防黑客竊取武器機密 美國國防部強令承包商強化網路安全

周一，在英國法恩伯勒航空展上，美國國防部高級官員向媒體宣稱，五角大樓可能會停止向那些被認為易受網路攻擊的承包商公司發放武器製造合同。

美國國防部所在地：五角大樓

如今，武器承包商公司有責任評估自己的產品是否符合美國國防部網路安全標準。

「由於近期發生的一些事件，讓我們意識到我們的保密還做得不夠好。」專門負責政府的美國國防部助理部長凱文·法赫（Kevin Fahey）在法恩伯勒航空展的簡報會上表示。

早在2018年2月，美國國防部副部長帕特里克·沙納漢（Patrick Shanahan）就曾向國防部的承包商公司發出嚴厲警告：保護你們的網路安全，或失去國防部的業務。據稱，2018年6月份，有黑客從美國國防部承包商的計算機上偷走了敏感的潛艇戰信息。

五角大樓的採購、情報及首席信息官員正在和工程研發辦公室的官員聯手創建一種方法，在評估國防部承包商的公司投標時，測試產品的網路防禦。這項工作被稱為「不妥協交付」。

「如果你認真考慮我們今天的武器系統，就會發現IT基礎設施已經成為它的一部分。」法赫說。

隨著泄密事件的不斷發生，五角大樓在考慮強化其武器採購供應商的網路安全標準

法赫在簡報中表示，目前，一個研發公司，名為MITRE公司，正在進行一項研究。這項研究的成果將成為「我們從哪裡開始的基線」。

據熟悉其調查結果的人士稱，MITRE報告指出了供應鏈的脆弱性，並提出了一系列建議，包括將網路強化作為武器採購的「第四標準」——其他三個標準是成本、進度和該公司過去的表現。

最近幾個月，五角大樓採取了一系列措施來收緊網路防禦。今年2月，美國國防科學委員會提出了一系列建議，以改善五角大樓購買軟體的方式。兩個月後，負責武器採購和維護的國防部副部長埃倫·洛德（Ellen Lord）聘請了前空軍網路安全運營官傑夫·博倫（Jeff Boleng）擔任軟體收購的特別助理。五角大樓還在評估其武器和基礎設施的網路脆弱性。根據對項目有所了解的消息來源，這些努力都是相互交織的。

「我們必須開發一種方式來評估承包商公司在網路安全方面的能力，」法赫在圓桌會議結束後說。「成本，時間表，表現總是最終只有一個，兩個和三個優先順序，但如果你的第四個（網路安全）不合格，那你就不那麼重要了。」

1958年，一位供職於五角大樓的女性員工。目前五角大樓在武器採購承包商的評估流程中，許多環節依然在延續上世紀60年代的辦法

國防部官員們正在考慮使用與網路標準相同的分級系統來評估軟體的成熟度。他們還在考慮建立「紅隊」來測試承包商的網路防禦。另一個考慮因素是為承包商提供政府認證的網路工具。

法赫說：「我們知道，現在(泄密情況)真的很嚴重，我們需要把它作為優先考慮的事項，然後弄清楚我們如何幫助小企業。」「其中一個想法是，我們幾乎可以將IT基礎設施作為（政府提供的設備）用來為公司提供給網路安全。這是一個高度優先事項。」

今天，國防部的承包商必須聲明他們遵守聯邦收購條例，「但我們真的不檢查它，」法赫說。如果公司不符合標準，那麼這不是一個可以阻止他們獲得合同的條件。他說：「你必須想出一個關於如何實現這一目標的計劃。」

官員們認為，將網路安全作為武器競標的一部分，將迫使公司更好地保護他們的系統。

「如果它成為你的公司競爭優勢，那麼，你便已經獲得進入國防採購競標的『准入證』，這是你需要的東西。」埃里克·楚寧（Eric Chewning），分管製造業和工業基地政策的國防部副部長助理，在接受採訪時說。

法赫說：「認真對待你的公司的唯一方法，就是讓它符合網路安全的標準。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！