ក្នុងការការពារជាតិ កំហុសខ្សែសង្វាក់ផ្គត់ផ្គង់ នៅពេលដែលរកឃើញថាយឺតពេល អាចមានទំហំធំ និងពិបាកក្នុងការយកឈ្នះ។ ហើយយ៉ាងណាមិញ មន្ទីរបញ្ចកោណមិនទាន់មានចិត្តចង់អនុវត្តប្រព័ន្ធរាវរកសកម្មបន្ថែមទៀត ដែលជាដំណើរការដ៏មានតម្លៃថ្លៃនៃការធានាអ្នកម៉ៅការសាកល្បងដោយចៃដន្យ។
ប៉ុន្តែកង្វះ "ការប្រុងប្រយ័ត្ន" នេះអាចមានការចំណាយធំ។ នៅក្នុងករណីសាងសង់កប៉ាល់ ដែកថែបដែលមិនមានលក្ខណៈពិសេស ដែលជាសមាសធាតុសំខាន់មួយ ត្រូវបានគេប្រើប្រាស់នៅលើនាវាមុជទឹករបស់កងទ័ពជើងទឹកសហរដ្ឋអាមេរិក អស់រយៈពេលពីរទសវត្សរ៍ មុនពេលមន្ទីរបញ្ចកោណបានដឹងពីបញ្ហា។ ថ្មីៗនេះ ការដាក់ចេញពីការកំណត់លក្ខណៈពិសេសនៅលើអ្នកកាត់ការល្បាតនៅឈូងសមុទ្ររបស់ឆ្មាំសមុទ្រ។ ត្រូវតែដំឡើងនិងដកចេញ- ការខ្ជះខ្ជាយពេលវេលា និងថវិកាដ៏គួរឱ្យអាម៉ាស់សម្រាប់ទាំងអ្នកម៉ៅការ និងអតិថិជនរបស់រដ្ឋាភិបាល។
ប្រសិនបើបញ្ហាទាំងនេះត្រូវបានចាប់បានទាន់ពេល ការប៉ះទង្គិចរយៈពេលខ្លីចំពោះប្រាក់ចំណេញ ឬកាលវិភាគនឹងមានច្រើនជាងការប៉ះប៉ូវដល់ការខូចខាតកាន់តែទូលំទូលាយនៃការបរាជ័យនៃខ្សែសង្វាក់ផ្គត់ផ្គង់ដ៏ស្មុគស្មាញ និងរយៈពេលវែង។
វិធីមួយទៀត អ្នកផ្គត់ផ្គង់អាចទទួលបានអត្ថប្រយោជន៍ពីការធ្វើតេស្តខាងក្រៅដ៏ខ្លាំងក្លា និងការធ្វើតេស្តការអនុលោមភាពយ៉ាងតឹងរ៉ឹងជាងមុន ឬសូម្បីតែចៃដន្យ។
ស្ថាបនិក Fortress Information Security លោក Peter Kassabov បាននិយាយនៅលើ ក ផតឃែស្ថរបាយការណ៍ការពារជាតិ និងលំហអាកាស កាលពីដើមឆ្នាំនេះ បានកត់សម្គាល់ថាអាកប្បកិរិយាកំពុងផ្លាស់ប្តូរ ហើយមេដឹកនាំការពារជាតិកាន់តែច្រើនទំនងជាចាប់ផ្តើមសម្លឹងមើល "ខ្សែសង្វាក់ផ្គត់ផ្គង់មិនត្រឹមតែជាអ្នកផ្តល់លទ្ធភាពប៉ុណ្ណោះទេ ប៉ុន្តែក៏ជាហានិភ័យដែលអាចកើតមានផងដែរ"។
បទប្បញ្ញត្តិការពារនៅតែត្រូវបានបង្កើតឡើង។ ប៉ុន្តែដើម្បីឱ្យក្រុមហ៊ុនយកចិត្តទុកដាក់លើខ្សែសង្វាក់ផ្គត់ផ្គង់ proactie កាន់តែធ្ងន់ធ្ងរ ក្រុមហ៊ុនអាចប្រឈមមុខនឹងការលើកទឹកចិត្តកាន់តែច្រើន ការដាក់ទណ្ឌកម្មកាន់តែធំ - ឬប្រហែលជាតម្រូវការដែលនាយកប្រតិបត្តិនៃអ្នកម៉ៅការសំខាន់ៗត្រូវទទួលខុសត្រូវផ្ទាល់ចំពោះការខូចខាត។
របបអនុលោមភាពចាស់ផ្តោតលើគោលដៅចាស់
អ្វីដែលលើសពីនេះទៀតនោះគឺថា ក្របខ័ណ្ឌការអនុលោមតាមខ្សែសង្វាក់ផ្គត់ផ្គង់របស់មន្ទីរបញ្ចកោណ ដូចជាវានៅតែផ្តោតលើការធានានូវភាពត្រឹមត្រូវជាមូលដ្ឋាននៃសមាសធាតុរចនាសម្ព័ន្ធជាមូលដ្ឋាន។ ហើយខណៈពេលដែលប្រព័ន្ធត្រួតពិនិត្យគុណភាពបច្ចុប្បន្នរបស់មន្ទីរបញ្ចកោណគឺស្ទើរតែមិនអាចចាប់បានជាក់ស្តែង បញ្ហារូបវន្ត មន្ទីរបញ្ចកោណពិតជាមានការតស៊ូក្នុងការអនុវត្តស្តង់ដារសុចរិតភាពរបស់ក្រសួងការពារជាតិនាពេលបច្ចុប្បន្នសម្រាប់គ្រឿងអេឡិចត្រូនិច និងសូហ្វវែរ។
ការលំបាកក្នុងការវាយតម្លៃភាពត្រឹមត្រូវនៃអេឡិចត្រូនិច និងកម្មវិធីគឺជាបញ្ហាដ៏ធំមួយ។ សព្វថ្ងៃនេះ ឧបករណ៍ និងកម្មវិធីដែលប្រើនៅក្នុង "ប្រអប់ខ្មៅ" របស់យោធាគឺកាន់តែធ្ងន់ធ្ងរ។ ជាឧត្តមសេនីយទ័ពអាកាសម្នាក់ ពន្យល់ក្នុងឆ្នាំ 2013"B-52 បានរស់នៅនិងស្លាប់ដោយសារគុណភាពនៃសន្លឹកដែករបស់វា។ សព្វថ្ងៃនេះ យន្តហោះរបស់យើងនឹងរស់ ឬស្លាប់ ដោយសារគុណភាពនៃកម្មវិធីរបស់យើង»។
Kassabov បានបន្ទរពីការព្រួយបារម្ភនេះ ដោយព្រមានថា "ពិភពលោកកំពុងផ្លាស់ប្តូរ ហើយយើងត្រូវផ្លាស់ប្តូរការការពាររបស់យើង" ។
ប្រាកដណាស់ ខណៈពេលដែលលក្ខណៈបច្ចេកទេសនៃ bolt-and-fastener "ហួសសម័យ" នៅតែមានសារៈសំខាន់ កម្មវិធីគឺពិតជាស្នូលនៃសំណើតម្លៃអាវុធទំនើបស្ទើរតែទាំងអស់។ សម្រាប់យន្តហោះ F-35 ដែលជាអាវុធអេឡិចត្រូនិច និងជាច្រកព័ត៌មាន និងទំនាក់ទំនងសមរភូមិដ៏សំខាន់ មន្ទីរបញ្ចកោណ គួរតែមានការសម្របសម្រួលច្រើនជាងការរួមចំណែករបស់ចិន រុស្សី ឬការរួមចំណែកដ៏គួរឱ្យសង្ស័យផ្សេងទៀតចំពោះកម្មវិធីសំខាន់ៗ ជាងវាអាចមាននៅក្នុងការរកឃើញយ៉ាន់ស្ព័រដែលមានប្រភពមកពីប្រទេសចិន។
មិនមែនថាខ្លឹមសារជាតិនៃធាតុផ្សំរចនាសម្ព័ន្ធខ្វះសារៈសំខាន់នោះទេ ប៉ុន្តែដោយសារការបង្កើតកម្មវិធីកាន់តែស្មុគស្មាញ គាំទ្រដោយទម្រង់ការរងនៃម៉ូឌុលដែលនៅគ្រប់ទីកន្លែង និងប្លុកអគារប្រភពបើកចំហ សក្តានុពលនៃអំពើអាក្រក់កើនឡើង។ និយាយម្យ៉ាងទៀត យ៉ាន់ស្ព័រដែលមានប្រភពពីចិន នឹងមិនទម្លាក់យន្តហោះដោយខ្លួនវាទេ ប៉ុន្តែខូចកម្មវិធីប្រភពពីចិនដែលបានណែនាំនៅដំណាក់កាលដំបូងក្នុងការផលិតប្រព័ន្ធរងអាច។
សំណួរគឺមានតម្លៃសួរ។ ប្រសិនបើអ្នកផ្គត់ផ្គង់ប្រព័ន្ធសព្វាវុធអាទិភាពខ្ពស់បំផុតរបស់អាមេរិកកំពុងមើលរំលងអ្វីដែលសាមញ្ញដូចជាដែកថែប និងលក្ខណៈបច្ចេកទេសនៃការរុះរើ តើឱកាសអ្វីខ្លះដែលបង្កគ្រោះថ្នាក់ កម្មវិធីដែលមិនមានលក្ខណៈជាក់លាក់ត្រូវបានបំពុលដោយអចេតនាជាមួយនឹងកូដបញ្ហា?
កម្មវិធីត្រូវការការពិនិត្យបន្ថែម
ប្រាក់ភ្នាល់គឺខ្ពស់។ កាលពីឆ្នាំមុន ស របាយការណ៍ប្រចាំឆ្នាំ ពីអ្នកសាកល្បងអាវុធរបស់មន្ទីរបញ្ចកោណនៅការិយាល័យនាយក ការធ្វើតេស្តប្រតិបត្តិការ និងវាយតម្លៃ (DOT&E) បានព្រមានថា “ប្រព័ន្ធ DOD ភាគច្រើនគឺប្រើកម្មវិធីខ្លាំងបំផុត។ គុណភាពកម្មវិធី និងសុវត្ថិភាពតាមអ៊ីនធឺណិតទាំងមូលរបស់ប្រព័ន្ធ ជារឿយៗជាកត្តាកំណត់ប្រសិទ្ធភាពនៃប្រតិបត្តិការ និងលទ្ធភាពរស់រានមានជីវិត ហើយជួនកាលអាចបណ្តាលឱ្យស្លាប់។
លោក Kassabov មានប្រសាសន៍ថា “អ្វីដែលសំខាន់បំផុតដែលយើងអាចធានាបានគឺកម្មវិធីដែលបើកដំណើរការប្រព័ន្ធទាំងនេះ។ “អ្នកផ្គត់ផ្គង់ការពារជាតិមិនអាចគ្រាន់តែផ្តោត និងធ្វើឱ្យប្រាកដថាប្រព័ន្ធនេះមិនមែនមកពីរុស្ស៊ី ឬមកពីប្រទេសចិននោះទេ។ វាមានសារៈសំខាន់ជាងក្នុងការយល់ច្បាស់ថា តើអ្វីជាកម្មវិធីនៅក្នុងប្រព័ន្ធនេះ និងថាតើកម្មវិធីនេះងាយរងគ្រោះប៉ុណ្ណា។
ប៉ុន្តែអ្នកសាកល្បងប្រហែលជាមិនមានឧបករណ៍ចាំបាច់ដើម្បីវាយតម្លៃហានិភ័យប្រតិបត្តិការទេ។ យោងតាម DOT&E ប្រតិបត្តិករកំពុងស្នើសុំនរណាម្នាក់នៅមន្ទីរបញ្ចកោណ "ប្រាប់ពួកគេពីអ្វីដែលហានិភ័យនៃសុវត្ថិភាពអ៊ីនធឺណិត និងផលវិបាកដែលអាចកើតមានរបស់ពួកគេ និងដើម្បីជួយពួកគេបង្កើតជម្រើសកាត់បន្ថយដើម្បីប្រយុទ្ធប្រឆាំងនឹងការបាត់បង់សមត្ថភាព"។
ដើម្បីជួយធ្វើកិច្ចការនេះ រដ្ឋាភិបាលសហរដ្ឋអាមេរិកពឹងផ្អែកលើអង្គភាពដែលមានទម្រង់ទាបសំខាន់ៗដូចជា វិទ្យាស្ថានជាតិស្តង់ដារនិងបច្ចេកវិទ្យាឬ NIST ដើម្បីបង្កើតស្តង់ដារ និងឧបករណ៍អនុលោមភាពមូលដ្ឋានផ្សេងទៀតដែលត្រូវការដើម្បីការពារកម្មវិធី។ ប៉ុន្តែការផ្តល់មូលនិធិមិននៅទីនោះទេ។ លោក Mark Montgomery នាយកប្រតិបត្តិនៃ Cyberspace Solarium Commission ។ មានការព្រមានជាប់រវល់ ថា NIST នឹងពិបាកធ្វើរឿងដូចជាការផ្សព្វផ្សាយការណែនាំអំពីវិធានការសុវត្ថិភាពសម្រាប់កម្មវិធីសំខាន់ បង្កើតស្តង់ដារអប្បបរមាសម្រាប់ការធ្វើតេស្តកម្មវិធី ឬការណែនាំសុវត្ថិភាពខ្សែសង្វាក់ផ្គត់ផ្គង់ "លើថវិកាដែលអស់ជាច្រើនឆ្នាំបានមកក្រោម 80 លានដុល្លារ"។
គ្មានដំណោះស្រាយសាមញ្ញនៅក្នុងការមើលឃើញ។ ការណែនាំ "back-office" របស់ NIST គួបផ្សំនឹងកិច្ចខិតខំប្រឹងប្រែងអនុលោមតាមច្បាប់ដ៏ខ្លាំងក្លាអាចជួយបាន ប៉ុន្តែមន្ទីរបញ្ចកោណត្រូវតែផ្លាស់ទីឆ្ងាយពីវិធីសាស្រ្ត "ប្រតិកម្ម" បែបបុរាណចំពោះភាពសុចរិតនៃខ្សែសង្វាក់ផ្គត់ផ្គង់។ ប្រាកដណាស់ ខណៈពេលដែលវាល្អណាស់ក្នុងការចាប់យកការបរាជ័យ វាជាការប្រសើរជាងប្រសិនបើកិច្ចខិតខំប្រឹងប្រែងសកម្មដើម្បីរក្សាភាពត្រឹមត្រូវនៃខ្សែសង្វាក់ផ្គត់ផ្គង់នៅក្នុងអ្នកម៉ៅការការពារទីពីរដំបូងចាប់ផ្តើមបង្កើតកូដដែលទាក់ទងនឹងការការពារ។
ប្រភព៖ https://www.forbes.com/sites/craighooper/2022/11/01/embedding-proactive-vigilance-into-the-pentagon-high-tech-supply-chain/