Título: Análise e Harmonização de Padrões de Segurança para Sistemas Ciberfísicos: Uma Proposta para Geração e Validação de uma Base de Segurança Mínima
Comissão Examinadora - Titulares
Profa. Dra. Regina Lucia de Oliveira Moraes (Presidente) - FT/Unicamp
Profa. Dra. Maria de Fátima Mattiello Francisco - INPE
Prof. Dr. Ricardo Ferreira Vilela - FT/Unicamp
Suplentes
Profa. Dra. Naghmeh Ivaki - UC
Prof. Dr. João Roberto Bertini Júnior - FT/Unicamp
Local - Sala de Defesa (Prédio da Pós-Graduação da FT) | https://stream.meet.google.com/stream/4ad59bb1-8a74-453d-853c-b9bdfd81004f
Resumo: Atualmente, os sistemas de informação são fundamentais para a vida humana. Alguns desses sistemas, chamados de Sistemas Ciberfísicos (CPS), interagem com o ambiente físico por meio da coleta de dados para auxiliar na execução de suas funções. Apesar de sua criticidade para a vida humana contemporânea, incidentes recentes e descobertas acadêmicas apontam para uma notável falta de preocupação com questões de segurança da informação no desenvolvimento desses sistemas. Essa falta de preocupação decorre de vários motivos, incluindo a dificuldade de se entender e implementar requisitos de segurança que deveriam ser identificados durante a fase de concepção do sistema, bem como aqueles impostos pelos padrões de segurança. Essa dificuldade pode levar a suposições desatualizadas, tal como a segurança por obscuridade. Muitos desses padrões carecem de clareza quanto à implementação de requisitos de nível de código e apresentam até ambiguidades em sua interpretação, tornando seu entendimento subjetivo para as equipes de engenharia. Além disso, tal como em outros tipos de sistemas, há uma falta de sinergia entre as equipes de engenharia de software e de hardware de CPS, o que impacta a conformidade aos padrões estabelecidos. Os CPSs também estão amplamente presentes no setor espacial, onde satélites desempenham papéis essenciais na sociedade moderna, especialmente em telecomunicações, posicionamento global e observação da Terra. Considerando estes cenários, a presente pesquisa propõe um método para condensar e harmonizar requisitos de segurança, gerando uma Referência Mínima de Segurança (em inglês Minimum Security Baseline – MSB) para o desenvolvimento de CPS. Foram utilizados como estudo de caso os requisitos da missão do modelo CubeSat NanoSatC-Br2, desenvolvido pelo Instituto Nacional de Pesquisas Espaciais (INPE) em conjunto com outras instituições de ensino. A MSB pretende resolver questões de sobreposição, interseção e ambiguidade encontradas em padrões, tais como o NIST, ECSS e CCSDS, e foi construída com base no mapeamento e na análise semântica dos requisitos dentro dos padrões mencionados, usando o OWASP IoT Security Verification Standard (ISVS) como base ontológica para os termos de segurança. Complementarmente, algumas ameaças cibernéticas que poderiam potencialmente explorar o sistema analisado foram identificadas para compor um conjunto de modelagem de ameaças utilizando árvores de ataque. Essa modelagem serviu como insumo para o desenvolvimento de casos de teste para validar se os requisitos para a mitigação dessas ameaças foram previstos na MSB proposta. Uma aplicação prática foi feita com suporte de um simulador do nanosatélite em questão para ajudar a entender se os requisitos mínimos são suficientes para mitigar as principais ameaças nesse contexto. A MSB, a modelagem de ameaças e os casos de teste foram fornecidos ao INPE para serem incluídos no ciclo de vida de desenvolvimento de CPS espaciais. Como resultados, temos a MSB desenvolvida que deverá facilitar a implementação pelos engenheiros de sistemas embarcados, que terão um documento único a seguir. Além disso, os casos de teste propostos, se suficientes e apropriados, servirão para validar o cumprimento dos requisitos de segurança durante o desenvolvimento. Alcançando esses resultados, a MSB pode vir a ser considerada como uma referência para o ciclo de vida de desenvolvimento de CPS espaciais no que diz respeito aos aspectos de segurança.