Система управления войсками США за $100 млн содержала критические дыры. Любой пользователь мог видеть и менять всё
NewsMakerNGC2 чуть не утонула в собственных уязвимостях, но армейцы спасли проект.
Армия США устранила критические недостатки в кибербезопасности прототипа своей новой системы NGC2 (Next Generation Command and Control). Этот проект считается ключевым элементом цифровой трансформации вооружённых сил, однако первые испытания выявили уязвимости, которые могли привести к потере контроля над данными и угрозе для операций. Проблемы вскрылись незадолго до начала масштабной серии испытаний Ivy Sting, цель которых — масштабировать систему до уровня целого дивизиона.
Документ от 5 сентября содержал резкую оценку состояния платформы. В нём говорилось, что NGC2 «в текущем виде демонстрирует критические недостатки в области базовых средств защиты, процедур и управления», что создаёт риск несанкционированного доступа, утечки данных и даже угрозу для личного состава. Киулли отмечал отсутствие достаточного контроля за внедрением новых возможностей и указывал, что разработка движется быстрее, чем система надзора за безопасностью.
После утечки меморандум был распространён в индустрии, но спустя 3 недели армейское командование объявило, что все риски устранены. По словам CIO армии Леонеля Гарсиги, усовершенствованные процессы кибербезопасности позволили оперативно обнаружить проблемы, привлечь подрядчиков и внедрить корректирующие меры. Он подчеркнул, что это не сбило программу с графика и не повлияло на ход испытаний.
В штабе по сетевым технологиям отметили, что выявление уязвимостей на раннем этапе было предусмотрено стратегией разработки. По словам представителя штаба, именно так и должен работать подход «безопасность по умолчанию»: угрозы выявляются в прототипе, устраняются сразу, и это позволяет укрепить систему до начала развёртывания. В штабе назвали ситуацию положительным примером того, как проект должен эволюционировать.
NGC2 — главная технологическая инициатива армии, призванная заменить устаревшие командные сети на программно-определяемую архитектуру, обеспечивающую единый доступ к данным и управление подразделениями в реальном времени. Разработка ведётся как «чистый лист» — с нуля, без использования старых решений. В июле армия выделила около 100 миллионов долларов компании Anduril и группе подрядчиков на создание прототипа для 4-й пехотной дивизии, который будет испытан на мероприятии Project Convergence Capstone 6 летом. Система станет частью масштабной цифровой трансформации вооружённых сил.
Меморандум Киулли появился за 10 дней до первой демонстрации Ivy Sting и перечислял широкий набор угроз. Среди них — отсутствие разграничения прав доступа, неподтверждённый и потенциально уязвимый код сторонних приложений, слабая система управления и контроль за потоками данных. Документ утверждал, что система работает с известными, но не устранёнными уязвимостями и не имеет назначенного ответственного за операционную безопасность. В нём также отмечалось, что платформа напоминает «чёрный ящик», где невозможно отследить, какие пользователи и какие действия совершают внутри сети.
Особое внимание уделялось отсутствию механизма Role-Based Access Control, из-за чего любой получивший доступ пользователь мог видеть и изменять всю информацию. Это противоречит принципам Zero Trust, принятым в Пентагоне. Также указывалось, что используемый облачный сервис Palantir Federal Cloud не проходил оценку и не имел официального допуска к эксплуатации, а приложения не проходили базовое сканирование на уязвимости .
Тем не менее уже к середине сентября, по словам Гарсиги, NGC2 успешно прошла проверку на первом этапе Ivy Sting. Испытания показали, что новые процедуры кибербезопасности позволили выявить и устранить все слабые места без сдвига сроков. Представитель армии отметил, что NGC2 станет частью «перестройки поколений» всей архитектуры управления войсками, а выявленные проблемы лишь подтвердили эффективность новой модели защиты, нацеленной на раннее обнаружение и мгновенную реакцию на риски.
Армия США устранила критические недостатки в кибербезопасности прототипа своей новой системы NGC2 (Next Generation Command and Control). Этот проект считается ключевым элементом цифровой трансформации вооружённых сил, однако первые испытания выявили уязвимости, которые могли привести к потере контроля над данными и угрозе для операций. Проблемы вскрылись незадолго до начала масштабной серии испытаний Ivy Sting, цель которых — масштабировать систему до уровня целого дивизиона.
Документ от 5 сентября содержал резкую оценку состояния платформы. В нём говорилось, что NGC2 «в текущем виде демонстрирует критические недостатки в области базовых средств защиты, процедур и управления», что создаёт риск несанкционированного доступа, утечки данных и даже угрозу для личного состава. Киулли отмечал отсутствие достаточного контроля за внедрением новых возможностей и указывал, что разработка движется быстрее, чем система надзора за безопасностью.
После утечки меморандум был распространён в индустрии, но спустя 3 недели армейское командование объявило, что все риски устранены. По словам CIO армии Леонеля Гарсиги, усовершенствованные процессы кибербезопасности позволили оперативно обнаружить проблемы, привлечь подрядчиков и внедрить корректирующие меры. Он подчеркнул, что это не сбило программу с графика и не повлияло на ход испытаний.
В штабе по сетевым технологиям отметили, что выявление уязвимостей на раннем этапе было предусмотрено стратегией разработки. По словам представителя штаба, именно так и должен работать подход «безопасность по умолчанию»: угрозы выявляются в прототипе, устраняются сразу, и это позволяет укрепить систему до начала развёртывания. В штабе назвали ситуацию положительным примером того, как проект должен эволюционировать.
NGC2 — главная технологическая инициатива армии, призванная заменить устаревшие командные сети на программно-определяемую архитектуру, обеспечивающую единый доступ к данным и управление подразделениями в реальном времени. Разработка ведётся как «чистый лист» — с нуля, без использования старых решений. В июле армия выделила около 100 миллионов долларов компании Anduril и группе подрядчиков на создание прототипа для 4-й пехотной дивизии, который будет испытан на мероприятии Project Convergence Capstone 6 летом. Система станет частью масштабной цифровой трансформации вооружённых сил.
Меморандум Киулли появился за 10 дней до первой демонстрации Ivy Sting и перечислял широкий набор угроз. Среди них — отсутствие разграничения прав доступа, неподтверждённый и потенциально уязвимый код сторонних приложений, слабая система управления и контроль за потоками данных. Документ утверждал, что система работает с известными, но не устранёнными уязвимостями и не имеет назначенного ответственного за операционную безопасность. В нём также отмечалось, что платформа напоминает «чёрный ящик», где невозможно отследить, какие пользователи и какие действия совершают внутри сети.
Особое внимание уделялось отсутствию механизма Role-Based Access Control, из-за чего любой получивший доступ пользователь мог видеть и изменять всю информацию. Это противоречит принципам Zero Trust, принятым в Пентагоне. Также указывалось, что используемый облачный сервис Palantir Federal Cloud не проходил оценку и не имел официального допуска к эксплуатации, а приложения не проходили базовое сканирование на уязвимости .
Тем не менее уже к середине сентября, по словам Гарсиги, NGC2 успешно прошла проверку на первом этапе Ivy Sting. Испытания показали, что новые процедуры кибербезопасности позволили выявить и устранить все слабые места без сдвига сроков. Представитель армии отметил, что NGC2 станет частью «перестройки поколений» всей архитектуры управления войсками, а выявленные проблемы лишь подтвердили эффективность новой модели защиты, нацеленной на раннее обнаружение и мгновенную реакцию на риски.