A crescente importância do software crítico para a segurança na IoT

A Internet das coisas apresenta uma nova, às vezes inesperada, segurança riscos.

Os aplicativos essenciais para a segurança, é claro, dependem do software há décadas. O programa de voo Apollo John F. Kennedy, lançado em 1961, por exemplo, usava software de voo a bordo. Mas a proliferação de dispositivos conectados em ambientes industriais possibilitou um mundo no qual o software executa processos essenciais em jatos, usinas químicas e nucleares, alarmes de construção e de segurança pública e carros autônomos.

Geralmente, o tópico de segurança cibernética ofusca as questões de qualidade de software. “Acho que o mundo do software despertou para a segurança. Não acho que eles tenham acordado ainda para as restrições de segurança ”, disse Kate Stewart, diretora sênior de programas estratégicos da Linux Foundation e finalista do Prêmio Líder Mundial do Ano em IoT.

[ Mundo IoT é o maior evento de IoT da América do Norte, onde estrategistas, tecnólogos e implementadores se conectam, colocando IoT, IA, 5G e borda em ação em todos os setores da indústria. Reserve sua passagem agora. ]

Quando se trata de IoT e da confusão dos mundos digital e físico, isso pode transformar a eficiência operacional e a funcionalidade de dispositivos, desde dispositivos médicos a equipamentos militares. Mas a inovação também está alimentando uma rota de colisão de paradigmas de desenvolvimento de software, como escreveu o especialista em segurança cibernética Bruce Schneier em “Clique aqui para matar todos:segurança e sobrevivência em um mundo hiperconectado”.

Por um lado, existe o paradigma de desenvolvimento ágil de software que prioriza velocidade e adaptabilidade. Por outro lado, está a metodologia de desenvolvimento de software lenta encontrada nos campos aeroespacial, industrial, médico e médico. “Este é o mundo de testes rigorosos ou certificações de segurança e engenheiros licenciados”, escreveu Schneier.

Na Linux Foundation, uma das áreas de foco de Stewart é o Projeto Zephyr, que desenvolveu um sistema operacional em tempo real que prioriza a segurança e proteção para dispositivos com recursos limitados.

“Na Internet das Coisas, as pessoas focam suas lentes naquilo com que se sentem confortáveis”, disse Stewart. “Eu me concentro no lado profundamente incorporado e na coleta de dados com segurança.” O último envolve a colaboração com especialistas em segurança que não são tradicionalmente focados em software. “Grande parte da linguagem em torno dos padrões existentes na área de segurança é de 20 a 30 anos”, disse ela. E os elementos relacionados ao software costumam estar desatualizados, devido à mudança na metodologia de desenvolvimento de software e ao aumento no volume de código desde então.

Um desafio é a questão às vezes confusa de como uma atualização de software pode causar problemas inesperados relacionados à segurança. Os desenvolvedores de software que trabalham em infraestrutura crítica fazem uma análise considerável antes de lançar o software. “Quando você está fazendo muitas atualizações de segurança nesse software, isso invalida sua análise inicial? O que você precisa fazer para ter certeza de que, ao aplicar um bug ou uma correção de segurança, você não piorará as coisas? Não temos necessariamente as melhores ferramentas agora para descobrir isso ”, disse Stewart.

Outro obstáculo é a natureza tradicionalmente fechada dos padrões de segurança. “Há toda uma série de padrões [de segurança] agora que todos olham, e o desafio interessante de uma perspectiva de código aberto é que esses padrões estão todos fechados”, disse Stewart. “Os desenvolvedores de código aberto não querem necessariamente pagar US $ 3.000 para observar os padrões.”

Esses desafios fornecem um motivo para uma maior colaboração entre especialistas em segurança, regulamentação e software, disse Stewart. “No momento, estamos trabalhando com pessoas [especializadas em segurança] e nas várias autoridades de certificação, bem como potencialmente com alguns dos regulamentos para entender o que é realmente importante e como tornamos o desenvolvimento de software seguro prático para todos.”