Ao escolher um sistema que permite controlar e/ ou automatizar as múltiplas funcionalidades dentro de uma casa ou de um edifício, é necessário avaliar vários aspectos: a confiabilidade do sistema, sendo que o KNX é um sistema aberto e padronizado em todo o mundo; que existem vários fabricantes que oferecem produtos e soluções com esta tecnologia e que contribuem de forma decisiva para a economia de energia; que é um sistema seguro; etc.. É, neste último aspecto, o da segurança, que vamos centrar-nos neste artigo elaborado pela Associação KNX de Espanha.
O sistema deve não só ser capaz de detectar perigos e riscos dentro da instalação (como vazamentos de gás ou água, fumaça, incêndio, intrusos, etc.), mas também oferecer segurança cibernética absoluta para a transmissão de dados, de forma a impedir o acesso não autorizado às informações transmitidas.
Actualmente, os sistemas de controlo e automatização processam, para além de, por exemplo, um simples liga/ desliga de uma luminária, dados e parâmetros altamente confidenciais, como é o caso do código para activar ou desactivar um alarme, ou o código para aceder a um edifício. Tendo em conta, além disso, que a comunicação através da Internet ou Wifi é hoje uma prática habitual, a vulnerabilidade destes sistemas é um factor a ser considerado. Para evitar o acesso não autorizado a estes dados e parâmetros, a KNX oferece o conceito "KNX Secure", que permite encriptar informações parciais (em instalações sem conexão externa) ou na sua totalidade (com comunicação via IP). Desta forma, nenhum intruso pode aceder ou manipular uma instalação com base no padrão global KNX. Este artigo apresenta 4 casos práticos reais que demonstram a eficácia do "KNX Secure".
CIBERSEGURANÇA
A segurança cibernética é uma questão atual em muitas facetas das nossas vidas: transações bancárias, compras online e dados pessoais em redes sociais são apenas alguns exemplos onde assumimos que as informações tratadas estão protegidas contra qualquer intrusão. A recente controvérsia no Facebook mostra-nos que, infelizmente, nem sempre é esse o caso. Teoricamente, qualquer sistema que utiliza um sistema de comunicação, com ou sem fios, pode ser atacado por um hacker. Portanto, um sistema de controlo e de automação residencial e para edifícios também, especialmente se houver uma comunicação para o exterior, por exemplo, via internet.
Mas vamos colocar os pés no chão: onde alguns já vêem um hacker sentado no telhado da sua casa para manipular a estação meteorológica e, assim, ter acesso ao barramento de comunicação, outros preferem simplesmente ignorar o problema. Bem, nem um nem o outro! Existem milhões de instalações que trabalham com toda a segurança necessária, especialmente se as medidas recomendadas pelos fabricantes ou fornecedores do sistema forem tidas em consideração. No entanto, existem algumas instalações onde o risco de um ataque é superior. Isto pode ocorrer, por exemplo, em instalações com alta flutuação de visitantes (exemplo: hotéis), em edifícios onde sistemas de alarme e controlos de acesso foram integrados (exemplo: escritórios), ou em instalações onde há alto tráfego de dados via internet.
Para estes casos, o KNX alargou o seu protocolo de comunicação com o sistema "KNX Secure". Este sistema permite encriptar parcialmente as informações (apenas dados úteis) no caso de instalações sem ligação externa (= KNX Data Secure), ou na sua totalidade, se existir uma comunicação via IP (= KNX IP Secure). Dessa forma, um hacker, mesmo que tenha acesso ao barramento, não consegue ler as informações transmitidas (porque não conhece o código de criptografia), nem pode enviar informações maliciosas ao barramento (já que os dispositivos não reconhecem a informação como sendo válida).
Os conceitos KNX Data Secure e KNX IP Secure (comunicação segura estão identificados a azul)
KNX Data Secure
Em instalações onde a segurança "única" é necessária na própria instalação, podem ser instalados os dispositivos KNX com a funcionalidade KNX Data Secure. O dispositivo emissor encripta parcialmente a informação KNX, envia-o através do bus e o dispositivo receptor descriptografa-o. Isso garante a comunicação segura entre todos os dispositivos com a funcionalidade KNX Data Secure.
Dispositivos com e sem essa funcionalidade podem coexistir sem nenhum problema na mesma instalação. Para que isso seja possível, somente os dados úteis da informação são criptografados deste modo, enquanto o resto das informações (especialmente o ID do remetente e do(s) destinatário(s)) permanecem abertas.
KNX IP Secure
Nos projetos em que as informações KNX devem ser enviadas pela Internet, é possível instalar acopladores com a funcionalidade KNX IP Secure. Neste caso, como a comunicação é entre o acoplador do emissor e o acoplador do receptor, não é necessário deixar os IDs dos dispositivos individuais abertos. Por outras palavras, nesta concretização, a informação que viaja através da Internet é criptografada na sua totalidade, o que impede uma pessoa não autorizada de ler o conteúdo da mensagem e, também, de fazer uma mensagem mal-intencionada dado que esta seria rejeitada automaticamente pelo receptor.
Algoritmo de criptografia
Numa instalação KNX podem coexistir o KNX Data Secure e o KKNX IP Secure em paralelo, conseguindo assim uma comunicação segura não só no interior da instalação, mas também através da Internet.
Para ambos, o KNX utiliza o algoritmo de criptografia AES128 de acordo com o padrão estabelecido na ISO/IEC 18033-3, usado por exemplo por bancos para transações financeiras. Esta é uma chave com um comprimento de 128 bits, e são utilizados vários métodos para a encriptação: substituição de bytes, mudança de filas, mix de colunas, AddRoundKey, etc.
Exemplos práticos
Os 4 exemplos que estão expostos abaixo são casos reais. Os detalhes técnicos da sua realização e os dispositivos específicos KNX Secure usados em cada projeto podem ser encontrados no pdf em inglês abaixo (por favor, clique sobre a imagem):
|
Integração segura do Smart Metering |
|
Impedir os hackers em hotéis |
|
Problemática Os dados relacionados com o consumo de gás, água e energia elétrica são confidenciais e devem ser protegidos contra terceiros não autorizados. A sensibilidade desses dados é que eles permitem conclusões sobre o comportamento dos utilizadores, bem como perceber se estes estão ou não ausentes das suas habitações. |
|
Problemática Nos hotéis pode encontrar 'personagens' que se presumem presumem poder violar o sistema de controlo dos quartos ou até mesmo de áreas do hotel. Com o KNX, isso será muito difícil, uma vez que uma instalação KNX executada tendo em conta as recomendações de segurança KNX, o evita. Como os ataques cibernéticos são cada vez mais sofisticados, a resposta do KNX é o KNX Secure.
|
|
Solução Uma comunicação IP KNX Secure é usada para o backbone IP Ethernet. No exemplo da figura 2, são mostradas três linhas TP para os vários medidores (gás, água e eletricidade), cada uma com uma interface KNX. Estas linhas estão conectadas pelos roteadores IP KNX Secure à infra-estrutura de comunicação pública (Smart Grid). |
|
Solução O uso de entradas binárias para chaves convencionais (luzes, persianas, etc.) é um método muito simples para evitar que intrusos acedam ao barramento de comunicação. Mas nem todos os dispositivos podem ser protegidos dessa maneira. O KNX Secure oferece métodos sofisticados e à prova de balas contra hackers. A Figura 3 mostra um exemplo de controlo de um quarto de hotel, onde as funções da própria sala estão conectadas a uma linha TP própria. Os acopladores de linha são programados usando o ETS e o conceito KNX Data Secure. A comunicação através da linha principal (backbone) é feita através de roteadores IP KNX Secure. |
|
Vantagem Até agora, os dados de consumo tinham que ser transmitidos usando métodos complexos e compatíveis com cada um dos provedores de serviços (gás, água, eletricidade). Com o KNX Secure, agora é possível transmitir informações confidenciais sobre o consumo de maneira simples e segura. |
|
Vantagem O IP KNX Secure é uma alternativa eficaz e económica para proteger a comunicação de um sistema de automação e controlo predial. Pode até atualizar instalações existentes sem grandes mudanças na fiação. A ferramenta ETS facilita a parametrização dos dispositivos KNX Secure.
|
|
Smart Metering numa aplicação KNX: os dados de consumo estão protegidos contra acesso não autorizado
|
|
Com os acopladores KNX Data Secure e os roteadores IP KNX Secure, os hackers não têm chance
|
|
Recarregar VE, com toda a segurança |
|
Armazenamento de energía |
|
Problemática Com a crescente demanda por mobilidade elétrica, também é necessário integrar as estações de carregamento para veículos elétricos numa instalação KNX. Num bloco de apartamentos, por exemplo, essas estações geralmente estão localizadas no estacionamento comum do prédio, ou seja, normalmente com pouca vigilância e, portanto, uma excelente oportunidade para os hackers. |
|
Problemática Cerca de 40% da energia é consumida em residências e edifícios, pelo que a economia de energia e eficiência energética são essenciais. Qualquer método para atingir esse objetivo é importante. Um desses métodos é o armazenamento de energia quando a demanda é baixa ou quando as empresas fornecedoras a oferecem a taxas reduzidas. Para isso, os elementos de armazenamento, geralmente baterias, devem receber informações tanto internas da própria instalação, quanto externas através de redes inteligentes (Smart Grid), que podem ser um gateway para hackers.
|
|
Solução Escusado será dizer que todas as medidas necessárias devem ser tomadas para que nenhum intruso tenha acesso físico ao barramento de comunicação. Mas mesmo assim, e especialmente se a comunicação for feita sobre IP, é prudente estabelecer segurança adicional. Neste exemplo, realizado num projeto real, todas as estações de recarga foram conectadas a uma linha TP usando dispositivos KNX Data Secure, o que impede que um hacker leia ou manipule os dados enviados ou emitidos pelas estações. Além disso, esta linha TP é conectada através de um roteador IP KNX Secure ao resto da instalação, conseguindo assim uma comunicação totalmente segura.
|
|
Solução O controlo e a automatização de edifícios é realizado com uma instalação KNX, utilizando dispositivos normais para as funções que não representam qualquer risco (ligar/ desligar luzes, levantar persianas, detectores de presença no interior, etc.). As funções que lidam com dados confidenciais, por exemplo, códigos de ativação/ desativação de alarmes, usam dispositivos KNX Data Secure. Toda a comunicação relacionada com o controlo das baterias é realizada através de uma linha TP própria, ligada ao resto da instalação através de um router IP KNX Secure. |
|
Vantagem O conceito KNX Secure permite que as estações de carregamento sejam integradas de forma simples, eficiente e económica, em instalações privadas, públicas ou semipúblicas. O status de cada uma das estações pode ser visualizado individualmente em cada residencia correspondente, sem que terceiros tenham acesso às informações.
|
|
Vantagem Com esta constelação, consegue-se uma transmissão segura, mesmo através de redes inteligentes. Nenhum intruso pode ler mensagens transmitidas ou inserir mensagens maliciosas. |
|
O KNX Secure permite integrar todas as aplicações de uma resiencia ou de um edifício, de forma simples e económica |
|
Gestão de energia sem intrusão: uso eficiente e seguro da energia |
Conclusão
Os hackers usam ferramentas e métodos cada vez mais sofisticados para aceder a informações e a dados. O uso indevido dessa informação é, infelizmente, um problema do qual nenhum sistema baseado em barramentos de comunicação escapa. Portanto, o KNX oferece a possibilidade de aumentar a segurança das suas instalações de tal forma que nenhum hacker possa ler ou manipular as mensagens que são transmitidas através do barramento de comunicação, seja com ou sem fios, mesmo que seja via Internet.
Os integradores especializados do KNX podem definir quando e quais as medidas necessárias para cada projeto.
Saiba mais informações sobre o webinar KNX que estamos a organizar e REGISTE-SE para participar