Los ingenieros deben preocuparse por diseñar para la privacidad y la seguridad. Sin embargo, hay varias razones por las que esto no es así.
En la publicación hermana de EEWeb, ElectronicProducts.com, la editora en jefe Gina Roos publicó recientemente un artículo bastante completo.Por qué los ingenieros deben comprender las leyes de privacidad de datos”, dijo la necesidad de considerar la seguridad digital y la ley de privacidad, que creció en los EE. UU. y está incorporada en la UE por el Reglamento General de Protección de Datos (GDPR). Ella hace un gran punto. Los ingenieros deben preocuparse por diseñar para la privacidad y la seguridad. Sin embargo, hay varias razones por las que este no es el caso (columna de Max Maxfield “Donde la seguridad y la privacidad se encuentran en el siglo XXI”).
Una es que a la industria de los medios electrónicos y digitales realmente no le importa y no trata de hacer lo mejor que puede. Las sanciones financieras impuestas por las agencias gubernamentales se consideran simplemente costos de hacer negocios. De hecho, tanto Google como Facebook están felices de ver el cumplimiento y las multas como una forma de mantener el dominio del mercado. GDPR asegura su supremacía.
Hay barreras para diseñar para la seguridad y la privacidad. (Fuente: pixabay.com)
Hay una cantidad absolutamente enorme de tecnología heredada y un deseo abrumador de protegerla. Recientemente entrevisté a Gil Bernabeu, Director Técnico de GlobalPlatforms. GlobalPlatforms es una organización internacional dedicada a mantener estándares mínimos de diseño para la seguridad de los componentes y sistemas de computadoras de escritorio y portátiles ( Escucha esta entrevista en Crucial Tech). Me quedé estupefacto al saber que esta organización existe desde la década de 1990, pero incluso con tanta veneración, solo 4 de las 10 principales empresas de semiconductores tienen miembros activos, participantes u observadores. Es solo una empresa. Samsung, Qualcomm y NXP son miembros de pleno derecho, Toshiba es miembro participante, pero Intel, TSMC, Broadcom, Hynix, Micron y Texas Instruments no son miembros.
Tener a Arm como miembro de pleno derecho es un buen comienzo a medida que la organización comienza a expandirse hacia las tecnologías de IoT, pero es un buen augurio para el futuro cuando la mayoría de la industria no admita los estándares mínimos de seguridad.
En segundo lugar, existen prejuicios profesionales en el mundo de la electrónica. Los ingenieros de hardware dicen que la seguridad es un problema de software. Un ingeniero de software dice que esto es un problema de hardware. Y todo el mundo culpa al marketing de todo. Así ha sido durante décadas. Siempre se discute la integración de diseños en silos, pero a los ingenieros no les gusta mezclar disciplinas. “La ciencia con descriptores delante no es ciencia”, me dijo un electricista la semana pasada. Se refería a la informática.
Finalmente, está la popularidad de los diseños de código abierto. En el lado positivo, es fácil encontrar código roto en productos de código abierto, y la gran cantidad de ese código facilita la ocultación de malware. Lamentablemente, ninguna empresa de código abierto ha firmado el estándar GlobalPlatform y muy pocas regulaciones se aplican a la tecnología.
Aquí es donde entra en juego el gobierno.
El artículo de Roos hace un buen trabajo al señalar que GDPR está tomando la delantera, y que ha habido regulaciones de orientación durante varios años que establecen objetivos para el diseño de seguridad/privacidad en el hardware. Sin embargo, estas regulaciones no son aplicables, al menos no todavía.
La Ley de Privacidad del Consumidor de California en realidad contiene lenguaje que da tal orden a todos los dispositivos electrónicos vendidos dentro del estado. Las multas por violar los convenios que entrarán en vigencia en 2020 podrían llevar a la bancarrota a muchas compañías de dispositivos, y hemos escuchado de los legisladores de California que los cabilderos ya están tratando de solucionar las ramificaciones.
Mientras tanto, el Congreso de los Estados Unidos ha sido relativamente agresivo, Control de respaldo manual para sistemas de red de EE. UU.Ya hemos visto a piratas informáticos rusos destruir la red eléctrica de Ucrania durante semanas, y los informes de ataques chinos y norcoreanos (todos sin éxito) en la red eléctrica de EE. UU. han sido comunes durante años. Es solo cuestión de tiempo antes de que tenga éxito. El uso de controles de respaldo analógicos que los humanos pueden usar puede llevar mucho tiempo y ser ineficiente, pero significa que solo se necesitan unas pocas horas para que el sistema vuelva a estar en línea.
La industria electrónica está preocupada con razón por la posibilidad de que legisladores ignorantes de la tecnología (una especie de paradoja) regulen el desarrollo de productos. El potencial para acabar con la rentabilidad y la innovación es enorme, pero la renuencia de la industria a hacer algo al respecto lo hace necesario.