安德鲁·埃弗斯登(Andrew Eversden)
美军”杜威”号驱逐舰在西太平洋进行了战斧导弹飞行测试。美国国会监督机构呼吁对此类武器系统的合同提出更好的网络安全要求。(MC2德文·朗格/美国海军)
美国国会监督机构GAO周四宣布,尽管美国国防部在改善这些平台的网络保护方面取得了重要进展,但美国国防部仍在努力在武器系统合同中提高对网络安全的要求。
一份关于美军五种主要武器平台的报告发现,其现有的安全措施比2018年更好,当时政府问责办公室GAO的最后一次审查称,武器的网络安全措施不充分。
尽管如此,GAO仍发现了采办过程中的网络安全漏洞,被审查的五个项目中有三个在合同授予中没有任何网络安全要求。美国空军是唯一一家提出网络安全要求并将其纳入合同的广泛指导的部门。
在联邦政府努力解决IT承包商因安全漏洞而造成的后果之际,IT承包商对潜在访问敏感系统和可能的供应链安全弱点提出了担忧。
GAO审查了五种武器系统:雷达项目,反干扰器,舰艇,地面车辆和导弹。最近三年中有四个方面有所改善。GAO报告说,他们拥有更多的网络专业知识,完成了更多的网络评估,使用了额外的网络安全指南,并根据任务需要改进了网络需求。
报告称:“来自这些采购计划的官员报告称,他们在多个领域更加关注网络安全,并投入更多资源用于网络安全,包括更多地利用网络专业知识和增加对网络评估的使用,”。
对于合同项目,GAO表示,其他军事部门可以从类似于空军的方法中受益,该方法概述了采购所需的全服务网络安全要求。
GAO建议美国陆军,海军和海军陆战队“制定采购计划指南,以将量身定制的武器系统网络安全要求、验收标准和验证过程纳入合同。”
总体而言,美国国防部采购计划制定了新的政策和指导文件,以改善武器系统的网络安全。但是,某些项目并未明确定义会导致接受或拒绝系统的网络安全活动。一些人没有概述该部门将如何验证网络安全要求。
GAO官员说,“有效地”签订网络安全合同是采购计划的一项挑战。一位国防部高级官员告诉GAO,“很难对网络安全要求进行标准化,该部门需要与用户更好地交流网络安全要求和系统工程,以决定是否可以接受网络安全风险。”
另一位官员表示,“缺乏明确的网络安全要求性能标准,给理解和实施更好的安全性带来了挑战。”
美国国防部同意了GAO关于陆军和海军的建议,同时部分同意对海军陆战队的建议,并指出海军陆战队和海军应合并行动,因为它们的采购结构相同。
GAO表示:“美国国防部最终在改善武器系统网络安全方面的成功取决于军事和采购团体执行这些更改以在其计划中产生更好结果的程度。”
五角大楼在硅谷的国防创新部门正努力改善武器的网络安全,正在与网络安全公司ForAllSecure合作开发一个系统,以不断探测有漏洞的平台。在2018年GAO报告发布后,该公司开始开发其名为Mayhem的测试平台。
高级官员还注意到安全控制和指导方面的进展。
报告称:“虽然确定这些努力是否会导致更安全的系统为时过早,但它们进一步证明了国防部致力于改善武器系统网络安全性的承诺。”
声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。