Armata SUA a anunțat că a atenuat o serie de riscuri de securitate cibernetică descoperite într-o versiune incipientă a platformei sale Next Generation Command and Control (NGC2), potrivit unui memo intern obținut de Breaking Defense.

Alarma trasă de ofițerul sef pentru tehnologie

Documentul, datat 5 septembrie și semnat de Gabriele Chiulli, ofițerul șef pentru tehnologie din cadrul Biroului Șefului pentru Informații al Armatei, avertiza că platforma NGC2 „în starea sa actuală, prezintă deficiențe critice în ceea ce privește controalele fundamentale de securitate, procesele și guvernanța.”

Chiulli a scris că armatei „îi lipsește vizibilitatea și controalele necesare pentru a asigura securitatea și integritatea platformei”. El a adăugat că „se pare că există o grabă de a introduce capabilități în sistem fără o supraveghere reală sau un proces adecvat, ceea ce crește riscul pe măsură ce acest sistem îl amplifică și mai mult.”

Reacție rapidă și măsuri corective

Cu toate acestea, oficialii armatei au declarat pentru Breaking Defense că, în cele trei săptămâni de la redactarea și distribuirea documentului, problemele au fost rezolvate. „Problemele au fost atenuate imediat”, a declarat Leonel Garciga, șeful pentru informații al armatei, într-un comunicat. El a adăugat că „procesele simplificate de securitate cibernetică au fost capabile să identifice rapid și să asiste biroul programului și furnizorul în trierea vulnerabilităților de securitate cibernetică și în implementarea măsurilor de atenuare.”

Integrarea securității cibernetice de la inceput

Generalul-locotenent Jeth Rey, șeful adjunct de stat major la G-6, departamentul armatei responsabil cu securitatea cibernetică și rețelele, a susținut că identificarea timpurie a acestor deficiențe face parte din procesul intenționat al serviciului și că au fost luate măsuri pentru a le corecta.

„Trebuie să includem securitatea cibernetică de la început în proces și cred că asta am făcut”, a spus Rey într-un interviu recent. „Aceasta este o nouă capacitate și am găsit un risc și l-am atenuat imediat. Cred că este o veste bună pentru noi în viitor. Dacă vom continua să privim lucrurile în acest mod și procesele noastre funcționează, sunt mulțumit.”

NGC2: Prioritatea numărul unu pentru modernizare

NGC2 este prioritatea numărul unu a serviciului în materie de modernizare și este conceput pentru a oferi comandanților și unităților o nouă abordare a gestionării informațiilor, a datelor și a comandamentului și controlului cu arhitecturi agile și bazate pe software.

În iulie, armata a acordat aproape 100 de milioane de dolari companiei Anduril și unei echipe de furnizori pentru a dezvolta un prototip al sistemului, care va fi extins la nivelul întregii divizii la Project Convergence Capstone 6 în această vară, cu Divizia 4 Infanterie. Un prototip a fost testat la evenimentul de anul trecut la nivel de batalion. Mai recent, Lockheed Martin și echipa sa au obținut, de asemenea, un contract pentru a dezvolta un strat de date integrat cu Divizia 25 Infanterie.

Ivy Sting: Testare incrementală și adăugare de capabilități

Pe măsură ce armata urmărește să extindă prototipul Anduril la nivelul întregii divizii, Divizia 4 Infanterie a început o serie de evenimente de tip sprint între acum și Project Convergence pentru a adăuga incremental capabilități. Aceste evenimente sunt numite seria Ivy Sting.

Deficiențe identificate în Memo-ul Chiulli

Memo-ul Chiulli, care a fost redactat cu 10 zile înainte de primul eveniment, enumera o serie de preocupări, al căror „efect cumulativ” era că NGC2 părea mai degrabă o „cutie neagră” în care serviciul nu putea controla ce utilizatori fac sau văd pe rețea.

„Lipsa de guvernanță înseamnă că nu există o persoană sau o entitate responsabilă pentru acceptarea acestui risc în numele armatei”, se arată în document. „Având în vedere postura actuală de securitate a platformei și a aplicațiilor terțe găzduite, probabilitatea ca un adversar să obțină acces persistent nedetectabil la platformă necesită ca sistemul să fie tratat ca fiind cu risc foarte ridicat.”

Problemele enumerate includ lipsa controlului accesului și a responsabilității, codul sursă neverificat și vulnerabil pentru aplicațiile terțe, lacune critice în guvernanță și igiena de bază a securității și lipsa guvernanței datelor.

Prima deficiență evidențiată a menționat că sistemul nu avea control al accesului bazat pe roluri, ceea ce înseamnă că, odată ce unui utilizator i se acordă acces, acesta ar avea acces nerestricționat la toate aplicațiile și la toate datele – o anatema pentru principiile mai largi de încredere zero ale Pentagonului. Memo-ul a descris acest lucru ca fiind o defecțiune critică de securitate care ar putea duce la un potențial acces și utilizare abuzivă a informațiilor clasificate.

În ceea ce privește aplicațiile terțe, memo-ul notează că Serviciul Federal de Cloud Palantir care găzduiește aplicațiile într-o metodologie de găzduire a containerelor nu a fost evaluat de armată sau de o politică a CIO a armatei care să susțină funcția de conductă deținută/operată de contractant. Niciuna dintre aplicații nu a fost supusă scanării de rutină a securității aplicațiilor web.

Memo-ul a susținut că sistemul funcționează cu vulnerabilități cunoscute, neatinuate, similar cu desfășurarea unui sistem de arme cu defecte cunoscute. Fără un proprietar clar al misiunii care să își asume responsabilitatea pentru securitatea operațională a sistemului, memo-ul a avertizat că securitatea va fi compromisă.

Măsuri concrete și rezultate pozitive

Oficialii armatei nu au precizat exact cum sau când a fost abordată fiecare presupusă deficiență, dar, la Ivy Sting pe 15 septembrie, NGC2 a funcționat bine, potrivit lui Garciga. El a menționat că procesele simplificate de securitate cibernetică au permis ca Ivy Sting 1 să „avanseze fără întârziere.”

Maiorul Sean Minton, un purtător de cuvânt al armatei, a declarat că „armata este într-o transformare unică în generație pentru a oferi soldaților noștri capabilitățile de care au nevoie rapid.”

„După cum s-a demonstrat în acest caz, postura noastră proactivă de securitate cibernetică este concepută pentru a identifica riscurile și a le atenua, minimizând în același timp efectele asupra forței”, a spus el.