GAO继续督促美国国防部关注武器系统网络安全

武器系统网络安全:该指导将帮助国防部计划更好地与承包商沟通要求

GAO21-179发布:2021年3月4日

美国国防部一直在努力确保其武器系统能够承受网络攻击。自从我们上次报告,国防部已朝该目标采取了一些积极步骤,例如进行了更多的网络测试。

但是我们发现,国防部计划并不总是将网络安全要求纳入合同文本中。承包商仅负责遵守合同中规定的条款。我们审查的某些合同在授予时没有网络安全要求,后来又添加了模糊的要求。

我们 受到推崇的 国防部发布了将武器系统网络安全要求纳入合同语言的指南。

GAO发现了什么

自GAO 2018年报告以来,美国国防部(DOD)已采取行动,使其高科技武器系统网络更不容易受到网络攻击。国防部和军事部门官员强调了进步领域,包括增加获得专业知识的机会,增强的网络测试和其他指导。例如,GAO发现,与过去的收购计划相比,选定的收购计划在开发过程中已进行或计划进行更多的网络安全测试。国防部在努力改善武器系统的网络安全性时必须坚持不懈的努力,这一点很重要。

签订网络安全要求的合同很关键。DOD指南指出,这些要求应像其他类型的系统要求一样对待,并且更简单地说,“如果不在合同中,则不要期望得到它。” 具体来说,应在采购计划合同中定义网络安全要求,并应建立接受或拒绝工作以及政府将如何验证是否满足要求的标准。但是,GAO发现了计划合同的示例,其中省略了网络安全要求、验收标准或验证过程。例如,GAO发现,授予这五个项目中的三个项目的合同不包含任何网络安全要求。

将网络安全纳入合同

国防部和军事部门已经制定了一系列政策和指导文件,以改善武器系统的网络安全性,但是该指南通常并未具体说明获取程序应如何在合同中包括网络安全性要求,验收标准和验证过程。在GAO审查的四个军种中,只有空军发布了行动指南,其中详细说明了采购计划应如何定义网络安全要求并将这些要求纳入合同中。其他军种可能会从类似的方法中受益,以制定自己的指南,以帮助确保DOD适当解决合同中的网络安全要求。

GAO为什么要进行这项研究

美国国防部复杂,昂贵的武器系统网络必须在需要时运行,而不会因网络攻击而瘫痪。但是,GAO在2018年报告说,DOD在其开发过程的后期经常发现网络漏洞。

美国参议院在《 2020财年国防授权法》随附的报告中,包括一项针对GAO的规定,以审查DOD对正在开发的武器系统进行网络安全的实施情况。GAO的报告涉及(1)国防部在开发过程中为武器系统实施网络安全方面取得进展的程度,以及(2)国防部和军事部门已制定将武器系统网络安全要求纳入合同的指南的程度。

GAO审查了美国国防部当前以及与正在开发的武器系统的网络安全相关的服务指南和政策,采访了国防部和计划官员,并审查了五个采购项目的支持文档。GAO还就武器系统网络安全的经验问询了国防承包商。

推荐建议

GAO建议美国陆军,海军和海军陆战队就计划应如何将量身定制的网络安全要求纳入合同提供指导。国防部同意两项建议,并指出第三项建议(海军陆战队)应与上一项建议合并。国防部的回应符合建议的意图。

行政行动建议

1.陆军部长应制定采购计划指南,以指导如何将量身定制的武器系统网络安全要求,验收标准和验证过程纳入合同。(建议1)

2.海军部长应制定采购计划指南,以指导如何将量身定制的武器系统网络安全要求,验收标准和验证过程纳入合同。(建议2)

3.海军部长应采取步骤,确保海军陆战队就如何将量身定制的武器系统网络安全要求,验收标准和验证程序纳入合同的购置计划制定指导。(建议3)

声明:本平台发布部分内容来自公开资料或者网络,版权归原作者所有,转载的目的在于传递信息及用于网络分享,不代表本平台赞同其观点,如涉版权问题,请与我们联系,我们第一时间处理。