Het groeiende belang van veiligheidskritieke software in IoT

Veiligheidskritieke toepassingen vertrouwen natuurlijk al tientallen jaren op software. Het in 1961 gelanceerde Apollo-vluchtprogramma John F. Kennedy maakte bijvoorbeeld gebruik van boordsoftware. Maar de wildgroei van aangesloten apparaten in industriële omgevingen heeft een wereld mogelijk gemaakt waarin software kernprocessen in jets, chemische en nucleaire installaties, alarmsystemen voor gebouwen en openbare veiligheid en zelfrijdende auto's uitvoert.

Over het algemeen overschaduwt het onderwerp cyberbeveiliging problemen met de softwarekwaliteit. “Ik denk dat de softwarewereld wakker is geworden met beveiliging. Ik denk dat ze nog niet wakker zijn geworden van veiligheidsbeperkingen', zegt Kate Stewart, senior directeur strategische programma's bij de Linux Foundation en finalist voor de IoT World Leader of the Year Award.

[ IoT World is het grootste IoT-evenement in Noord-Amerika waar strategen, technologen en uitvoerders verbinding maken, waardoor IoT, AI, 5G en edge in actie komen in verschillende branches. Boek nu je ticket. ]

Als het gaat om IoT en de vervaging van digitale en fysieke werelden die de operationele efficiëntie en functionaliteit van apparaten kunnen transformeren, variërend van medische apparaten tot militaire uitrusting. Maar innovatie zorgt ook voor een ramkoers van softwareontwikkelingsparadigma's, zoals cyberbeveiligingsexpert Bruce Schneier schreef in "Click Here to Kill Everybody:Security and Survival in a Hyper-connected World."

Aan de ene kant is er het agile softwareontwikkelingsparadigma dat prioriteit geeft aan snelheid en aanpassingsvermogen. Aan de andere kant is er de trage softwareontwikkelingsmethodologie die te vinden is in de ruimtevaart, de industriële, medische en medische sector. "Dit is de wereld van strenge tests of beveiligingscertificeringen en gelicentieerde ingenieurs", schreef Schneier.

Bij de Linux Foundation is een van Stewarts aandachtsgebieden het Zephyr-project, dat een realtime besturingssysteem heeft ontwikkeld dat prioriteit geeft aan veiligheid en beveiliging voor apparaten met beperkte middelen.

"In Internet of Things richten mensen hun lens op waar ze zich prettig bij voelen", zei Stewart. "Ik focus me op de diep ingebedde kant en het veilig verzamelen van gegevens." Bij dat laatste wordt samengewerkt met veiligheidsexperts die traditioneel niet gefocust zijn op software. "Veel van de taal rond de bestaande normen op het gebied van veiligheid is 20 tot 30 jaar oud", zei ze. En de elementen die verband houden met software zijn vaak verouderd, gezien de verandering in de softwareontwikkelingsmethodologie en de toename van het codevolume sindsdien.

Een uitdaging is de soms vage vraag hoe een software-update onverwachte veiligheidsproblemen kan veroorzaken. Softwareontwikkelaars die in kritieke infrastructuur werken, doen uitgebreide analyses voordat ze software vrijgeven. “Als je veel beveiligingsupdates aan die software doet, maakt dat dan je eerste analyse ongeldig? Wat moet u doen om ervoor te zorgen dat u de zaken niet erger maakt door een bug of beveiligingsoplossing toe te passen? We hebben op dit moment niet per se de beste tools om dat uit te zoeken, 'zei Stewart.

Een andere hindernis is het traditioneel gesloten karakter van beveiligingsstandaarden. "Er is op dit moment een hele reeks [veiligheids]normen waar iedereen naar kijkt, en de interessante uitdaging vanuit een open source-perspectief is dat deze normen allemaal gesloten zijn", zei Stewart. "Open source-ontwikkelaars willen niet per se $ 3.000 betalen om naar de normen te kijken."

Dergelijke uitdagingen vormen een reden voor verdere samenwerking tussen experts op het gebied van veiligheid, regelgeving en software, zei Stewart. "We werken nu samen met mensen die [gespecialiseerd zijn in veiligheid] en bij de verschillende certificeringsinstanties, evenals mogelijk enkele van de voorschriften om te begrijpen wat echt belangrijk is en hoe we veilige softwareontwikkeling praktisch maken voor iedereen."