Foundries.io ha revelado sus perspectivas de mercado para el resto de la década, pronosticando que la regulación gubernamental y el riesgo de pérdida de cuota de mercado impulsarán a los fabricantes de dispositivos embebidos a adoptar nuevas prácticas rigurosas, garantizando la seguridad de extremo a extremo para la vida de todos los productos.
Las nuevas perspectivas llegan cuando Foundries.io celebra el sexto aniversario de su fundación en octubre de 2017, una época en la que las preocupaciones de ciberseguridad se limitaban principalmente a las plataformas de computación en la nube, y las prácticas de desarrollo de aplicaciones integradas prestaban poca atención a la necesidad de mantenimiento y seguridad continuos.
Hoy en día, el desarrollo de aplicaciones nativas de la nube y los casos de uso de IA obligan a los desarrolladores integrados a tomarse la ciberseguridad mucho más en serio. De cara a los próximos seis años hasta el final de la década, Foundries.io espera que los fabricantes de equipos originales de dispositivos integrados se enfrenten a un número cada vez mayor de amenazas a la seguridad. Este entorno más hostil se verá avivado por las tensiones geopolíticas y los conflictos con Estados que utilizan la ciberseguridad como arma militar y política. El panorama de la seguridad también se ve dificultado por la aparición de herramientas de software basadas en IA que pueden utilizarse para generar y modificar nuevas formas de malware a gran velocidad.
Al mismo tiempo, según el equipo directivo de Foundries.io, el creciente uso de paquetes de software de código abierto (OSS) de procedencia incierta ofrece a los ciberatacantes nuevas vías para sembrar vulnerabilidades en productos embebidos desprotegidos.
Como respuesta, parece que va a entrar en vigor una oleada de legislación y normas de seguridad, entre las que se incluyen medidas ya anunciadas por los gobiernos de la UE y Estados Unidos: la Ley de Ciberresiliencia de la UE y la Estrategia Nacional de Ciberseguridad de la Casa Blanca y el Congreso. Al mismo tiempo, la preocupación de los consumidores por la privacidad y la creciente concienciación sobre los costes financieros y de reputación de las violaciones de la seguridad darán a los fabricantes de equipos originales un mayor incentivo para invertir tiempo y dinero en reforzar sus ciberdefensas.
Según las previsiones de Foundries.io, el sector de los dispositivos integrados estará muy motivado para implantar nuevas prácticas de desarrollo y gestión de dispositivos que den prioridad a la protección de la seguridad. Los nuevos flujos de trabajo implantados desde el inicio del desarrollo de prototipos permitirán funciones como la actualización over-the-air (OTA) sin fisuras, la generación y el mantenimiento automáticos de una lista de materiales de software (SBOM) específica para cada unidad de producción y la atestación verificada criptográficamente de las fuentes de todos los paquetes de software de terceros en un dispositivo.
George Grey, fundador y consejero delegado de Foundries.io, ha declarado: "La seguridad de los dispositivos es la cuestión que definirá el sector de la informática integrada en la década de 2020. Ya no somos fabricantes de productos que se envían y se olvidan: todos los productos integrados, en todas sus variantes, deben estar protegidos de forma continua durante toda su vida útil. El nuevo reto para los fabricantes de equipos es implantar un flujo de trabajo fluido que facilite la entrega e instalación de actualizaciones de seguridad a una flota heterogénea de dispositivos".
Y añade: "Los fabricantes de equipos originales también tendrán que implantar marcos de actualización y gestión de flotas que puedan hacer frente a amenazas nuevas y desconocidas, como el peligro que suponen los ordenadores cuánticos para los algoritmos criptográficos actuales".
Las nuevas características en desarrollo en respuesta al análisis incluyen herramientas para atestiguar automáticamente la fuente de paquetes de software de código abierto, y una nueva opción empresarial para que los OEM posean un backend DevSecOps mantenido que incluya una actualización segura air-gap y una infraestructura OTA segura.
(Foundries.io)
