Sovint ens centrem en matèria de Ciberseguretat fent referència a aquells equips i sistemes que intervenen en els processos productius o entorns de control i automatització. No obstant això, les fàbriques no només són PLCs, HMIS, Workstations, sensors o actuadors. Depenent de l’activitat i la grandària, compten amb altres elements que també contribueixen al fet que es garanteixi la disponibilitat. Em refereixo a sistemes de refrigeració, extinció de focs, climatització, muntacàrregues, etc. els quals poden ser gestionats per mitjà d’el protocol BACnet.
Habitualment els veiem referenciats en els anomenats “Edificis Intel·ligents”, però, el seu ús ni és exclusiu d’ells ni és una cosa relativament nou. La gestió d’edificis ve donada per les sigles BMS, Building Management System distingint entre edificis d’habitatges o edificis industrials. En general, els sistemes BMS integren un conjunt de subsistemes encarregats dels sistemes de control d’il·luminació, antiincendis, alarmes, elevadors, ventilació, temperatura, etc. Si bé molts d’ells són comuns a tots dos entorns no podem dir que són similars ja que les aplicacions i abast són diferents.
Ara bé, a l’igual que PLCs, HMIS, i altres dispositius, aquests sistemes han de comunicar-se entre si per al seu propi funcionament i gestió. En aquest sentit, un dels protocols empleats és BACnet, Buiding Automation Control Network. Desenvolupat el 1987, ha estat un ANSI i ISO estàndard des de 1995 i 2003, respectivament. Encara que el seu manteniment és continu, el propòsit de BACnet és proporcionar interoperabilitat entre sistemes i dispositius en aplicacions de control i automatització d’edificis, mitjançant un protocol de comunicacions estàndard.
Com molts d’altres, cada dispositiu BACnet és una combinació de maquinari i programari, trobant com a norma general en forma de controlador, passarel·la o interfície d’usuari. Cada un d’ells disposa d’un identificador o número d’instància únic que l’identifica i diferencia dels existents a la xarxa a part d’altres amb informació relativa a les entrades i sortides que monitoritza i controla.
Dins BACnet podem trobar 3 conceptes clarament diferenciats, objectes, Propietats i Serveis.
Tota la informació continguda dins d’un dispositiu BACnet és ordenada com a objectes, el qual el converteix en un protocol orientat justament a això mateix, a objectes. Cada “Objecte” representa un component de ‘propi dispositiu o un conjunt d’informació que pot ser sol·licitada per un altre a través de mitjans com Ethernet, IP, RS-485, etc.
El protocol defineix un total de 54 tipus d’objectes per als usos més comuns cobrint així la majoria de les necessitats. No obstant això, dóna la possibilitat de crear-ne de nous per no interferir sobre aquells usos més concrets o aplicacions propietàries.
La imatge mostra l’arquitectura i interoperabilitat entre els diferents elements que defineixen el funcionament d’el protocol per a la gestió i automatització d’edificis BACnet.
Cada objecte té un identificador de 32 bits el qual conté un codi per al tipus d’objecte i el nombre d’instància d’aquest objecte.
Amb independència d’el propòsit o funció, cada “Objecte” posseeix un conjunt de “Propietats”. Cadascuna d’elles contindrà dues parts, un identificador i un valor. L’identificador són nombres que la defineixen de forma única en l’àmbit d’el tipus d’objecte; i el valor, la magnitud de la mateixa. Després, aquesta informació podrà ser tant de lectura com d’escriptura.
Si unifiquem tots dos conceptes, podem dir que cada “Objecte” inclouen “Propietats” que determinen les seves capacitats, operació i informació associada.
Com hem dit anteriorment els dispositius interactuen entre si per a la seva operació. Quan un equip es comunica amb un altre per dur a terme una determinada acció, ho fa a través dels anomenats “Serveis”. Els serveis són agrupats en 5 categories segons la seva funcionalitat:
Object access (lectura, escriptura, creació, esborrat)
Device management (descobriment, sincronització horària, inicialització, còpia de seguretat i restauració)
Alarm and event (alarmes i canvis d’estat)
File transfer (Tendència de dades i canvi de programa)
Virtual terminal (interfície home-màquina per mitjà de menús o similar)
Cada dispositiu envia les peticions emprant missatges convenientment estructurats tant en la pregunta com en la resposta. Els missatges són codificats en un stream numèric definint les funcions que s’han de dur a terme.
Perquè aquests missatges puguin enviar i rebre, s’estableixen diversos mitjans de transport:
BACnet / IP
BACnet ISO 802-3 (Ethernet)
BACnet MS / TP (Master-Slave / Token Passing)
BACnet over ARCNET
BACnet Point-to-Point (EIA-232 and Telephone)
BACnet over LonTalk Foreign Frames
BACnet over ZigBe
Cadascun d’ells són una combinació de capes físiques i enllaç de dades. No obstant això, el missatge BACnet és independent d’el mitjà emprat podent haver-hi al seu torn passarel·les referenciades com “Routers” que puguin combinar cadascun dels mitjans. No obstant això, seran els dos primers els que reclamen més la nostra atenció ja que proporcionen integració amb xarxes tradicionals.
BACnet / IP proporciona connectivitat a nivell de capa 3 podent ser els equips accessibles des de diferents xarxes IP. Quan aquest mitjà és emprat amb múltiples subxarxes, és necessari l’ús d’una funcionalitat especial denominada BBMD, Broadcast (Management Devices), equip emprat per administrar els missatges broadcast entre subxarxes.
Aquest recull aquests missatges i els redistribueix a un altre BBMD ubicat en una altra xarxa mitjançant missatges unicast.
Mentre que, BACnet ISO 802.3, similar a l’anterior, però limitant les comunicacions a nivell de capa 2.
Ara bé, tenint en compte els conceptes sobre dispositius, objectes propietats, serveis i la forma en què transmetre els missatges, BACnet proporciona capacitats funcionals les quals són denominades com “Interoperability Àrees”. Existeixen un total de 5:
Data Sharing, intercanvi d’informació entre dispositius. El missatges poden ser prioritzats en funció de la seva propietat, a més de ser de lectura o lectura / escriptura.
Trending, visualització dels valors recollits i graficados per determinar tendències.
Scheduling, programació de tasques a executar en moments o intervals concrets.
Alarm & Event Management, intercanvi d’informació relatiu a alarmes o esdeveniments.
Device & Network Management, permet el descobriment de dispositius, objectes dins d’ells, establiment i reconnexió en cas de caiguda de comunicació, sincronització horària i reinici.
Aquestes àrees estan definides dins de BACnet com BIBB, “BACnet Interoperability Blocks”.
Ja que BACnet és un estàndard, els diferents fabricants d’equips han de garantir que els seus productes suporten certs requisits per poder operar entre ells.
Per això, han de complir amb el que defineix el que s’anomena “Protocol and Implementation and Conformance Statement”, PICS; una fitxa tècnica amb diferent informació i entre ella, els diferents BIBB suportats perquè puguin ser comparats i garantir el seu funcionament.
És importar ressaltar que els missatges poden ser dotats d’una “Prioritat” depenent el tipus de missatge i la informació que transporta. Es defineixen un total de 16, sent les dues primeres relatives a qüestions de “Safety”, “Manual Life-Safety” i “Automatic Life-Safety”.
És important remarcar que el seu ús pot no estar necessàriament associat a edificis d’habitatges sinó també a entorns industrials. Aquests també disposen de sistemes de refrigeració, sensors de fums, muntacàrregues, etc. depenent, és clar, de la mida i l’activitat. Podran emmagatzemar productes químics que hagin de ser emmagatzemats sota unes condicions de temperatura determinada; entorns on la qualitat de l’aire hagi de ser única havent accionar els sistemes de ventilació sota unes circumstàncies concretes; controlar la il·luminació d’un pavelló en diferents franges horàries, entre moltes altres. Algú s’imagina els efectes que pogués tenir si alguna cosa o algú, pogués alterar a les dues de la matinada la il·luminació de part o tota una nau de producció i els operaris no poguessin treballar? I pitjor encara, com o per què es genera aquesta situació si no es pot acotar la causa que l’origina. No estem parlant d’un fet amb unes conseqüències greus, però sí amb impacte sobre l’activitat de la pròpia empresa.