Título: Análise e Harmonização de Padrões de Segurança para Sistemas Ciberfísicos: Uma Proposta para Geração e Validação de uma Base de Segurança Mínima
Comissão Examinadora - Titulares
Profa. Dra. Regina Lucia de Oliveira Moraes - (Presidente) - FT/Unicamp
Profa. Dra. Maria de Fátima Mattiello Francisco - INPE
Prof. Dr. João Roberto Bertini Júnior - Docente - FT/Unicamp
Suplentes
Prof. Dr. Naghmeh Ramezani Ivaki - UC
Prof. DR. Ulisses Martins Dias - Docente - FT/Unicamp
Local: Sala de Defesa (Prédio da Pós-Graduação da FT) | https://stream.meet.google.com/stream/4de099cc-8242-4185-9ba6-9c1103ebbc48
Resumo: Atualmente, os sistemas de informação são fundamentais para a vida humana. Alguns desses
sistemas, chamados de Sistemas Ciberfísicos (CPS), interagem com o ambiente físico por meio
da coleta de dados para auxiliar na execução de suas funções. Apesar de sua importância
crítica para a vida humana contemporânea, incidentes recentes de segurança e descobertas
acadêmicas apontam para uma notável falta de preocupação com questões de segurança da
informação no desenvolvimento desses sistemas.
Essa falta de preocupação decorre de vários motivos, incluindo a dificuldade de se
entender e implementar requisitos de segurança que deveriam ser impostos durante a fase de
elicitação, bem como aqueles impostos pelos padrões de segurança. Essa dificuldade pode
levar a suposições desatualizadas, tal como a segurança por obscuridade. Muitos desses
padrões carecem de clareza quanto à implementação de requisitos de nível de código e
apresentam até ambiguidades em sua interpretação, tornando seu entendimento subjetivo
para as equipes de engenharia.
Além disso, ao contrário de outros tipos de sistemas, há uma falta de sinergia entre as
equipes de engenharia de software e de hardware de CPS, o que impacta a conformidade aos
padrões estabelecidos. Assim, a presente pesquisa propõe um método para condensar e
harmonizar os requisitos de segurança, gerando uma Referência Mínima de Segurança (MSB)
para o desenvolvimento de CPS. A MSB pretende resolver questões de sobreposição,
interseção e ambiguidade encontradas em padrões, tais como o NIST, ECSS e CCSDS.
Os CPSs também estão amplamente presentes no setor espacial, onde satélites
desempenham papéis essenciais na sociedade moderna, especialmente em telecomunicações,
posicionamento global e observação da Terra. Dessa forma, utilizaremos como estudo de
caso os requisitos da missão do modelo CubeSat - CONASAT-0, desenvolvido pelo Instituto
Nacional de Pesquisas Espaciais (INPE). A MSB será construída através do mapeamento e da
análise semântica dos requisitos dentro dos padrões mencionados, usando o OWASP IoT
Security Verification Standard (ISVS) como base ontológica para os termos de segurança.
Complementarmente, as ameaças cibernéticas, que poderiam potencialmente explorar o
sistema analisado, serão identificadas para compor um processo de modelagem de ameaças
utilizando árvores de ataque. Essa modelagem de ameaças servirá como insumo para o
desenvolvimento de casos de teste, a fim de validar a presença dessas ameaças e a qualidade
dos requisitos descritos na MSB proposta. Além disso, ajudará a entender se esses requisitos
mínimos são suficientes para mitigar as principais tendências de ameaças. A MSB, a
modelagem de ameaças e os casos de teste serão fornecidos ao INPE para serem incluídos no
ciclo de vida de desenvolvimento de CPS espaciais.
Como resultados esperados, prevê-se que a MSB desenvolvida possa ser implementada
sem grandes dificuldades pelos engenheiros de sistemas embarcados, que terão um
documento único a seguir. Além disso, espera-se que os casos de teste propostos sejam
suficientes e apropriados para validar o cumprimento dos requisitos de segurança.
Alcançando esses resultados, a MSB poderia ser considerada como uma referência para o
ciclo de vida de desenvolvimento de CPS espaciais no que diz respeito aos aspectos de
segurança.