Avaliação de segurança cibernética no desenvolvimento de software embarcado automotivo: uma abordagem ontológica

Abstract

A cibersegurança de dispositivos IoT (Internet of Things) é uma questão que preocupa desenvolvedores de software e deve ser avaliada durante todo o ciclo de vida do dispositivo para reduzir ameaças e riscos. Um dos mais importantes aspectos da IoT é a própria heterogeneidade das soluções de suas conexões com a internet e as ameaças a que estes sistemas estão expostos. Portanto, proteções em cibersegurança ganham destaque tanto no âmbito dos sistemas legados como dos novos sistemas. CPS (Cyber-physical systems) utilizam sensores e atuadores como forma de controlar sistemas do mundo real e trouxeram novos desafios para a IoT. Ataques cibernéticos contra estes dispositivos podem trazer severos danos quando os CPS estão integrados às redes de comunicação e à Internet. Neste contexto, a exemplo do automóvel que emprega CPS para controle de elementos do veículo, uma ameaça cibernética a esses dispositivos pode ter como consequência desde uma parada do veículo até a perda do controle da direção. O ciclo de vida de um CPS automotivo é de algumas dezenas de anos, o que significa que estes dispositivos devem resistir às ameaças cibernéticas atuais e também ser suficientemente flexíveis para se adaptar e evoluir ao longo dos anos, oferecendo proteção contra os ataques cibernéticos durante todo o ciclo de vida. Nesse contexto, uma ontologia que expresse o conhecimento do domínio automotivo e da segurança cibernética aí envolvida pode suportar os desenvolvedores de softwares embarcados no processo de avaliação da cibersegurança de CPS. Este trabalho apresenta a utilização do framework da norma SAEJ3061 de avaliação em cibersegurança em softwares embarcados de CPS automotivos por meio de uma abordagem ontológica. O objetivo geral desta pesquisa foi investigar a eficácia da avaliação da cibersegurança por meio de uma ontologia. Nesse sentido, construímos uma ontologia de domínio voltada para cibersegurança (AutomotiveCyberSecurity), utilizando o método OntoforInfoScience. Durante o processo de desenvolvimento da ontologia, utilizamos o suporte e a validação dos especialistas em cibersegurança da FCA (Fiat Chrysler Automobiles). O resultado deste trabalho foi o maior aproveitamento do relatório de cibersegurança pelos desenvolvedores de CPS automotivo em razão de um maior entendimento sobre as ameaças e os ataques aos CPS.

Internet of Things (IoT) cybersecurity is a matter of concern to software developers and must be evaluated throughout the device lifecycle to reduce threats and risks. One of the most important aspects of IoT is the very heterogeneity of its Internet connection solutions and the threats to which these systems are exposed. Therefore, cybersecurity protections are highlighted in both legacy and new systems. CPS (Cyber-physical systems) use sensors and actuators as a way to control real world systems and have brought new challenges for IoT. Cyber-attacks against these devices can do severe damage when CPS is integrated with communication networks and the Internet. In this context, like the automobile, which employs CPS to control vehicle elements, a cyber threat to these devices can result in vehicle downtime and loss of steering control. Automotive CPS must endure approximately ten of years, meaning that these devices must withstand today’s cyber threats and also be flexible enough to adapt and evolve over the years, providing protection against cyber-attacks throughout the lifetime. In this context, an ontology that expresses knowledge of the automotive domain and the cybersecurity involved, can support embedded software developers in the cybersecurity assessment process. This work presents the use of the SAEJ3061 framework for cybersecurity assessment in automotive CPS embedded software through an ontological approach. The overall objective of this research is to improve the effectiveness of cybersecurity assessment supported by ontology. In this sense, we built a cybersecurity domain ontology (AutomotiveCyberSecurity) using the OntoforInfoScience method. During the ontology development process, we use the support and validation of FCA (Fiat Chrysler Automobiles) cybersecurity experts. The result of this work was the increased use of the cybersecurity report by embedded software developers due to a greater understanding of CPS threats and attacks.