Einbettung von „proaktiver Wachsamkeit“ in die Hightech-Lieferkette des Pentagon

In der Landesverteidigung können Fehler in der Lieferkette, wenn sie zu spät entdeckt werden, massiv und schwer zu beheben sein. Und doch ist das Pentagon nicht allzu erpicht darauf, proaktivere Erkennungssysteme zu implementieren, ein potenziell teurer Prozess, bei dem Zusicherungen von Auftragnehmern stichprobenartig getestet werden.

Aber dieser Mangel an „proaktiver Wachsamkeit“ kann hohe Kosten verursachen. Im Schiffbau wurde Stahl, der nicht den Spezifikationen entspricht – eine kritische Komponente – zwei Jahrzehnte lang auf U-Booten der US Navy verwendet, bevor das Pentagon von den Problemen erfuhr. In jüngerer Zeit Wellen außerhalb der Spezifikation an Bord des Offshore Patrol Cutter der Küstenwache musste installiert und entfernt werden– eine peinliche Zeit- und Geldverschwendung sowohl für die Auftragnehmer als auch für die Regierungskunden.

Wären diese Probleme frühzeitig erkannt worden, hätte der kurzfristige Gewinn- oder Zeitplaneinbruch den größeren Schaden eines komplexen und langfristigen Ausfalls der Lieferkette mehr als ausgeglichen.

Anders ausgedrückt, die Lieferanten können von energischen externen Tests und strengeren – oder sogar zufälligen – Konformitätstests profitieren.

Peter Kassabov, Gründer von Fortress Information Security, spricht über a Podcast zum Verteidigungs- und Luft- und Raumfahrtbericht stellte Anfang dieses Jahres fest, dass sich die Einstellungen ändern und mehr Verteidigungsführer wahrscheinlich anfangen werden, „die Lieferkette nicht nur als Wegbereiter, sondern auch als potenzielles Risiko“ zu betrachten.

Eine Schutzverordnung wird noch entwickelt. Aber um Unternehmen dazu zu bringen, die proaktive Überwachung der Lieferkette ernster zu nehmen, müssen Unternehmen möglicherweise mit größeren Anreizen, größeren Sanktionen konfrontiert werden – oder vielleicht sogar mit der Anforderung, dass Führungskräfte großer Hauptauftragnehmer persönlich für Schäden haftbar gemacht werden.

Alte Compliance-Regelungen konzentrieren sich auf alte Ziele

Darüber hinaus konzentriert sich der Lieferketten-Compliance-Rahmen des Pentagon, so wie er ist, weiterhin darauf, die grundlegende physische Integrität grundlegender Strukturkomponenten sicherzustellen. Und während die derzeitigen Qualitätskontrollsysteme des Pentagon kaum in der Lage sind, konkrete, physische Probleme zu erkennen, kämpft das Pentagon wirklich darum, die aktuellen Integritätsstandards des Verteidigungsministeriums für Elektronik und Software durchzusetzen.

Die Schwierigkeit bei der Beurteilung der Integrität von Elektronik und Software ist ein großes Problem. Heutzutage sind die Ausrüstung und Software, die in den „Black Boxes“ des Militärs verwendet werden, weitaus kritischer. Als ein Luftwaffengeneral 2013 erklärt, „Die B-52 lebte und starb von der Qualität ihres Blechs. Heute leben oder sterben unsere Flugzeuge von der Qualität unserer Software.“

Kassabov wiederholt diese Besorgnis und warnt davor, dass „die Welt sich verändert und wir unsere Verteidigung ändern müssen“.

Während „altmodische“ Bolzen-und-Verschluss-Spezifikationen immer noch wichtig sind, ist Software sicherlich der Kern des Leistungsversprechens fast jeder modernen Waffe. Für die F-35, eine elektronische Waffe und ein wichtiges Informations- und Kommunikationsgateway auf dem Schlachtfeld, sollte das Pentagon viel mehr auf chinesische, russische oder andere zweifelhafte Beiträge zu kritischer Software eingestellt sein, als es bei der Erkennung einiger aus China stammender Legierungen der Fall sein könnte.

Nicht dass der nationale Inhalt von Strukturkomponenten an Bedeutung verliert, aber je komplexer die Softwareformulierung wird, unterstützt durch allgegenwärtige modulare Subroutinen und Open-Source-Bausteine, desto größer wird das Potenzial für Unfug. Anders gesagt, eine Legierung aus chinesischer Herkunft wird ein Flugzeug nicht von selbst zum Absturz bringen, aber eine korrupte Software aus chinesischer Herkunft, die in einem sehr frühen Stadium der Subsystemproduktion eingeführt wird, könnte dies tun.

Die Frage ist es wert, gestellt zu werden. Wenn Lieferanten von Waffensystemen mit der höchsten Priorität in Amerika etwas so Einfaches wie Stahl- und Wellenspezifikationen übersehen, wie groß ist dann die Wahrscheinlichkeit, dass schädliche Software, die nicht der Spezifikation entspricht, unbeabsichtigt mit störendem Code kontaminiert wird?

Software muss genauer geprüft werden

Es geht um viel. Letztes Jahr, die jährlicher Bericht von Pentagon-Waffentestern im Office of the Director, Operational Test and Evaluation (DOT&E) warnten, dass „die überwiegende Mehrheit der DOD-Systeme extrem softwareintensiv ist. Die Softwarequalität und die allgemeine Cybersicherheit des Systems sind oft die Faktoren, die die betriebliche Effektivität und Überlebensfähigkeit und manchmal auch die Letalität bestimmen.“

„Das Wichtigste, was wir sichern können, ist die Software, die diese Systeme ermöglicht“, sagt Kassabov. „Rüstungslieferanten können sich nicht einfach darauf konzentrieren und sicherstellen, dass das System nicht aus Russland oder China kommt. Es ist wichtiger, tatsächlich zu verstehen, was die Software in diesem System ist und wie diese Software letztendlich angreifbar ist.“

Tester verfügen jedoch möglicherweise nicht über die erforderlichen Tools, um das Betriebsrisiko zu bewerten. Laut DOT&E bitten die Betreiber um jemanden im Pentagon, der „ihnen erklärt, was die Cybersicherheitsrisiken und ihre möglichen Folgen sind, und ihnen hilft, Minderungsoptionen zu entwickeln, um einen Kapazitätsverlust zu bewältigen“.

Um dies zu erreichen, verlässt sich die US-Regierung auf kritische unauffällige Einrichtungen wie die National Institute of Standards and Technology, oder NIST, um Standards und andere grundlegende Compliance-Tools zu erstellen, die zum Sichern von Software erforderlich sind. Aber die Finanzierung ist einfach nicht da. Mark Montgomery, der Exekutivdirektor der Cyberspace Solarium Commission, war damit beschäftigt zu warnen dass es NIST schwerfallen wird, Dinge wie die Veröffentlichung von Leitlinien zu Sicherheitsmaßnahmen für kritische Software, die Entwicklung von Mindeststandards für Softwaretests oder die Führung der Lieferkettensicherheit „mit einem Budget, das sich seit Jahren bei knapp 80 Millionen US-Dollar bewegt“ zu tun.

Eine einfache Lösung ist nicht in Sicht. Die „Back-Office“-Anleitung von NIST, gepaart mit aggressiveren Compliance-Bemühungen, kann helfen, aber das Pentagon muss sich von dem altmodischen „reaktiven“ Ansatz zur Lieferkettenintegrität verabschieden. Sicherlich ist es zwar großartig, Fehler aufzudecken, aber es ist weitaus besser, wenn proaktive Bemühungen zur Aufrechterhaltung der Integrität der Lieferkette in der Sekunde beginnen, in der Verteidigungsunternehmen zuerst mit der Erstellung verteidigungsbezogener Codes beginnen.