Turvaluokitukset ovat yksi konkreettisimmista rajoituksista, jotka erottavat puolustusohjelmistokehityksen kaupallisesta ohjelmistotyöstä. Kaupallisessa ohjelmistoprojektissa toimittaja kokoaa käytettävissä olevan pätevimmän tiimin ja aloittaa työn. Luokitellussa puolustusohjelmassa tiimin koostumus on rajoitettu niiden henkilöiden mukaan, joilla on — tai jotka voivat hankkia — ohjelman luokitellun tiedon käyttöön vaadittavan luokitustason. Tämä rajoitus vaikuttaa rekrytoinnin odotusaikoihin, tiimin kokoon, kykyyn lisätä kapasiteettia kesken ohjelman ja sopimuksen kustannusrakenteeseen.

Luokitusten toimintatavan, organisaatiotason toimipaikkavaatimusten ja ohjelmien rakentamistavan ymmärtäminen luokitukseen liittyvän kitkaa minimoimiseksi on olennaista kaikille puolustusohjelmilla työskentelemään pyrkiville ohjelmistotoimittajille. Tämä artikkeli käsittelee luokitusmaisemaa ohjelmistokehitysorganisaation näkökulmasta, käytännöllisin ohjein siitä, mitä odottaa ja miten suunnitella.

Luokitustasot: NATO Secret, Cosmic Top Secret ja kansalliset vastaavuudet

Turvaluokituksia on sekä kansallisella että NATO-tasolla, ja nämä kaksi järjestelmää vuorovaikuttavat tietyillä tavoilla, jotka vaikuttavat kansainvälisiin puolustusohjelmiin.

Kansallisella tasolla useimmat NATO-jäsenmaat toimivat kolmi- tai neliportaisella luokitusjärjestelmällä: Confidential (tai vastaava), Secret ja Top Secret, joidenkin maiden lisätessä Special Compartmentalized Information (SCI) -kategorian Top Secretin yläpuolelle. Nimet vaihtelevat maittain — Saksa käyttää VS-NfD, VS-Vertraulich, VS-Geheim ja VS-Streng Geheim; Iso-Britannia käyttää Official, Official-Sensitive, Secret ja Top Secret. Henkilöturvaluokitukset vastaavat näitä tasoja: Secret-luokitus myöntää pääsyn Secret-luokiteltuun tietoon mutta ei Top Secretiin.

NATO toimii omalla luokitusjärjestelmällään: NATO Restricted, NATO Confidential, NATO Secret ja Cosmic Top Secret (CTS). Termi "Cosmic" ei ole merkki tavanomaisesta korkeammasta kuin top secret -tasosta — se on koodisana, jota sovelletaan NATOn arkaluonteisimpaan luokitustasoon. NATO-jäsenvaltion kansallinen Top Secret -luokitus tunnustetaan yleensä NATO Secret -tiedon käyttöön; Cosmic Top Secretin käyttö vaatii erityistä NATO-tason tarkistusta. NATO-luokiteltu tieto on NATOn turvallisuuspolitiikan alaista riippumatta siitä, minkä maan henkilöstö sitä käyttää.

Kansainvälisillä ohjelmilla työskentelevien ohjelmistotoimittajien käytännön vaikutus on, että kansallisella Secret-tasolla luokitetut tiimin jäsenet saattavat pystyä käyttämään NATO Secret -materiaalia, mutta kansainvälinen tietojenvaihto on maiden välisten sopimusten ja kunkin asiakirjan luokitusmerkintöjen alaista. Älä oleta, että kansalliset luokitukset siirtyvät automaattisesti liittolaisten ohjelmiin tarkistamatta tiettyjä kahdenvälisiä tai monenvälisiä tietojenvaihtosopimuksia.

Ohjelmistokehittäjien vaatimukset: kansalaisuus, taustatarkistukset ja tarkistus

Ohjelmistokehittäjien henkilöturvaluokitukset noudattavat samaa prosessia kuin muut ammattiroolit puolustuskontekstissa. Vaatimukset vaihtelevat maittain, luokitustasottain ja ohjelmittain, mutta yhteiset elementit ovat johdonmukaiset.

Kansalaisuus. Useimmat maat vaativat, että Secret tai korkeampaa luokitusta pitävä henkilöstö on myöntävän valtion kansalaisia. Kaksoiskansalaisille saatetaan tehdä tarkempaa tarkastusta. Ulkomaalaiset ovat yleensä esteettömiä kansallisille turvaluokituksille, rajoitetuilla poikkeuksilla erityisissä olosuhteissa (tyypillisesti liittolaisille yhteisesti rahoitetuilla ohjelmilla kahdenvälisten sopimusten mukaisesti). Tällä on välittömiä seurauksia kansainvälisillä kehitystiimeillä oleville ohjelmistotoimittajille: tiimin jäsenet, jotka eivät ole asianomaisen maan kansalaisia, eivät voi pitää maan luokituksia eivätkä käyttää luokiteltua tietoa näillä tasoilla.

Taustatutkimus. Secret-luokituksen tarkistusprosessi sisältää tyypillisesti taustatutkimuksen, joka kattaa työ-, asuin-, talous- ja rikosrekisterin, ulkomaiset kontaktit ja matkat sekä luonteenviittaukset. Tutkimuksen syvyys ja laajuus kasvaa luokitustason myötä — Top Secret -tutkimus on huomattavasti laajempi kuin Secret-tutkimus. Tutkimuksen tekee kansallinen tarkistusvirasto (esim. Iso-Britannian kansallinen turvaluokitusvirasto, Saksan GABV, Yhdysvaltain Defense Counterintelligence and Security Agency) ja se voi kestää kuukausia alkuperäisille luokituksille.

Jatkuva tarkistus. Myönnettyään luokitukset eivät ole pysyviä. Useimmat maat tekevät ajoittaisia uusintatutkimuksia — tyypillisesti viiden–seitsemän vuoden välein Secret-tasolle, useammin korkeammilla tasoilla — ja luokitetulle henkilöstölle asetetaan raportointivelvoitteita merkittäville elämäntapahtumille (ulkomaanmatkat, taloudelliset muutokset, ulkomaiset kontaktit), jotka saattavat vaikuttaa heidän kelpoisuuteensa. Jo luokitettu henkilöstö on resurssi, josta ohjelmat kilpailevat; toimittajalla, jolla on ennakkoon luokitettu kehittäjäjoukko, on merkittävä etu ohjelman henkilöstöaikatauluissa.

Aikataulun todellisuus: Puolustussektorille uusien ohjelmistokehittäjien alkuperäiset luokitustutkimukset voivat kestää kuudesta kahdeksaantoista kuukauteen maasta, luokitustasosta ja tarkistusviraston nykyisestä tapausmäärästä riippuen. Ohjelmat, jotka vaativat luokitettuja kehittäjiä eivätkä ole budjetoineet tätä aikaa, kohtaavat henkilöstöviivästyksiä, jotka vaikuttavat aikatauluun ja kustannuksiin. Luokitusprosessiajan suunnittelu ei ole valinnaista — se on ohjelman johtamisen ennakkoedellytys.

Toimipaikan turvaluokitus: mitä organisaatiot tarvitsevat

Yksittäisten henkilöturvaluokitusten lisäksi luokitetuilla puolustusohjelmilla työskentelevien organisaatioiden on pidettävä Facility Security Clearance (FSC) — tai kansallinen vastaava — joka valtuuttaa organisaation itsensä vastaanottamaan, säilyttämään ja käsittelemään luokiteltua tietoa. FSC myönnetään organisaatiolle, ei yksittäisille työntekijöille, ja se luo puitteet, joissa yksittäiset luokitukset toimivat.

FSC:n hankkiminen vaatii osoittamaan, että organisaatio on luonut fyysiset turvatoimet, tietoturvavalvonnan ja hallintomenettelyt, joita tarvitaan luokiteltujen tietojen suojaamiseen asianmukaisella tasolla. Tähän sisältyy: hyväksyttyjä turvatiloja (luokitellut kokoukset, turvallinen säilytys luokitelluille asiakirjoille, asianmukaiset IT-järjestelmät luokiteltuun datan käsittelyyn); luokitettu Facility Security Officer (FSO), joka vastaa turvallisuusohjelman hallinnosta; henkilöturvaluokitusmenettelyjä palkkaamista, tarkistusta ja luokitettujen työntekijöiden hallintaa varten; ja asianmukaisen kansallisen turvallisuusstandardin noudattaminen (esim. NISPOM Yhdysvalloissa, DEF STAN 05-138 Iso-Britanniassa).

FSC:n on oltava asianmukaisella tasolla suoritettavaa työtä varten. Toimittaja, jolla on Secret FSC, ei voi hyväksyä sopimuksia, jotka vaativat Top Secret -työtä ilman FSC:n päivittämistä. FSC:n päivitykset vaativat kansallisen turvaviranomaisen tarkastuksen ja ne on saatettava päätökseen ennen luokitellun työn aloittamista. Organisaatioiden, jotka ensimmäistä kertaa astuvat puolustusmarkkinoille, tulisi arvioida, minkä FSC-tason heidän tavoiteohjelmansa vaativat, ja aloittaa FSC-prosessi varhain — se on tyypillisesti sopimuksenteon ennakkoedellytys, ei sopimuksen jälkeinen toimenpide.

Vaihtoehdot: hallittu salaamaton tieto vs. luokiteltu

Kaikki puolustuksen ohjelmistotyö ei vaadi turvaluokituksia, ja luokiteltujen ja luokittelemattomien töiden välisen rajan ymmärtäminen on tärkeää ohjelman suunnittelulle ja toimittajille, jotka arvioivat, mitkä ohjelmat ovat heille saavutettavissa ilman turvaluokitusohjelmien lisäkustannuksia.

Monet puolustusohjelmat toimivat hallitun salaamattoman tiedon (CUI) kanssa — tietoa, joka vaatii suojaa mutta ei nouse luokiteltuun tietoon. Yhdysvaltain kontekstissa CUI:ta säätelee National Archives CUI Registry ja NIST SP 800-171, joka määrää tietoturvavaatimukset organisaatioille, jotka käsittelevät CUI:ta muissa kuin liittovaltio-järjestelmissä. Iso-Britanniassa vastaava kategoria on Official-Sensitive. CUI/Official-Sensitive-työ vaatii organisatorista vaatimustenmukaisuutta asiaankuuluvien turvallisuusstandardien kanssa, mutta ei tyypillisesti vaadi henkilöturvaluokituksia.

Ohjelma-arkkitehtuuripäätökset voivat joskus vähentää tai poistaa luokitusvaatimuksia erottamalla luokitellut komponentit luokittelemattomista. Järjestelmä, jossa operatiivinen suunnitteludata on luokiteltua mutta logistiikan hallintaohjelmisto on luokittelematonta, voidaan arkkitehturoida niin, että luokittelemattomat kehittäjät voivat työskennellä logistiikkakomponentin parissa, kun luokitetut kehittäjät käsittelevät operatiivista suunnittelukomponenttia — edellyttäen, että asianmukaista tietojen erottelua ylläpidetään. Tämä osiointimenetelmä vaatii harkittuja arkkitehtuuripäätöksiä ohjelman alkuvaiheessa ja jatkuvaa valvontaa, mutta se voi merkittävästi vähentää luokitetun henkilöstön vaatimusta ja siten luokitusprosessointiin liittyvää kustannus- ja aikataululuvun riskiä.

Toimittajat, jotka eivät pysty hankkimaan luokituksia (tiimin kansalaisuuden, FSC-rajoitusten tai aikataulurajoitusten vuoksi), eivät saa yrittää ohjelmia, jotka niitä vaativat — turvallisuusvikamoodit ovat vakavia ja luokitusrikkomusten sääntelyoikeudelliset ja sopimusoikeudelliset seuraukset ovat ankaria. Parempi lähestymistapa on olla rehellinen luokituskyvyistä liiketoiminnan kehittämisvaiheen aikana ja kohdistaa ohjelmat, jotka sopivat organisaation luokitetulle työvoimalle, samalla rakentaen kohti korkeampia luokitustasoja rinnakkaisesti.