Растущее значение критически важного для безопасности программного обеспечения в IoT

Интернет вещей вводит новые, иногда неожиданные, меры безопасности риски.

Разумеется, критически важные для безопасности приложения десятилетиями полагались на программное обеспечение. Например, в программе полета «Аполлона», запущенной Джоном Ф. Кеннеди в 1961 году, использовалось бортовое программное обеспечение. Но распространение подключенных устройств в промышленных средах позволило создать мир, в котором программное обеспечение запускает основные процессы в реактивных самолетах, химических и атомных заводах, в зданиях и системах сигнализации общественной безопасности, а также в беспилотных автомобилях.

Как правило, тема кибербезопасности отодвигает на второй план вопросы качества программного обеспечения. «Я думаю, что мир программного обеспечения проснулся с точки зрения безопасности. Я не думаю, что они еще осознали ограничения безопасности », - сказала Кейт Стюарт, старший директор по стратегическим программам Linux Foundation и финалист премии« Мировой лидер года в области Интернета вещей ».

[ Мир Интернета вещей - крупнейшее в Северной Америке мероприятие в области Интернета вещей, на котором стратеги, технологи и специалисты по внедрению объединяются, чтобы задействовать Интернет вещей, искусственный интеллект, 5G и периферию в различных отраслевых вертикалях. Забронируйте билет сейчас. ]

Когда дело доходит до Интернета вещей и размытия цифрового и физического миров, которые могут изменить операционную эффективность и функциональность устройств, от медицинских устройств до военного оборудования. Но инновации также подпитывают конфликт парадигм разработки программного обеспечения, как писал эксперт по кибербезопасности Брюс Шнайер в статье «Щелкните здесь, чтобы убить всех:безопасность и выживание в мире с гиперсвязью».

С одной стороны, парадигма гибкой разработки программного обеспечения ставит во главу угла скорость и адаптируемость. С другой стороны, медленная методология разработки программного обеспечения, применяемая в аэрокосмической, промышленной, медицинской и медицинской областях. «Это мир тщательного тестирования, сертификатов безопасности и лицензированных инженеров», - написал Шнайер.

В Linux Foundation одним из основных направлений деятельности Стюарта является проект Zephyr, который разработал операционную систему реального времени. в котором приоритет отдается безопасности и защищенности устройств с ограниченными ресурсами.

«В Интернете вещей люди фокусируют свое внимание на том, что им удобно, - сказал Стюарт. «Я сосредотачиваюсь на стороне глубоких встраиваний и безопасном и надежном сборе данных». Последнее предполагает сотрудничество со специалистами по безопасности, которые традиционно не ориентированы на программное обеспечение. «Многие формулировки существующих стандартов в области безопасности написаны 20–30 лет назад», - сказала она. А элементы, относящиеся к программному обеспечению, часто являются устаревшими, учитывая изменение методологии разработки программного обеспечения и увеличение объема кода с тех пор.

Одна из проблем - это иногда нечеткий вопрос о том, как обновление программного обеспечения может вызвать непредвиденные проблемы, связанные с безопасностью. Разработчики программного обеспечения, работающие в критически важной инфраструктуре, перед выпуском программного обеспечения проводят значительный анализ. «Когда вы делаете много обновлений безопасности для этого программного обеспечения, делает ли это недействительным ваш первоначальный анализ? Что вам нужно сделать, чтобы, применив ошибку или исправление безопасности, вы не усугубили ситуацию? У нас не обязательно сейчас есть лучшие инструменты для выяснения этого, - сказал Стюарт.

Еще одно препятствие - это традиционно закрытый характер стандартов безопасности. «Сейчас существует целый ряд стандартов [безопасности], на которые все обращают внимание, и интересная проблема с точки зрения открытого исходного кода заключается в том, что все эти стандарты закрыты», - сказал Стюарт. «Разработчики с открытым исходным кодом не обязательно хотят платить 3000 долларов за изучение стандартов».

По словам Стюарта, такие проблемы являются поводом для дальнейшего сотрудничества между экспертами в области безопасности, регулирования и программного обеспечения. «Прямо сейчас мы работаем с людьми, которые [специализируются на безопасности] и в различных органах сертификации, а также, возможно, над некоторыми нормативными актами, чтобы понять, что действительно важно, и как мы делаем безопасную разработку программного обеспечения практичной для всех».