Nova construção. Inicialmente, novas redes de automação predial serão projetadas usando dispositivos BACnet disponíveis atualmente, bem como dispositivos recém-disponíveis com bacnet/SC ou prontos para BACnet/SC, com um plano para atualizar partes inseguras da rede à medida que novos dispositivos e atualizações de firmware forem lançados ao mercado. Estações de trabalho e controladores primários devem ser a primeira prioridade para integrações BACnet/SC, pois são mais propensas a estar em redes compartilhadas com acesso público, como redes corporativas ou internet, e há menos pressão para proteger redes no interior do edifício por enquanto.
Tenha em mente que a segurança do BACnet/SC não se estende a segmentos de rede não assegurados fora da parte lógica BACnet/SC da rede. Os métodos tradicionais de proteção de segmentos de rede OT inseguros, como VLANs e VPNs, ainda precisam ser usados até que toda a rede esteja protegida com total compatibilidade BACnet/SC. Os métodos tradicionais de proteção de redes devem ser mantidos no local para fornecer uma camada adicional de segurança mesmo depois que um sistema BACnet/SC completo seja implantado, desde que não impeça a interoperabilidade e a acessibilidade de dados que suportem metas inteligentes de construção.
Colaboração de IT e OT
Os profissionais de IT e OT vão precisar trabalhar em conjunto para implantar redes seguras de automação de edifícios inteligentes que aproveitam a BACnet/SC. Com o BACnet/SC, redes OT anteriormente separadas, como HVAC, energia, iluminação, controle de acesso e fogo podem convergir e as práticas recomendadas de IT, incluindo segurança cibernética e gerenciamento de certificados, podem ser implementadas nesta nova rede OT segura.
Em nova construção, a BACnet/SC também permite que a TI e o OT projetem toda a infraestrutura de IP de construção em conjunto, levando em consideração os requisitos gerais de largura de banda do edifício. Executar as redes anteriormente separadas na mesma infraestrutura física, com algumas táticas de segurança cibernética bem estabelecidas, como firewalls entre IT e OT no local, mantém a máxima segurança da rede. A convergência de rede de IT/OT elimina o custo e a complexidade da execução de segmentos de rede separados e permite um melhor monitoramento de rede e o fluxo de trabalho de gerenciamento, ao mesmo tempo em que permite que aplicativos inteligentes de construção que requerem o fluxo de dados em toda a organização.
Projetando a Rede BACnet/SC
Os edifícios que contêm uma mistura de redes BACnet com BACnet/IP, BACnet MS/TP e BACnet/SC não são inerentemente seguros. A simples adição de BACnet/SC não protegerá toda a rede, uma vez que a mesma camada física – Ethernet e camada de rede – é provável que o IP seja compartilhado com o protocolo BACnet/IP inseguro. Isso significa que, inicialmente, as redes OT serão projetadas muito como foram projetadas hoje. Nessas redes, a comunicação BACnet/SC só é segura entre o hub BACnet/SC e os dispositivos de nó. Por enquanto, essas redes mistas devem ser tratadas como uma rede BACnet/IP não segura até que um sistema BACnet/SC completo seja alcançado ou até que os firewalls BACnet sejam introduzidos. Outra opção para proteger segmentos de rede é o uso de roteadores e firewalls com inspeção profunda de pacotes ou outras práticas de TI para gerenciar o tráfego de rede. O BACnet/SC melhora drasticamente a segurança da rede OT, mas por si só não é uma bala de prata. O BACnet/SC fornece um poderoso conjunto de ferramentas a serem incorporadas em uma abordagem de defesa multicamadas em profundidade, o que pode fortalecer significativamente a segurança cibernética do edifício.
Saiba mais sobre a integração do BACnet/SC em um plano de segurança abrangente do nosso white paper, "BACnet Secure Connect: A próxima geração de segurança OT para operações de construção".
Publicado em: 26 de janeiro de 2022