Achizițiile de software de apărare eșuează mai des în faza de evaluare a furnizorilor decât în orice altă fază a ciclului de achiziție. Nu pentru că ofițerilor de achiziții le lipsește diligența — ci pentru că cadrele de evaluare pe care le aplică au fost proiectate pentru IT comercial, unde riscurile sunt întreruperi de servicii, depășiri de costuri și probleme de integrare. Achizițiile de apărare adaugă o categorie de risc complet diferită: eșecuri de securitate cu consecințe operaționale, expunerea lanțului de aprovizionare la colectarea de informații adverse și lacune contractuale care se manifestă doar când sistemul este cel mai necesar.

Acest ghid oferă un cadru structurat de due diligence tehnic special conceput pentru evaluarea furnizorilor de software de apărare. Acoperă opt domenii de evaluare: de ce abordările comerciale eșuează, cum să evaluezi arhitectura tehnică, ce certificări de securitate contează cu adevărat, cerințele de escrow pentru codul sursă, evaluarea SLA și suportului pentru programe cu ciclu lung, verificarea referințelor clienților, structura PoC și drepturile contractuale asupra datelor.

De ce evaluarea comercială standard a furnizorilor eșuează pentru apărare

Cadrele comerciale de evaluare a furnizorilor au fost construite în jurul a patru dimensiuni de risc: furnizorul livrează funcționalitățile promise, la costul indicat, integrat în stiva existentă, cu disponibilitate acceptabilă? Acestea sunt riscuri reale — dar nu riscurile dominante în achizițiile de software de apărare. Conformitatea ITAR, cerințele de longevitate (15–20 ani de durată de viață operațională), continuitatea operațională în condiții adverse și acreditarea la nivelul de clasificare sunt dimensiuni de evaluare obligatorii pe care cadrele comerciale le ignoră sistematic.

Principiu cheie: Expunerea ITAR, continuitatea afacerii pe orizonturi de 15 ani, modelarea amenințărilor adverse și acreditarea la nivel de clasificare sunt porți de achiziție — nu elemente de risc post-atribuire. Evaluați-le înainte de a crea lista scurtă.

Revizuirea arhitecturii tehnice

Calitatea documentației arhitecturii este unul dintre cei mai fiabili indicatori timpurii ai disciplinei de inginerie a unui furnizor. Solicitați de la fiecare furnizor de pe lista scurtă: o diagramă de arhitectură a componentelor, o diagramă de arhitectură de implementare, documentație API, un Software Bill of Materials (SBOM) în format SPDX sau CycloneDX și Architecture Decision Records (ADRs).

Verificarea certificărilor de securitate

ISO 27001 certifică sistemul de management al securității informațiilor. SOC 2 Tip II evaluează controalele de securitate operaționale pe o perioadă de operare. Conformitatea ITAR nu este o certificare, ci o obligație legală: pentru programele cu cerințe de partajare în coaliție, este necesară o revizuire juridică independentă. AQAP-2110 NATO este standardul NATO pentru managementul calității software, necesar la livrarea software în cadrul unui program NATO.

Escrow-ul codului sursă și continuitatea afacerii

Escrow-ul codului sursă este un aranjament contractual în care furnizorul depozitează codul sursă, scripturile de compilare, suitele de testare și documentația la un agent terț neutru. Pentru programele de apărare cu o durată de viață operațională de 15–20 ani, acesta este un mecanism de continuitate a afacerii. Specificați în contract: scopul depozitului, frecvența actualizărilor, condițiile de declanșare, verificarea reproductibilității compilării și un agent de escrow acreditat.

Evaluarea suportului și SLA

Evaluarea SLA pentru programele de apărare trebuie să acopere patru dimensiuni: angajamentele privind timpul de răspuns pe nivel de severitate (P1 în ore, nu zile), frecvența patch-urilor de securitate, durata ferestrei de suport pe termen lung (sistemele militare necesită minimum 10–15 ani) și capacitatea echipei de suport în situații de criză.

Verificarea referințelor clienților

Listele de referințe furnizate de furnizor sunt un punct de plecare, nu un punct final. Contactați direct managerul de program sau liderul tehnic din organizația de referință. Puneți întrebări operaționale: ce a eșuat în timpul implementării? Ce a durat mai mult decât a promis furnizorul? Ați alege din nou acest furnizor? Prioritizați referințele cu cazuri de utilizare similare și niveluri de clasificare comparabile.

Structura pilotului și PoC

Un PoC defensibil necesită: criterii de succes măsurabile convenite în prealabil, un mediu de testare realist care reflectă constrângerile operaționale, o rubrică de punctare, o echipă de evaluare neutră separată de factorii de decizie pentru achiziții și un protocol de documentare a eșecurilor.

Considerații contractuale: PI, drepturi asupra datelor și conformitate ITAR

Clauze contractuale critice: dreptul de proprietate intelectuală pentru software-ul dezvoltat cu fonduri guvernamentale, drepturi de modificare fără aprobarea furnizorului, drepturi asupra datelor operaționale și produselor de informații derivate, obligații de conformitate ITAR în lanțul de subcontractori și prevederi de ieșire și tranziție.

Concluzie: Evaluarea furnizorilor de software de apărare nu este o versiune mai amănunțită a evaluării comerciale IT. Este o evaluare diferită bazată pe un model de risc diferit. Acest ghid oferă cadrul adecvat.