Seguridad de los datos en la nube

Recientemente, Endress+Hauser se convirtió en la primera empresa industrial en obtener la certificación StarAudit que otorga EuroCloud. Este certificado confirma que los servicios basados en la web cumplen con estándares de seguridad específicos y han sido validados en consecuencia, lo que significa una evaluación de calidad trazable de servicios en la nube a través de un proceso de certificación transparente y confiable. El objetivo es reforzar la confianza de clientes y usuarios en los servicios en la nube.

Endress+Hauser ha brindado una prioridad máxima a la seguridad de los datos durante el desarrollo de aplicaciones basadas en la nube. "Es interesante señalar que en las conversaciones con nuestros clientes, la segunda pregunta que casi siempre se nos plantea es acerca de los estándares de seguridad y las medidas para garantizarlos", señaló Thomas Schmidt, líder del proyecto StarAudit en Endress+Hauser. "Es por eso que decidimos llevar a cabo una amplia auditoría a través de un ente independiente".

Gracias a la aplicación web Analytics, desarrollada por Endress+ Hauser, es posible catalogar y analizar rápidamente todos los dispositivos de campo de una planta, incluso de terceros, lo que reduce considerablemente el tiempo que insume un inventario de la base instalada.

La aplicación reconoce puntos de medición críticos e indica posibilidades de estandarización. También muestra información adicional, por ejemplo productos de reemplazo adecuados.

La seguridad como prioridad impulsará la adopción de IIoT

En la evolución de IIoT (Industrial IoT), hay una verdad incuestionable: el crecimiento de las aplicaciones de IIoT dependerá del nivel de confianza en su seguridad.

El potencial de Industrial   IoT (IIoT) depende tan sólo de los límites de nuestra creatividad. Pero su materialización estará siempre ligada a la seguridad.

Hemos visto esta tendencia entre los primeros en adoptar IIoT en la industria de petróleo y gas, donde hay una marcada motivación por incorporar tecnología de redes y sensores inteligentes. Numerosas instalaciones de petróleo y gas, en especial plataformas offshore, se encuentran ubicadas en entornos que los norteamericanos llaman ‘4D’ (dirty, distant, dull and dangerous), lo que se traduce como sucio, distante, aburrido y peligroso. En estas áreas adversas, la automatización y una gestión remota pueden aumentar la eficiencia, mejorar el desempeño y aumentar la rentabilidad. Y lo más importante, mantener a la gente alejada de eventuales peligros.

Durante décadas, la industria ha estado utilizando principalmente redes cerradas privadas para controlar funciones críticas de planta, lo que conoce como OT (Operational Technology). Pero en los últimos años, las empresas de petróleo y gas han estado entre las primeras en explorar aplicaciones de IoT que ofrecen funciones de monitoreo y control de instalaciones más extensas, junto a un costo reducido y mayor flexibilidad. 

Dentro de este contexto, por definición, las aplicaciones de IIoT requieren mover datos de los sistemas OT existentes a la Internet. Hacerlo de una manera segura es de crucial importancia. 

Con 25 años de experiencia en sensores inteligentes, tecnologías inalámbricas y automatización digital, Emerson ofrece una amplia gama de soluciones OT conectadas en red para la industria de petróleo y gas. Y a medida que fue evolucionando hacia la IIoT de hoy en día, pudo comprobar una verdad incuestionable que ya mencionamos en el prólogo: el crecimiento de las aplicaciones de IIoT dependerá del nivel de confianza en su seguridad.

La seguridad de IIoT requiere poner foco en cuatro áreas que cubren la mayoría de las aplicaciones:

  • Sensores - Recolectan datos en forma remota;
  • Redes OT ‘primera milla’ (‘first mile’) in situ - Su función es convertir esos datos y conectarlos de manera segura a la Internet;
  • Software - Almacena y procesa los datos para generar conocimientos valiosos;
  • Gente - Diseña, gestiona y utiliza estas redes.

Al respecto, Emerson ha ampliado recientemente su ecosistema Plantweb para que la industria pueda abordar de manera segura estas cuatro áreas a medida que van adoptando IIoT a la hora de automatizar procesos y maximizar la eficiencia.

 

Sensores

Al haber dispositivos conectados que monitorean y controlan los procesos en toda la instalación de manufactura, es posible que se produzcan ataques para manipular los dispositivos en sistemas OT críticos que se encargan de controlar los procesos de planta, lo cual podría dañar gente, producción y el medio ambiente si se los usa equivocadamente.

Esta amenaza requiere una nueva manera de pensar acerca de la seguridad de los dispositivos. Un ejemplo es Emerson, que ofrece dispositivos y redes inalámbricas que miden y monitorean desde eficiencia energética y fugas de gases peligrosos hasta corrosión y necesidades de mantenimiento. Estos dispositivos y redes están diseñados con capacidades de seguridad siempre activas, incluyendo encriptado y gestión de claves. Este elevado nivel de seguridad los hace adecuados para sistemas OT críticos.

‘Primera Milla Segura’

El término ‘last mile’ (‘última milla’) fue empleado por primera vez en telecomunicaciones para referirse a las conexiones entre los usuarios individuales y la red central que lleva las comunicaciones por todo el mundo. En cambio, en IIoT, la referencia es a la exportación de datos desde las instalaciones individuales a una red de empresa más amplia, o sea ‘la primera milla’ de comunicación.

Estas conexiones de comunicación de la ‘primera milla’ deben permitir a las empresas conectar selectivamente datos OT altamente seguros con redes altamente seguras privadas o en la nube para análisis en tiempo real. Se busca garantizar que se envían sólo los datos deseados y sólo a los destinatarios designados de manera tal que no puedan ocurrir intrusiones dentro de los sistemas OT.

Una ‘primera milla’ segura garantiza una transmisión unidireccional de datos desde una red IIoT más amplia, lo que impide que se transmita información potencialmente maliciosa a los dispositivos y que afecte eventualmente la operación de una instalación. Se puede conseguir una ‘primera milla’ segura usando una infraestructura de red escalonada a la hora de conectar la red OT a la Internet. Las redes escalonadas brindan seguridad al proteger los distintos niveles con firewalls y aplicaciones especializadas. En algunas configuraciones, se puede inhabilitar por completo la comunicación entrante para impedir potenciales intrusiones.

Almacenamiento de datos y software

Un software de aplicaciones inteligente es clave para el análisis y la extracción de conocimientos que conlleven un valor de negocio. También se lo considera como una tercera área de seguridad en las implementaciones de IIoT. 

Hay dos modelos para correr un software de datos y aplicaciones en implementaciones de IIoT: uno interno, o sea un entorno computacional de empresa, y un entorno IoT de tercero. En el entorno de empresa, el departamento de informática interno puede tomar las medidas necesarias para salvaguardar el acceso a datos y aplicaciones.

Suele haber empresas que tercerizan, enviando afuera sus datos no críticos para análisis y comprensión. En este escenario, las empresas se enfrentan a temas relacionados con asegurar sus datos, derecho de propiedad, legislación local, quién tiene acceso, etc.

Muchos proveedores de aplicaciones (tales como Emerson) aprovechan entornos reconocidos de computación en nube, por ejemplo Microsoft Azure. Este enfoque tiene mucha aceptación ya que se basa en servicios ya probados que cumplen con las más estrictas certificaciones de seguridad y reglamentaciones locales.

 

Gente y políticas

La cuarta área de la seguridad de IIoT es el acceso físico a equipos y redes, lo que requiere políticas claras de seguridad que sean conocidas y comprendidas por todos quienes interactúan con los elementos de la red IoT.

El acceso a equipos y software debe estar limitado a quienes tengan una necesidad directa, mientras el acceso a las instalaciones donde está implementada IIoT debe ser estrictamente controlado para maximizar tanto la seguridad como el valor de los datos. Un acceso físico no autorizado a sensores y equipos puede llevar a un riesgo importante de seguridad como así también a la posibilidad de que se degraden datos valiosos. Incluso se puede llegar a una interrupción inadvertida de sensores o controles que afecte el desempeño.

La promesa de IIoT es innegable. Pero si no se presta la suficiente atención a la seguridad en estos primeros años, bastarán unas pocas brechas de seguridad con efectos perjudiciales para hundir drásticamente el entusiasmo por esta tecnología innovadora. Los proveedores de IIoT que ofrezcan soluciones seguras serán actores importantes en los meses y años por venir y podrán ayudar a las empresas a explorar los posibles confines creativos a alcanzar con IIoT.

 

Preparado en base a una presentación y charlas con Peter Zornio, director tecnológico de Emerson Automation Solutions.

¿Se puede usar la tecnología wireless para mejorar la seguridad de planta? La respuesta es un rotundo SI. Sin embargo, no hay que olvidarse que cada tecnología wireless se adapta mejor a determinados tipos de aplicaciones, y esto más que cierto en aplicaciones de seguridad. También depende del tipo particular de aplicación de seguridad.

En consecuencia, antes que nada, tenemos que ver qué tipo de aplicaciones de seguridad resultan adecuadas y tangibles para usar tecnología wireless.

El comité ISA84 fue creado para desarrollar estándares y reportes técnicos relacionados con el uso de sistemas E/E/PES (Electrical/Electronic/Progra­mmable Electronic Systems) en aplicaciones de seguridad de proceso. Dentro de este contexto, el Grupo de Trabajo 8 (WG8) de ISA84 y el comité ISA100 cooperaron para abordar la tecnología wireless en aplicaciones de seguridad; a tal fin, elaboraron el Reporte Técnico, “Guía y Aplicaciones de Tecnología de Sensores Wireless a Capas de Protección Independientes No-SIS.

Este Reporte Técnico ofrece una guía y consideraciones que los usuarios deberán tener en cuenta a la hora de aplicar e implementar tecnologías de sensores wireless en procesos y Capas de Protección Independientes (IPL) No-SIS (Sistemas Instrumentados de Seguridad). La recomendación no está destinada al uso de wireless como SIF (Función Instrumentada de Seguridad).

Al mismo tiempo, el Reporte Técnico indica claramente que “un sistema wireless es lo suficientemente robusto como para cumplir con los requerimientos de una IPL No-SIS.” En consecuencia, aplicaciones industriales como monitoreo y control de procesos, monitoreo y analítica de la salud de activos, y alertas y alarmas relacionadas con la seguridad, resultan adecuadas para la tecnología wireless. 

Hoy en día, el uso top de wireless en aplicaciones de seguridad tiene que ver con alertas y alarmas de seguridad. Estas aplicaciones incluyen detección de gas, prevención de incendios, detección de nivel, duchas de seguridad, etc.

Para soportar aplicaciones que contienen alertas y alarmas relacionadas con la seguridad, se requiere una comunicación wireless de alta confiabilidad y alta disponibilidad. Esto significa que la comunicación wireless debe ser capaz de soportar un método de comunicación relacionado con la seguridad, por ejemplo IEC 61784-3, disponer de suficiente control en el entorno de implementación y aceptar los parámetros correctos en los ajustes y configuraciones de red derivados durante los exámenes del sitio y trabajo de comisionamiento. A continuación se describen algunos de los requerimientos críticos para redes wireless en aplicaciones de seguridad.

Calidad de Servicio poniendo límites al ancho de banda, latencia y prioridad

La Calidad de Servicio (QoS) es muy importante a la hora de administrar eficazmente el tráfico de red, especialmente en redes wireless de área local alimentadas por batería. La QoS establece una prioridad para los paquetes de datos enviados desde dispositivos al servidor en base a su servicio y aplicaciones.

En el campo, no todos los sensores son igual de importantes. Incluso el mismo tipo de sensor puede tener una distinta prioridad de acuerdo a su servicio y aplicaciones. Es clave controlar la QoS para priorizar los distintos tipos de tráfico de datos desde sensores y también redes.

En caso de datos relacionados con la seguridad, es importante asignar prioridad y reservar ancho de banda para garantizar una baja latencia en comparación con otros tipos de datos. 

ISA100 Wireless tiene dos niveles de prioridad: prioridad de mensaje y prioridad de contrato. Es una característica decisiva a la hora de soportar aplicaciones relacionadas con la seguridad.

 

Latencia y disponibilidad

Las aplicaciones de seguridad requieren un sistema wireless altamente disponible y altamente confiable con una latencia manejable, baja y determinística, que también estabiliza la vida de la batería.

La latencia de datos en una red de sensores wireless es el tiempo que transcurre entre la adquisición de un valor de medición y la entrega de ese dato a un gateway a través de la red wireless. El porcentaje del valor recibido dentro del tiempo de respuesta requerido se puede medir por cada dispositivo o para el sistema en su totalidad.  

Un alta disponibilidad significa patrones de comunicación que ofrecen tiempos de respuesta rápidos con poca o ninguna pérdida de paquetes. También requiere equilibrio con el tiempo de vida de la batería en aplicaciones wireless e intervalos largos de mantenimiento con poca o ninguna deriva entre los intervalos de prueba.

Una alta confiabilidad significa ausencia de alarmas falsas y poder utilizarse en aplicaciones SIL. 

A fin de conservar la latencia de la red, la tecnología wireless debe soportar múltiples topologías y, en especial, topología estrella.

La topología mesh auto-organizable puede resultar muy complicada a la hora de predecir el retardo. No es recomendable para aplicaciones de seguridad. En consecuencia, tener un solo sistema wireless significa soportar flexibilidad y mezclar distintos tipos de topologías en función de las necesidades de cada aplicación. 

Para ampliar la disponibilidad, se recomienda un camino de red redundante; a tal fin, ISA100 Wireless incorpora la característica ‘Duocast’.

 

Interoperabilidad

En todas estas aplicaciones, es importante tener un protocolo de seguridad de punta a punta capaz de soportar la comunicación de dispositivos de múltiples proveedores en un solo sistema (interoperabilidad) dentro de un entorno de arquitectura abierta. Una arquitectura abierta en capas debe obedecer a la metodología OSI (Open Systems Interconnection) de ISO/IEC. 

Esta metodología OSI divide la comunicación en siete capas abstractas en base a las funciones de comunicación:

  • Capa Física
  • Capa de Enlace de Datos
  • Capa de Red
  • Capa de Transporte
  • Capa de Sesión
  • Capa de Presentación
  • Capa de Aplicación

Lo que se busca es soportar la interoperabilidad de distintos sistemas de comunicación con varios protocolos estándar.

Cada capa le sirve a la capa de arriba y a la capa de abajo. Cada capa está diseñada funcionalmente independiente, de modo que, ante un cambio de tecnología en cualquiera de las capas, la capa de arriba o de abajo se ve afectada poco o nada.

Puesto que la industria de control de procesos opera con numerosos protocolos de aplicaciones ya existentes, el concepto de capas independientes es esencial tanto hoy como lo será mañana. 

Un buen ejemplo es la tecnología ISA100 Wireless, que es capaz de soportar PROFIsafe como aplicación en el tope de la infraestructura de comunicación de ISA100.


Figura 1. Diagrama de un sistema wireless de detección de gas que utiliza el concepto de canal negro para soportar el protocolo de seguridad PROFIsafe sobre ISA100 Wireless.

 

Seguridad – integridad y comunicación wireless encriptada

El estándar ISA100 Wireless ofrece importantes características de seguridad, tales como autenticación, verificación (chequeo de integridad, TAI), encriptado, control de acceso, gestión de claves, etc.

Estas características protegen contra sniffing, alteración de datos, spoofing, ataque de replay, ataque de enrutamiento y ataque de denegación de servicio (DOS). 

Por lo general, en wireless, hay que lidiar con dos aspectos de DOS: interferencia no intencional (coexistencia) e interferencia intencional (ataque de denegación de servicio).

Los métodos estratégicos comunes se extienden a través de una modulación de espectro, usando enrutamiento redundante, lista negra de canales, protocolo LBT (Listen Before Talk) (en ISA100, esta característica es configurable), diagnósticos basados en la intensidad e indicador de la señal de radio, diagnósticos de la calidad de datos, y también diagnósticos de red. Dentro de este contexto, ISA100 Wireless incorpora la capacidad de CCA (Clear Channel Assessment) para mitigar la potencial interferencia de otra tecnología wireless o, algunas veces, del entorno. 

 

Red bien diseñada

Es muy importante seguir la mejor práctica recomendada por el fabricante a la hora de diseñar y desplegar una red de sensores wireless.

Algunos puntos que deben ser tenidos en cuenta incluyen:

  • Siempre usar rangos de comunicación conservadores y diseñar la red con un amplio margen;
  • Especificar tasas las de reporte correspondientes a cada sensor en base a la capacidad de la batería del dispositivo y del router, la capacidad del canal wireless y la capacidad de la infraestructura;
  • Profundidad del salto de control;
  • Redundancia del camino de diseño;
  • Evitar cuellos de botella;
  • Utilizar herramientas de despliegue y simulación de red;
  • Documentación, etc.

Puesto que la mayoría de los datos de sensores consumen energía, el diseño de la red  también afecta en mucho la vida de la batería en una red mesh auto-organizable. Se deben evitar cuellos de botella de comunicación, lo que mejora considerablemente la alimentación por batería y permite predecir su vida útil.

 

¿Se puede usar la tecnología wireless para mejorar la seguridad de planta? Por supuesto que sí.

 

Ejemplo de una aplicación exitosa

Esta aplicación utiliza la tecnología ISA100 Wireless en un sistema de detección de gas (figura 1). Con esta tecnología, Draeger desarrolló un novedoso detector de gas wireless con certificación SIL2, que fue utilizado por Yokogawa para crear el primer sistema de detección de gas wireless en el mundo con certificación SIL2. El sistema utiliza el método de canal negro para soportar PROFIsafe sobre ISA100 Wireless.

El principio del canal negro incluye tres aspectos principales: 

  • Es independiente del método de comunicación; 
  • Cubre todo el camino de comunicación desde el sensor al gateway utilizado para soportar PROFINET;
  • Protege por eventuales fallas en la comunicación según SIL.

Si se lo usa en un entorno SIL, se requiere un mecanismo de manejo de errores para abordar el protocolo relacionado con la seguridad que corresponde; de esta forma es posible mitigar distintos errores, tales como repetición, supresión, inserción, resecuenciado, corrupción de datos, retardo, direccionamiento, etc. Hoy en día, la combinación de ISA100 y PROFIsafe ha alcanzado este estatus.

Preparado en base a una presentación de Penny Chen, de Yokogawa.

 

Las buenas prácticas dictan que los sistemas de control deben diseñarse para mantener las funciones de control de proceso separadas y operacionalmente independientes de las funciones de seguridad. Esto, por lo general, se logra con un controlador para proceso y un sistema separado para seguridad.

La solución de Schneider Electric ofrece más de lo requerido por los estándares de la industria:

  • Capacidad de procesamiento dual para controlar las funciones de seguridad y de proceso en forma independiente.
  • Unifica independientemente la seguridad de planta y el control de proceso para proteger la totalidad del entorno operativo.
  • Minimiza el impacto de una falla del proceso en la seguridad de la planta, su personal y sus bienes.
  • No hay compromisos para lograr un proceso de ejecución segura.
  • El mejor desempeño en redes y ciberseguridad con Modicon M580.
  • No es necesario diseñar, instalar y mantener sistemas de seguridad separados.
  • Utiliza las mismas herramientas, métodos de cableado y estructuras de E/S que el controlador Modicon M580 estándar.

Modicon M580 Safety

Es el controlador de automatización programable M580 (PAC) de Schneider Electric con módulos integrados y funciones de seguridad. El PAC incluye una sola CPU con un coprocesador de seguridad obligatorio para la ejecución dual.

Está basado en la plataforma X80 y en el entorno de programación Unity Pro:

  • CPU y coprocesador de seguridad M580 (SIL3).
  • Fuentes de alimentación de seguridad redundantes.
  • E/Ss locales y remotas de seguridad; los módulos de seguridad X80 son compatibles sólo con el M580 Safety.
  • Comu nicaciones de seguridad.
  • Bibliotecas de software implementadas para procesos y seguridad de máquinas.

Arquitectura

El sistema de seguridad basado en el PAC M580 Safety posee certificación TÜV Rheinland para su uso en aplicaciones hasta SIL3 (nivel de integridad de seguridad 3), garantizando un funcionamiento seguro y optimizando costos.

El PAC Modicon M580 permite mezclar arquitecturas para:

  • Administrar aplicaciones de seguridad y estándar.
  • Separar los procesos de control y seguridad.
  • Integrar proceso y funciones de seguridad de la máquina.

Nivel de seguridad

El PAC Modicon M580 Safety mejora la confiabilidad del sistema gracias a una exclusiva combinación entre características integradas de ciberseguridad y seguridad:

  • Celdas seguras de aislamiento de memoria.
  • Corrección del código de error en línea.
  • Watchdog de seguridad.
  • Vigilancia del reloj.
  • Aplicación de seguridad ejecutada en un núcleo dedicado.
  • Aislamiento de memoria que controla el acceso a la memoria segura y no segura.
  • Memoria para seguridad diferente de la CPU estándar.

Una falla en la aplicación estándar, cualquiera que sea, no afecta la aplicación de seguridad. La mencionada característica SIL3 se logra mediante una doble ejecución de la aplicación de seguridad, utilizando tanto el Procesador BMEP584040S como el coprocesador BMEP58CPROS3. Todos los módulos de seguridad poseen color rojo (procesador, coprocesador, E/S X80) y un recubrimiento especial en sus placas impresas para uso predeterminado en ambientes severos.

Como características principales de la CPU se pueden mencionar:

  • 4.096 E/Ss discretas.
  • 1.024 E/Ss analógicas.
  • Hasta 4 módulos de comunicación Ethernet.
  • Puerto RIO y DIO.
  • 16 Mb de memoria integrada.
© 2018 Editorial Control. Desarrollado por Estudio Pionero.