Seleccione su idioma

Automatización de edificios y ciberseguridad (II)

Segunda parte de este artículo basado en la protección de los sistemas de automatización para edificios.

por Levi Tully*

En la primera parte de este artículo publicado en la edición 22-1 (Enero / Febrero) analizamos el aspecto de la ciberseguridad en los sistemas de automatización y la importancia de proteger estos activos valiosos ante amenazas y vulnerabilidades. Ahora veremos algunas recomendaciones para aplicar a estos sistemas.

Es posible seguir muy sencillas recomendaciones para facilitar esta protección:

- Publicidad -

Diseño y configuración del sistema
1. Recomendaciones de securización del proveedor.
a. Pedir que se envíen recomendaciones de securización como elemento calificador.
b. Asegurar que las recomendaciones sean seguidas.
c. Auditar la configuración.
2. Integridad de la red.
a. Instalar en redes seguras.
b. No abrir brechas en el firewall con conexiones entrantes.
c. Usar puertos no estándar.
d. Contar con una red dedicada para el sistema de automatización.
3. Cifrado.
a. Transmisión de datos.
b. Almacenamiento y transmisión de credenciales.
c. Instalar una red privada virtual (VPN) BACnet.
4. Plan de contingencia y recuperación.
a. Auditorias del sistema.

Autenticación
1. Deshabilitar accesos públicos.
a. Deshabilitar o cambiar todas las credenciales por defecto.
2. Asignar credenciales únicas para cada usuario y proceso.
a. Definir roles de usuario y permisos.
b. Establecer privilegios mínimos.
c. Usar auditorias de credenciales para deshabilitar cuentas no usadas.
3. Aplicar políticas de gestión de contraseñas.
a. Uso de contraseñas fuertes.
b. Cambio regular de contraseñas.
c. Considerar uso de frases de contraseña.
4. Habilitar la desconexión automática por inactividad.

Configuración de servidores
1. Recomendaciones de securización del proveedor
a. Pedir que se envíen recomendaciones de securización como elemento calificador.
b. Asegurar que las recomendaciones sean seguidas.
c. Auditar la configuración.
2. Securizar el servidor del sistema operativo.
3. Securizar el servidor de software.
4. Mantener la seguridad de los servidores.

Influencias externas
1. Implementar seguridad física.
2. Usar redes privadas virtuales (VPN).
3. Entrenar a los usuarios.

BACnet es el estándar de ASHRAE para un protocolo abierto de automatización de edificios. El estándar ANSI/ASHRAE 135-2016 A Data Communication Protocol for Building Automation and Control Networks está diseñado para normalizar las comunicaciones entre dispositivos de automatización de edificios independientemente de su fabricante, permitiendo el intercambio de datos y la interoperación de equipamiento y sistemas. Este ideal es facilitado por la tecnología que incorpora unos pocos valores fundamentales incluyendo (ASHRAE SSPC 135,2018):

  • Diseñado para el control, operación y monitoreo en el dominio de automatización de edificios.
  • Poderoso modelo de datos y servicios que alcanza definiciones semánticas.
  • Interoperabilidad entre versiones y proveedores.
  • Amplia base instalada.
  • Escalabilidad (Incluyendo soporte de redes de bajo costo de par trenzado).
  • Alcance de la arquitectura de seguridad de la red.

Algunos componentes fundamentales de la comunicación BACnet en redes Ethernet e IP son señales de alerta para profesionales de TI y presentan retos a los esquemas de protección en conformidad y adherencia a los controles de seguridad comunes ya establecidos en el dominio de TI. El vinculo de datos tradicional de BACnet/IP:

1. Transmite datos en formato de texto plano, poniendo en riesgo la confidencialidad e integridad de los datos.
2. La comunicación en interredes IP requiere direcciones IP estáticas para la gestión de difusión BACnet.
3. Requiere reglas de entrada, penetración y redireccionamiento de puertos del firewall.
4. Es percibido como un método de transporte de datos desactualizado.
Penetrar los firewalls de una instalación con solicitudes y respuestas estándar, de protocolo abierto y fácilmente accesibles es un riesgo a la confidencialidad e integridad de los datos, sin embargo, el acceso desde fuera de una red LAN confiable es con frecuencia crucial para la disponibilidad de los datos.

- Publicidad -

Siguiendo el modelo tradicional de conectividad remota para BACnet/IP e interredes IP, las reglas de entrada en el firewall y el redireccionamiento de puertos son comunes.

La red privada virtual BACnet (B/VPN) RC-RemoteAccess está expresamente diseñada para fortalecer la sinergia entre las metodologías BACnet y tradicional mientras proporciona esquemas de protección que están inherentemente adheridos a los controles de seguridad comúnmente establecidos en el dominio de TI usando conexiones WebSocket seguras sobre TLS.

Una red B/VPN satisface los requerimientos de la infraestructura IP y seguridad de TI modernos. El uso de seguridad en la capa de transporte (TLS) permite el intercambio seguro de paquetes NPDU a través de un amplio rango de ambientes de TI. Lo último en tecnología TLS facilita la comunicación BACnet segura.

Una red B/VPN introduce un nuevo modelo que elimina la necesidad de conexiones entrantes a través del firewall al facilitar conexiones salientes seguras.

Las redes B/VPN están basadas en un modelo lógico de distribución y enlace que provee conexiones basadas en protocolo entre los nodos de clientes y servidor. La conexión es iniciada desde el nodo de cliente al servidor o distribuidor.

Una vez que el modelo B/VPN cliente/servidor es establecido, las comunicaciones son bidireccionales. A través de este modelo, los operadores y técnicos pueden acceder sus instalaciones BACnet de forma remota, y redes BACnet pueden ser combinadas de forma segura usando un modelo establecido análogo a una VPN tradicional pero diseñada para la transmisión de datos BACnet.

- Publicidad -

Las redes B/VPN han modernizado y revolucionado la integración de BACnet y TI.

¿Dónde es una preocupación la ciberseguridad de los sistemas de automatización de edificios? Aquí… donde quiera que aquí sea. Todos los sistemas de automatización de edificios deberían estar asegurados apropiadamente. Todas las instalaciones merecen ser protegidas oportunamente.

¿Cuándo deberíamos empezar a pensar acerca de la ciberseguridad de los sistemas de automatización de edificios? Ahora.

La meta de securización debe ser el “mejorar las capacidades de negocio mediante la mitigación del riesgo a un nivel aceptable” (Stoneburner, Hayden, & Feringa, 2004).
Para más información acerca de ciberseguridad puede visitar nuestra página web: www.reliablecontrols.com

* Levi Tully, Gerente de Ingeniería de Aplicaciones de Reliable Controls Corporation.
* Traducción y adaptación: Rodolfo Zuñiga, Application Engineer - Latin America de Reliable Controls Corporation ([email protected]).

Referencias

  • BBC. Hackers ‘hit’ US water treatment systems. (2011, November 21). Retrieved January 28, 201 8, from http://www.bbc.com/news/technology-15817335
  • Granzer, W., Praus, F., & Kastner, W. (2010, November). Security in Building Automation Systems. IEEE Transactions on Industrial Electronics, 57(11), 3622-3630. doi:10.1109/TIE.2009.2036033
  • O’Harrow Jr., R. (2012, July 11). Tridium’s Niagara Framework: Marvel of connectivity illustrates new cyber risks. Retrieved January 28, 2018, from https://www.washingtonpost.com/investigations/tridiums-niagara-framework-marvel-of-connectivity-illustrates-new-cyber-risks/2012/07/11/gJQARJL6dW_story.html?utm_term=.e743b8a75b7c
  • Paul. IBM Research Calls Out Smart Building Risks. (2016, February 05). Retrieved January 28, 2018, from https://securityledger.com/2016/02/ibm-research-calls-out-smart-buildingrisks/
  • Paul. (2016, November 08). Update: Let’s Get Cyberphysical: Internet Attack shuts off the Heat in Finland. Retrieved January 28, 2018, from https://securityledger.com/2016/11/lets-get-cyberphysical-ddos-attack-halts-heating-in-finland/
  • Snyder, L. (2014, December 17). Hackers Pose Threat To Building Automation Systems - Facilities Management Building Automation Feature. Retrieved January 28, 2018, from http://www.facilitiesnet.com/buildingautomation/article/Hackers-Pose-Threat-To-Building-Automation-Systems--15557?source=part
  • Stoneburner, G., Hayden, C., & Feringa, A. (2004). SP 800-27 Rev A: Engineering Principles for Information Technology Security (A Baseline for Achieving Security), Revision A. National Institute of Standards and Technology, Information Technology Laboratory: Computer Security Division. Gaithersburg: NIST. Retrieved November 17, 2015, from http://csrc.nist.gov/publications/PubsSPs.html#SP800  
  • Zetter, K. (2013, June 03). Researchers Hack Building Control System at Google Australia Office. Retrieved January 27, 2018, from https://www.wired.com/2013/05/googles-controlsystem-hacked/
  • Zetter, K. (2013, June 03). Vulnerability Lets Hackers Control Building Locks, Electricity, Elevators and More. Retrieved January 28, 2018, from https://www.wired.com/2013/02/tridium-niagara-zero-day/
Duván Chaverra Agudelo
Duván Chaverra AgudeloEmail: [email protected]
Jefe Editorial de las revistas AVI Latinoamérica, ACR Latinoamérica, Ventas de Seguridad, Zona de Pinturas, Aftermarket Internation, Gerencia de Edificios, TV y Video, y Director Académico en Latin Press, Inc,.
Comunicador Social y Periodista con experiencia de más de 18 años en medios de comunicación. Apasionado por la tecnología y por esta industria.

No hay comentarios

• Si ya estás registrado, favor ingresar primero al sistema.

Deje su comentario

En respuesta a Some User
El sector HVAC/R se reunirá en Panamá con ACR Latinoamérica

El sector HVAC/R se reunirá en Panamá con ACR Latinoamérica

Panamá. ACR Latinoamérica invita a la comunidad panameña del sector de aire acondicionado y de refrigeración a una noche de integración que se realizará este 24 de abril en el Hotel Riu Plaza.

Refrimundo anuncia la novena edición del Congreso Nacional de Climatización Refricon 2025

Refrimundo anuncia la novena edición del Congreso Nacional de Climatización Refricon 2025

Costa Rica.  Refrimundo anunció la realización de la novena edición del Congreso Nacional del Día del Técnico: Refricon 2025, que se llevará a cabo el próximo sábado 24 de mayo, en el Centro de...

Ventilación inteligente permite a los cruceros reducir hasta un 10 % su consumo de combustible

Ventilación inteligente permite a los cruceros reducir hasta un 10 % su consumo de combustible

Internacional. La tecnología basada en la demanda optimiza el uso de energía en cocinas y camarotes en cruceros. Una mejora clave en los sistemas HVAC podría estar marcando el rumbo hacia una...

Caso de éxito: Hospital Lagleyze refuerza la seguridad de sus quirófanos con nueva tecnología de climatización

Caso de éxito: Hospital Lagleyze refuerza la seguridad de sus quirófanos con nueva tecnología de climatización

Argentina. El Hospital Oftalmológico Pedro Lagleyze acaba de incorporar un nuevo sistema de climatización que permitirá mantener condiciones óptimas de temperatura, humedad y pureza del aire durante...

MAHLE lanza soplador radial biónico inspirado en el pingüino: más silencioso, eficiente y compacto

MAHLE lanza soplador radial biónico inspirado en el pingüino: más silencioso, eficiente y compacto

Internacional. MAHLE presentó una innovación que promete transformar los sistemas de aire acondicionado en la industria automotriz: un soplador radial biónico que reduce el ruido en un 60 % y mejora...

Marcelo Contreras asume la presidencia de la Cámara Chilena de Refrigeración y Climatización

Marcelo Contreras asume la presidencia de la Cámara Chilena de Refrigeración y Climatización

Chile. La Cámara Chilena de Refrigeración y Climatización A.G. anunció la designación de Marcelo Contreras Barrera como su nuevo presidente para el periodo 2025-2026.

Siemens nombra a Miguel D’Alessio como nuevo CEO en Colombia

Siemens nombra a Miguel D’Alessio como nuevo CEO en Colombia

Colombia. Enfocados en la sostenibilidad, digitalización industrial y almacenamiento energético, Siemens, empresa global de tecnología para la electrificación, automatización y digitalización de...

Finalistas de los CALA AWARDS viajarán como invitados a RefriAméricas Santo Domingo

Finalistas de los CALA AWARDS viajarán como invitados a RefriAméricas Santo Domingo

Latinoamérica. Las postulaciones para los prestigiosos CALA AWARDS 2025 estarán abiertas hasta el próximo 10 de mayo. Este galardón, organizado por ACR Latinoamérica, es una oportunidad única para...

Copeland presentará soluciones innovadoras para la cadena de frío en el Global Cherry Summit 2025

Copeland presentará soluciones innovadoras para la cadena de frío en el Global Cherry Summit 2025

Chile. Copeland, proveedor global de soluciones climáticas sostenibles, participará en el Global Cherry Summit 2025, que se realizará el próximo 22 de abril en el Monticello Conference Center, en...

Carrier recibe doble reconocimiento en los Environment + Energy Leader Awards 2025

Carrier recibe doble reconocimiento en los Environment + Energy Leader Awards 2025

Estados Unidos. La compañía fue premiada en las categorías de Innovación Energética e Implementación de Software por sus soluciones Abound, que optimizan el consumo energético en más de 2.500...

Suscribase Gratis
Recuérdeme
SUSCRÍBASE AL INFO-BOLETIN
¿REQUIERE UNA COTIZACIÓN?
ENTREVISTAS DESTACADAS
PATROCINADORES










ULTIMO BOLETIN
Ultimo Info-Boletin