Comunicações Seguras com estações Remotas

As necessidades de comunicações no setor Industrial e no setor das Infraestruturas, incluindo o setor das Infraestruturas TIC aplicado às Smart Cities, são diferentes e requerem estratégias diferenciadas para poderem ser resolvidas.

No setor industrial, as comunicações concentram-se principalmente entre as áreas de TI e TO. Na área de TO, encontramos os dispositivos de controlo que comunicam entre si utilizando inúmeros protocolos de comunicação, em alguns casos protocolos proprietários. Neste ambiente de controlo e produção, a prioridade é a disponibilidade da informação em tempo real. Na área de TI, encontramos sistemas que comunicam com a área TO, de forma vertical, para facilitar dados aos sistemas de supervisão SCADA, HMI, MES, etc. Nesta área, a confidencialidade da informação é prioritária. Nestes cenários, a segurança costuma ter como ponto de partida a implementação de DMZs e a segmentação das redes.

No setor das infraestruturas, podemos dizer, de forma geral, que temos um ou vários Centros de Controlo, normalmente um único Centro de Controlo, que tem a necessidade de comunicar com diferentes Centros Remotos. Neste setor, as soluções para comunicar o Centro de Controlo com as estações remotas são heterogéneas. Utilizam-se comunicações sem fios IP GPRS/3G/4G, IP sobre fibra, ADSL, XDSL, Satélite, redes Tetra, redes proprietárias de rádio livre ISM, redes proprietárias de rádio licenciada, outras soluções de operador não GSM, etc., etc. A tendência clara é que as comunicações sejam por TCP/IP, existindo em muitos casos gateways entre meios físicos e/ou protocolos.

Os dispositivos de controlo no setor das Infraestruturas, situados nos Centros Remotos, costumam ser PLCs ou dispositivos de uso corrente como as RTU. Os protocolos utilizados são heterogéneos, como sucedia no setor industrial. A principal diferença entre os dispositivos de controlo utilizados na indústria e os utilizados em infraestruturas é que, assim como na indústria os dispositivos de controlo podem estar sob a proteção de uma DMZ, em infraestruturas os PLC ou RTU costumam estar comunicados diretamente à Internet e, portanto, expostos às vulnerabilidades da rede das redes.

Num cenário ideal, os dispositivos de controlo remotos RTU, que se encontram conectados diretamente à Internet, devem incorporar proteções nativas como firewall e devem comunicar utilizando protocolos seguros. Os protocolos de comunicação seguros, comumente utilizados em comunicações de banca eletrónica, em correio eletrónico ou em navegação web HTTPS, incorporam mecanismos de autenticação e encriptação. Existem protocolos industriais que implementam este nível de segurança, como por exemplo OPC-UA, DNP3 Secure SAv5 e algumas implementações de IEC60870.

O cenário real é atualmente bastante diferente do cenário ideal. Os dispositivos RTU utilizam inúmeros protocolos, poucas vezes seguros e, no melhor dos casos, os dispositivos RTU dispõem de algum tipo de firewall, que em algumas ocasiões não está ativado.

Conseguir comunicações seguras, que garantam a disponibilidade e a integridade da informação, tem de ser prioridade para todo o novo projeto. Em muitos casos, pode ser necessário analisar o estado dos projetos em funcionamento para auditar o nível de segurança atual e poder aplicar as medidas corretivas necessárias.

Naqueles casos em que não se podem aplicar as recomendações para obter um “cenário ideal” mencionadas acima, requer-se proteger as comunicações entre Centro de Controlo e Remotas RTU, com independência do protocolo utilizado. A solução requer aplicar duas tecnologias diferentes: o Firewall e os túneis VPN.

Os túneis VPN, “Virtual Private Network”, permitem estabelecer comunicações IP através de redes não seguras como LAN ou WAN (Internet), assegurando uma comunicação Ponto a Ponto encriptada e autenticada.

Existem diferentes implementações de soluções VPN. IPSec é uma implementação de VPN maioritariamente estendida para estabelecer túneis VPN, Site to Site e Client to Site. Utiliza-se comumente em dispositivos de TI para estabelecer túneis entre dispositivos de rede. As VPN SSL utilizam-se para estabelecer um túnel HTTPS encriptado até um servidor Web no dispositivo remoto. OpenVPN é uma tecnologia VPN que também permite estabelecer túneis VPN encriptados e permite a autenticação. Este protocolo pode ser encontrado em dispositivos de Controlo RTU, está baseado no padrão SSL. Existem dispositivos de controlo que são simultaneamente Clientes e Servidores de OpenVPN. Também existem dispositivos Appliance que são servidores de OpenVPN, assim como diferentes soluções de software para servidores.

As vantagens de utilizar uma tecnologia VPN em dispositivos de controlo RTU são várias e podem resumir-se em duas: Qualquer protocolo de comunicação, com independência da sua “debilidade”, pode viajar por uma VPN com total segurança. A informação viaja encriptada e não pode ser alterada por um utilizador mal intencionado.