Transitioning Smart Buildings to BACnet Secure Connect

Transição de edifícios inteligentes para BACnet Secure Connect

Por: Zach Netsov, Gerente de Produto, Siemens Smart Infrastructure USA

Os edifícios inteligentes de hoje são mais flexíveis e funcionais do que nunca graças a sistemas de automação predial conectados que controlam HVAC, energia, iluminação, controle de acesso e sistemas de incêndio. No entanto, o surgimento de dispositivos conectados que permitem edifícios inteligentes também pode criar desafios de segurança e deixar edifícios vulneráveis a ataques cibernéticos. 

 

A indústria de automação predial está lidando de forma ativa com os riscos de segurança cibernética, implementando recursos de segurança aprimorados. BACnet, o principal protocolo de automação predial, lançou recentemente o BACnet Secure Connect (BACnet/SC), um novo link de dados, como parte do padrão. A BACnet/SC traz segurança cibernética e aceitação de IT para redes de Tecnologia Operacional (OT). Ele adiciona uma camada de criptografia à comunicação e requer autenticação de dispositivos usando certificados, o que torna as redes OT menos vulneráveis a ataques cibernéticos. Ao contrário do BACnet/IP, o BACnet/SC emprega práticas recomendadas de IT que resolvem muitos problemas de aceitação de IT. Com o BACnet/SC não há necessidade de endereços IP estáticos; não são necessários BBMDs para cruzar sub-redes IP; funciona bem com o NAT, e não há tráfego de transmissão pesada na rede.

 

Proprietários, integradores e operadores precisarão adotar uma abordagem passo a passo na transição para o BACnet/SC à medida que os dispositivos habilitados forem lançados ao mercado. Aqui estão algumas considerações para a construção de partes interessadas que desejam fortalecer sua segurança de rede OT.  

 

Edifícios existentes versus novas construções

Edifícios existentes: Os stakeholders da construção precisarão planejar e gerenciar melhorias de integração e segurança da BACnet/SC para a rede OT existente em seu edifício. Hoje, mais de 1.200 fabricantes incorporam o padrão BACnet em uma ampla gama de produtos interoperáveis de automação predial. Os edifícios com sistemas BACnet existentes já contêm dispositivos BACnet/IP e BACnet MS/TP. O BACnet/SC pode ser integrado a essas redes existentes usando roteadores BACnet. Os dispositivos mais antigos não atenderão aos requisitos significativos de recursos de computação necessários para torná-los compatíveis com uma atualização de firmware para BACnet/SC. Novos dispositivos serão lançados com suporte nativo bacnet/SC, ou prontos para atualizações de firmware para suportar BACnet/SC em um futuro próximo. 

 

A introdução do BACnet/SC em um sistema BACnet existente começa dividindo logicamente o edifício e estruturando o projeto em redes lógicas bacnet individuais de diferentes tipos de links de dados. A integração pode então começar com uma pequena "ilha" de rede lógica BACnet/SC que se conecta às redes BACnet/IP e BACnet MS/TP usando roteadores BACnet. Deve haver um plano para atualizar as redes restantes sem segurança à medida que os dispositivos nessas redes se tornam obsoletos e os produtos de substituição se tornam disponíveis.

Nova construção. Inicialmente, novas redes de automação predial serão projetadas usando dispositivos BACnet disponíveis atualmente, bem como dispositivos recém-disponíveis com bacnet/SC ou prontos para BACnet/SC, com um plano para atualizar partes inseguras da rede à medida que novos dispositivos e atualizações de firmware forem lançados ao mercado. Estações de trabalho e controladores primários devem ser a primeira prioridade para integrações BACnet/SC, pois são mais propensas a estar em redes compartilhadas com acesso público, como redes corporativas ou internet, e há menos pressão para proteger redes no interior do edifício por enquanto. 

 

Tenha em mente que a segurança do BACnet/SC não se estende a segmentos de rede não assegurados fora da parte lógica BACnet/SC da rede. Os métodos tradicionais de proteção de segmentos de rede OT inseguros, como VLANs e VPNs, ainda precisam ser usados até que toda a rede esteja protegida com total compatibilidade BACnet/SC. Os métodos tradicionais de proteção de redes devem ser mantidos no local para fornecer uma camada adicional de segurança mesmo depois que um sistema BACnet/SC completo seja implantado, desde que não impeça a interoperabilidade e a acessibilidade de dados que suportem metas inteligentes de construção. 

 

Colaboração de IT e OT 

Os profissionais de IT e OT vão precisar trabalhar em conjunto para implantar redes seguras de automação de edifícios inteligentes que aproveitam a BACnet/SC. Com o BACnet/SC, redes OT anteriormente separadas, como HVAC, energia, iluminação, controle de acesso e fogo podem convergir e as práticas recomendadas de IT, incluindo segurança cibernética e gerenciamento de certificados, podem ser implementadas nesta nova rede OT segura. 

 

Em nova construção, a BACnet/SC também permite que a TI e o OT projetem toda a infraestrutura de IP de construção em conjunto, levando em consideração os requisitos gerais de largura de banda do edifício. Executar as redes anteriormente separadas na mesma infraestrutura física, com algumas táticas de segurança cibernética bem estabelecidas, como firewalls entre IT e OT no local, mantém a máxima segurança da rede. A convergência de rede de IT/OT elimina o custo e a complexidade da execução de segmentos de rede separados e permite um melhor monitoramento de rede e o fluxo de trabalho de gerenciamento, ao mesmo tempo em que permite que aplicativos inteligentes de construção que requerem o fluxo de dados em toda a organização. 

 

Projetando a Rede BACnet/SC

Os edifícios que contêm uma mistura de redes BACnet com BACnet/IP, BACnet MS/TP e BACnet/SC não são inerentemente seguros. A simples adição de BACnet/SC não protegerá toda a rede, uma vez que a mesma camada física – Ethernet e camada de rede – é provável que o IP seja compartilhado com o protocolo BACnet/IP inseguro. Isso significa que, inicialmente, as redes OT serão projetadas muito como foram projetadas hoje. Nessas redes, a comunicação BACnet/SC só é segura entre o hub BACnet/SC e os dispositivos de nó. Por enquanto, essas redes mistas devem ser tratadas como uma rede BACnet/IP não segura até que um sistema BACnet/SC completo seja alcançado ou até que os firewalls BACnet sejam introduzidos. Outra opção para proteger segmentos de rede é o uso de roteadores e firewalls com inspeção profunda de pacotes ou outras práticas de TI para gerenciar o tráfego de rede. O BACnet/SC melhora drasticamente a segurança da rede OT, mas por si só não é uma bala de prata. O BACnet/SC fornece um poderoso conjunto de ferramentas a serem incorporadas em uma abordagem de defesa multicamadas em profundidade, o que pode fortalecer significativamente a segurança cibernética do edifício.

 

Saiba mais sobre a integração do BACnet/SC em um plano de segurança abrangente do nosso white paper, "BACnet Secure Connect: A próxima geração de segurança OT para operações de construção".  

 

Publicado em: 26 de janeiro de 2022