3月15日訊 根據美國國防部五角大樓的科學顧問們所言，美國軍方的大部分武器系統沒有采取任何旨在保護其硬件組件免受網絡攻擊侵擾的措施，有相關證據證明，部分裝備中存在數字后門，一旦在這種狀態下實戰，敵方完全能夠令美方武器陷入癱瘓。

在最新公布的報告當中，美國國防科學委員會公布了由其網絡供應鏈任務小組整理出的研究結果，盡管報告結論認為確實存在風險，但出于資本成本的考量，由國防部自行建立并維護“代工設施”以制造微芯片恐怕不具備可行性。該委員會鄭重警告稱，目前的美軍武器系統可能已經被植入后門，意味著其很可能在實際作戰行動中無法正常發揮作用，甚至會引發更糟的后果。

這份報告指出，“對美國所高度依賴的武器系統進行檢查后發現，幾乎所有武器的開發、采購與使用方式都沒有配合能夠切實防止惡意組件植入的正式保護規劃”

報告作者同時強調稱，“通常系統配置在很長一段時間內不會變動”，那些存在安全漏洞的微電子元件或已被敵方勢力掌握的相關漏洞信息，或被利用。此類漏洞被利用來實施攻擊活動將造成嚴重危害，因為美國軍方人員很難將其與電氣或者機械性質的故障問題區分開來。

報告作者警告稱，“此次任務小組還觀察到了嘗試利用惡意植入攻擊關鍵性武器系統但最終失敗的實例。類似這種行為是否已經普遍存在尚且不知，但供應鏈中的假冒電子元件確實證明了這種攻擊的潛在可能性。”惡意植入行為在順利完成之后，“只能在系統啟動時才能夠被檢測到，并最終可能導致設計缺陷。”。“網絡供應鏈安全漏洞可通過系統的整個生命周期實現植入或者識別”，即在軍方所謂維護周期之內立足設計、構建與部署等步驟加以實施，且涵蓋武器系統日常維護與修理的全部階段。

大部分美軍武器系統器件老舊情況堪憂

微電子市場的迅猛發展，加之武器系統通常需要很長時間進行設計與構建，美國不得不承認武器系統中使用的組件中平均有70%已然過時，從原始制造商處獲得替換性零件也幾乎不可能。“這可能會迫使美國國防部從經銷商處購買來源不夠安全且產地更難以追蹤的組件”，即從經銷商灰色市場采購，當然這可能又會帶來其他的隱患。

報告作者指出，“采用相同微電子部件及嵌入式軟件的系統的使用周期越長，敵方就越可能獲得更多系統信息并植入、發現安全漏洞。這種漏洞的惡意植入與發現已經受到采購與維護供應鏈中各方的高度關注。”

目前，美國正在開發的武器系統本應在用于自我保護的安全規劃當中囊括這些威脅供應鏈，然而“保護計劃舉措的質量與重點皆不夠均衡”，其中不少舉措更傾向于考量對人員或者系統安全的保護，而非著眼于網絡安全漏洞。

即使是將網絡威脅納入其中，論文作者們仍發現“安全與信息系統管理員總在系統設計工作完成之后才著手解決安全問題”——這顯然有違安全最佳實踐指導。

另外，保護計劃舉措在采購階段之后往往即告中止，而事實上武器系統部署完成后其面臨的威脅急劇上升。論文作者們稱，“沒有證據表明在武器系統部署完成后，軍方會采取強有力的計劃以繼續實施保護工作，或者在系統持續使用的過程當中維護相關說明文檔。”