Jeszcze w trakcie tego lata Pentagon zamierza opublikować nową strategię modernizacji IT, zapowiedział John Sherman pełniący obowiązki dyrektora generalnego amerykańskiego Departamentu Obrony. Nowa strategia ma być oparta między innymi na niedawno przyjętych wytycznych DevSecOps 2.0. Jako dyrektor Departamentu Obrony, Sherman nadzoruje rozwój technologii cybernetycznych, sieciowych, komunikacyjnych, a także systemy informacyjne i korporacyjne IT – między innymi przetwarzanie w chmurze.
Mówiąc o budżecie obronnym na rok 2022, Sherman podkreślił, że priorytetyzacja IT jest zgodna z wytycznymi prezydenta Bidena oraz sekretarza obrony Lloyda Austina. W zakres prac wchodzi budowanie chmury obliczeniowej departamentu, modernizacja sieci i oprogramowania czy zatrudnienie pracowników od cyberbezpieczeństwa. Zabezpieczenie łączności i danych Sherman nazwał „amunicją przyszłości” i kluczem do przewagi we wszystkich operacjach.
Amerykański budżet na 2022 ma także utrzymać wyższe finansowanie rozwoju cyberbezpieczeństwa przedsiębiorstw, „co pozwoli skupić się na zerowym zaufaniu i zarządzaniu ryzykiem oraz pobudzić nowe inwestycje w celu zwiększenia odporności i cyberobrony” – uważa Sherman.
Reprezentant Jim Langevin, przewodniczący podkomisji House Armed Services ds. cybernetyki, innowacyjnych technologii i systemów informatycznych, przed którą występował Sherman, zadał pytania o rolę i obowiązki najwyższego kierownictwa cybernetycznego i EMSO w Departamencie Obrony.
„Jeśli zapytamy sekretarza obrony, kto jest odpowiedzialny za zakup broni dla wydziału, odpowiedź jest jednoznaczna: podsekretarz obrony ds. pozyskiwania i utrzymania. Jednak, jeśli zapytamy sekretarza, kto jest odpowiedzialny za bezpieczeństwo sieci Departamentu Obrony, niepokojący jest fakt, że nie ma ani jednej poprawnej odpowiedzi. Sekretarz mógł odpowiedzieć, że kierownik Departamentu Obrony albo dowódca Cyber Command [Gen. Paul Nakasone] czy nawet szefowie służb wojskowych i [sekretarz], technicznie rzecz biorąc, nie pomyliliby się przy żadnej z tych odpowiedzi. Skoro więc możemy nauczyć każdego z naszych nowych funkcjonariuszy o krytyczności jasnego dowodzenia i kontroli, dlaczego nie możemy zastosować tego do najwyższych szczebli departamentu?” – pytał.
Langevin poruszył również kwestie dotyczące priorytetów finansowania departamentu w obszarach takich jak IT i cybernetyka. „Co roku liderzy z całego departamentu mówią nam, że uważają IT za priorytet, po czym natychmiast zastanawiają się, ile funduszy potrzebują na więcej godzin lotu, więcej samolotów lub więcej czołgów. Szczerze mówiąc, bardziej przekonałoby mnie, że technologia będzie naprawdę priorytetem, gdy na przykład szef operacji morskich powiedział, że marynarka wojenna może żyć z jednym myśliwcem mniej, by zwiększyć inwestycje w IT”.
Jednak ze szczególną krytyką Langevina spotkał się planowany budżet Departamentu Obrony na rok 2022, który opublikowany został w zeszłym miesiącu. Reprezentant zauważył znaczne skrócenie dokumentu w porównaniu do budżetów z poprzednich lat i wiele zbieżności z tym, co zapisano w planach budżetowych rok wcześniej.
„Gdyby Departament Obrony był uczniem liceum, nazwałbym to plagiatem” – powiedział Langevin. Zapytał też, jak mogą powierzyć fundusze wydziałowi, który nie jest w stanie przedstawić należytej dokumentacji przed Kongresem.
Sherman tłumaczył, że długość może wynikać z niejawności części informacji, natomiast przejął się kwestią kopiowania i zapewnił, że przy kolejnym projekcie sam będzie czuwał nad poprawą jego jakości. Langevin jednak upierał się, że ogólnikowy charakter zaplanowanego budżetu nie pozwala dopełnić obowiązków nadzorczych podkomisji i taka sytuacja nie może być dopuszczalna. Przeszedł jednak do krytyki „niespójnych kategoryzacji wydatków na IT i cybernetykę”. Zauważył, że Marynarka Wojenna nie klasyfikuje zarządzania urządzeniami końcowymi jako finansowanie cyberbezpieczeństwa, ale już Siły Powietrzne tak właśnie robią, przez co nie wiadomo, w jaki sposób wydawane są zasoby i jakie zasady rządzą ich rozdysponowaniem.
Sherman przyznał, że 5,5 miliarda dolarów uwzględnionych w budżecie jako wydatki na cyberbezpieczeństwo „rzeczywiście nie reprezentuje całości projektów cyberbezpieczeństwa realizowanych w całym departamencie. Cyberbezpieczeństwo jest moim najwyższym priorytetem, razem z innymi działaniami modernizacyjnymi. Musimy jednak bardziej się postarać, by odzwierciedlić całość tych działań”.
Langevin wrócił do tematu strategii prowadzenia wojny elektronicznej. Sherman odpowiedział: „Oczekujemy, że plan wdrożenia zostanie wkrótce podpisany przez sekretarza. Nie mam dokładnej daty, ale całość jest już przygotowana”. Podkreślił silne zaangażowanie kierownictwa i pewność, że wdrożenie strategii zostanie niedługo zwieńczone sukcesem. Obecnie generał John Hyten, wiceprzewodniczący Joint Chiefs, kieruje zespołem zajmującym się kwestiami wojny elektronicznej. „Zamierzamy przejąć pałeczkę jako biuro wdrażające” – powiedział Sherman.
Podczas tego wystąpienia także reprezentant Scott Franklin miał krytyczne uwagi. Zapytał Shermana, dlaczego Departament Obrony pozwala na obecność niezałatanego oprogramowania w swojej sieci przez 120 dni, zanim zostanie usunięte – chociaż niedawno CISA opublikowała listę złych praktyk z zakresu cyberbezpieczeństwa, na której znalazło się między innymi „niezałatane” oprogramowanie. Sherman udzielił wymijającej odpowiedzi, przyznając tylko, że 120 dni to faktycznie długo i musi się przyjrzeć sprawie.
Kolejnym poruszonym tematem był status strategii chmurowej Departamentu Obrony. Pojawiły się bowiem doniesienia o opóźnieniach w migracji do chmury. Sherman odpowiedział, przedstawiając kilka sukcesów przy wdrażaniu tego projektu, jednak przyznał też, że „nadal mamy również pilną potrzebę większego wykorzystania możliwości chmury korporacyjnej na wszystkich trzech poziomach bezpieczeństwa – niesklasyfikowanym, tajnym i ściśle tajnym – która obejmuje całą drogę od centrali do krawędzi taktycznej”. Część opóźnień to wynik sporów prawnych dotyczących wykorzystywanego przez Departament Obrony programu chmurowego JEDI.
Langevin zapytał również o kwestie bezpieczeństwa przemysłowych systemów sterowania (ICS) i technologii operacyjnych (OT). Sherman powiedział, że ich bezpieczeństwo jest priorytetem, a obecnie trwają prace nad zapobieganiem „lukom”, które umożliwiłyby prześlizgnięcie się przez cyberobronę departamentu.
Zapytany o to, co go niepokoi, Sherman powiedział: „Tego rodzaju cyberzagrożenia, które obserwujemy w całym kraju, nie tylko przeciwko rządowi, ale także przeciwko sektorowi prywatnemu. To jest główny powód, dla którego tak bardzo zależy mi na wprowadzeniu zasady zerowego zaufania w Departamencie Obrony. Chcę, by departament był liderem w tej przestrzeni”. Dodał także: „Wiem, co Chińczycy i Rosjanie chcą zrobić z naszymi sieciami, a cyberbezpieczeństwo należy do moich najważniejszych zadań, wraz z innymi rodzajami modernizacji naszej armii. W tej chwili strona ofensywna ma wszystkie możliwości i musimy prowadzić lepszą obronę”.
