Decálogo de boas práticas para a comunicação, controlo e supervisão de instalações não tripuladas (2.ª parte)

Segunda parte do Decálogo de boas práticas para a comunicação, controlo e supervisão de instalações não tripuladas que vimos no artigo anterior:

6) Homogeneizar, estandardizar e documentar os métodos de trabalho. Embora nos diferentes locais existam diferentes elementos de diferentes tecnologias, deve-se sempre tentar trabalhar de forma replicável, desacoplando cada dispositivo e como este se integra com os demais. É por isso que, uma vez decidida a metodologia de trabalho, cada nova ação deve ser dirigida no sentido de a implementar na medida do possível.

Existem procedimentos deste tipo a todos os níveis, independentemente da sua função:

• Nível elétrico, como agrupar os elementos de um armário elétrico, como etiquetar os cabos, que planos se devem requerer ao instalador…
• Nível programação da RTU, estruturas de dados, nomenclatura de tags, linguagem de programação, nível de comentários, que diagramas gráficos de controlo requerer ao integrador…
• Nível SCADA, utilização de modelos, nomenclatura de objetos, estandardização de gráficos…

7) Prevenir más comunicações. Como foi comentado, as instalações devem ser o mais autónomas possível porque não se podem assegurar as comunicações. Por isso, é altamente recomendável dispor de alternativas para informar corretamente ou, pelo menos, não perder informação.

Para garantir que não se perdem dados, pode-se atuar a partir de três frentes:

• Redundância de canal de comunicações. Isto significa que se deve dispor de uma via primária por onde comunicar normalmente o grosso da informação, mas, em caso de falha desta, exista uma segunda via de segurança para a informação crítica.
  As combinações são múltiplas, desde utilizar um cartão SIM multioperador, redundância de modems com vários operadores, comunicação satélite, WIMAX ou rádio convencional. É necessário fazer uma menção especial para os operadores críticos, já que têm acesso às diferentes redes TETRA de segurança dos territórios para garantir o seu correto funcionamento.

• Protocolos de telemetria. Pelas diferentes necessidades dos ambientes de infraestruturas, desenvolveram-se diferentes protocolos industriais específicos focados em otimizar a comunicação e evitar a perda de informação.

Estes protocolos, ao contrário da grande maioria deles, costumam trabalhar por eventos e timestamp, dispor de um buffer de informação para a descarregar numa única transação e capacidade de enviar mensagens – outra vez, estratégia Push vs Pull. Atualmente, os protocolos de telemetria líderes são DNP3 e IEC-60870-101/104.

• Relatórios e ficheiros de dados. Para aquela informação não crítica, é sempre recomendável que os elementos de controlo da instalação sejam capazes de gerar relatórios onde se recolham aqueles dados que não se devem enviar em tempo real ou dados consolidados como medidas de um contador, de um totalizador, etc.
  Tipicamente, estes reports devem ser guardados no próprio dispositivo – nos seus serviços de FTP, por exemplo – e irão ser procurados uma vez ao dia, semana… num momento de supervisão e controlo sem ações previstas.

8) Segurança a todos os níveis. É evidente que as instalações que controlam a gestão de águas ou energias são um ponto estratégico a proteger. As ameaças de cibersegurança podem ser classificadas em ameaças internas ou externas. Ao contrário de outros ambientes, o risco de ameaças internas é relativamente baixo, já que não há comunicações sem fios, apenas o pessoal autorizado tem as chaves ou palavras-passe correspondentes, não costuma haver redes planas que conectem todos os locais… pelo contrário, existem grandes riscos de ameaças externas.

Os dois grandes riscos de ameaças externas seriam a ameaça de interferência nas comunicações e uma ameaça física. Evitar a ameaça de suplantar identidades ou espiar a informação das comunicações é sempre muito complicado, pelo que se deverão adicionar todas as ferramentas disponíveis para o evitar. Uma listagem poderia ser:

• Utilização de protocolos com segurança e autenticação.
• Utilização de VPNs dentro dos mesmos canais de comunicação, ou seja, entre RTU e Centro de Controlo.
• Utilização de APNs privadas fornecidas pelos operadores de telefonia.

Como se pode observar, todas estas medidas requerem uma comunicação baseada em IP, ou pelo menos numa comunicação digital, é por isso que se pode dizer que uma comunicação baseada em rádio analógica atualmente não é segura.

No que diz respeito à segurança física, deve-se estar consciente de que nunca se poderá evitar, já que, pela mesma casuística de um cenário de muitas instalações separadas geograficamente, não se poderá ter pessoal sempre em cada uma delas. Por isso, deve-se abordar a partir de duas perspetivas, ser informado quando alguém entra no local e evitar danos uma vez que está dentro. Para isso, um conjunto de ações poderia ser:

Sensores de presença dentro da mesma instalação. Dada a natureza do cenário, onde quase não se utilizariam, pode-se estudar utilizar sensórica de baixo consumo. Esta sensórica avisaria o CC de que se entrou no local, a partir daqui é fácil saber se é uma visita programada ou não.
Evitar que pudessem interagir com o controlo, seja utilizando remotas com firewalls nas suas portas para evitar ataques informáticos ou exigindo palavras-passe naqueles elementos que interagem com a RTU, como o HMI.

9) Tentar minimizar as deslocações. Como foi comentado, a natureza do cenário torna muito improdutivo as constantes visitas ao local em caso de problemas, por isso, é recomendável utilizar ferramentas de controlo remoto caso tenha uma estrutura que o permita, seja para evitar todas as deslocações ou pelo menos as dos engenheiros de controlo.

Aproveitar o controlo remoto. É muito útil e recomendável utilizar ferramentas de controlo que permitam estabelecer conexões com as RTUs, embora a largura de banda ou a comunicação seja limitada. Isso permitirá não só uma boa conexão e atualização de dados, mas também o luxo de OTAP – Over The Air Programing. Esta possibilidade não é uma simples quimera, embora seja muito comum programar no escritório, fazer o arranque e, se funcionar, não tocar, o OTAP tem uma derivada mais, a atualização de firmwares. Seja porque foram detetadas falhas genéricas ou brechas de segurança na versão anterior ou simplesmente porque foram adicionadas funcionalidades na nova, num mundo tecnológico em constante evolução, a atualização de firmwares estima-se indispensável.

Adicionar um controlo local. Esta opção, embora não encareça em demasia os projetos nem em HW nem em programação, muitas vezes é esquecida, embora apresente grandes vantagens. O facto de ter um HMI local que permita arrancar, ligar, parar… os elementos que a RTU controla permite que, quando há um erro, os operários de manutenção possam fazer uma primeira avaliação de uma falha ou provar uma peça sem ser necessário que haja um programador no CC conectado. Em resumo, esta opção permite evitar males maiores ou guardas desnecessárias, dotando os operários de manutenção de ferramentas simples de interação com o controlo.

10) Utilização de ferramentas de exploração apropriadas. Uma vez que a instalação é funcional, autónoma, segura e as comunicações são estáveis, essa informação que chega ao CC deve ser tratada apropriadamente. Atualmente, sob a bandeira de IoT e Indústria 4.0, as ferramentas de visualização típicas deram um salto de qualidade apreciável.

Concretamente, no mundo das infraestruturas, podem-se encontrar novas soluções que permitem situar a informação geograficamente em sistemas GIS, não numa imagem de um mapa situado como fundo de ecrã, filtrar segundo diferentes camadas ou elementos, visualização em tablets ou telemóveis, integração com realidade virtual… ou seja, a evolução também chegou ao mundo dos SCADAs para infraestruturas.

Pode voltar a consultar a primeira parte do artigo aqui.

Pode descarregar aqui o Decálogo de boas práticas para a comunicação, controlo e supervisão de instalações não tripuladas.