كيف يحافظ البنتاغون على أمن متجر تطبيقاته؟
تخوض شركات مثل جوجل وآبل في كل يوم معارك مستمرة لإبعاد التطبيقات الضارة عن متاجرها وعن هواتف مستخدميها، وبينما يجري ابعاد العديد من تلك البرمجيات الضارة قبل أن تتسبب في أي ضرر، فإن هناك عدد قليل من المتسللين الذين ينجحون في التسلل وينتهي بهم الأمر إلى زرع تطبيقاتهم ضمن المتجر، والتي يتم تحميلها من قبل آلاف المستهلكين، ومن المؤكد أنه لا يوجد أحد يريد حدوث مثل هذه الأخطاء، ولكن عندما يتعلق الأمر بمتجر تطبيقات وزارة الدفاع، فإن مثل هذه الأخطاء لا يمكن أن تحدث.
وكانت تلك هي المشكلة التي تواجه وكالة المخابرات الجغرافية الوطنية NGA عندما بدأت في إنشاء متجر تطبيقات مرن ولكن فائق الأمان في عام 2012، وتعتبر NGA بمثابة وكالة دعم قتالية تقوم في المقام الأول بتقييم ونشر المعلومات الجغرافية المكانية، وأرادت الوكالة تقديم تطبيقات حساسة وحيوية للمهام والمجموعات القتالية عبر وزارة الدفاع من خلال منصة تتمتع بأمان ومرونة المنتجات الدفاعية الحكومية، مع تقديم تجربة مستخدم مبسطة وحديثة مماثلة لمتاجر التطبيقات التجارية في كل مكان.
ويقول جويدي سافيل Joedy Saffel، رئيس الشعبة ومدير المصادر ضمن NGA، والذي عمل على متجر تطبيقات GEOINTمنذ البداية: “أدركنا أننا لا نعرف كل شيء عندما يتعلق الأمر بالتطبيقات، وأردنا أن نستخدم الابتكار الذي كان يحدث في القطاع التجاري، ولكن كيف نفعل ذلك بطريقة آمنة ؟ كيف نفعل ذلك من منظور تعاقدي ؟ وكيف نفعل ذلك بطريقة يثق بها الباعة غير التقليديون في التعامل مع الحكومة ؟ لقد كان الأمر بمثابة تحدي كبير”.
ويضيف جويدي أن المفتاح هو جعل المطورين يوافقون على تسليم التعليمات المصدرية لتطبيقاتهم لإجراء تحليل ومراجعة متعمقة، سواء كان التطبيق عبارة عن آلة حاسبة بسيطة للطيار لحساب الزمن والسرعة والمسافة أو أداة مصنفة على أنها سرية، حيث أن مشاركة التعليمات المصدرية تشكل مخاطرة كبيرة بالنسبة للمطورين، لأنها تعني وجوب وجود ثقة بالأطراف الثالثة فيما يتعلق بالملكية الفكرية التي بنوا أعمالهم عليها، ولكن سرعان ما أدركت وكالة NGA أن الوصول الكامل هو الطريقة الوحيدة التي يمكن لمشروعها أن يعمل بها.
ووفقًا لهذا الأمر فإن متجر تطبيقات GEOINT التابع لوكالة NGA يدير عمليات الحماية الأمنية وعمليات الفرز بطريقة لا يمكن أن تحققها أي منصة تجارية، حيث يمكنك تصفح المتجر بنفسك ومشاهدة العديد من تطبيقات الخرائط والطيران والتنبؤات الجوية ومشاركة الموقع وخدمات التنبيهات المتعلقة بالسفر المخصصة لأنظمة أندرويد وآي أو إس والويب وأجهزة حواسيب سطح المكتب، ولكن تشكل هذه الأقسام الأقسام العامة غير المصنفة على أنها سرية، حيث كان أحد الجوانب الهامة في تصميم المنصة هو بناء إمكانيات تحكم مجزئة، مما يسمح لموظفي وزارة الدفاع الذين لديهم مستويات وصول مختلفة أو احتياجات مختلفة الوصول إلى تطبيقات مختلفة.
ويقول بن فوستر Ben Foster، المدير التقني في NGA، وهو مدير المنتج لمتجر التطبيقات: “لقد أنشأنا متجر التطبيقات ليكون بيئة غير سرية تمامًا ومفتوح للجمهور، ولكن لديه أيضًا نظام إدارة للهوية يستخدم أسلوبًا فيدراليًا للمصادقة، وهو مرن بدرجة تكفي للتكامل مع أنظمة إدارة الهوية الأخرى عبر وزارة الدفاع، إذ في حال كان المستخدم طيارًا مروحيًا فإنه يشاهد ويحصل على تطبيقات مختلفة عن المستخدم الذي يعمل كمشغل تكتيكي في الجيش”.
كما يعمل هذا النظام أيضًا مع الاختلافات التسعيرية ضمن المنصة، إذ تتوفر بعض التطبيقات بشكل مجاني للجميع، في حين تتواجد بعض التطبيقات الذي ينبغي دفع ثمنها من خلال ميزانية إدارة معينة، ويتم ترخيص بعض التطبيقات من قبل NGA أو وكالة أخرى.
ويعتبر الجزء الأكثر أهمية من منظور الحكومة فيما يتعلق بمتجر تطبيقات GEOINT هو السرعة التي تستطيع بها NGA معالجة التطبيقات وتوفيرها ضمن المتجر، وبشكل عام، تستغرق عمليات الاستحواذ الحكومية عدة أشهر أو سنوات، وهي مشكلة واضحة عندما يتعلق الأمر بالبرمجيات المتطورة باستمرار، لذلك عملت NGA مع كبير موظفي المعلومات ومديرية تكنولوجيا المعلومات والفريق القانوني وشعبة الشؤون الدولية ومكتب التعاقد من أجل إنشاء عملية تدقيق مبسطة للتطبيقات، والتي تعتبر مقبولة بموجب لوائح الاستحواذ الفيدرالية.
كما تعاقدت الوكالة أيضًا مع شركة خاصة تدعى Engility، لإدارة بيئة الاستحواذ والتطوير بشكل مباشر وتخصيص التطبيقات المستقبلية وفقًا لمتطلبات NGA، وتؤدي هذه العملية، المعروفة باسم برنامج تزويد تطبيقات GEOINT المبتكر، أو IGAPP، على تقليل العقبات البيروقراطية وتوجيه المطورين الذين يرغبون في تقديم تطبيقات متماشية مع تطبيقات متجر NGA.
ويقول جويدي سافيل: “ما ركزنا عليه في وقت مبكر هو توفير الأدوات بحيث يمكن للمطورين إحضار التطبيق الخاص بهم والقيام بالكثير من الاختبارات المسبقة والتطويرات مع Engility، ونحن قادرون على التحلي بالمرونة اللازمة، ولدى NGA مجلس إدارة يجتمع كل أسبوع، بحيث عند وصول التطبيق إلى NGA فإن بإمكاننا مراجعته وضمه إلى متجر التطبيقات وجعله متوفرًا خلال أسبوعين”.
وبالرغم من أن العملية قد تكون أسرع إذا كانت NGA لا تتطلب سوى الحد الأدنى من التدقيق المطلوب، إلا أن جويدي سافيل يقول إن فريق GEOINT عمل على إيجاد توازن حيث يتم توفير التطبيقات بسرعة، ولكن لا يزال هناك وقت لتحليل التعليمات البرمجية بشكل أوتوماتيكي وإجراء عمليات التدقيق البشرية، والتي لا يمكن لمتاجر التطبيقات التجارية القيام بها.
وبعد قيام مطور التطبيق بإرساله، تقوم شركة Engility بإجراء تحليل مكثف للتعليمات البرمجية ومسح نقاط الضعف وإنتاج تقرير أولي حول النتائج، ويشير جون هولكومب John Holcomb، مدير برنامج IGAPP من Engility، إلى أن تقرير الثغرات الأولي يمكن أن يحتوي على ما يصل إلى 1000 عنصر يحتاج المطور إلى معالجتها، إنه أمر مرعب في البداية، ولكننا نتابع المطور أثناء عملية تعديل التعليمات البرمجية، ولا نقوم بهذا العمل بدلًا عنهم، بحيث تصل هذه البرمجيات بحلول الوقت المناسب إلى المستوى الذي تحتاجه الحكومة”.
وتختبر عملية IGAPP كيفية عمل التطبيقات على أرض الواقع للتأكد من عدم وجود أي أمور مخفية أو مشبوهة، وبعد الحصول على الموافقة على أحد التطبيقات لتضمينه في متجر GEOINT، يواصل المطورون العمل مع IGAPP على تطوير تحديثات البرامج والتحقق منها حتى يمكن إصدار التصحيحات والتحسينات بسرعة.
وتوقع شركة Engility اتفاقيات عدم الإفصاح مع مطوري البرامج، ويقول المطورون إنهم يستفيدون من عملية IGAPP من خلال تأمين عقود حكومية مربحة وعن طريق دمج التحسينات في منتجاتهم التجارية، حيث تعتبر عمليات تدقيق التعليمات البرمجية والتدقيق الأمني للعروض المقدمة من IGAPP مرتفعة التكلفة، لذلك لا يقوم المطورون بشكل عام بإجراء مثل هذا التقييم الشامل بمفردهم.
ويوضح بيل ديويز Bill DeWeese، الرئيس التنفيذي لشركة Aviation Mobile Apps: “يتمثل حلم الجميع في أن تتمكن من بيع منتجك إلى الحكومة، ولكن الأمر يستغرق عادًة سنوات من الجهد للوصول إلى موقع يمكنك من خلاله بيع هذه المنتجات إلى الحكومة، وفي حالتنا، تمكنا من البيع للحكومة في أقل من شهر، حيث تم قبول 6 تطبيقات تابعة لنا ضمن متجر GEOINT، واستفدنا من زيادة جودة المنتجات بدون تكلفة، مع الحصول على تحليل مجاني يمكن وضعه ضمن العروض التجارية الخاصة بالمنتجات”.
ويعتبر مجلس إدارة NGA، والذي يقيم التطبيقات، حريص على عدم دخول أي شيء إلى المتجر عن طريق الصدفة، حيث يواصل المجلس الضغط على التطبيقات أو يوقفها عندما يتطلب الأمر ذلك، ولكن العملية قد نضجت بحيث أن معظم ما يراه المجلس في هذه الأيام جاهز لبدء التشغيل، مع تسهيل الأمر على المطورين لإصدار إصلاحات للأخطاء وتحسينات على مدار عمر التطبيق.
ويقول جويدي سافيل: “إن NGA هي وكالة دعم قتالية فريدة من نوعها، ومع وجود متجر تطبيقات GEOINT، فقد اخترنا الخوض في حدود جديدة محفوفة بالمخاطر بالنسبة لوزارة الدفاع والحكومة بشكل عام، ولكن أعتقد أننا أثبتنا أنه يمكننا القيام بالأشياء بشكل مختلف، وما زلنا آمنين ومسيطرين على إمكانية الوصول”، وأضاف: “نحن ندعم الكثير من مجموعات المهام المختلفة وأتوقع أن يستمر متجر التطبيقات في النمو”.