Inicio / Blog / La mejora del IIoT en entornos industriales

La mejora del IIoT en entornos industriales

Publicado el 12/09/2019, por INCIBE
IIoT_SCI

El entorno industrial se está digitalizando cada vez más, y este hecho se demuestra en la conectividad de sus dispositivos. La idea de este concepto es optimizar la producción industrial a través de la conexión entre dispositivos y un centro de datos, para obtener estadísticas en tiempo real o realizar un mantenimiento constante y predictivo de la maquinaria, además de controlar la producción industrial de una manera más sencilla y segura. Para referirse a estas conexiones de dispositivos industriales, se está utilizando cada vez más el término IIoT (Industrial Internet of Things), que ha evolucionado del conocido IoT para adaptarse a los sistemas de control.
Cuando hablamos de dispositivos y conectividad IIoT nos referimos a dispositivos inteligentes que, dentro de una red interconectada y monitorizada, permite ver los valores de diferentes parámetros en tiempo real, pudiendo así observar si éstos presentan algún tipo de fallo. Aquí podemos encontrar sensores, actuadores y otros dispositivos controladores como PLC (Programmable Logic Controller), RTU (Remote Terminal Unit) o IED (Intelligent End Device), que han evolucionado a lo largo del tiempo.

Características de los dispositivos IIoT

Los dispositivos IIoT pueden ser necesarios en una gran amplitud de lugares, independientemente del sector al que pertenezcan. Debido a esto, las características físicas principales de estos tipos de dispositivos suelen ser:

  • Dispositivos más resistentes, para su funcionamiento en condiciones extremas sin averiarse, es decir, aguantar temperaturas elevadas o bajo cero, resistencia a la corrosión o sumergibles.
  • Dispositivos dotados de una mayor autonomía al integrar baterías de gran capacidad y un menor consumo de energía, debido al coste que puede suponer mandar a un operario a realizar su mantenimiento o la complejidad de acceder al dispositivo de forma física. Tener conectados los dispositivos a la red permite monitorizarlos, pudiendo observar y controlar de forma remota la vida útil del dispositivo, consultar logs, realizar cambios en la configuración o actualizarlos.
  • Sistema de seguridad propio de dispositivos IIoT y con un grado de robustez mayor, ya que un ciberataque podría ser fatal en una infraestructura crítica debido a la interconectividad de sus redes.

Aplicación de IIoT en entornos industriales

El incremento de dispositivos para proporcionar una mayor inteligencia a los procesos industriales y el uso de técnicas específicas para el tratamiento de datos han supuesto una serie de ventajas con respecto a la industria más tradicional. Algunas de esas ventajas se comentan a continuación:

  • Mejorar la eficiencia energética y mantenimiento predictivo y preventivo de las máquinas, donde podremos obtener, de forma más rápida, datos de los sensores y otros dispositivos IIoT para realizar un seguimiento de su funcionamiento de forma constante y, de esta manera, poder prevenirnos ante un posible fallo.
  • Mejorar la conectividad respecto a las redes de comunicaciones, esenciales entre el dispositivo y el sistema IIoT dentro del cual opera. En este punto podemos encontrar varias partes:
    • Utilizar una segmentación apropiada para el uso de IIoT, como se indica en las buenas prácticas. La seguridad de la red mediante un buen modelo es esencial. El Modelo de Purdue para la jerarquía de control es un modelo bien reconocido en el entorno industrial, ya que segmenta dispositivos y equipos de una manera jerárquica. Este modelo ha sido utilizado por organizaciones de estándares internacionales, para especificar un modelo de zonas y conductos con el que incrementar la ciberseguridad del SCI. También se usa en una gran variedad de material de guía de seguridad. El modelo utiliza el concepto de zonas para subdividir las redes corporativas de SCI en módulos que funcionan de manera similar.
    • Comunicaciones en tiempo real, lo que implica una necesidad de tener una conectividad continua, además de poder almacenar los datos obtenidos para volver a revisarlos, si fuese necesario.
    • Iniciación de las comunicaciones de manera segura para que no haya ninguna posible intrusión por parte de un tercero.
    • Seguridad de enlaces: se centra en el nivel de seguridad y confianza que implica el establecimiento y el funcionamiento de la conectividad.
    • Uso de la nube para almacenar datos y facilidad de acceso mediante otros dispositivos para acceder a ellos.

Modelo ENISA

- Modelo de referencia de alto nivel, Fuente: Good Practices for Security of Internet of Things in the context of Smart Manufacturing (ENISA). -

Requisitos de seguridad

La seguridad que deben proporcionar estos dispositivos debe ser más elevada, ya que son usados en el entorno industrial, donde un fallo de seguridad podría representar un riesgo a gran escala. Por este motivo, es imprescindible mejorar la seguridad para evitar que los atacantes puedan conseguir información o haya problemas en infraestructuras críticas. Estas mejoras se llevarán a cabo con medidas como:

  • Autorizar todos los dispositivos IIoT, dentro de la red TO, utilizando métodos apropiados, como por ejemplo certificados digitales/PKI.
  • Definir canales de comunicación para la transferencia de datos entre dispositivos IIoT. Utilizar solo canales seguros siempre que sea posible e implementar listas blancas.
  • Desarrollar requisitos de seguridad dedicados para proveedores de servicios. Las auditorías deben realizarse antes de elegir una solución aplicable a IIoT y periódicamente a lo largo del ciclo de vida del sistema.
  • Implementar la autenticación de múltiples factores, como por ejemplo tokens de seguridad. Como usuario de tales soluciones, utilizar la autenticación del sistema con factor múltiple.
  • Garantizar la seguridad de los canales de comunicación relacionados con las soluciones de IIoT. Cifrar las comunicaciones en caso de datos importantes (configuración, datos personales, datos para fines de control, etc.), donde sea posible hacerlo sin afectar a la seguridad, la disponibilidad y el rendimiento.
  • Para las soluciones IIoT, es importante implementar protocolos con capacidades de seguridad conocidos, basados en estándares y recomendaciones técnicas. Utilizar soluciones que usen protocolos que hayan demostrado ser seguros o que aborden problemas de seguridad anteriores (por ejemplo, TLS 1.3) y evite los protocolos con vulnerabilidades conocidas (por ejemplo, Telnet, SNMP v1 o v2).
  • Concienciación para los usuarios de los dispositivos IIoT en el uso de los mismos, explicando todas las tecnologías implementadas para la protección de los dispositivos y del ecosistema donde se implementan.

Conectividad IIoT

- Conectividad IIoT. Fuente: ScienceDirect. -

Comunicaciones MQTT y CoAP

Es importante, a la hora de hablar de IIoT, saber qué protocolos de comunicaciones son los más utilizados. Estos serían MQTT (Message Queuing Telemetry Transport) y CoAP (Constrained Application Protocol).

El protocolo MQTT se usa para el intercambio de datos por uno o más brokers. Los clientes pueden publicar mensajes en el broker o recurrir a este para recibir mensajes. Además, todos los mensajes publicados deben tener un identificador o etiqueta.

Estos brokers, también llamados agentes o corredores, son los encargados de permitir transmitir los datos entre los clientes que publican y los que están suscritos. Cuando un cliente publica un mensaje, el cliente que esté suscrito, previamente, a esa etiqueta recibirá mediante el broker el mensaje con los datos. De esta manera, no habrá equivocación a la hora de entregar los datos correctamente, como podemos ver a continuación:

Broker

CoAP es un protocolo cliente-servidor, lo que significa que el intercambio de datos es iniciado por un cliente con una solicitud enviada a un servidor, que responderá con otro paquete. En cualquier momento, un cliente puede enviar un paquete CoAP a un servidor. Cada solicitud tiene algunas opciones, siendo la más importante el Identificador de Recursos Uniforme (URI, Uniform Resource Identifier), que indica la ruta al recurso solicitado.

Post-Ack

Al ser protocolos tan utilizados en las redes IIoT, ambos han sido objetivo de ciberataques para obtener información y es uno de los motivos por los que han recibido mejoras de seguridad de manera rápida. El problema está en que estos protocolos de comunicación no estaban centrados en el entorno TO y tampoco en una gran seguridad. Pero con el crecimiento de IIoT y el uso de estos protocolos en los sistemas de control industrial, ha aumentado la necesidad de mejorar la seguridad de MQTT y CoAP, con el uso de algunas medidas como las que vamos a ver a continuación:

  • Aplicar el cifrado TLS.
  • Autenticación mutua basada en TLS con certificados por dispositivos. Cada vez que haya un nuevo nodo deberá tener un certificado para poder autenticar con el servidor. Si este nodo se ve comprometido, el administrador podrá revocar su certificado.
  • Deshabilitar QoS 2 (calidad del servicio) y, además, los mensajes retenidos para reducir riesgos de sufrir ataques DoS (Denegación de Servicio).

Conclusiones

El Internet de las Cosas en el mundo industrial, supone un gran avance que lleva consigo toda la conectividad de infraestructuras críticas dentro de plantas o industrias, principalmente debido a dispositivos más automatizados y autónomos, y más resistentes. Este cambio significa, a su vez, tanto una mejora en las empresas que los vayan incorporando, como un riesgo en su seguridad y, por ello, a la vez que se implementan los dispositivos IIoT, habrá que incrementar la ciberseguridad de estos mediante el uso de protocolos más seguros, certificados digitales o autenticación múltiple. Además de tener una normativa con la cual asegurar una mejor forma de interactuar con estos dispositivos tan críticos. Estos requisitos de seguridad que se deben cumplir requieren un esfuerzo mayor por parte del equipo de TO, quienes tendrán que estar mejorando la seguridad de manera periódica.