Armata SUA a anunțat că a atenuat o serie de riscuri de securitate cibernetică descoperite într-o versiune incipientă a platformei sale Next Generation Command and Control (NGC2), potrivit unui memo intern obținut de Breaking Defense.

Alarma trasă de ofițerul sef pentru tehnologie

Documentul, datat 5 septembrie și semnat de Gabriele Chiulli, ofițerul șef pentru tehnologie din cadrul Biroului Șefului pentru Informații al Armatei, avertiza că platforma NGC2 „în starea sa actuală, prezintă deficiențe critice în ceea ce privește controalele fundamentale de securitate, procesele și guvernanța.”

Chiulli a scris că armatei „îi lipsește vizibilitatea și controalele necesare pentru a asigura securitatea și integritatea platformei”. El a adăugat că „se pare că există o grabă de a introduce capabilități în sistem fără o supraveghere reală sau un proces adecvat, ceea ce crește riscul pe măsură ce acest sistem îl amplifică și mai mult.”

Reacție rapidă și măsuri corective

Cu toate acestea, oficialii armatei au declarat pentru Breaking Defense că, în cele trei săptămâni de la redactarea și distribuirea documentului, problemele au fost rezolvate. „Problemele au fost atenuate imediat”, a declarat Leonel Garciga, șeful pentru informații al armatei, într-un comunicat. El a adăugat că „procesele simplificate de securitate cibernetică au fost capabile să identifice rapid și să asiste biroul programului și furnizorul în trierea vulnerabilităților de securitate cibernetică și în implementarea măsurilor de atenuare.”

Integrarea securității cibernetice de la inceput

Generalul-locotenent Jeth Rey, șeful adjunct de stat major la G-6, departamentul armatei responsabil cu securitatea cibernetică și rețelele, a susținut că identificarea timpurie a acestor deficiențe face parte din procesul intenționat al serviciului și că au fost luate măsuri pentru a le corecta.

„Trebuie să includem securitatea cibernetică de la început în proces și cred că asta am făcut”, a spus Rey într-un interviu recent. „Aceasta este o nouă capacitate și am găsit un risc și l-am atenuat imediat. Cred că este o veste bună pentru noi în viitor. Dacă vom continua să privim lucrurile în acest mod și procesele noastre funcționează, sunt mulțumit.”

NGC2: Prioritatea numărul unu pentru modernizare

NGC2 este prioritatea numărul unu a serviciului în materie de modernizare și este conceput pentru a oferi comandanților și unităților o nouă abordare a gestionării informațiilor, a datelor și a comandamentului și controlului cu arhitecturi agile și bazate pe software.

În iulie, armata a acordat aproape 100 de milioane de dolari companiei Anduril și unei echipe de furnizori pentru a dezvolta un prototip al sistemului, care va fi extins la nivelul întregii divizii la Project Convergence Capstone 6 în această vară, cu Divizia 4 Infanterie. Un prototip a fost testat la evenimentul de anul trecut la nivel de batalion. Mai recent, Lockheed Martin și echipa sa au obținut, de asemenea, un contract pentru a dezvolta un strat de date integrat cu Divizia 25 Infanterie.

Ivy Sting: Testare incrementală și adăugare de capabilități

Pe măsură ce armata urmărește să extindă prototipul Anduril la nivelul întregii divizii, Divizia 4 Infanterie a început o serie de evenimente de tip sprint între acum și Project Convergence pentru a adăuga incremental capabilități. Aceste evenimente sunt numite seria Ivy Sting.

Deficiențe identificate în Memo-ul Chiulli

Memo-ul Chiulli, care a fost redactat cu 10 zile înainte de primul eveniment, enumera o serie de preocupări, al căror „efect cumulativ” era că NGC2 părea mai degrabă o „cutie neagră” în care serviciul nu putea controla ce utilizatori fac sau văd pe rețea.

„Lipsa de guvernanță înseamnă că nu există o persoană sau o entitate responsabilă pentru acceptarea acestui risc în numele armatei”, se arată în document. „Având în vedere postura actuală de securitate a platformei și a aplicațiilor terțe găzduite, probabilitatea ca un adversar să obțină acces persistent nedetectabil la platformă necesită ca sistemul să fie tratat ca fiind cu risc foarte ridicat.”

Problemele enumerate includ lipsa controlului accesului și a responsabilității, codul sursă neverificat și vulnerabil pentru aplicațiile terțe, lacune critice în guvernanță și igiena de bază a securității și lipsa guvernanței datelor.

Prima deficiență evidențiată a menționat că sistemul nu avea control al accesului bazat pe roluri, ceea ce înseamnă că, odată ce unui utilizator i se acordă acces, acesta ar avea acces nerestricționat la toate aplicațiile și la toate datele – o anatema pentru principiile mai largi de încredere zero ale Pentagonului. Memo-ul a descris acest lucru ca fiind o defecțiune critică de securitate care ar putea duce la un potențial acces și utilizare abuzivă a informațiilor clasificate.

În ceea ce privește aplicațiile terțe, memo-ul notează că Serviciul Federal de Cloud Palantir care găzduiește aplicațiile într-o metodologie de găzduire a containerelor nu a fost evaluat de armată sau de o politică a CIO a armatei care să susțină funcția de conductă deținută/operată de contractant. Niciuna dintre aplicații nu a fost supusă scanării de rutină a securității aplicațiilor web.

Memo-ul a susținut că sistemul funcționează cu vulnerabilități cunoscute, neatinuate, similar cu desfășurarea unui sistem de arme cu defecte cunoscute. Fără un proprietar clar al misiunii care să își asume responsabilitatea pentru securitatea operațională a sistemului, memo-ul a avertizat că securitatea va fi compromisă.

Măsuri concrete și rezultate pozitive

Oficialii armatei nu au precizat exact cum sau când a fost abordată fiecare presupusă deficiență, dar, la Ivy Sting pe 15 septembrie, NGC2 a funcționat bine, potrivit lui Garciga. El a menționat că procesele simplificate de securitate cibernetică au permis ca Ivy Sting 1 să „avanseze fără întârziere.”

Maiorul Sean Minton, un purtător de cuvânt al armatei, a declarat că „armata este într-o transformare unică în generație pentru a oferi soldaților noștri capabilitățile de care au nevoie rapid.”

„După cum s-a demonstrat în acest caz, postura noastră proactivă de securitate cibernetică este concepută pentru a identifica riscurile și a le atenua, minimizând în același timp efectele asupra forței”, a spus el.

Într-o decizie surprinzătoare, președintele Donald Trump l-a selectat oficial pe generalul Kenneth Wilsbach pentru a ocupa funcția de șef de Stat Major al Forțelor Aeriene, conform unei notificări transmise Congresului. Anunțul vine după o perioadă de incertitudine marcată de dezbateri intense și campanii neobișnuite în cadrul comunității aviatice.

O nominalizare atipică, presărată cu obstacole

Breaking Defense a raportat în premieră, pe 26 septembrie, că Wilsbach era alegerea lui Trump pentru a-l înlocui pe generalul David Allvin, care a anunțat neașteptat luna trecută că se va retrage din funcția de ofițer uniformat de rang înalt al serviciului în noiembrie, la jumătatea mandatului său de patru ani.

Drumul lui Wilsbach spre funcția de șef de stat major a fost unul neobișnuit, comparativ cu procesul tipic de nominalizare birocratică. Totul a început când a demisionat din funcția de șef al Comandamentului de Luptă Aeriană în august. Generalul cu patru stele a anunțat la momentul respectiv că intenționează să se pensioneze, însă, când Allvin și-a anunțat plecarea câteva zile mai târziu, Wilsbach a apărut ulterior ca favorit pentru acest post.

Controverse legate de politicile DEI și o campanie inedită

Candidatura generalului a părut apoi blocată după ce conturi de social media au denunțat declarațiile anterioare ale lui Wilsbach privind diversitatea, echitatea și incluziunea (DEI), susținând în schimb pe șeful Comandamentului de Grevă Globală al Forțelor Aeriene, generalul Thomas Bussiere, pentru funcția de conducere a serviciului. Bussiere fusese anterior ales să ocupe funcția de viceșef al Forțelor Aeriene, dar Aviation Week a raportat că nominalizarea sa a fost retrasă.

Această campanie fără precedent pentru rolul militar de conducere al Forțelor Aeriene a devenit subiectul principal de discuție în cadrul comunității aviatice și a fost un subiect fierbinte printre participanții la conferința Asociației Forțelor Aeriene și Spațiale de săptămâna trecută. Secretarul Forțelor Aeriene, Troy Meink, într-o conferință de presă cu reporterii pe 22 septembrie, a minimalizat îngrijorările conform cărora serviciul ar rămâne fără lider în funcția sa uniformată de conducere, spunând că „esențialul este că nu vom rămâne fără un șef”.

Depășirea blocajului și tensiuni geopolitice

Apoi, pe 26 septembrie, surse au declarat pentru Breaking Defense că candidatura lui Wilsbach pentru funcția de șef de stat major a depășit blocajul și că nominalizarea generalului pentru acest post era așteptată în zilele următoare. Senatul a primit oficial nominalizarea sa luni seara, conform notificării transmise Congresului.

Wilsbach este pilot de vânătoare, pilotând aeronave precum F-22 Raptor, F-15 și F-16. Dacă va fi confirmat, el va ghida Forțele Aeriene printr-o serie de transformări în curs sub administrația Trump și va servi într-o perioadă critică, pe măsură ce cresc temerile că China ar putea invada Taiwanul și ar invoca un răspuns din partea SUA.

Atenționări privind interceptările aeriene chineze

În nume propriu, Wilsbach a comandat forțe în timpul a ceea ce el a numit interceptări „complet neprofesionale și total nesigure” de către piloții chinezi.

„Ceea ce este deranjant este că… răspunsul lor tipic este: ‘Este vina ta, pentru că acest lucru nu s-ar fi întâmplat dacă nu erai aici'”, a declarat Wilsbach reporterilor în septembrie 2023, referindu-se la cazurile în care oficialii americani au reușit să-i confrunte pe omologii lor chinezi cu privire la interceptări.

„Faceți-o în siguranță, faceți-o profesional și totul va fi bine”, a spus Wilsbach. „Nu vom avea o eroare de calcul. Nu vom avea un dezastru.”