SCADA, entre el 'Cloud' y el 'Edge'

Los últimos años en el mundo industrial y de las infraestructuras han venido cargados de novedades y conceptos nuevos como “Cloud” y “Edge Computing”, con nuevos jugadores y tecnologías de vanguardia que parecía podrían desplazar a los sistemas SCADAS tradicionales. Sin embargo, nada más lejos de la realidad, dichos sistemas se han adaptado a las nuevas demandas de la industria conectada y son ya una pieza clave para la integración OT/IT en las plantas de fabricación e infraestructuras. A continuación, vamos a repasar esas características de vanguardia que dotan a los SCADAS de lo necesario para afrontar con éxito los nuevos retos que se plantean y las vamos a condensar en 4 grupos: tecnológicas, soporte multiplataforma, conectividad y ciberseguridad.

Empecemos por la parte de la tecnología, los sistemas SCADA están diseñados para entornos industriales, por lo que algunas de sus características más definitorias son la robustez, un entorno de programación/configuración amigable para los operadores que no tengan conocimientos profundos en lenguajes de programación de alto nivel, la ciberseguridad, y su ciclo de vida, más largo que el de las soluciones IT típicas.

Esto ha implicado que la adopción de nuevas tecnologías haya sido más lenta que en otro tipo de soluciones, donde no primaban esos requisitos anteriormente expuestos.

Pero al final todo llega, y los sistemas SCADA ya no son ajenos a la influencia que la tecnología de la web 2.0 ha tenido en la industria. Tres son las tecnologías mas destacables, JS, SVG y HTML5.

Con JS vamos a disponer de un lenguaje de alto nivel, de uso común en el mundo IT y que nos va a permitir que nuestras aplicaciones puedan ejecutarse en clientes web sin necesidad de esfuerzos adicionales, además de permitirnos crear nuestros propios controles inclusive en 3D con herramientas como Unity. Con SVG disponemos de una potente herramienta para diseñar nuestros símbolos de proceso dinámicos y actos para la web y HTML5 nos permite que nuestro SCADA actúe como servidor web para que cualquier navegador pueda funcionar como cliente sin ningún tipo de instalación adicional. Todo ello cumpliendo con los estándares de ciberseguridad que marca la IEC 62443.

Por la parte de la base de datos también es importante destacar los avances tecnológicos en este punto, los sistemas SCADA de última generación disponen de las últimas novedades en bases de datos de tipo SQL, (SQLite, MS-SQL, PostgreSQL…) las cuales son imprescindibles en algunos entornos donde la fiabilidad y autenticidad del dato es más importante que el uso masivo de los mismos como pueden ser el sector farmacéutico.

Pero solo con bases de datos SQL no cubriríamos todo el rango de aplicaciones que nos va a demandar la industria cuando lo que prima es la gestión masiva de datos. Para poder manejar datos captados por dispositivos IoT eficientemente se necesita una base de datos que pueda manejar múltiples series de datos con un rendimiento altísimo en lectura/escritura, lo cual hace a las bases de datos SQL no aptas para ese propósito.

 Las bases de datos NoSQL, como influxDB están perfectamente capacitada para esa tarea además de disponer de las herramientas para una implementación y configuración rápida a diferencias de otras soluciones de código abierto disponibles que requieren esfuerzos muy importantes para su despliegue.

Para soluciones IoT típicas, un SCADA de última generación como puede ser WinCC OA ya permite implementar soluciones “Data Lake” para captación y explotación masiva de datos de producción de la mano de influxDB. 

El soporte multiplataforma es también otro requisito para poder implementar soluciones escalables y flexibles que se demandan cada vez más. Lejos están los tiempos en que era raro pensar en una solución SCADA que no corriera sobre un S.O. dedicado de Windows. Hoy en día se debe disponer de soporte multiplataforma para adaptarnos a diferentes entornos desde S.O. basados en Linux, en la nube, en el propio PLC o incluso que nuestra aplicación corra como una App de un sistema Edge. Esto nos permite ubicar nuestro SCADA desde pie de máquina a la nube en función de la exigencia de nuestras aplicaciones, pero con un único interfaz de programación y configuración facilitando la implementación rápida de soluciones en cualquier entorno.

La conectividad es otra demanda de cualquier sistema SCADA actual. Todo tiene que estar conectado en la era de la digitalización. No solo la conectividad a campo, la cual se le supone, ya sea vía OPC o con los protocolos mas habituales como son Profinet, Modbus TCP, Ethernet IP… si no la conectividad vertical a sistemas IT, tanto para computación local en sistemas MES o Edge o para computación en la nube.

Dentro de estas capacidades destacaremos dos tecnologías: MQTT (Message Queing Telemetry Transport) y API REST que dotan al SCADA de conectividad con sistemas basados en “Cloud” y/o le permiten actuar como dispositivo IoT Edge. MQTT es un protocolo de comunicación M2M (machine-to-machine) muy utilizado en IoT. El broker es la parte central de la arquitectura MQTT y todos los mensajes pasan por él. Los dispositivos MQTT utilizan una topología en estrella, es decir, todos se conectan directamente al broker que hace de servidor. Cada mensaje de un dispositivo se envía a los receptores que se hayan suscrito a una publicación concreta. El broker se encarga de distribuir los mensajes a los receptores. Al envío se le denomina publicar y a la recepción del topic o mensaje suscribirse.

API REST o API de RESTful es el estándar de arquitectura REST para el intercambio de información para la Web 2.0.  Las características principales son las siguientes:

Conexión cliente-servidor libre. El cliente no necesita saber los detalles de la implementación del server, y este tampoco debe preocuparse por cómo se usan los datos que envía.

Cada petición enviada al servidor es independiente.

Compatibilidad con un sistema de almacenamiento en caché.

Cada recurso del servicio REST debe tener una única dirección, manteniendo una interfaz genérica.

Un ejemplo de esto lo tenemos con WinCC 7.5 que de forma nativa incluye soporte para conectividad API REST y MQTT con algunas de las plataformas “Cloud” mas habituales del mercado como son Azure, AWS, Alibaba Cloud…

Sin embargo, esta tendencia a sistemas interconectados tiene una desventaja significativa en forma de mayor vulnerabilidad a los ataques cibernéticos.

La integración completa y los estándares de comunicación abiertos hacen al SCADA significativamente más accesible para los atacantes. La realidad actual es que todos los sistemas industriales, administrativos y de infraestructura están expuestos a ataques ejecutados profesionalmente. La cambiante situación de amenaza requiere un replanteamiento fundamental de la ciberseguridad.

Las plantas industriales e instalaciones de infraestructura críticas requieren soluciones especiales de seguridad de IT y OT que garanticen la disponibilidad ininterrumpida de la planta, la capacidad en tiempo real de los IACS críticos, y la protección integral y constantemente actualizada contra amenazas.

Estos requisitos pueden cumplirse mediante procedimientos coordinados, ampliamente diversificados y conceptos integrales con componentes y sistemas adecuados para la industria.

En este sentido, es necesario implementar la llamada defensa en profundidad concepto, estandarizado en IEC 62443 y proporcionado por Siemens como proveedor líder de sistemas servicios y soluciones IACS.

La IEC 62443 define un marco para que tanto el operador el instalador y el proveedor de sistemas SCADA puedan implementar, documentar, probar y mantener medidas organizativas y técnicas.

Propietario de activos / empresa operadora

• Implementación de un sistema de gestión de seguridad de la información.
• Definición de las metas de protección para las respectivas plantas.
• Definición de los requisitos de seguridad para la respectiva planta.
• Gestión de parches para el sistema de control de la planta respectiva

Proveedor de soluciones y servicios

• Disponer de un proceso de solución de gestión e ingeniería (certificado)
• Diseñar la arquitectura del sistema seguro de la solución del cliente.
• Preparar la documentación del cliente relevante
• Manejo de incidentes y vulnerabilidades durante la ejecución del proyecto
• Gestión de parches para todos los productos utilizados en la solución durante el proyecto.

Proveedor de productos y sistemas (proveedor SCADA)

• Disponer de un proceso de desarrollo (certificado) para los productos
• Desarrollo de productos con funcionalidades de seguridad
• Manejo de incidentes y vulnerabilidades
• Gestión de parches para producto propio

Un ejemplo de la importancia de esto lo tenemos en la reciente vulnerabilidad descubierta a nivel mundial en la librería Log4Shell. Los piratas pueden usarlo como su puerta de entrada a los sistemas informáticos.

Los servicios de Apple y Amazon, que muchas personas usan, se ven afectados por "Log4shell", pero también los productos de Siemens. Uno de los mayores problemas ha sido conocer si alguno de nuestros sistemas y o componentes utilizaban esta librería de código abierto.

En este tipo de situaciones es vital contar con un proveedor que disponga de un centro de respuestas ante estas amenazas para investigar la afectación en sus productos como es Siemens ProductCERT que rápidamente sacó un listado de productos afectados, entre los que no se encontraba WinCC, y disponer de una respuesta rápida en caso de vulnerabilidad para liberar el parche correspondiente lo antes posible.

Toda la información oficial relacionada se puede encontrar en la página web del Producto-CERT: https://www.siemens.com/cert

Si desea mantenerse al día con las actualizaciones sobre la información de vulnerabilidad en los productos Siemens, también puede suscribirse a la lista de correo de aviso de Siemens: https://new.siemens.com/global/en/products/services/cert.htm...

Guías de seguridad para paneles de operador SIMATIC HMI y SIMATIC WinCC Unified:

https://support.industry.siemens.com/cs/es/en/view/109481300 

Diego Muñoz López,
Product Manager HMI/SCADA
Siemens S.A.

Págs. 41.a 43