Incorporación de “vigilancia proactiva” en la cadena de suministro de alta tecnología del Pentágono

En la defensa nacional, los errores de la cadena de suministro, cuando se detectan demasiado tarde, pueden ser masivos y difíciles de superar. Y, sin embargo, el Pentágono no está demasiado ansioso por implementar sistemas de detección más proactivos, un proceso potencialmente costoso de probar aleatoriamente las garantías de los contratistas.

Pero esta falta de “vigilancia proactiva” puede tener grandes costos. En los casos de construcción naval, se usó acero fuera de las especificaciones, un componente crítico, en los submarinos de la Marina de los EE. UU. durante dos décadas antes de que el Pentágono se enterara de los problemas. Más recientemente, ejes fuera de especificación a bordo del patrullero costa afuera de la Guardia Costera Tuvo que ser instalado y eliminado—una vergonzosa pérdida de tiempo y fondos tanto para los contratistas como para los clientes del gobierno.

Si estos problemas se hubieran detectado temprano, el golpe a corto plazo en las ganancias o el cronograma habría compensado con creces el daño más amplio de una falla compleja y a largo plazo en la cadena de suministro.

Dicho de otra manera, los proveedores pueden beneficiarse de pruebas externas vigorosas y pruebas de cumplimiento más rigurosas, o incluso aleatorias.

El fundador de Fortress Information Security, Peter Kassabov, hablando en un Podcast del informe aeroespacial y de defensa a principios de este año, señaló que las actitudes están cambiando y es probable que más líderes de defensa comiencen a considerar “la cadena de suministro no solo como un facilitador, sino también como un riesgo potencial”.

La regulación de protección aún se está desarrollando. Pero para lograr que las empresas se tomen más en serio la vigilancia proactiva de la cadena de suministro, las empresas pueden enfrentar mayores incentivos, mayores sanciones, o tal vez incluso un requisito de que los ejecutivos de los principales contratistas principales sean personalmente responsables de los daños.

Los viejos regímenes de cumplimiento se enfocan en viejos objetivos

Lo que es más, el marco de cumplimiento de la cadena de suministro del Pentágono, tal como es, sigue centrado en garantizar la integridad física fundamental de los componentes estructurales básicos. Y mientras que los actuales sistemas de control de calidad del Pentágono apenas pueden detectar problemas físicos concretos, el Pentágono realmente se esfuerza por hacer cumplir los estándares de integridad actuales del Departamento de Defensa para la electrónica y el software.

La dificultad para evaluar la integridad de la electrónica y el software es un gran problema. En estos días, el equipo y el software utilizados en las "cajas negras" de los militares son mucho más críticos. Como un General de la Fuerza Aérea explicado en 2013, “El B-52 vivió y murió en la calidad de su chapa. Hoy, nuestro avión vivirá o morirá en función de la calidad de nuestro software”.

Kassabov se hace eco de esta preocupación y advierte que “el mundo está cambiando y necesitamos cambiar nuestras defensas”.

Ciertamente, si bien las especificaciones de pernos y sujetadores "anticuados" siguen siendo importantes, el software es realmente el núcleo de la propuesta de valor de casi cualquier arma moderna. Para el F-35, un arma electrónica y una puerta de enlace de comunicaciones e información clave en el campo de batalla, el Pentágono debería estar mucho más en sintonía con las contribuciones chinas, rusas u otras dudosas al software crítico que en la detección de algunas aleaciones de origen chino.

No es que el contenido nacional de los componentes estructurales carezca de importancia, pero a medida que la formulación del software se vuelve más compleja, respaldada por subrutinas modulares ubicuas y bloques de construcción de código abierto, crece el potencial para las travesuras. Dicho de otra manera, una aleación de origen chino no derribará un avión por sí sola, pero el software corrupto de origen chino introducido en una etapa muy temprana en la producción del subsistema podría hacerlo.

Vale la pena hacer la pregunta. Si los proveedores de los sistemas de armas de mayor prioridad de Estados Unidos están pasando por alto algo tan simple como las especificaciones de acero y ejes, ¿cuáles son las posibilidades de que el software dañino que no cumple con las especificaciones se contamine involuntariamente con un código problemático?

El software necesita más escrutinio

Las apuestas son altas. El año pasado, el reporte anual de los probadores de armas del Pentágono en la Oficina del Director, Pruebas y Evaluación Operativas (DOT&E) advirtieron que “la gran mayoría de los sistemas del DOD son extremadamente intensivos en software. La calidad del software y la ciberseguridad general del sistema a menudo son los factores que determinan la efectividad operativa y la capacidad de supervivencia y, a veces, la letalidad”.

“Lo más importante que podemos asegurar es el software que habilita estos sistemas, dice Kassabov. “Los proveedores de defensa no pueden simplemente concentrarse y asegurarse de que el sistema no provenga de Rusia o China. Es más importante comprender realmente cuál es el software dentro de este sistema y cómo eventualmente este software es vulnerable”.

Pero los evaluadores pueden no tener las herramientas necesarias para evaluar el riesgo operativo. Según DOT&E, los operadores están pidiendo a alguien en el Pentágono que “les diga cuáles son los riesgos de seguridad cibernética y sus posibles consecuencias, y que los ayude a diseñar opciones de mitigación para luchar contra la pérdida de capacidad”.

Para ayudar a hacer esto, el gobierno de EE. UU. confía en entidades críticas de bajo perfil como el Instituto Nacional de Estándares y Tecnología, o NIST, para generar estándares y otras herramientas básicas de cumplimiento necesarias para proteger el software. Pero la financiación simplemente no está allí. Mark Montgomery, director ejecutivo de la Comisión Cyberspace Solarium, ha estado ocupado advertencia que NIST estará en apuros para hacer cosas como publicar una guía sobre medidas de seguridad para software crítico, desarrollar un estándar mínimo para las pruebas de software o guiar la seguridad de la cadena de suministro "con un presupuesto que durante años ha rondado los $ 80 millones".

No se vislumbra una solución sencilla. La guía de "servicio administrativo" del NIST, junto con esfuerzos de cumplimiento más agresivos, puede ayudar, pero el Pentágono tiene que alejarse del enfoque "reactivo" pasado de moda para la integridad de la cadena de suministro. Ciertamente, si bien es excelente detectar fallas, es mucho mejor si los esfuerzos proactivos para mantener la integridad de la cadena de suministro se inician en el segundo momento en que los contratistas de defensa comienzan a elaborar código relacionado con la defensa.