니다.”

Kassabov는 "우리가 보호할 수 있는 가장 중요한 것은 이러한 시스템을 지원하는 소프트웨어입니다. “방위 공급업체는 시스템이 러시아나 중국에서 오지 않도록 집중하고 확인할 수 없습니다. 이 시스템 내부의 소프트웨어가 무엇이고 이 소프트웨어가 결국 어떻게 취약한지를 실제로 이해하는 것이 더 중요합니다.”

그러나 테스터는 운영 위험을 평가하는 데 필요한 도구가 없을 수 있습니다. DOT&E에 따르면 운영자는 국방부의 누군가에게 "사이버 보안 위험과 잠재적 결과가 무엇인지 알려주고 능력 상실을 극복하기 위한 완화 옵션을 고안하는 데 도움을 줄 것"을 요청하고 있습니다.

이를 돕기 위해 미국 정부는 다음과 같은 중요하지 않은 기관에 의존합니다. 국립 표준 기술 연구소, 또는 NIST를 사용하여 소프트웨어를 보호하는 데 필요한 표준 및 기타 기본 규정 준수 도구를 생성합니다. 다만 자금이 부족할 뿐입니다. Cyberspace Solarium Commission의 전무이사인 Mark Montgomery는 다음과 같이 말했습니다. 경고 바빴다 NIST는 "수년 동안 80천만 달러 미만이었던 예산으로" 중요한 소프트웨어에 대한 보안 조치에 대한 지침을 게시하거나 소프트웨어 테스트를 위한 최소 표준을 개발하거나 공급망 보안을 안내하는 것과 같은 일을 하는 데 어려움을 겪을 것이라고 말했습니다.

간단한 해결책은 보이지 않습니다. NIST의 "백오피스" 지침과 보다 적극적인 규정 준수 노력이 도움이 될 수 있지만 국방부는 공급망 무결성에 대한 구식 "반응적" 접근 방식에서 벗어나야 합니다. 물론 실패를 포착하는 것도 좋지만 두 번째 방위 계약업체에서 공급망 무결성을 유지하기 위한 사전 노력이 먼저 방위 관련 코드 작성을 시작한다면 훨씬 더 좋습니다.