В промышленной сфере надежное программное обеспечение означает безопасность

Хотя многие корпорации пытаются завоевать доверие все более циничных public, ставки выше для промышленных организаций, которым приходится полагаться на различные типы программного обеспечения.

Проблемное программное обеспечение может привести к простоям в работе, потере интеллектуальной собственности и, в некоторых случаях, к опасным для жизни последствиям.

В последнее время наблюдается всплеск интереса к надежному программному обеспечению в отношении Интернета вещей (IoT) и качества программного обеспечения в целом. Судьба цифровой экономики зависит от «людей и организаций, доверяющих вычислительным технологиям». Но доверие стало «менее прочным», чем было в прошлом, как заключил Национальный институт стандартов и технологий в 2016 году.

В последние годы различные организации сделали надежное программное обеспечение центральным элементом своей миссии. Британская некоммерческая организация Trustworthy Software Foundation, основанная в 2016 году, продвигает передовой опыт в разработке программного обеспечения. В конце прошлого года Linux Foundation запустил проект Alvarium, инициативу по изучению механизмов поддержки доверия к разнородным системам, включая развертывание Интернета вещей и между различными заинтересованными сторонами. Консорциум Industrial Internet поддерживает концепцию надежности в промышленном IoT.

Результаты, которых следует избегать

По словам Боба Мартина, сопредседателя Целевой группы по обеспечению надежности программного обеспечения в Industrial Internet Consortium, который является соавтором официального документа организации «Лучшие практики обеспечения надежности программного обеспечения», ряд событий служит предупреждением о рисках полагаться на ненадежное промышленное программное обеспечение.

Например, в 2004 году из-за сбоя программного обеспечения в Южной Калифорнии была отключена инфраструктура управления воздушным движением и ее резервная система, сообщает L.A. Times. В результате ошибки 800 рейсов коммерческих авиакомпаний были отклонены после выхода из строя радио- и радиолокационного оборудования более трех часов.

Другие истории с аналогичной тематикой включают управляемый компьютером аппарат лучевой терапии, который привел к нескольким смертельным случаям в 1980-х годах, и отключение электроэнергии в Темпе, штат Аризона, в 2007 году в результате неправильной конфигурации инженером-продавцом.

«Настоящие системы были развернуты в сфере промышленного Интернета вещей с ошибками такого рода, которые вы не хотели бы иметь в своем резюме», - сказал Мартин.

Бурный рост возможностей подключения и новых приложений в промышленных условиях Интернета вещей увеличил количество профессионалов, создающих и закупающих программное обеспечение для критически важных процессов. «Люди, которые плохо знакомы с созданием систем с помощью программного обеспечения или пытаются сделать программное обеспечение устойчивым, возможно, не сталкивались с этими событиями в своем образовании», - сказал Мартин.

По словам Йоханнеса Бауэра, главного советника по безопасности, управления идентификацией и безопасности в UL, разнообразие систем и операционных сред, связанных с промышленными устройствами Интернета вещей, создает еще одну проблему, поскольку открывает возможность рисков, связанных с безопасностью или безопасностью. Это также усложняет процесс поиска ошибок в различных элементах обработки и коде, задействованном в одном проекте.

Создание общего языка доверия

В промышленной сфере надежность включает такие аспекты, как безопасность, надежность, конфиденциальность и отказоустойчивость. По данным Industrial Internet Consortium, надежное программное обеспечение может противостоять нарушениям окружающей среды, человеческим ошибкам, системным сбоям и кибератакам.

По словам Саймона Рикса, стратега по продуктам Irdeto, развертывание программного обеспечения, которому можно доверять, требует комплексного подхода, охватывающего весь процесс жизненного цикла программного обеспечения. «Вы должны внедрить безопасность на раннем этапе, и вы должны решить, как ее автоматизировать», - сказал Рикс, который также стал соавтором технического документа IIC.

Однако налаживание диалога между этими заинтересованными сторонами может оказаться сложной задачей. «Как заставить деловых людей говорить так, чтобы технические специалисты могли их понять, и как удержать технических специалистов от поспешного выполнения своей миссии по быстрой разработке продукта?» - спросила Рикс.

«Ключевым моментом является рассмотрение всего жизненного цикла, всех различных методологий разработки программного обеспечения и уверенности в том, что вы привлекаете как заинтересованные стороны бизнеса, так и операторов», - сказал Мартин. «Нужен ключ для перевода или Розеттский камень, чтобы разные стороны могли говорить о том, что им небезразлично, а другие за столом тоже могли видеть их точку зрения».

Платформы служат отправной точкой

Растущее число фреймворков вызывает доверие между различными заинтересованными сторонами, но формирование доверия к программному обеспечению остается сложной задачей. «Использование слова« доверие »настолько разнообразно, что это почти бесполезное понятие, за исключением того, что оно позволяет нам вести диалог», - сказал Мартин.

Внедрение средств управления для оптимизации безопасности и защиты промышленного программного обеспечения - важный первый шаг. Но процессы кибербезопасности необходимо постоянно проверять. «Меня беспокоит то, что вы можете все испортить», - сказал Честер Вишневски, главный научный сотрудник Sophos. «Например, я могу использовать [Advanced Encryption Standard], но я могу использовать его гораздо чаще, чем правильно». Вишневски проводит параллель с розничной торговлей. «Во многих магазинах, где есть считыватели чипов для кредитных карт, есть картон с надписью« Пожалуйста, проведите пальцем по экрану », - сказал он. "Считыватели чипов не означают, что обработка вашей кредитной карты безопасна, если вы на самом деле не используете [технологию, предназначенную для ограничения мошенничества]".

Еще одна ловушка - сначала сосредоточиться на развертывании безопасного программного обеспечения, но не думать о том, что оно устареет. «Мы различаем окончание поддержки и окончание использования. Тот факт, что первоначальный создатель может не поддерживать программное обеспечение, не означает, что оно превращается в соляной столб - его нельзя использовать », - сказал Мартин.

Как ни странно, тема программного обеспечения с истекшим сроком эксплуатации также подчеркивает важность сосредоточения внимания на вопросах безопасности с самого начала. «Если программное обеспечение критично для вас, включите его в свой контракт, чтобы получить права на источник», - посоветовал Мартин.

В конечном счете, понимание того, как программное обеспечение работает в реальном мире, требует долгосрочного внимания. «Это не волшебство. Он реагирует, взаимодействует и иногда его нужно заменить ».