पेंटागन की हाई-टेक आपूर्ति श्रृंखला में "प्रोएक्टिव विजिलेंस" को शामिल करना

राष्ट्रीय रक्षा में, आपूर्ति श्रृंखला की गलतियाँ, जब बहुत देर से पाई जाती हैं, बड़े पैमाने पर और दूर करने के लिए कठिन हो सकती हैं। और फिर भी, पेंटागन अधिक सक्रिय पहचान प्रणाली को लागू करने के लिए बहुत उत्सुक नहीं है, ठेकेदार के आश्वासनों का बेतरतीब ढंग से परीक्षण करने की एक संभावित महंगी प्रक्रिया।

लेकिन "सक्रिय सतर्कता" की इस कमी की बड़ी कीमत चुकानी पड़ सकती है। जहाज निर्माण के मामलों में, आउट-ऑफ-स्पेसिफिकेशन स्टील - एक महत्वपूर्ण घटक - का उपयोग अमेरिकी नौसेना की पनडुब्बियों पर दो दशकों तक पेंटागन को समस्याओं के बारे में जानने से पहले किया गया था। हाल ही में, तटरक्षक बल के अपतटीय गश्ती कटर पर आउट-ऑफ-स्पेसिफिकेशन शाफ्टिंग स्थापित और हटाया जाना था- ठेकेदारों और सरकारी ग्राहकों दोनों के लिए समय और धन की शर्मनाक बर्बादी।

यदि इन मुद्दों को जल्दी पकड़ लिया गया होता, तो मुनाफे या अनुसूची के लिए अल्पकालिक झटका एक जटिल और दीर्घकालिक आपूर्ति-श्रृंखला विफलता के व्यापक नुकसान की भरपाई से अधिक होता।

दूसरे शब्दों में कहें तो, आपूर्तिकर्ता जोरदार बाहरी परीक्षणों और अधिक कठोर—या यादृच्छिक-अनुपालन परीक्षणों से लाभान्वित हो सकते हैं।

किले सूचना सुरक्षा के संस्थापक पीटर कसाबोव, एक पर बोलते हुए रक्षा और एयरोस्पेस रिपोर्ट पॉडकास्ट इस साल की शुरुआत में, नोट किया गया कि दृष्टिकोण बदल रहे हैं और अधिक रक्षा नेताओं के "आपूर्ति श्रृंखला को न केवल एक प्रवर्तक के रूप में, बल्कि एक संभावित जोखिम के रूप में भी देखना शुरू करने की संभावना है।"

सुरक्षात्मक विनियमन अभी भी विकसित किया जा रहा है। लेकिन कंपनियों को प्रोएक्टी आपूर्ति श्रृंखला सतर्कता को अधिक गंभीरता से लेने के लिए, कंपनियों को अधिक प्रोत्साहन, बड़े प्रतिबंधों का सामना करना पड़ सकता है - या शायद एक आवश्यकता भी है कि प्रमुख प्रमुख ठेकेदारों के अधिकारी व्यक्तिगत रूप से नुकसान के लिए उत्तरदायी होंगे।

पुरानी अनुपालन व्यवस्थाएं पुराने लक्ष्यों पर ध्यान केंद्रित करती हैं

क्या अधिक है कि पेंटागन की आपूर्ति श्रृंखला अनुपालन ढांचा, जैसा कि यह है, बुनियादी संरचनात्मक घटकों की मौलिक भौतिक अखंडता को सुनिश्चित करने पर केंद्रित है। और जबकि पेंटागन की वर्तमान गुणवत्ता नियंत्रण प्रणाली मुश्किल से ठोस, भौतिक समस्याओं को पकड़ने में सक्षम है, पेंटागन वास्तव में इलेक्ट्रॉनिक्स और सॉफ्टवेयर के लिए रक्षा अखंडता मानकों के वर्तमान विभाग को लागू करने के लिए संघर्ष करता है।

इलेक्ट्रॉनिक्स और सॉफ्टवेयर अखंडता का आकलन करने में कठिनाई एक बड़ी समस्या है। इन दिनों, सेना के "ब्लैक बॉक्स" में इस्तेमाल होने वाले गियर और सॉफ्टवेयर कहीं अधिक महत्वपूर्ण हैं। एक वायु सेना जनरल के रूप में 2013 में समझाया गया, “बी-52 अपनी शीट धातु की गुणवत्ता पर जीवित और मर गया। आज हमारे विमान हमारे सॉफ्टवेयर की गुणवत्ता पर जिएंगे या मरेंगे।

कसाबोव ने इस चिंता को प्रतिध्वनित करते हुए चेतावनी दी कि "दुनिया बदल रही है और हमें अपने बचाव को बदलने की जरूरत है।"

निश्चित रूप से, जबकि "पुराने जमाने" बोल्ट-एंड-फास्टनर विनिर्देश अभी भी महत्वपूर्ण हैं, सॉफ़्टवेयर वास्तव में लगभग किसी भी आधुनिक हथियार के मूल्य प्रस्ताव के मूल में है। F-35 के लिए, एक इलेक्ट्रॉनिक हथियार और एक प्रमुख युद्धक्षेत्र सूचना और संचार गेटवे, पेंटागन को चीनी, रूसी या महत्वपूर्ण सॉफ़्टवेयर में अन्य संदिग्ध योगदान के लिए कहीं अधिक अभ्यस्त होना चाहिए, क्योंकि यह कुछ चीन-सोर्स मिश्र धातुओं का पता लगाने में हो सकता है।

ऐसा नहीं है कि संरचनात्मक घटकों की राष्ट्रीय सामग्री का महत्व नहीं है, लेकिन जैसे-जैसे सॉफ्टवेयर निर्माण अधिक जटिल होता जाता है, सर्वव्यापी मॉड्यूलर सबरूटीन्स और ओपन-सोर्स बिल्डिंग ब्लॉक्स द्वारा समर्थित, शरारत की संभावना बढ़ती है। एक और तरीका रखो, एक चीनी-खट्टा मिश्र धातु अपने आप में एक विमान को नीचे नहीं लाएगा, लेकिन सबसिस्टम उत्पादन में एक बहुत ही प्रारंभिक चरण में पेश किए गए भ्रष्ट, चीनी-सोर्स किए गए सॉफ़्टवेयर हो सकते हैं।

सवाल पूछने लायक है। यदि अमेरिका की सर्वोच्च प्राथमिकता वाले हथियार प्रणालियों के आपूर्तिकर्ता स्टील और शाफ्टिंग विनिर्देशों के रूप में सरल कुछ की अनदेखी कर रहे हैं, तो क्या संभावना है कि हानिकारक, आउट-ऑफ-विशिष्ट सॉफ़्टवेयर अनजाने में परेशान कोड से दूषित हो गए हैं?

सॉफ्टवेयर को और जांच की जरूरत है

दाव बहुत ऊंचा है। पिछले साल, वार्षिक विवरण निदेशक के कार्यालय में पेंटागन हथियार परीक्षकों से, ऑपरेशनल टेस्ट एंड इवैल्यूएशन (डीओटी एंड ई) ने आगाह किया कि "डीओडी सिस्टम का विशाल बहुमत बेहद सॉफ्टवेयर-गहन है। सॉफ़्टवेयर गुणवत्ता, और सिस्टम की समग्र साइबर सुरक्षा, अक्सर ऐसे कारक होते हैं जो परिचालन प्रभावशीलता और उत्तरजीविता, और कभी-कभी घातकता को निर्धारित करते हैं।"

कसाबोव कहते हैं, "सबसे महत्वपूर्ण चीज जिसे हम सुरक्षित कर सकते हैं वह सॉफ्टवेयर है जो इन प्रणालियों को सक्षम बनाता है। “रक्षा आपूर्तिकर्ता केवल ध्यान केंद्रित नहीं कर सकते हैं और यह सुनिश्चित कर सकते हैं कि प्रणाली रूस या चीन से नहीं आती है। वास्तव में यह समझना अधिक महत्वपूर्ण है कि इस प्रणाली के अंदर का सॉफ्टवेयर क्या है और अंततः यह सॉफ्टवेयर कैसे असुरक्षित है।"

लेकिन परीक्षकों के पास परिचालन जोखिम का मूल्यांकन करने के लिए आवश्यक उपकरण नहीं हो सकते हैं। डीओटी एंड ई के अनुसार, ऑपरेटर पेंटागन में किसी से पूछ रहे हैं कि "उन्हें बताएं कि साइबर सुरक्षा के जोखिम क्या हैं, और उनके संभावित परिणाम क्या हैं, और क्षमता के नुकसान से लड़ने के लिए शमन विकल्प तैयार करने में उनकी मदद करने के लिए।"

ऐसा करने में मदद करने के लिए, अमेरिकी सरकार महत्वपूर्ण निम्न-प्रोफ़ाइल संस्थाओं पर निर्भर करती है जैसे कि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान, या NIST, सॉफ़्टवेयर को सुरक्षित करने के लिए आवश्यक मानक और अन्य बुनियादी अनुपालन उपकरण उत्पन्न करने के लिए। लेकिन फंडिंग ही नहीं है। साइबरस्पेस सोलारियम आयोग के कार्यकारी निदेशक मार्क मोंटगोमरी, चेतावनी देने में व्यस्त है महत्वपूर्ण सॉफ़्टवेयर के लिए सुरक्षा उपायों पर मार्गदर्शन प्रकाशित करने, सॉफ़्टवेयर परीक्षण के लिए न्यूनतम मानक विकसित करने, या आपूर्ति श्रृंखला सुरक्षा का मार्गदर्शन करने जैसी चीज़ों को करने के लिए NIST को कड़ी मेहनत करनी होगी "एक ऐसे बजट पर जो वर्षों से केवल $80 मिलियन से कम पर मँडरा रहा है।"

कोई आसान उपाय नजर नहीं आ रहा है। एनआईएसटी का "बैक-ऑफ़िस" मार्गदर्शन, अधिक आक्रामक अनुपालन प्रयासों के साथ, मदद कर सकता है, लेकिन पेंटागन को आपूर्ति श्रृंखला अखंडता के लिए पुराने जमाने के "प्रतिक्रियाशील" दृष्टिकोण से दूर जाना होगा। निश्चित रूप से, जबकि विफलताओं को पकड़ना बहुत अच्छा है, यह कहीं बेहतर है यदि आपूर्ति श्रृंखला अखंडता को बनाए रखने के लिए सक्रिय प्रयास दूसरे रक्षा ठेकेदारों में पहले रक्षा-संबंधित कोड तैयार करना शुरू करते हैं।