ໃນການປ້ອງກັນປະເທດ, ຄວາມຜິດພາດຂອງຕ່ອງໂສ້ການສະໜອງ, ເມື່ອພົບເຫັນວ່າຊ້າເກີນໄປ, ອາດຈະໃຫຍ່ຫຼວງ ແລະ ຍາກທີ່ຈະເອົາຊະນະ. ແລະຢ່າງໃດກໍ່ຕາມ, Pentagon ບໍ່ມີຄວາມກະຕືລືລົ້ນເກີນໄປທີ່ຈະປະຕິບັດລະບົບການຊອກຄົ້ນຫາແບບຕັ້ງໃຈ, ເປັນຂະບວນການທີ່ມີລາຄາແພງຂອງການທົດສອບການຮັບປະກັນຂອງຜູ້ຮັບເຫມົາແບບສຸ່ມ.
ແຕ່ການຂາດ "ການເຝົ້າລະວັງຢ່າງຕັ້ງໜ້າ" ນີ້ສາມາດມີຄ່າໃຊ້ຈ່າຍອັນໃຫຍ່ຫຼວງ. ໃນກໍລະນີຂອງການກໍ່ສ້າງເຮືອ, ເຫຼັກກ້າທີ່ບໍ່ໄດ້ລະບຸ - ອົງປະກອບທີ່ສໍາຄັນ - ໄດ້ຖືກນໍາໃຊ້ໃນເຮືອດໍານ້ໍາຂອງກອງທັບເຮືອສະຫະລັດເປັນເວລາສອງທົດສະວັດກ່ອນທີ່ Pentagon ໄດ້ຮຽນຮູ້ບັນຫາ. ຫວ່າງມໍ່ໆມານີ້, ເຄື່ອງຕັດການລາດຕະເວນນອກຝັ່ງຂອງກອງກຳລັງປ້ອງກັນຊາຍຝັ່ງ ຕ້ອງໄດ້ຮັບການຕິດຕັ້ງແລະເອົາອອກ— ເປັນການເສຍເວລາແລະເງິນທຶນທີ່ໜ້າອັບອາຍຂອງທັງຜູ້ຮັບເໝົາແລະລູກຄ້າຂອງລັດ.
ຖ້າບັນຫາເຫຼົ່ານີ້ຖືກຈັບໄດ້ໄວ, ຄວາມເສຍຫາຍໄລຍະສັ້ນຕໍ່ຜົນກໍາໄລຫຼືຕາຕະລາງຈະມີຫຼາຍກວ່າການຊົດເຊີຍຄວາມເສຍຫາຍທີ່ກວ້າງຂວາງຂອງຄວາມລົ້ມເຫຼວຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງທີ່ສັບສົນແລະໄລຍະຍາວ.
ອີກວິທີໜຶ່ງ, ຜູ້ສະໜອງອາດຈະໄດ້ຮັບຜົນປະໂຫຍດຈາກການທົດສອບພາຍນອກຢ່າງແຂງແຮງ ແລະ ການທົດສອບການປະຕິບັດຕາມແບບສຸ່ມທີ່ເຂັ້ມງວດກວ່າ.
ຜູ້ກໍ່ຕັ້ງ Fortress Information Security ທ່ານ Peter Kassabov, ກ່າວຕໍ່ ກ podc ast ລາຍງານປ້ອງກັນປະເທດແລະອາວະກາດ ໃນຕົ້ນປີນີ້, ໄດ້ສັງເກດເຫັນວ່າທັດສະນະຄະຕິກໍາລັງປ່ຽນແປງແລະຜູ້ນໍາດ້ານປ້ອງກັນປະເທດມີແນວໂນ້ມທີ່ຈະເລີ່ມເບິ່ງ "ຢູ່ໃນລະບົບຕ່ອງໂສ້ການສະຫນອງບໍ່ພຽງແຕ່ເປັນຕົວກະຕຸ້ນ, ແຕ່ຍັງມີຄວາມສ່ຽງທີ່ອາດຈະເກີດຂື້ນ."
ລະບຽບການປ້ອງກັນຍັງຖືກພັດທະນາ. ແຕ່ເພື່ອໃຫ້ບໍລິສັດປະຕິບັດລະບົບຕ່ອງໂສ້ການສະຫນອງ proactie ລະມັດລະວັງຫຼາຍກວ່າເກົ່າ, ບໍລິສັດອາດຈະປະເຊີນກັບແຮງຈູງໃຈທີ່ໃຫຍ່ກວ່າ, ການລົງໂທດທີ່ໃຫຍ່ກວ່າ - ຫຼືບາງທີແມ່ນຂໍ້ກໍານົດທີ່ຜູ້ບໍລິຫານຂອງບໍລິສັດຜູ້ຮັບເຫມົາທີ່ສໍາຄັນຕ້ອງຮັບຜິດຊອບຕໍ່ຄວາມເສຍຫາຍສ່ວນບຸກຄົນ.
ກົດລະບຽບການປະຕິບັດຕາມແບບເກົ່າສຸມໃສ່ເປົ້າຫມາຍເກົ່າ
ສິ່ງທີ່ເພີ່ມເຕີມແມ່ນວ່າໂຄງຮ່າງການປະຕິບັດຕາມລະບົບຕ່ອງໂສ້ການສະຫນອງຂອງ Pentagon, ເຊັ່ນວ່າມັນແມ່ນ, ຍັງຄົງສຸມໃສ່ການຮັບປະກັນຄວາມສົມບູນທາງດ້ານຮ່າງກາຍພື້ນຖານຂອງອົງປະກອບໂຄງສ້າງພື້ນຖານ. ແລະໃນຂະນະທີ່ລະບົບການຄວບຄຸມຄຸນນະພາບໃນປະຈຸບັນຂອງ Pentagon ເກືອບບໍ່ສາມາດຈັບບັນຫາສີມັງ, ທາງດ້ານຮ່າງກາຍ, Pentagon ກໍ່ຕໍ່ສູ້ເພື່ອບັງຄັບໃຊ້ມາດຕະຖານຄວາມສົມບູນຂອງກະຊວງປ້ອງກັນປະເທດໃນປະຈຸບັນສໍາລັບເອເລັກໂຕຣນິກແລະຊອບແວ.
ຄວາມຫຍຸ້ງຍາກໃນການປະເມີນຄວາມສົມບູນຂອງເອເລັກໂຕຣນິກແລະຊອບແວແມ່ນເປັນບັນຫາໃຫຍ່. ທຸກມື້ນີ້, ເຄື່ອງມືແລະຊອບແວທີ່ໃຊ້ໃນ "ກ່ອງດໍາ" ຂອງທະຫານແມ່ນມີຄວາມສໍາຄັນຫຼາຍ. ເປັນນາຍພົນທະຫານອາກາດຄົນນຶ່ງ ອະທິບາຍໃນປີ 2013, “ຍົນ B-52 ມີຊີວິດຢູ່ແລະເສຍຊີວິດຍ້ອນຄຸນນະພາບຂອງໂລຫະແຜ່ນຂອງມັນ. ມື້ນີ້ເຮືອບິນຂອງພວກເຮົາຈະມີຊີວິດຫຼືຕາຍຍ້ອນຄຸນນະພາບຂອງຊອບແວຂອງພວກເຮົາ."
Kassabov ສະທ້ອນເຖິງຄວາມກັງວົນນີ້, ເຕືອນວ່າ "ໂລກກໍາລັງປ່ຽນແປງແລະພວກເຮົາຕ້ອງປ່ຽນແປງການປ້ອງກັນຂອງພວກເຮົາ."
ແນ່ນອນວ່າ, ໃນຂະນະທີ່ຂໍ້ກໍາຫນົດຂອງ bolt-and-fastener "ແບບເກົ່າ" ຍັງມີຄວາມສໍາຄັນ, ຊອບແວແມ່ນສໍາຄັນຂອງເກືອບທຸກການສະເຫນີມູນຄ່າຂອງອາວຸດທີ່ທັນສະໄຫມ. ສໍາລັບ F-35, ອາວຸດອີເລັກໂທຣນິກແລະເປັນປະຕູຂໍ້ມູນຂ່າວສານແລະການສື່ສານຂອງຮົບທີ່ສໍາຄັນ, Pentagon ຄວນຈະໄດ້ຮັບການສະຫນັບສະຫນູນຈາກຈີນ, ລັດເຊຍຫຼືການປະກອບສ່ວນທີ່ຫນ້າສົງໄສອື່ນໆຕໍ່ກັບຊອບແວທີ່ສໍາຄັນກ່ວາມັນອາດຈະເປັນໃນການກວດສອບໂລຫະປະສົມບາງແຫຼ່ງຂອງຈີນ.
ບໍ່ແມ່ນວ່າເນື້ອໃນແຫ່ງຊາດຂອງອົງປະກອບໂຄງສ້າງຂາດຄວາມສໍາຄັນ, ແຕ່ຍ້ອນວ່າການສ້າງຊອບແວໄດ້ກາຍເປັນຄວາມສັບສົນຫຼາຍ, ສະຫນັບສະຫນູນໂດຍ subroutines modular ຢູ່ທົ່ວທຸກແຫ່ງແລະການກໍ່ສ້າງແຫຼ່ງເປີດ, ທ່າແຮງສໍາລັບ mischief ຈະເລີນເຕີບໂຕ. ເວົ້າອີກຢ່າງ ໜຶ່ງ, ໂລຫະປະສົມທີ່ມາຈາກຈີນຈະບໍ່ເຮັດໃຫ້ເຮືອບິນຕົກໂດຍຕົວມັນເອງ, ແຕ່ຊອບແວທີ່ເສຍຫາຍ, ມາຈາກຈີນທີ່ ນຳ ສະ ເໜີ ໃນຂັ້ນຕອນຕົ້ນຂອງການຜະລິດລະບົບຍ່ອຍສາມາດ ທຳ ລາຍໄດ້.
ຄໍາຖາມແມ່ນສົມຄວນຖາມ. ຖ້າຜູ້ສະຫນອງລະບົບອາວຸດທີ່ມີບູລິມະສິດສູງສຸດຂອງອາເມລິກາກໍາລັງເບິ່ງຂ້າມບາງສິ່ງບາງຢ່າງທີ່ງ່າຍດາຍເຊັ່ນເຫຼັກກ້າແລະ shafting, ໂອກາດທີ່ເປັນອັນຕະລາຍ, ຊອບແວທີ່ບໍ່ໄດ້ລະບຸໄວ້ຈະຖືກປົນເປື້ອນໂດຍບໍ່ໄດ້ຕັ້ງໃຈກັບລະຫັດທີ່ມີບັນຫາ?
ຊອບແວຕ້ອງການການກວດສອບເພີ່ມເຕີມ
ສະເຕກແມ່ນສູງ. ປີທີ່ຜ່ານມາ, ໄດ້ ລາຍງານປະຈໍາປີ ຈາກຜູ້ທົດສອບອາວຸດຂອງ Pentagon ຢູ່ຫ້ອງການຂອງຜູ້ອໍານວຍການ, ການທົດສອບແລະການປະເມີນຜົນການປະຕິບັດງານ (DOT&E) ໄດ້ເຕືອນວ່າ "ລະບົບ DOD ສ່ວນໃຫຍ່ແມ່ນຊອບແວທີ່ໃຊ້ຫຼາຍ. ຄຸນນະພາບຂອງຊອບແວ, ແລະຄວາມປອດໄພທາງອິນເຕີເນັດໂດຍລວມຂອງລະບົບ, ມັກຈະເປັນປັດໃຈທີ່ກໍານົດປະສິດທິພາບຂອງການດໍາເນີນງານ ແລະຄວາມຢູ່ລອດ, ແລະບາງຄັ້ງກໍ່ຕາຍ.”
"ສິ່ງທີ່ສໍາຄັນທີ່ສຸດທີ່ພວກເຮົາສາມາດຮັບປະກັນແມ່ນຊອບແວທີ່ຊ່ວຍໃຫ້ລະບົບເຫຼົ່ານີ້, Kassabov ເວົ້າ. "ຜູ້ສະຫນອງດ້ານປ້ອງກັນປະເທດບໍ່ສາມາດພຽງແຕ່ສຸມໃສ່ແລະໃຫ້ແນ່ໃຈວ່າລະບົບບໍ່ໄດ້ມາຈາກລັດເຊຍຫຼືຈາກຈີນ. ມັນເປັນສິ່ງ ສຳ ຄັນກວ່າທີ່ຈະເຂົ້າໃຈວ່າຊອບແວພາຍໃນລະບົບນີ້ແມ່ນຫຍັງແລະໃນທີ່ສຸດຊອບແວນີ້ມີຄວາມສ່ຽງແນວໃດ.”
ແຕ່ຜູ້ທົດສອບອາດຈະບໍ່ມີເຄື່ອງມືທີ່ຈໍາເປັນເພື່ອປະເມີນຄວາມສ່ຽງຕໍ່ການປະຕິບັດງານ. ອີງຕາມການ DOT&E, ຜູ້ປະຕິບັດງານກໍາລັງຮ້ອງຂໍໃຫ້ຜູ້ໃດຜູ້ຫນຶ່ງຢູ່ໃນ Pentagon "ບອກພວກເຂົາວ່າຄວາມສ່ຽງດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ, ແລະຜົນສະທ້ອນທີ່ອາດເກີດຂື້ນ, ແມ່ນຫຍັງ, ແລະເພື່ອຊ່ວຍໃຫ້ພວກເຂົາສ້າງທາງເລືອກໃນການຫຼຸດຜ່ອນເພື່ອຕໍ່ສູ້ກັບການສູນເສຍຄວາມສາມາດ."
ເພື່ອຊ່ວຍເຮັດສິ່ງດັ່ງກ່າວ, ລັດຖະບານອາເມລິກາໄດ້ອີງໃສ່ບັນດາອົງການທີ່ມີຊື່ສຽງຕ່ຳທີ່ສຳຄັນ ສະຖາບັນແຫ່ງຊາດດ້ານມາດຕະຖານແລະເຕັກໂນໂລຢີ, ຫຼື NIST, ເພື່ອສ້າງມາດຕະຖານ ແລະເຄື່ອງມືການປະຕິບັດຕາມພື້ນຖານອື່ນໆທີ່ຈໍາເປັນເພື່ອຮັບປະກັນຊອບແວ. ແຕ່ການສະຫນອງທຶນພຽງແຕ່ບໍ່ມີ. Mark Montgomery, ຜູ້ອໍານວຍການບໍລິຫານຂອງ Cyberspace Solarium Commission, ໄດ້ຮັບການເຕືອນໄພທຸລະກິດ ວ່າ NIST ຈະໄດ້ຮັບການກົດດັນຢ່າງຫນັກແຫນ້ນທີ່ຈະເຮັດສິ່ງຕ່າງໆເຊັ່ນການເຜີຍແຜ່ຄໍາແນະນໍາກ່ຽວກັບມາດຕະການຄວາມປອດໄພສໍາລັບຊອບແວທີ່ສໍາຄັນ, ພັດທະນາມາດຕະຖານຂັ້ນຕ່ໍາສໍາລັບການທົດສອບຊອບແວ, ຫຼືຄວາມປອດໄພຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງຄູ່ມື "ໃນງົບປະມານທີ່ສໍາລັບປີມີພຽງແຕ່ $ 80 ລ້ານ."
ບໍ່ມີການແກ້ໄຂງ່າຍໆຢູ່ໃນສາຍຕາ. ການແນະນໍາ "back-office" ຂອງ NIST, ຄຽງຄູ່ກັບຄວາມພະຍາຍາມປະຕິບັດຕາມທີ່ຮຸກຮານຫຼາຍ, ສາມາດຊ່ວຍໄດ້, ແຕ່ Pentagon ຕ້ອງໄດ້ຍ້າຍອອກໄປຈາກວິທີການ "ປະຕິກິລິຍາ" ແບບເກົ່າແກ່ເພື່ອຄວາມສົມບູນຂອງຕ່ອງໂສ້ການສະຫນອງ. ແນ່ນອນວ່າ, ໃນຂະນະທີ່ມັນເປັນການດີທີ່ຈະຈັບຄວາມລົ້ມເຫລວ, ມັນຈະດີກວ່າຖ້າຄວາມພະຍາຍາມຢ່າງຫ້າວຫັນເພື່ອຮັກສາຄວາມສົມບູນຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງໃນຜູ້ຮັບເຫມົາປ້ອງກັນປະເທດທີສອງເລີ່ມຕົ້ນສ້າງລະຫັດທີ່ກ່ຽວຂ້ອງກັບການປ້ອງກັນ.
ແຫຼ່ງຂໍ້ມູນ: https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/