Incorporando “Vigilância Proativa” na Cadeia de Suprimentos de Alta Tecnologia do Pentágono

Na defesa nacional, os erros da cadeia de suprimentos, quando encontrados tarde demais, podem ser enormes e difíceis de superar. E, no entanto, o Pentágono não está muito ansioso para implementar sistemas de detecção mais proativos, um processo potencialmente caro de testar aleatoriamente as garantias dos contratados.

Mas essa falta de “vigilância proativa” pode ter grandes custos. Em casos de construção naval, aço fora de especificação – um componente crítico – foi usado em submarinos da Marinha dos EUA por duas décadas antes que o Pentágono soubesse dos problemas. Mais recentemente, eixos fora de especificação a bordo do Offshore Patrol Cutter da Guarda Costeira teve que ser instalado e removido— uma embaraçosa perda de tempo e fundos tanto para os empreiteiros quanto para os clientes do governo.

Se esses problemas fossem detectados cedo, o golpe de curto prazo nos lucros ou no cronograma teria mais do que compensado os danos mais amplos de uma falha complexa e de longo prazo na cadeia de suprimentos.

Dito de outra forma, os fornecedores podem se beneficiar de testes externos vigorosos e testes de conformidade mais rigorosos – ou mesmo aleatórios.

O fundador da Fortress Information Security, Peter Kassabov, falando em um Podcast do Relatório de Defesa e Aeroespacial no início deste ano, observou que as atitudes estão mudando e é provável que mais líderes de defesa comecem a olhar “para a cadeia de suprimentos não apenas como um facilitador, mas também como um risco potencial”.

A regulamentação de proteção ainda está sendo desenvolvida. Mas, para que as empresas levem a vigilância proativa da cadeia de suprimentos mais a sério, as empresas podem enfrentar incentivos maiores, sanções maiores – ou talvez até mesmo uma exigência de que os executivos das principais empresas contratadas sejam pessoalmente responsáveis ​​pelos danos.

Antigos regimes de conformidade focam em antigos alvos

Além disso, a estrutura de conformidade da cadeia de suprimentos do Pentágono, como está, continua focada em garantir a integridade física fundamental dos componentes estruturais básicos. E enquanto os atuais sistemas de controle de qualidade do Pentágono mal conseguem detectar problemas físicos concretos, o Pentágono realmente luta para fazer cumprir os atuais padrões de integridade do Departamento de Defesa para eletrônicos e software.

A dificuldade em avaliar a integridade da eletrônica e do software é um grande problema. Atualmente, o equipamento e o software usados ​​nas “caixas pretas” dos militares são muito mais críticos. Como um general da Força Aérea explicado em 2013, “O B-52 viveu e morreu com a qualidade de sua chapa metálica. Hoje, nossa aeronave viverá ou morrerá com a qualidade de nosso software.”

Kassabov ecoa essa preocupação, alertando que “o mundo está mudando e precisamos mudar nossas defesas”.

Certamente, embora as especificações “antiquadas” de parafusos e fixadores ainda sejam importantes, o software está realmente no centro da proposta de valor de quase todas as armas modernas. Para o F-35, uma arma eletrônica e um importante portal de informações e comunicações no campo de batalha, o Pentágono deve estar muito mais sintonizado com as contribuições chinesas, russas ou outras duvidosas para software crítico do que na detecção de algumas ligas de origem chinesa.

Não que o conteúdo nacional dos componentes estruturais careça de importância, mas à medida que a formulação do software se torna mais complexa, apoiada por sub-rotinas modulares onipresentes e blocos de construção de código aberto, o potencial para o mal cresce. Dito de outra forma, uma liga de origem chinesa não derrubará uma aeronave por si só, mas um software corrupto de origem chinesa introduzido em um estágio muito inicial na produção do subsistema pode.

A pergunta vale a pena. Se os fornecedores dos sistemas de armas de maior prioridade da América estão ignorando algo tão simples como especificações de aço e eixos, quais são as chances de que softwares prejudiciais e fora de especificação sejam contaminados involuntariamente com códigos problemáticos?

Software precisa de mais escrutínio

As apostas são altas. No ano passado, o relatório anual dos testadores de armas do Pentágono no Escritório do Diretor, Teste e Avaliação Operacional (DOT&E) advertiu que “a grande maioria dos sistemas DOD são extremamente intensivos em software. A qualidade do software e a segurança cibernética geral do sistema geralmente são os fatores que determinam a eficácia operacional e a capacidade de sobrevivência e, às vezes, a letalidade.”

“A coisa mais importante que podemos proteger é o software que habilita esses sistemas, diz Kassabov. “Os fornecedores de defesa não podem apenas se concentrar e garantir que o sistema não venha da Rússia ou da China. É mais importante realmente entender qual é o software dentro deste sistema e como eventualmente esse software é vulnerável.”

Mas os testadores podem não ter as ferramentas necessárias para avaliar o risco operacional. De acordo com o DOT&E, os operadores estão pedindo a alguém do Pentágono que “informe quais são os riscos de segurança cibernética e suas possíveis consequências, e os ajude a criar opções de mitigação para combater a perda de capacidade”.

Para ajudar a fazer isso, o governo dos EUA conta com entidades críticas de baixo perfil, como o Instituto Nacional de Padrões e Tecnologia, ou NIST, para gerar padrões e outras ferramentas básicas de conformidade necessárias para proteger o software. Mas o financiamento simplesmente não existe. Mark Montgomery, diretor executivo da Cyberspace Solarium Commission, tem estado ocupado avisando que o NIST será pressionado a fazer coisas como publicar orientações sobre medidas de segurança para software crítico, desenvolver padrão mínimo para teste de software ou orientar a segurança da cadeia de suprimentos “com um orçamento que durante anos pairou em pouco menos de US$ 80 milhões”.

Nenhuma solução simples está à vista. A orientação de “back-office” do NIST, juntamente com esforços de conformidade mais agressivos, pode ajudar, mas o Pentágono precisa se afastar da abordagem “reativa” antiquada para a integridade da cadeia de suprimentos. Certamente, embora seja ótimo detectar falhas, é muito melhor se os esforços proativos para manter a integridade da cadeia de suprimentos começarem a funcionar no segundo momento em que os contratados de defesa começarem a elaborar o código relacionado à defesa.