Pentagon tworzy listę “zakazanego” oprogramowania

30 lipca 2018, 13:34
PENTAGON_DOD1
Fot. David B. Gleason/Flickr/CC 2.0

Departament Obrony pracuje obecnie nad listą oprogramowania, które nie powinno być używane przez jego pracowników oraz przedsiębiorstwa realizujące kontrakty z nim.  W ten sposób Amerykanie zamierzają zwiększyć kontrolę nad łańcuchem dostaw, eliminując z niego wszystkie produkty IT, których kod pochodzi z Chin lub Rosji. Jest to reakcja na zwiększającą się liczbę ataków hakerskich.

Ellen Lord, odpowiedzialna za zakup nowego sprzętu  w Departamencie Obrony powiedziała, że prace w Pentagonie nad listą trwają 6 miesięcy. Ma ona zawierać informacje o oprogramowaniu komputerowym oraz ich producentach, którzy nie spełniają standardów bezpieczeństwa narodowego. Dokument ten jest sporządzony w celu pomocy Departamentowi Obrony oraz partnerom przemysłowym w dokonywaniu zakupów i unikaniu nabywania oprogramowania pochodzącego z podejrzanego źródła. Pentagon współpracuje z Aerospace Industires Association, National Defence Industrial Association i Professional Services Council w celu dostarczenia informacji o zagrożeniach małym i średnim firmom pracujących dla amerykańskiego wojska. Zdaniem Lord to olbrzymi i czasochłonny proces edukacyjny.

 Pentagon współpracuje również ze wspólnotą wywiadowczą celem zidentyfikowania firm, których działalność może stanowić zagrożenie dla bezpieczeństwa narodowego. Zdaniem Lord czasem bardzo trudno jest to stwierdzić, ponieważ kto inny produkuje oprogramowanie, a kto inny je sprzedaje.

„Tworząc listę chcemy się upewnić, że nie kupujemy oprogramowania, które przykładowo pochodzi z Rosji lub Chin”.

Zapytana na konferencji prasowej, czy jakieś systemy uzbrojenia zostały złamane poprzez wykorzystanie zagranicznego oprogramowana, Lord uchyliła się od odpowiedzi, mówiąc, że uwaga nie powinna zostać skupiona na jednym systemie, a problem jest znacznie szerszy.

To nie pierwsza próba Pentagonu wzmocnienia cyberbezpieczeństwa sieci i systemów pośredników. Wszystkie firmy realizujące zlecenie dla Departamentu Obrony miały dostosować się do surowszych przepisów bezpieczeństwa do stycznia tego roku. Przedsiębiorstwa powiedziały jednak, że nie będą w stanie ich spełnić, a Pentagon obniżył niektóre z nich.

W zeszłym tygodniu podczas pokazów lotniczych w Farnborough w Wielkiej Brytanii, zastępca Lord , Kevin Fahey ostrzegł, że Pentagon może odmówić zawarcia kontraktu z daną firmą, jeśli ich systemy komputerowe i systemy uzbrojenia nie są właściwie chronione przed cyberatakami. Lord zapowiedziała, że Pentagon będzie testował obronę pośredników z wykorzystaniem zespołów Red Team.

Pentagon ma problem z coraz większą liczbą cyberataków oraz pilnowaniem przestrzegania standardów bezpieczeństwa swoich systemów i sieci. W październiku zeszłego roku rzecznik prasowy Pentagonu poinformował, że w Departamencie Obrony nie ma żadnych wytycznych dotyczących nie używania oprogramowania, którego kod źródłowy zostały zbadany przez obcy wywiad. Zdaniem Lord dużym problemem są również niedostateczne zasoby małych przedsiębiorstw, których nie stać na zapewnienie odpowiedniego poziomu cyberbezpieczeństwa.

Stany Zjednoczone kontynuując swoja politykę wykluczania produktów IT produkcji rosyjskiej i chińskiej mogą stworzyć niebezpieczny precedens wzajemnego blokowania software i hardware.  Chiny i Rosja w odwecie mogą zabronić używania amerykańskiego oprogramowania. Z pewnością negatywnie odbiłoby się to na światowym, wolnym handlu.

KomentarzeLiczba komentarzy: 3
bender
środa, 1 sierpnia 2018, 12:38

@nikt ważny: nie, to nie tak działa. Istnieje kilka warunków, które trzeba spełnić, żeby przechwycić informacje i czym innym są np. booty googla żerujące na metadanych z Twojego smartfonu, a czego innego dotyczą standardy, które wprowadza Pentagon. Oczywiście, że zostawiamy cyfrowy ślad swojej aktywności, ale po to powstają prawne regulacje jak GDPR, żeby Twoja prywatność była chroniona. Istnieją też kraje takie jak Chiny, które bezczelnie starają się ukraść wszystko co się da, komukolwiek się da. Parę miesięcy temu głośna była sprawa centrali Unii Afrykańskiej zbudowanej, okablowanej i wyposażonej w komputery przez Chiny. Okazało się, że chińskie komputery skonfigurowane przez chińskich specjalistów nawiązywały późno w nocy połaczenie z adresem w Chinach gdzie wysyłały gigabajty informacji. A ponieważ miały nieograniczony dostęp do wszystkich możliwych zasobów istnieje uzasadnione podejrzenie, że Unia Afrykańska tajemnic przed Chinami już nie ma. To o to chodzi, a nie o listę zakupów z Twojej inteligentnej lodówki.

nikt ważny
wtorek, 31 lipca 2018, 12:50

@Kiks Uzbrój się w cierpliwość. Na razie są zakusy na reglamentację informacji w sieci ale na produkty przyjdzie czas. Każdy będzie swoje i tylko swoje promował bo obce to obce \"bezpieka\" i mało kto zauważy że w swoich będzie swoje to \"swoja\" \"bezpieka\". Idę o zakład że na najwyższym poziomie jest to dogadane i na najwyższym poziomie będą się wymieniać informacjami aby jak najpełniej kontrolować ludzkość. Telemetria już jest w większości produktów sieciowych niby to pod pozorem \"ulepszania produktu\" a docelowe miejsce dla informacji z telemetrii nie ma znaczenia kiedy ktoś wie jak wygląda sieć warstwa po warstwie bo wszystko co gdziekolwiek wychodzi z twojego urządzenia można w niższych warstwach przekierować do dowolnej \"bezpieki\".

Kiks
poniedziałek, 30 lipca 2018, 16:57

A w Europie hulaj dusza. Na potęgę wykorzystuje się sprzęt w infrastrukturze GSM chińskich, szemranych firm jak Huawei. Xiaomi kolejne. Firmy o podwalinach byłych bądź nie pracowników chińskiego wywiadu. Przerażająca naiwność.