La creciente importancia del software crítico para la seguridad en IoT

El Internet de las cosas presenta seguridad nueva, a veces inesperada riesgos.

Las aplicaciones críticas para la seguridad, por supuesto, se han basado en el software durante décadas. El programa de vuelo Apollo que John F. Kennedy lanzó en 1961, por ejemplo, utilizaba software de vuelo a bordo. Pero la proliferación de dispositivos conectados en entornos industriales ha permitido un mundo en el que el software ejecuta procesos centrales en jets, plantas químicas y nucleares, alarmas de seguridad pública y de edificios y automóviles autónomos.

Generalmente, el tema de la ciberseguridad eclipsa los problemas de calidad del software. “Creo que el mundo del software se ha despertado con la seguridad. No creo que se hayan dado cuenta todavía de las limitaciones de seguridad ", dijo Kate Stewart, directora senior de programas estratégicos de la Fundación Linux y finalista del premio IoT World Leader of the Year.

[ Mundo de IoT es el evento de IoT más grande de Norteamérica donde los estrategas, tecnólogos e implementadores se conectan, poniendo IoT, AI, 5G y la ventaja en acción en las verticales de la industria. Reserve su boleto ahora. ]

Cuando se trata de IoT y la difuminación de los mundos físico y digital que pueden transformar la eficiencia operativa y la funcionalidad de dispositivos que van desde dispositivos médicos hasta equipos militares. Pero la innovación también está impulsando un curso de colisión de paradigmas de desarrollo de software, como escribió el experto en ciberseguridad Bruce Schneier en "Haga clic aquí para matar a todos:seguridad y supervivencia en un mundo hiperconectado".

Por un lado, está el paradigma de desarrollo de software ágil que prioriza la velocidad y la adaptabilidad. Por otro lado, está la metodología de desarrollo de software de movimiento lento que se encuentra en los campos aeroespacial, industrial, médico y médico. "Este es el mundo de las pruebas rigurosas o las certificaciones de seguridad y los ingenieros con licencia", escribió Schneier.

En la Fundación Linux, una de las áreas de enfoque de Stewart es el Proyecto Zephyr, que desarrolló un sistema operativo en tiempo real que prioriza la seguridad y la protección de los dispositivos con recursos limitados.

"En Internet de las cosas, las personas enfocan su lente en aquello con lo que se sienten cómodos", dijo Stewart. "Me concentro en el lado profundo y en la recopilación de datos de forma segura". Esto último implica colaborar con expertos en seguridad que tradicionalmente no se centran en el software. “Gran parte del lenguaje en torno a los estándares existentes en el campo de la seguridad tiene entre 20 y 30 años”, dijo. Y los elementos relacionados con el software a menudo están desactualizados, dado el cambio en la metodología de desarrollo de software y los aumentos en el volumen de código desde entonces.

Un desafío es la pregunta, a veces confusa, de cómo una actualización de software puede causar problemas inesperados relacionados con la seguridad. Los desarrolladores de software que trabajan en infraestructura crítica realizan un análisis considerable antes de lanzar el software. “Cuando está haciendo muchas actualizaciones de seguridad para ese software, ¿invalida eso su análisis inicial? ¿Qué debe hacer para asegurarse de que, al aplicar un error o una corrección de seguridad, no empeorará las cosas? No necesariamente tenemos las mejores herramientas en este momento para resolver eso ", dijo Stewart.

Otro obstáculo es la naturaleza tradicionalmente cerrada de los estándares de seguridad. “Hay toda una serie de estándares [de seguridad] en este momento que todos buscan, y el desafío interesante desde una perspectiva de código abierto es que todos estos estándares están cerrados”, dijo Stewart. "Los desarrolladores de código abierto no necesariamente quieren pagar $ 3,000 para observar los estándares".

Estos desafíos brindan una razón para una mayor colaboración entre los expertos en seguridad, normativas y software, dijo Stewart. “Estamos trabajando en este momento con personas que [se especializan en seguridad] y en las diversas autoridades de certificación, así como también potencialmente con algunas de las regulaciones para comprender qué es realmente importante y cómo hacemos que el desarrollo de software seguro sea práctico para todos”.