Fagartikkel: IIoT og sikkerhet - Elektronikknett
Linear-DN20-Fig1
Tett med metall og betong - Trådløse noder må være pålitelige selv om de er omgitt av utstyr i metall og distribusjonsrør for gass.

Fagartikkel: IIoT og sikkerhet

Sikkerhet og pålitelighet er sentralt i trådløse nettverk for industriell IoT. Men hvordan fungerer det i praksis?

Industriell Internet of Things (IIoT) krever trådløse sensorer og kontrollnoder som brukes i en rekke applikasjoner fra fabrikker og prosessanlegg til energieffektive bygninger, smarte parkeringsapplikasjoner og kommersielt landbruk. I alle disse applikasjonene forventes det at trådløse løsninger for industriell IoT er i drift i mange år, ofte i krevende RF-miljøer og ekstreme atmosfæriske forhold. Til forskjell fra forbrukerapplikasjoner, hvor kostnad ofte er det viktigste, har industrielle applikasjoner pålitelighet og sikkerhet på topp av listen.

Valg av plattform
I en global undersøkelse utført av OnWorld omkring industrielle trådløse sensornettverk (wireless sensor network - WSN), ble nettopp pålitelighet og sikkerhet nevnt som det aller viktigste. Dette er ikke overraskende når man tenker på at bedriftens inntjening, kvalitet og effektiv produksjon av varer, i tillegg til sikkerhet for arbeiderne, er avhengig av disse nettverkene. Faktisk så identifiserte løsningsleverandører av industriell IoT at valg av WSN-plattform hadde en sentral rolle når det gjelder hvor vellykket virksomheten er. Denne artikkelen forklarer viktigheten av pålitelige data og nettverkssikkerhet i industrielle IoT-applikasjoner, undersøker virkelige case-studier og tar for seg viktige hensyn som må tas når man velger en trådløs løsning for industriell IoT.

Datapålitelighet

Linear-DN20-Fig2 Figur 2 Nettverkspålitelighet under Electronica 2016 - Selv med over 50 WiFi-nettverk, leverte SmartMesh IP-nettverket over 75,5 Mbit data (104,958 pakker med 90-byte last) med 100% datapålitelighet.

I et industrielt anlegg eller fabrikk, er behovet for høy pålitelighet godt forstått, siden tap av et enkelt datapunkt kan resultere i at fabrikken stanser eller man møter sikkerhetsproblemer. I et bredt utvalg av industrielle applikasjoner, selv om periodiske tap av datapakker kan tolereres, er lengre perioder med kommunikasjonsstopp ikke akseptert. Selv en datafeilrate på 1% er for høy, siden det tilsvarer 3,65 dager i året med uforutsett nedetid. Leverandører av industrielle IoT-løsninger har registrert at bare en halv dag med nedetid resulterer i rasende kunder og betydelige kostnader for en tekniker som må besøke anlegget. Dersom et utfall skjer for andre gang, er det sannsynlig at de mister kunder. Derfor krever ofte industrielle applikasjoner >99.999% datapålitelighet for å takle de forskjellige RF-problemene de vil møte over flere år med drift.

Redundans
For å få et trådløst nettverk til å kjøre nær vedlikeholdsfritt over mange år, må det konstrueres med flere tiltak for å hindre problemer. Et viktig prinsipp for design for pålitelighet i nettverk er redundans der mekanismer tar høyde for sannsynlige problemer, og gjenoppretter data uten tap. I et trådløst sensornettverk er det to muligheter for å sikre dette. Først kommer konseptet spatiell redundans. Dette betyr at hver trådløse node har minst to andre noder å kommunisere med, og har et ruteskjema som tillater at data videresendes til en av nodene samtidig som endelig bestemmelsessted sikres. Et godt mesh-nettverk – der hver node kan kommunisere med to andre nærliggende noder – har større pålitelighet enn et punkt-til-punkt-nettverk ved at data sendes automatisk til en alternativ bane dersom første bane ikke er tilgjengelig.

Flere kanaler
Det andre redundansnivået kan oppnås ved å bruke flere kanaler tilgjengelig i RF-båndet. Kanalhopping sikrer at nodepar kan skifte kanal ved hver sending og på denne måten unngår midlertidige problemer med en hvilken som helst kanal i krevende RF-miljøer med stadige endringer. I IEEE 802.15.4 2,4GHz-standarden, er det femten spredt-spektrumkanaler tilgjengelig for hopping, slik at kanalhoppesystemene er mye mer motstandyktige en enkeltkanalsystemer. Det er flere trådløse mesh-nettverksstandarder som har denne doble romligheten og kanalredundans. Disse er kjent som «Time Slotted Channel Hopping» (TSCH), og inkluderer blant annet IEC62591 (WirelessHART) og den kommende IETF 6TiSCH-standarden. Disse mesh-nettverksstandardene utnytter radio i det ulisensierte 2,4 GHz-båndet,og oppsto i 2002 etter arbeid av Dust Networks-gruppen. Disse pionerte bruken av TSCH-protokoller i lavenergi og ressursbegrensede enheter gjennom deres såkalte SmartMesh-produkter. Dust Networks er nå en del av Analog Devices' Power by Linear.

Nettverksstyring
Mens TSCH er en essensiell byggeblokk for datapålitelighet i krevende RF-miljøer, er bygging og vedlikehold av mesh-nettverket viktig for kontinuerlig, problemfri drift over flere år. Over sin levetid vil et industrielt trådløst nettverk bli utsatt for mange og svært forskjellige RF-utfordringer og krav til sending av data. Derfor er den siste ingrediensen som sikrer en nær trådbundet pålitelighet, et intelligent nettverksstyringsprogram som dynamisk optimaliserer nettverkets topologi og kontinuerlig overvåker kvaliteten i forbindelsen. Dette for å sikre gjennomkjøring tross interferens eller endringer i RF-miljøet.

Case Study#1 – TSCH-nettverk i en halvlederfabrikk

Tabell1 Tabell 1 Nettverksstatistikk - SmartMesh IP Network ved Power by Linear's skivefabrikk

Analog Devices’ Power by Linear Group’s TSCH-baserte SmartMesh IP er innført i deres halvlederfabrikk (fab) i Silicon Valley for å overvåke trykket i hundrevis av spesielle gass sylindre brukt i forbindelse med etsing- og vasketrinn i produksjon av halvlederskiver. Tidligere ble hver sylinder sjekket manuelt tre ganger daglig, tilsammen fire timer manuelt arbeid hver dag. Et SmartMesh IP-nettverk ble installert for å automatisere målingene og sende resultatet direkte til fabrikkens kontrollsenter programvare. I gass-bunkeren var 32 trådløse noder installert, der hver node målte et par sylindre for trykk og regulert trykk. Nettverket genererer 3 kilobit sensordata per sekund. RF-forholdene i fabrikken er typisk for et industrielt miljø, med trådløse noder omgitt av metall og betong, og personell og utstyr flyttes stadig i løpet av dagen. Nettverket har vært i kontinuerlig drift i 83 dager, har sendt over 18,8 gigabit data og har en pålitelighet på mer enn 99,99999%

Case Study#2 – TSCH-nettverk under Electronica 2016

Linear-DN20-Fig3 Figur 3 Industriell WSN-sikkerhet - gir konfidensialitet, Integritet og autentisering av industrielle data.

Messelokaler er kjent for å ha et støyete RF-miljø og er derfor utmerket til å teste WSN-pålitelighet. Under Electronica 2016, verdens største messe for elektronikkomponenter, demonstrerte belgiske VersaSense sitt SmartMesh IP-baserte trådløse system. RF-miljøet var ekstremt støyete med 52 WiFi-nettverk i drift, i tillegg til de mange tusen mobil- og Bluetooth-enheter som de besøkende bar med seg. I løpet av messens tre dager sendte VersaSense over 75,5 Mbit data med en pålitelighet på 100%.

Betydningen av nettverkssikkerhet
Sikkerhet er et annet kritisk element i et industrielt trådløst nettverk. De viktigste målene for sikkerhet innenfor WSN er:

  • Konfidensialitet: Data transportert over nettverket kan ikke bli lest av andre enn den tiltenkte mottakeren.
  • Integritet: En hver melding mottatt bekreftes å være nøyaktig lik meldingen som ble sendt, uten tillegg, mangler eller modifikasjon av innholdet.
  • Autensitet: En melding som hevder å komme fra en gitt kilde, faktisk er fra den kilden. Dersom man bruker tid på autentiseringsplanen, vil den også beskytte en melding fra å bli kopiert og brukt igjen.

Hemmelig info
Konfidensialitet kreves, ikke bare for sikkerhetsrelaterte applikasjoner, men også i daglige applikasjoner. For eksempel kan sensorinformasjon om produksjonsnivå eller utstyrsstatus ha en viss konkurransefølsomhet. Amerikanske National Security Agency (NSA) publiserer for eksempel ikke energiforbruket i sine datasentre, siden det kan brukes til å estimere dataressursene.

Kryptering
Sensordata bør krypteres så bare tiltenkt mottaker kan bruke dem. Både sensor- og kommandoinformasjon må ankomme intakt. Dersom en sensor sier "tanknivået er 72 cm", eller kontrolleren sier "vri ventilen til 90 grader", er det en dårlig løsning dersom en av bitene faller bort i noen av disse tallene.

Å ha tillit til meldingskilden er kritisk. Begge meldingene over kan få store konsekvenser dersom de ble sendt fra en ondsinnet angriper. Et ekstremt eksempel er en melding som "her er et nytt program du skal kjøre."

Nyere metoder
Kritiske sikkerhetsteknologier som må bygges inn i en WSN for å takle disse målene er sterk kryptering (f.eks. AES128) med robuste nøkler og administrasjon, generatorer for tilfeldige tall som i kryptografi kvalitet avviser angrep, meldingsintegritets kontroll og tilgangskontrol lister for eksplisitt å tillate eller nekte tilgang til spesifikke noder. Disse nyeste trådløse sikkerhetsteknologiene kan allerede være installert i dagens WSN, men ikke alle WSN-produkter og protokoller har dette innebygget. Merk at å kople opp et sikkert WSN til en usikret gateway er et annet sårbart punkt. Derfor må ende-til-endesikkerhet vurderes i systemdesignet.

Hvilke data er sårbare?
Konsekvensene av dårlig sikkerhet er ikke alltid lett å forutse. For eksempel kan en trådløs temperatursensor tilsynelatende være et produkt som ikke krever stor sikkerhet. Men, tenk deg en avisoverskrift som beskriver hvordan kriminelle brukte en radio for finne "ferie"-settingen i termostaten og ranet huset mens eierne var borte. Innvirkningen på kundelojalitet, ikke minst salg, ville blitt dramatisk. Den sikreste veien er å kryptere alle data.

Kostbare konsekvenser
I industriell prosessautomatisering kan konsekvensene fra et angrep bli mer kostbar enn tapet av en kunde. Med feil prosesskontroll informasjon levert til styringssystemet, kan en angriper forårsake fysisk skade. For eksempel hvis en sensor mater inn data til en motor eller en ventil og sier at motorhastighet eller tanknivå er for lavt, kan det føre til katastrofale feil, i likhet med det som skjedde i atomanlegget i forbindelse med Stuxnet-angrepet. På et rent praktisk nivå kan selv et angrep som feiler eller en akademisk avsløring av en potensiell svakhet føre til salgstap, hasteoppdrag for teknikere og en stor utfordring med hensyn til bedriftens renommé.

Iverksette nye industrielle IoT-løsninger
Høy pålitelighet og nettverkssikkerhet er kritiske krav, ikke bare i sikkerhetsrelaterte applikasjoner og instillinger i industriprosesser, men for alle industrielle IoT-applikasjoner. Heldigvis er felttestede WSN-løsninger tilgjengelig som gjør at leverandører av industrielle IoT-løninger kan levere systemer som fungerer og er pålitelige i krevende miljøer over mange år.

Kommentarer