BACnet/SC (BACnet Secure Connect)

Alrededor de 25 millones de dispositivos intercambian actualmente sus datos a través de BACnet, cuya primera versión se publicó en 1995. La norma de comunicación entre fabricantes cuenta ahora con su propia infraestructura de seguridad y, por tanto, está preparada para los requisitos de la digitalización.

Redes cerradas y largos ciclos de innovación: en un principio, la automatización de edificios tenía unos requisitos de seguridad operativa completamente distintos a los de las tecnologías de la información (TI). Sin embargo, las tecnologías de Internet, la convergencia de las TI y la automatización de edificios (BA), así como las aplicaciones basadas en la nube requieren un alto nivel de protección para la comunicación - como la restricción de acceso, autenticación, autorización y encriptación.

Minimizar los riesgos

A esto se añade la estrategia KRITIS del gobierno alemán. Se ha fijado el objetivo de proteger las infraestructuras críticas que suministran bienes y servicios clave al Estado, la economía y la sociedad. Ya se trate de un aeropuerto, una planta química o una propiedad municipal, cada vez más operadores de BA tienen que demostrar que pueden garantizar la seguridad del suministro. Esto también se aplica a las redes BACnet, que hasta ahora sólo podían asegurarse como correspondía a un gran coste. Con BACnet Secure Connect (BACnet/SC), ahora existe una tecnología para establecer conexiones de comunicación seguras con comparativamente poco esfuerzo. Porque lo que es habitual en TI también garantizará la seguridad de la red y de la información para la automatización de edificios en el futuro.

Es necesario superar una serie de retos para completar con éxito este proceso. Por ejemplo, la concienciación sobre la seguridad en la automatización de edificios no es ni de lejos tan pronunciada como en TI. Cualquiera que rastree Internet en busca de redes BACnet no seguras, por ejemplo, las encontrará rápidamente -y con frecuencia-. Al mismo tiempo, la tecnología de los edificios no puede entregarse sin más a la administración de TI, probada en materia de seguridad, sin poner en peligro la garantía del fabricante del dispositivo. Por lo tanto, se necesitan formas pragmáticas de aplicar la nueva norma de forma que los operadores puedan utilizarla sin problemas. En consecuencia, ahora utiliza varios mecanismos que han demostrado su eficacia en la tecnología de la información.

Del centro al nodo

En primer lugar, la topología de la red cambia visiblemente con BACnet/SC. Anteriormente, la configuración inicial de la conexión en BACnet se realizaba con difusiones, a veces con el apoyo de los llamados dispositivos de gestión de difusiones BACnet (BBMD), un método que no es habitual en TI. Por este motivo, se optó por un enfoque diferente para la configuración: A cada red se le asigna un punto central, el llamado hub. Éste controla el tráfico de datos entre cualquier número de nodos (dispositivos finales). También analiza el tráfico de datos para determinar si la información debe reenviarse a un único nodo o a todos los nodos. También puede establecer una conexión directa para la comunicación directa entre dos nodos.

Al mismo tiempo, BACnet/SC contiene un mecanismo de conmutación por error que garantiza que el sistema siga funcionando incluso si el concentrador falla o se desconecta para realizar tareas de mantenimiento. Esta nueva topología simplifica considerablemente la configuración, la puesta en servicio y la gestión. Al mismo tiempo, los BBMD y su configuración pasan a ser superfluos.

Cifrado y certificados

Para la transmisión segura de datos se utiliza TCP (Protocolo de Control de Transmisión) con WebSocket, dos mecanismos fiables basados en el protocolo de Internet IP, que se utiliza prácticamente en todas las TI. TCP/IP sustituye a la capa de protocolo de red UDP (User Data Protocol) utilizada anteriormente por BACnet y TLS se utiliza para una comunicación a prueba de escuchas y manipulaciones. TLS (Transport Layer Security) también se utiliza ampliamente en TI como base para el acceso seguro a la web (https).

En lo que respecta a la encriptación, cabe señalar que debe crearse un procedimiento a nivel de toda la empresa para los certificados digitales necesarios. Las autoridades de certificación y registro responsables de Internet como parte de las infraestructuras de clave pública no están especificadas en BACnet/SC. Esto significa que un operador de BA puede tener en cuenta sus estructuras de red individuales.

Los mecanismos de seguridad se han definido como una capa de enlace de datos adicional en BACnet para facilitar su implementación en las redes existentes. El nuevo estándar también es compatible con la revisión 22 actual. Esto tiene la ventaja de que los equipos existentes pueden comunicarse con los nuevos dispositivos BACnet/SC a través de los routers correspondientes. Por tanto, la seguridad de la inversión está garantizada.

¡Empiece ya!

Sin embargo, ya es evidente que los primeros fabricantes están llegando al mercado con los dispositivos necesarios para que una red BACnet sea apta para SC. Por tanto, esperar y ver no es una opción. En su lugar, los operadores deben tomar medidas ahora, porque la seguridad no se crea simplemente configurando o añadiendo dispositivos BACnet con capacidad SC a una red. Más bien, primero es necesario crear una conciencia de seguridad que incluya a todas las personas involucradas con una red BACnet.

Los operadores también deben familiarizarse con los detalles de la Revisión 22 para planificar la transición: ¿Qué significa pasar de UDP a IP con TLS? ¿Qué es necesario desde el punto de vista técnico para que la transición sea lo más fluida posible? ¿Se necesitan dispositivos o líneas adicionales? ¿Qué hay que hacer para crear y firmar certificados digitales y cargarlos en los dispositivos de campo? ¿De qué herramientas se dispone para la transición? ¿Dónde se pueden aprovechar los mecanismos de la TI existente?

En cuanto a la nueva gama de productos, BACnet/SC es una tecnología que la mayoría de los fabricantes de BA implantarán en el futuro. Las empresas más pequeñas pueden ser más rápidas en comercializar nuevos productos que las grandes. También puede merecer la pena buscar fabricantes que hayan trabajado en la revisión actual. También puede ser útil para los operadores inmobiliarios buscar asesoramiento en cursos de formación generales o específicos de la empresa. De este modo, será posible utilizar BACnet/SC con éxito en su propia propiedad.

MBS está a la vanguardia

En lo que respecta a la nueva gama de productos, BACnet/SC es una tecnología que la mayoría de los fabricantes de BA implantarán en el futuro. MBS GmbH, que participó activamente en la revisión 22, también está actualizando sucesivamente sus productos. El año pasado, junto con Delta Controls, puso a disposición de todos los fabricantes un entorno de pruebas gratuito para la comunicación segura con BACnet/SC. Fue la primera cooperación alemana en ofrecer transmisión de datos encriptada a través de Internet para una red de pruebas distribuida.

Ya está disponible BACeye/SC, el popular software para el diagnóstico de redes que simplifica considerablemente la puesta en servicio, el mantenimiento, el diagnóstico y la reparación de redes para la automatización de edificios. BACeye/SC combina las características de la probada herramienta BACeye 2.0 con toda la gama de funciones BACnet/SC, como la restricción de acceso, la autenticación, la autorización y la encriptación. Puede utilizarse en entornos de comunicación protegidos y permite la navegación encriptada. Los productos de este tipo contribuirán al éxito del uso de BACnet/SC en su propiedad.