ການຝັງ "ຄວາມລະມັດລະວັງຢ່າງຫ້າວຫັນ" ເຂົ້າໄປໃນລະບົບຕ່ອງໂສ້ການສະຫນອງເຕັກໂນໂລຢີສູງຂອງ Pentagon

ໃນ​ການ​ປ້ອງ​ກັນ​ປະ​ເທດ, ຄວາມ​ຜິດ​ພາດ​ຂອງ​ຕ່ອງ​ໂສ້​ການ​ສະ​ໜອງ, ເມື່ອ​ພົບ​ເຫັນ​ວ່າ​ຊ້າ​ເກີນ​ໄປ, ອາດ​ຈະ​ໃຫຍ່​ຫຼວງ ແລະ ຍາກ​ທີ່​ຈະ​ເອົາ​ຊະ​ນະ. ແລະຢ່າງໃດກໍ່ຕາມ, Pentagon ບໍ່ມີຄວາມກະຕືລືລົ້ນເກີນໄປທີ່ຈະປະຕິບັດລະບົບການຊອກຄົ້ນຫາແບບຕັ້ງໃຈ, ເປັນຂະບວນການທີ່ມີລາຄາແພງຂອງການທົດສອບການຮັບປະກັນຂອງຜູ້ຮັບເຫມົາແບບສຸ່ມ.

ແຕ່ການຂາດ "ການເຝົ້າລະວັງຢ່າງຕັ້ງໜ້າ" ນີ້ສາມາດມີຄ່າໃຊ້ຈ່າຍອັນໃຫຍ່ຫຼວງ. ໃນກໍລະນີຂອງການກໍ່ສ້າງເຮືອ, ເຫຼັກກ້າທີ່ບໍ່ໄດ້ລະບຸ - ອົງປະກອບທີ່ສໍາຄັນ - ໄດ້ຖືກນໍາໃຊ້ໃນເຮືອດໍານ້ໍາຂອງກອງທັບເຮືອສະຫະລັດເປັນເວລາສອງທົດສະວັດກ່ອນທີ່ Pentagon ໄດ້ຮຽນຮູ້ບັນຫາ. ຫວ່າງ​ມໍ່ໆ​ມາ​ນີ້, ​ເຄື່ອງ​ຕັດ​ການ​ລາດຕະ​ເວນ​ນອກ​ຝັ່ງ​ຂອງ​ກອງ​ກຳ​ລັງ​ປ້ອງ​ກັນ​ຊາຍ​ຝັ່ງ ຕ້ອງໄດ້ຮັບການຕິດຕັ້ງແລະເອົາອອກ— ເປັນ​ການ​ເສຍ​ເວລາ​ແລະ​ເງິນ​ທຶນ​ທີ່​ໜ້າ​ອັບ​ອາຍ​ຂອງ​ທັງ​ຜູ້​ຮັບ​ເໝົາ​ແລະ​ລູກ​ຄ້າ​ຂອງ​ລັດ.

ຖ້າບັນຫາເຫຼົ່ານີ້ຖືກຈັບໄດ້ໄວ, ຄວາມເສຍຫາຍໄລຍະສັ້ນຕໍ່ຜົນກໍາໄລຫຼືຕາຕະລາງຈະມີຫຼາຍກວ່າການຊົດເຊີຍຄວາມເສຍຫາຍທີ່ກວ້າງຂວາງຂອງຄວາມລົ້ມເຫຼວຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງທີ່ສັບສົນແລະໄລຍະຍາວ.

ອີກວິທີໜຶ່ງ, ຜູ້ສະໜອງອາດຈະໄດ້ຮັບຜົນປະໂຫຍດຈາກການທົດສອບພາຍນອກຢ່າງແຂງແຮງ ແລະ ການທົດສອບການປະຕິບັດຕາມແບບສຸ່ມທີ່ເຂັ້ມງວດກວ່າ.

ຜູ້ກໍ່ຕັ້ງ Fortress Information Security ທ່ານ Peter Kassabov, ກ່າວຕໍ່ ກ podc ​ast ລາຍ​ງານ​ປ້ອງ​ກັນ​ປະ​ເທດ​ແລະ​ອາ​ວະ​ກາດ​ ໃນຕົ້ນປີນີ້, ໄດ້ສັງເກດເຫັນວ່າທັດສະນະຄະຕິກໍາລັງປ່ຽນແປງແລະຜູ້ນໍາດ້ານປ້ອງກັນປະເທດມີແນວໂນ້ມທີ່ຈະເລີ່ມເບິ່ງ "ຢູ່ໃນລະບົບຕ່ອງໂສ້ການສະຫນອງບໍ່ພຽງແຕ່ເປັນຕົວກະຕຸ້ນ, ແຕ່ຍັງມີຄວາມສ່ຽງທີ່ອາດຈະເກີດຂື້ນ."

ລະບຽບການປ້ອງກັນຍັງຖືກພັດທະນາ. ແຕ່ເພື່ອໃຫ້ບໍລິສັດປະຕິບັດລະບົບຕ່ອງໂສ້ການສະຫນອງ proactie ລະມັດລະວັງຫຼາຍກວ່າເກົ່າ, ບໍລິສັດອາດຈະປະເຊີນກັບແຮງຈູງໃຈທີ່ໃຫຍ່ກວ່າ, ການລົງໂທດທີ່ໃຫຍ່ກວ່າ - ຫຼືບາງທີແມ່ນຂໍ້ກໍານົດທີ່ຜູ້ບໍລິຫານຂອງບໍລິສັດຜູ້ຮັບເຫມົາທີ່ສໍາຄັນຕ້ອງຮັບຜິດຊອບຕໍ່ຄວາມເສຍຫາຍສ່ວນບຸກຄົນ.

ກົດລະບຽບການປະຕິບັດຕາມແບບເກົ່າສຸມໃສ່ເປົ້າຫມາຍເກົ່າ

ສິ່ງທີ່ເພີ່ມເຕີມແມ່ນວ່າໂຄງຮ່າງການປະຕິບັດຕາມລະບົບຕ່ອງໂສ້ການສະຫນອງຂອງ Pentagon, ເຊັ່ນວ່າມັນແມ່ນ, ຍັງຄົງສຸມໃສ່ການຮັບປະກັນຄວາມສົມບູນທາງດ້ານຮ່າງກາຍພື້ນຖານຂອງອົງປະກອບໂຄງສ້າງພື້ນຖານ. ແລະໃນຂະນະທີ່ລະບົບການຄວບຄຸມຄຸນນະພາບໃນປະຈຸບັນຂອງ Pentagon ເກືອບບໍ່ສາມາດຈັບບັນຫາສີມັງ, ທາງດ້ານຮ່າງກາຍ, Pentagon ກໍ່ຕໍ່ສູ້ເພື່ອບັງຄັບໃຊ້ມາດຕະຖານຄວາມສົມບູນຂອງກະຊວງປ້ອງກັນປະເທດໃນປະຈຸບັນສໍາລັບເອເລັກໂຕຣນິກແລະຊອບແວ.

ຄວາມຫຍຸ້ງຍາກໃນການປະເມີນຄວາມສົມບູນຂອງເອເລັກໂຕຣນິກແລະຊອບແວແມ່ນເປັນບັນຫາໃຫຍ່. ທຸກມື້ນີ້, ເຄື່ອງມືແລະຊອບແວທີ່ໃຊ້ໃນ "ກ່ອງດໍາ" ຂອງທະຫານແມ່ນມີຄວາມສໍາຄັນຫຼາຍ. ເປັນນາຍພົນທະຫານອາກາດຄົນນຶ່ງ ອະທິບາຍໃນປີ 2013, “ຍົນ B-52 ມີຊີວິດຢູ່ແລະເສຍຊີວິດຍ້ອນຄຸນນະພາບຂອງໂລຫະແຜ່ນຂອງມັນ. ມື້ນີ້ເຮືອບິນຂອງພວກເຮົາຈະມີຊີວິດຫຼືຕາຍຍ້ອນຄຸນນະພາບຂອງຊອບແວຂອງພວກເຮົາ."

Kassabov ສະທ້ອນເຖິງຄວາມກັງວົນນີ້, ເຕືອນວ່າ "ໂລກກໍາລັງປ່ຽນແປງແລະພວກເຮົາຕ້ອງປ່ຽນແປງການປ້ອງກັນຂອງພວກເຮົາ."

ແນ່ນອນວ່າ, ໃນຂະນະທີ່ຂໍ້ກໍາຫນົດຂອງ bolt-and-fastener "ແບບເກົ່າ" ຍັງມີຄວາມສໍາຄັນ, ຊອບແວແມ່ນສໍາຄັນຂອງເກືອບທຸກການສະເຫນີມູນຄ່າຂອງອາວຸດທີ່ທັນສະໄຫມ. ສໍາລັບ F-35, ອາວຸດອີເລັກໂທຣນິກແລະເປັນປະຕູຂໍ້ມູນຂ່າວສານແລະການສື່ສານຂອງຮົບທີ່ສໍາຄັນ, Pentagon ຄວນຈະໄດ້ຮັບການສະຫນັບສະຫນູນຈາກຈີນ, ລັດເຊຍຫຼືການປະກອບສ່ວນທີ່ຫນ້າສົງໄສອື່ນໆຕໍ່ກັບຊອບແວທີ່ສໍາຄັນກ່ວາມັນອາດຈະເປັນໃນການກວດສອບໂລຫະປະສົມບາງແຫຼ່ງຂອງຈີນ.

ບໍ່ແມ່ນວ່າເນື້ອໃນແຫ່ງຊາດຂອງອົງປະກອບໂຄງສ້າງຂາດຄວາມສໍາຄັນ, ແຕ່ຍ້ອນວ່າການສ້າງຊອບແວໄດ້ກາຍເປັນຄວາມສັບສົນຫຼາຍ, ສະຫນັບສະຫນູນໂດຍ subroutines modular ຢູ່ທົ່ວທຸກແຫ່ງແລະການກໍ່ສ້າງແຫຼ່ງເປີດ, ທ່າແຮງສໍາລັບ mischief ຈະເລີນເຕີບໂຕ. ເວົ້າອີກຢ່າງ ໜຶ່ງ, ໂລຫະປະສົມທີ່ມາຈາກຈີນຈະບໍ່ເຮັດໃຫ້ເຮືອບິນຕົກໂດຍຕົວມັນເອງ, ແຕ່ຊອບແວທີ່ເສຍຫາຍ, ມາຈາກຈີນທີ່ ນຳ ສະ ເໜີ ໃນຂັ້ນຕອນຕົ້ນຂອງການຜະລິດລະບົບຍ່ອຍສາມາດ ທຳ ລາຍໄດ້.

ຄໍາຖາມແມ່ນສົມຄວນຖາມ. ຖ້າຜູ້ສະຫນອງລະບົບອາວຸດທີ່ມີບູລິມະສິດສູງສຸດຂອງອາເມລິກາກໍາລັງເບິ່ງຂ້າມບາງສິ່ງບາງຢ່າງທີ່ງ່າຍດາຍເຊັ່ນເຫຼັກກ້າແລະ shafting, ໂອກາດທີ່ເປັນອັນຕະລາຍ, ຊອບແວທີ່ບໍ່ໄດ້ລະບຸໄວ້ຈະຖືກປົນເປື້ອນໂດຍບໍ່ໄດ້ຕັ້ງໃຈກັບລະຫັດທີ່ມີບັນຫາ?

ຊອບແວຕ້ອງການການກວດສອບເພີ່ມເຕີມ

ສະເຕກແມ່ນສູງ. ປີທີ່ຜ່ານມາ, ໄດ້ ລາຍ​ງານ​ປະ​ຈໍາ​ປີ ຈາກຜູ້ທົດສອບອາວຸດຂອງ Pentagon ຢູ່ຫ້ອງການຂອງຜູ້ອໍານວຍການ, ການທົດສອບແລະການປະເມີນຜົນການປະຕິບັດງານ (DOT&E) ໄດ້ເຕືອນວ່າ "ລະບົບ DOD ສ່ວນໃຫຍ່ແມ່ນຊອບແວທີ່ໃຊ້ຫຼາຍ. ຄຸນນະພາບຂອງຊອບແວ, ແລະຄວາມປອດໄພທາງອິນເຕີເນັດໂດຍລວມຂອງລະບົບ, ມັກຈະເປັນປັດໃຈທີ່ກໍານົດປະສິດທິພາບຂອງການດໍາເນີນງານ ແລະຄວາມຢູ່ລອດ, ແລະບາງຄັ້ງກໍ່ຕາຍ.”

"ສິ່ງທີ່ສໍາຄັນທີ່ສຸດທີ່ພວກເຮົາສາມາດຮັບປະກັນແມ່ນຊອບແວທີ່ຊ່ວຍໃຫ້ລະບົບເຫຼົ່ານີ້, Kassabov ເວົ້າ. "ຜູ້ສະຫນອງດ້ານປ້ອງກັນປະເທດບໍ່ສາມາດພຽງແຕ່ສຸມໃສ່ແລະໃຫ້ແນ່ໃຈວ່າລະບົບບໍ່ໄດ້ມາຈາກລັດເຊຍຫຼືຈາກຈີນ. ມັນເປັນສິ່ງ ສຳ ຄັນກວ່າທີ່ຈະເຂົ້າໃຈວ່າຊອບແວພາຍໃນລະບົບນີ້ແມ່ນຫຍັງແລະໃນທີ່ສຸດຊອບແວນີ້ມີຄວາມສ່ຽງແນວໃດ.”

ແຕ່ຜູ້ທົດສອບອາດຈະບໍ່ມີເຄື່ອງມືທີ່ຈໍາເປັນເພື່ອປະເມີນຄວາມສ່ຽງຕໍ່ການປະຕິບັດງານ. ອີງຕາມການ DOT&E, ຜູ້ປະຕິບັດງານກໍາລັງຮ້ອງຂໍໃຫ້ຜູ້ໃດຜູ້ຫນຶ່ງຢູ່ໃນ Pentagon "ບອກພວກເຂົາວ່າຄວາມສ່ຽງດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ, ແລະຜົນສະທ້ອນທີ່ອາດເກີດຂື້ນ, ແມ່ນຫຍັງ, ແລະເພື່ອຊ່ວຍໃຫ້ພວກເຂົາສ້າງທາງເລືອກໃນການຫຼຸດຜ່ອນເພື່ອຕໍ່ສູ້ກັບການສູນເສຍຄວາມສາມາດ."

​ເພື່ອ​ຊ່ວຍ​ເຮັດ​ສິ່ງ​ດັ່ງກ່າວ, ລັດຖະບານ​ອາ​ເມ​ລິ​ກາ​ໄດ້​ອີງ​ໃສ່​ບັນດາ​ອົງການ​ທີ່​ມີ​ຊື່​ສຽງ​ຕ່ຳ​ທີ່​ສຳຄັນ ສະຖາບັນແຫ່ງຊາດດ້ານມາດຕະຖານແລະເຕັກໂນໂລຢີ, ຫຼື NIST, ເພື່ອສ້າງມາດຕະຖານ ແລະເຄື່ອງມືການປະຕິບັດຕາມພື້ນຖານອື່ນໆທີ່ຈໍາເປັນເພື່ອຮັບປະກັນຊອບແວ. ແຕ່ການສະຫນອງທຶນພຽງແຕ່ບໍ່ມີ. Mark Montgomery, ຜູ້ອໍານວຍການບໍລິຫານຂອງ Cyberspace Solarium Commission, ໄດ້​ຮັບ​ການ​ເຕືອນ​ໄພ​ທຸ​ລະ​ກິດ​ ວ່າ NIST ຈະໄດ້ຮັບການກົດດັນຢ່າງຫນັກແຫນ້ນທີ່ຈະເຮັດສິ່ງຕ່າງໆເຊັ່ນການເຜີຍແຜ່ຄໍາແນະນໍາກ່ຽວກັບມາດຕະການຄວາມປອດໄພສໍາລັບຊອບແວທີ່ສໍາຄັນ, ພັດທະນາມາດຕະຖານຂັ້ນຕ່ໍາສໍາລັບການທົດສອບຊອບແວ, ຫຼືຄວາມປອດໄພຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງຄູ່ມື "ໃນງົບປະມານທີ່ສໍາລັບປີມີພຽງແຕ່ $ 80 ລ້ານ."

ບໍ່ມີການແກ້ໄຂງ່າຍໆຢູ່ໃນສາຍຕາ. ການແນະນໍາ "back-office" ຂອງ NIST, ຄຽງຄູ່ກັບຄວາມພະຍາຍາມປະຕິບັດຕາມທີ່ຮຸກຮານຫຼາຍ, ສາມາດຊ່ວຍໄດ້, ແຕ່ Pentagon ຕ້ອງໄດ້ຍ້າຍອອກໄປຈາກວິທີການ "ປະຕິກິລິຍາ" ແບບເກົ່າແກ່ເພື່ອຄວາມສົມບູນຂອງຕ່ອງໂສ້ການສະຫນອງ. ແນ່ນອນວ່າ, ໃນຂະນະທີ່ມັນເປັນການດີທີ່ຈະຈັບຄວາມລົ້ມເຫລວ, ມັນຈະດີກວ່າຖ້າຄວາມພະຍາຍາມຢ່າງຫ້າວຫັນເພື່ອຮັກສາຄວາມສົມບູນຂອງລະບົບຕ່ອງໂສ້ການສະຫນອງໃນຜູ້ຮັບເຫມົາປ້ອງກັນປະເທດທີສອງເລີ່ມຕົ້ນສ້າງລະຫັດທີ່ກ່ຽວຂ້ອງກັບການປ້ອງກັນ.