防黑客窃取武器机密 美国国防部强令承包商强化网络安全

周一，在英国法恩伯勒航空展上，美国国防部高级官员向媒体宣称，五角大楼可能会停止向那些被认为易受网络攻击的承包商公司发放武器制造合同。

美国国防部所在地：五角大楼

如今，武器承包商公司有责任评估自己的产品是否符合美国国防部网络安全标准。

“由于近期发生的一些事件，让我们意识到我们的保密还做得不够好。”专门负责政府的美国国防部助理部长凯文·法赫（Kevin Fahey）在法恩伯勒航空展的简报会上表示。

早在2018年2月，美国国防部副部长帕特里克·沙纳汉（Patrick Shanahan）就曾向国防部的承包商公司发出严厉警告：保护你们的网络安全，或失去国防部的业务。据称，2018年6月份，有黑客从美国国防部承包商的计算机上偷走了敏感的潜艇战信息。

五角大楼的采购、情报及首席信息官员正在和工程研发办公室的官员联手创建一种方法，在评估国防部承包商的公司投标时，测试产品的网络防御。这项工作被称为“不妥协交付”。

“如果你认真考虑我们今天的武器系统，就会发现IT基础设施已经成为它的一部分。”法赫说。

随着泄密事件的不断发生，五角大楼在考虑强化其武器采购供应商的网络安全标准

法赫在简报中表示，目前，一个研发公司，名为MITRE公司，正在进行一项研究。这项研究的成果将成为“我们从哪里开始的基线”。

据熟悉其调查结果的人士称，MITRE报告指出了供应链的脆弱性，并提出了一系列建议，包括将网络强化作为武器采购的“第四标准”——其他三个标准是成本、进度和该公司过去的表现。

最近几个月，五角大楼采取了一系列措施来收紧网络防御。今年2月，美国国防科学委员会提出了一系列建议，以改善五角大楼购买软件的方式。两个月后，负责武器采购和维护的国防部副部长埃伦·洛德（Ellen Lord）聘请了前空军网络安全运营官杰夫·博伦（Jeff Boleng）担任软件收购的特别助理。五角大楼还在评估其武器和基础设施的网络脆弱性。根据对项目有所了解的消息来源，这些努力都是相互交织的。

“我们必须开发一种方式来评估承包商公司在网络安全方面的能力，”法赫在圆桌会议结束后说。“成本，时间表，表现总是最终只有一个，两个和三个优先级，但如果你的第四个（网络安全）不合格，那你就不那么重要了。”

1958年，一位供职于五角大楼的女性员工。目前五角大楼在武器采购承包商的评估流程中，许多环节依然在延续上世纪60年代的办法

国防部官员们正在考虑使用与网络标准相同的分级系统来评估软件的成熟度。他们还在考虑建立“红队”来测试承包商的网络防御。另一个考虑因素是为承包商提供政府认证的网络工具。

法赫说：“我们知道，现在(泄密情况)真的很严重，我们需要把它作为优先考虑的事项，然后弄清楚我们如何帮助小企业。”“其中一个想法是，我们几乎可以将IT基础设施作为（政府提供的设备）用来为公司提供给网络安全。这是一个高度优先事项。”

今天，国防部的承包商必须声明他们遵守联邦收购条例，“但我们真的不检查它，”法赫说。如果公司不符合标准，那么这不是一个可以阻止他们获得合同的条件。他说：“你必须想出一个关于如何实现这一目标的计划。”

官员们认为，将网络安全作为武器竞标的一部分，将迫使公司更好地保护他们的系统。

“如果它成为你的公司竞争优势，那么，你便已经获得进入国防采购竞标的‘准入证’，这是你需要的东西。”埃里克·楚宁（Eric Chewning），分管制造业和工业基地政策的国防部副部长助理，在接受采访时说。

法赫说：“认真对待你的公司的唯一方法，就是让它符合网络安全的标准。”