Arduino Portenta X8 compatible con Cyber Resilience Act (CRA) de la UE

Isaac

5 minutos

Arduino Portenta X8

Foundries.io, en colaboración con Arduino, ha integrado su software de seguridad en la placa Arduino Portenta X8. De este modo, este módulo se ha convertido en el primer SoM (System on Module) que cumple con la normativa CRA de la Unión Europea. Todo un logro, y algo que permitirá la creación de muchos proyectos que necesiten ser compatibles con esta ley.

Como sabrás, la Arduino Portenta X8 es una placa de desarrollo como cualquier otra Arduino, pero que fue la primera en usar un procesador basado en Arm y capaz de ejecutar el sistema operativo GNU/Linux y con capacidades de expansión mediante complementos con los conocidos como HAT.

El Arduino Portenta X8 es una plataforma de desarrollo integral que combina hardware y software para facilitar la creación de soluciones IoT avanzadas. Equipado con un potente procesador Arm Cortex-A53 de 8 núcleos, el Portenta X8 ofrece un rendimiento excepcional. Su diseño modular permite la expansión con módulos adicionales, como el HAT Carrier Board, y su enfoque en la seguridad cibernética lo hace compatible con la Ley de Resiliencia Cibernética de la Unión Europea. Además, cuenta con funciones de seguridad avanzadas, como arranque seguro, entorno de ejecución de confianza y actualizaciones seguras por OTA, lo que lo convierte en una opción robusta para proyectos de IoT de alta gama.

¿Qué es CRA?

La Ley de Ciberresiliencia (CRA) tiene como objetivo proteger a consumidores y empresas que utilizan productos o software con componentes digitales al abordar preocupaciones sobre la seguridad cibernética. Se busca eliminar las deficiencias de seguridad al introducir requisitos obligatorios de ciberseguridad para fabricantes y minoristas. La ley aborda dos problemas principales:

  • La falta de ciberseguridad adecuada en muchos productos y la incapacidad de los usuarios para determinar la seguridad cibernética de los productos.
  • La CRA establecerá normas armonizadas, un marco de requisitos de ciberseguridad y obligaciones para todo el ciclo de vida de los productos.

Cuando entre en vigor, los productos llevarán el marcado CE para indicar conformidad con las nuevas normas, permitiendo a los consumidores tomar decisiones informadas sobre la ciberseguridad. Se aplicará a productos conectados a Internet, excluyendo casos específicos como software de código abierto. Se espera que entre en vigor a principios de 2024, con los fabricantes aplicando las normas 36 meses después. La Comisión revisará periódicamente la ley.

La nueva Normativa CRA de la UE especifica la seguridad mínima para todos los dispositivos IoT en Europa, incluyendo:

  • Establecer estándares para productos seguros con elementos digitales en toda la UE.
  • Exigir los fabricantes que se centren en la seguridad como una prioridad.
  • Aumentar la conciencia del usuario sobre la importancia de las características de ciberseguridad.
  • Exigir los Fabricantes de Equipos Originales (OEM) que aborden rápidamente las vulnerabilidades en los dispositivos ya en uso.

Los ciberataques han causado problemas costosos, afectando a empresas, gobiernos e individuos. Las pérdidas económicas resultantes de la interrupción de operaciones comerciales, robo de datos confidenciales, extorsiones y daños a la reputación empresarial son significativas. Además de los costos directos, los ciberataques también generan gastos adicionales para mejorar la seguridad cibernética, reparar sistemas afectados y abordar las consecuencias legales y reglamentarias. La sofisticación creciente de los ataques y la amplia variedad de objetivos subrayan la necesidad crítica de medidas efectivas para prevenir, detectar y mitigar las amenazas cibernéticas. Y esto es la CRA de EU…

Detalles de la Arduino Portenta X8 con CRA

Como he comentado, bajo las próximas regulaciones de la UE, todos los productos digitales deben cumplir con nuevos estándares de seguridad, excepto en categorías específicas como ciertos dispositivos médicos, equipos de aviación y vehículos motorizados. Dependiendo de sus niveles de riesgo, algunos productos requerirán una evaluación de seguridad independiente. Además, los Fabricantes de Equipos Originales (OEM) deben asegurarse de que estos productos superen estas evaluaciones de seguridad para su venta en los países dentro de la UE, y se supervisará el cumplimiento de esta Ley.

De este modo, Arduino Portenta X8 podrá estar certificada para productos etiquetados como «altamente críticos» que necesitan seguridad adicional. La UE estima que esta nueva norma podría ahorrar entre 180 y 290 mil millones de euros cada año al reducir los ciberataques, ya que éstos se han convertido en un serio problema para organizaciones y empresas, así como para usuarios particulares.

Para asegurar que el Arduino Portenta X8 cumple con CRA, tanto Foundries.io y Arduino han colaborado para implementar mejoras de seguridad en este SoM. Como sabrás, Foundries.io es una empresa que ofrece soluciones de desarrollo y implementación nativas de la nube para dispositivos seguros de IoT y Edge, y por ello es un buen aliado con Arduino para cumplir con estos estándares de seguridad europeos.

Gracias a esta colaboración, los usuarios del Arduino Portenta X8 pueden gestionar fácilmente la seguridad del dispositivo, la protección de datos y la gestión de software de manera eficiente en un entorno basado en la nube. También ofrecerá seguridad adicional contra todas las formas conocidas de ciberataques y malware, y garantizará respuestas rápidas a nuevas vulnerabilidades, permitiendo una rápida actualización del firmware para parchear estos riesgos.

La Arduino Portenta X8 ofrece un conjunto de funciones de seguridad proporcionadas por la plataforma Linux Micro y la plataforma FoundriesFactory, que incluyen:

  • Arranque seguro (Secure Boot)
  • Un entorno de ejecución de confianza
  • Gestión remota
  • Instalación de claves seguras
  • Autenticación en la nube
  • Actualizaciones seguras mediante OTA (Over-The-Air) compatibles con TUF
  • Una lista de materiales de software (SBOM) que se genera automáticamente después de cada actualización de software

Todo no son ventajas, ya que esta implementación supone de una complejidad para simplificar la interfaz de software de Foundries.io y de la herramienta conocida como X8 Board Manager, aunque en este sentido han realizado un buen trabajo, y la nueva interfaz es sencilla y compatible con Arduino IDE para los desarrolladores.

Fabio Violante, CEO de Arduino, dijo:

«Cuando implementamos dispositivos de borde basados en Linux, la seguridad no puede ser una reflexión posterior. Por eso diseñamos la Arduino Portenta X8 dándole la máxima prioridad a las funciones de seguridad, de principio a fin. Esto abarca desde el hardware y el firmware hasta la distribución de Linux y la gestión de dispositivos con la tecnología FoundriesFactory. Esto nos permitió cumplir naturalmente con la normativa CRA desde el principio».


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.