Програм хангамжийн аюулгүй байдлыг хангахын тулд Пентагоны тэмцэл тийм ч хялбар биш байх болно
Getty Images-ээр дамжуулан NurPhoto
Үндэсний батлан хамгаалахын хувьд нийлүүлэлтийн гинжин хэлхээний алдаа хэтэрхий оройтсон тохиолдолд асар том бөгөөд үүнийг даван туулахад хэцүү байж болно. Гэсэн хэдий ч Пентагон илүү идэвхтэй илрүүлэх системийг хэрэгжүүлэх хүсэлгүй байгаа нь гэрээлэгчийн баталгааг санамсаргүй турших өндөр өртөгтэй үйл явц юм.
Гэвч энэхүү “сэрэмжгүй байдал” нь асар их зардал дагуулж болзошгүй. Усан онгоцны үйлдвэрлэлийн хувьд Пентагон асуудлыг олж мэдэхээс өмнө XNUMX жилийн турш АНУ-ын Тэнгисийн цэргийн флотын шумбагч онгоцонд тусгай зориулалтын бус ган ашигласан. Саяхан, эргийн хамгаалалтын офшор эргүүлийн таслагч онгоцонд тусгай зориулалтын бус босоо ам. суулгах, зайлуулах шаардлагатай байсан-Гүйцэтгэгчид болон төрийн захиалагчдын аль алинд нь цаг хугацаа, мөнгө үрэх нь ичмээр юм.
Хэрэв эдгээр асуудлуудыг эрт илрүүлсэн бол ашигт богино хугацааны цохилт эсвэл хуваарь нь нийлүүлэлтийн гинжин хэлхээний нарийн төвөгтэй, урт хугацааны бүтэлгүйтлийн илүү их хохирлыг нөхөхөөс илүү байх байсан.
Өөрөөр хэлбэл, ханган нийлүүлэгчид гадны хүчтэй туршилтууд болон илүү хатуу, тэр ч байтугай санамсаргүй нийцлийн тестүүдээс ашиг хүртэх боломжтой.
Цайзын мэдээллийн аюулгүй байдлын үүсгэн байгуулагч Петр Кассабов, a Батлан хамгаалах ба сансар судлалын тайлангийн подкаст Энэ оны эхээр хандлага өөрчлөгдөж, батлан хамгаалахын олон удирдагчид "нийлүүлэлтийн сүлжээг зөвхөн идэвхжүүлэгч төдийгүй болзошгүй эрсдэл" гэж үзэж эхлэх төлөвтэй байгааг тэмдэглэв.
Хамгаалалтын зохицуулалтыг боловсруулж байна. Гэхдээ компаниудыг нийлүүлэлтийн сүлжээний сонор сэрэмжтэй байхыг илүү нухацтай авч үзэхийн тулд компаниуд илүү их урамшуулал, илүү том хориг арга хэмжээ авах эсвэл магадгүй томоохон гүйцэтгэгч компаниудын удирдлагууд хохирлыг биечлэн хариуцах шаардлага тулгарч магадгүй юм.
Бүрэлдэхүүн хэсгүүдийн бүрэн бүтэн байдлыг хангахад хангалттай хэцүү байдаг. Програм хангамжийн бүрэн бүтэн байдал бүр ч хэцүү.
Зохиогчийн эрх 2022 The Associated Press. Бүх эрх хуулиар хамгаалагдсан
Дагаж мөрдөх хуучны дэглэмүүд хуучин зорилтууд дээр төвлөрдөг
Үүнээс гадна Пентагоны нийлүүлэлтийн гинжин хэлхээний дагаж мөрдөх тогтолцоо нь бүтцийн үндсэн бүрэлдэхүүн хэсгүүдийн үндсэн физикийн бүрэн бүтэн байдлыг хангахад чиглэгдсэн хэвээр байна. Пентагоны өнөөгийн чанарын хяналтын системүүд нь бодитой, бие махбодийн асуудлуудыг бараг барьж чаддаггүй ч Пентагон нь Батлан хамгаалах яамны одоогийн электрон хэрэгсэл, програм хангамжийн бүрэн бүтэн байдлын стандартыг хэрэгжүүлэхийн тулд үнэхээр тэмцэж байна.
Электроникийн болон програм хангамжийн бүрэн бүтэн байдлыг үнэлэхэд бэрхшээлтэй байгаа нь том асуудал юм. Өнөө үед цэргийн "хар хайрцаг"-д хэрэглэгдэж буй тоног төхөөрөмж, программ хангамж нь илүү чухал болж байна. Агаарын цэргийн хүчний нэг генералын хувьд 2013 онд тайлбарласан, “В-52 нь төмөр хуудасныхаа чанарт амьдарч, үхсэн. Өнөөдөр манай нисэх онгоц манай программ хангамжийн чанарт амьдрах эсвэл үхэх болно."
Кассабов энэ санаа зовнилыг давтаж, "Дэлхий өөрчлөгдөж байна, бид хамгаалалтаа өөрчлөх хэрэгтэй" гэж анхааруулав.
Мэдээжийн хэрэг, "хуучин загварын" боолт, бэхэлгээний үзүүлэлтүүд чухал хэвээр байгаа ч програм хангамж нь бараг бүх орчин үеийн зэвсгийн үнэ цэнийн гол цөм нь байдаг. Цахим зэвсэг, байлдааны талбарын мэдээлэл, харилцаа холбооны гол гарц болох F-35 онгоцны хувьд Пентагон Хятад, Орос болон бусад чухал программ хангамжид оруулсан хувь нэмрийг Хятадаас гаргаж авсан хайлш илрүүлэхээс хамаагүй илүү зохицуулах ёстой.
Бүтцийн бүрэлдэхүүн хэсгүүдийн үндэсний агуулга чухал биш, харин програм хангамжийн томъёолол нь хаа сайгүй байдаг модульчлагдсан дэд программууд болон нээлттэй эхийн барилгын блокуудаар дэмжигдэх тусам илүү төвөгтэй болж, хор хөнөөл учруулах магадлал нэмэгддэг. Өөрөөр хэлбэл, Хятадаас гаралтай хайлш нь онгоцыг өөрөө буулгахгүй, харин дэд системийн үйлдвэрлэлийн маш эрт үе шатанд нэвтрүүлсэн авилгад автсан, Хятадаас гаралтай програм хангамж байж болох юм.
гэсэн асуултыг асуух нь зүйтэй. Хэрэв Америкийн хамгийн чухал ач холбогдолтой зэвсгийн системийн нийлүүлэгчид ган, босоо амны техникийн үзүүлэлтүүд шиг энгийн зүйлийг үл тоомсорлож байгаа бол хортой, тусгай зориулалтын бус програм хангамж нь санамсаргүй байдлаар санаа зовоосон кодоор бохирдох магадлал хэр вэ?
Цахим хэрэгсэл, програм хангамж нь нийлүүлэлтийн сүлжээний аюулгүй байдлын дараагийн хил юм
Getty Images
Програм хангамжийг илүү нарийвчлан шалгах шаардлагатай
Бооцоо өндөр байна. Өнгөрсөн жил жилийн тайлан Үйл ажиллагааны Туршилт, Үнэлгээний (DOT&E) Тамгын газрын Пентагоны зэвсэг туршигчид “DOD системүүдийн дийлэнх нь маш их програм хангамж шаарддаг” гэж анхааруулав. Програм хангамжийн чанар, системийн нийт кибер аюулгүй байдал нь ихэвчлэн үйл ажиллагааны үр ашиг, оршин тогтнох, заримдаа үхэлд хүргэх хүчин зүйл болдог.”
"Бидний аюулгүй болгож чадах хамгийн чухал зүйл бол эдгээр системийг идэвхжүүлдэг програм хангамж юм" гэж Кассабов хэлэв. “Батлан хамгаалахын ханган нийлүүлэгчид зөвхөн анхаарлаа төвлөрүүлж, систем нь Орос эсвэл Хятадаас ирээгүй гэдэгт итгэлтэй байж болохгүй. Энэ системийн доторх програм хангамж гэж юу болох, энэ програм хангамж хэрхэн эмзэг болохыг ойлгох нь илүү чухал юм."
Гэхдээ шалгагчид үйл ажиллагааны эрсдэлийг үнэлэхэд шаардлагатай багаж хэрэгсэлгүй байж болно. DOT&E-ийн мэдээлснээр операторууд Пентагоноос хэн нэгнийг "кибер аюулгүй байдлын эрсдэлүүд, тэдгээрийн болзошгүй үр дагаврыг хэлж, чадвараа алдахтай тэмцэхийн тулд багасгах хувилбаруудыг боловсруулахад нь туслахыг" хүсч байна.
Үүнд туслахын тулд АНУ-ын засгийн газар гэх мэт чухал нэр хүндтэй байгууллагуудад найдаж байна Үндэсний стандарт, технологийн хүрээлэн, эсвэл NIST нь програм хангамжийг хамгаалахад шаардлагатай стандартууд болон бусад дагаж мөрдөх үндсэн хэрэгслийг бий болгох. Гэхдээ санхүүжилт нь зүгээр л байхгүй. Марк Монтгомери, Кибер орон зайн нарны комиссын гүйцэтгэх захирал, анхааруулах завгүй байсан NIST нь чухал программ хангамжийн аюулгүй байдлын арга хэмжээний зааварчилгааг хэвлэн нийтлэх, програм хангамжийн туршилтын хамгийн бага стандартыг боловсруулах, эсвэл нийлүүлэлтийн сүлжээний аюулгүй байдлыг "олон жилийн турш 80 сая доллараас бага үнэтэй байсан" төсөвт чиглүүлэх зэрэг ажлыг хийхэд хэцүү байх болно.
Энгийн шийдэл харагдахгүй байна. NIST-ийн "арын албаны" удирдамж, дагаж мөрдөхийн тулд илүү түрэмгий хүчин чармайлт гаргахад тусалж болох ч Пентагон нийлүүлэлтийн гинжин хэлхээний бүрэн бүтэн байдлыг хангах хуучин загварын "реактив" арга барилаас татгалзах хэрэгтэй болсон. Мэдээжийн хэрэг, бүтэлгүйтлийг олж илрүүлэх нь гайхалтай боловч хамгаалалтын хоёр дахь гүйцэтгэгчид нийлүүлэлтийн гинжин хэлхээний бүрэн бүтэн байдлыг хангах идэвхтэй хүчин чармайлт нь эхлээд батлан хамгаалахтай холбоотой кодыг боловсруулж эхэлбэл хамаагүй дээр юм.
Эх сурвалж: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/