• Sesión Divulgativa ofrecida dentro de la Conferencia Anual 2016 de ISA España

Introducción

La cuarta revolución industrial o Industria 4.0 [1] está cambiando la forma de trabajar de las organizaciones vinculadas al sector industrial. La adopción de paradigmas tecnológicos como Cloud Computing, Big Data, IoT (Internet of Things), M2M (Machine To Machine), IIoT (Industrial Internet of Things), etc; el despliegue de programas de mejora continua de la productividad y el diseño de programas de formación continua a todos los actores involucrados en la cadena de suministro, son tan sólo algunos de los factores que caracterizan a este nuevo modelo que persigue crear “fábricas inteligentes”. Para alcanzar este objetivo, es necesario apoyarse en una arquitectura de referencia y en normas que ayuden a estandarizar la forma en la que las organizaciones industriales llevan a cabo la transición de una industria automatizada (ó 3.0) a una industria inteligente (ó 4.0).

La incorporación de las tecnologías, modelos y paradigmas que ayudan a crear fábricas autónomas y ágiles a las fábricas actuales debe realizarse de forma segura. En este contexto, se ha propuesto una primera arquitectura de referencia para la Industria 4.0, denomina RAMI 4.0 [6], en la que se identifica la norma IEC 62443 [9] como el marco de trabajo idóneo para que la industria del futuro no sólo funcione de forma inteligente, sino que funcione de forma segura. En esta extensa norma se definen los conceptos de zona, conducto y canal como elementos clave para que los activos que concurren en un entorno industrial dispongan de los niveles de seguridad adecuados.

Teniendo en cuenta este escenario, la principal aportación de este artículo es la de realizar una propuesta de cómo definir las zonas, conductos y canales siguiendo las recomendaciones de la IEC 62443 en una organización que decide abordar una iniciativa de Industria 4.0 y que está preocupada por la seguridad de sus activos.

Para ello se realiza en primer lugar una explicación de qué se entiende por Industria 4.0, qué relación tiene la ciberseguridad con este nuevo paradigma y se introduce la primera arquitectura de referencia para la Industria 4.0 (denominada RAMI 4.0). A continuación en las Secciones 5 y 6 se profundiza en el alcance de la norma IEC 62443, para en la Sección 7 proponer qué aspectos clave deben considerarse a la hora de definir zonas, conductos y canales en un contexto de Industria 4.0.

Con el objetivo de entender de forma práctica cómo se realizaría este proceso de definición en una Industria 4.0, en la Sección 8 se presenta un caso de aplicación real en una industria cervecera. Por último en la Sección 9 se resumen las principales conclusiones de esta investigación y algunas líneas de trabajo futuro.

La Industria 4.0

Desde finales del siglo XVIII la evolución y crecimiento de la industria se ha debido principalmente a la existencia de cuatro revoluciones. La primera revolución tuvo lugar entre los años 1870 y 1900, cuando se empezaron a utilizar máquinas de vapor para elaborar productos. La segunda tuvo como hito clave la introducción de la electricidad en las cadenas de producción. Fue en 1969, cuando con la aparición del primer autómata programable (PLC), denominado Modicon 084, se utilizó por primera vez el término de automatización industrial, iniciándose así la tercera revolución industrial. Desde ese momento hasta nuestros días, la irrupción y adopción de las tecnologías de la información y la comunicación en el ámbito industrial ha sido constante.

Actualmente paradigmas tecnológicos como Cloud Computing, Computación Ubicua, BYOD (Bring Your Own Device) o IoT (Internet of Things) están revolucionando la forma de entender la tecnología y la forma en que las personas interactúan con ella. Estos paradigmas, aunque lentamente, van llegando también al ámbito industrial [4] acuñándose términos como Wireless Sensor Networks, IIoT, M2M, etc.

Cuando la industria empieza a utilizarlos para facilitar la visibilidad integral de la cadena de suministro (integración horizontal) y para convertir datos de producción y proceso extraídos de dispositivos de campo en información que facilite la toma de decisiones (integración vertical); cuando incorpora de forma natural iniciativas para la mejora de la productividad de los procesos y cuando toma conciencia del inestimable activo que supone tener personas formadas, motivadas y alineadas con los objetivos tácticos y estratégicos definidos, es entonces cuando se empieza a hablar de la cuarta revolución industrial o Industria 4.0 [2].

En otras palabras, el término Industria 4.0 hace referencia a la convergencia entre el mundo físico y el virtual, a partir del uso de una comunicación inteligente entre los seres humanos y las máquinas (de hecho se habla de sistemas CPS o Cyber-Physical Systems), con la misma naturalidad que se desarrolla en una red social.

Esta cuarta revolución industrial [5] debe proporcionar ventajas a todos los actores involucrados en el sector, clientes, proveedores, fabricantes, y en resumen, a la sociedad. Entre las más importantes destacan: asegurar tiempos de entrega; realizar pedidos más personalizados y lotes de menor tamaño; agilizar los procesos de ingeniería y de aprovisionamiento a proveedores; acceder a información en tiempo real de toda la cadena de suministro para facilitar la toma de decisiones; incrementar la productividad de los procesos de producción; crear nuevas formas de desarrollo de negocio para las PYMES (Business To Business) e incrementar el bienestar de las personas.

Resumiendo, la Industria 4.0 quiere convertir los entornos industriales en “Smart Places” en los que se fabriquen “Smart Products” basándose en la integración de sistemas (digital; horizontal y vertical) en la optimización de procesos industriales y en el desarrollo profesional y personal de las personas [3].

Se han establecido ocho áreas de acción prioritarias con el objetivo de agrupar acciones específicas que dinamicen la adopción de la Industria 4.0: 1) diseño de una arquitectura de referencia basada en estándares abiertos; 2) utilización de modelos de planificación y simulación para gestionar entornos complejos; 3) despliegue de una infraestructura de comunicaciones de banda ancha; 4) creación de programas específicos de “Safety” y “Security”; 5) rediseño de la organización del trabajo; 6) creación de programas de formación y capacitación continua de las personas en conceptos relacionados con la Industria 4.0; 7) creación de un marco regulatorio que aúne tecnología y ley; 8) gestión eficiente de recursos.

De estos ocho aspectos, en este artículo se profundiza en el cuarto, “Creación de programas específicos de Safety y Security” y en particular en la vertiente de “Security”, es decir en las implicaciones e importancia que tiene la ciberseguridad en un contexto en el que existen sistemas que interactúan entre sí sin mediación humana, en el que la irrupción de nuevos paradigmas tecnológicos en los entornos industriales se hace masiva y en el que las personas requieren de acceso ubicuo a sistemas de tiempo real distribuidos (PLCs, HMI, SCADA, MES, BI Industrial) e información de producción y proceso, con el objetivo de ser más eficientes y productivos.

La ciberseguridad en la Industria 4.0

La Industria 4.0 [2] distingue los programas orientados a velar por la seguridad física de las personas (Safety) de los programas desarrollados para incrementar la seguridad lógica de los entornos industriales, es decir, lo que tradicionalmente se conoce como ciberseguridad.

Como se mencionaba anteriormente si partimos de la idea de que la Industria 4.0 crea fábricas inteligentes formadas por CPS conectados por distintos medios (alámbricos e inalámbricos) y que son accesibles ubicuamente, los programas específicos de ciberseguridad deben velar por asegurar los siguientes aspectos básicos: disponibilidad, integridad, confidencialidad y control de acceso [10]. Dicho esto, tanto los programas de seguridad física como lógica deben estar alineados y deben ser entendidos y aceptados por todas las personas.

La literatura [6] identifica hasta ocho iniciativas específicas que ayudan a incrementar la seguridad de las “Smart Factories”. No es un objetivo de este trabajo explicar exhaustivamente cada una de ellas, sin embargo, es interesante mencionarlas ya que son aspectos clave que deben tenerse en cuenta a la hora de diseñar programas específicos de ciberseguridad vinculados a la Industria 4.0.

1. Desarrollar estrategias, arquitecturas y estándares de “Safety” y “Security” integradas.
2. Identificar unívocamente y de forma segura productos, procesos y dispositivos.
3. Establecer una estrategia de migración de la industria 3.0 a la 4.0.
4. Diseñar aplicaciones seguras y amigables (fáciles de usar).

5. Evaluar riesgos y costes de inactividad originados por brechas de seguridad.

6. Proteger diseños y propiedad intelectual de plagios y robos.

7. Crear programas de protección de datos personales.

8. Realizar acciones de concienciación y formación en seguridad: procesos, productos y tecnologías.

Arquitectura de referencia en la Industria 4.0

Teniendo en cuenta el contexto descrito en las dos secciones anteriores, se infiere que la migración de la Industria 3.0 a 4.0 no es tarea fácil, y que el diseño de programas específicos de ciberseguridad industrial en este contexto requiere de una serie de guías y estándares que faciliten su desarrollo. Es necesario por tanto, crear una arquitectura de referencia que sea ilustrativa y sencilla de entender y localice y consolide las normas y estándares específicos ya desarrollados para la gestión y optimización de los entornos industriales. La primera arquitectura de referencia en la Industria 4.0 es la que ha propuesto DKE [3], una organización sin ánimo de lucro responsable en Alemania a nivel nacional de la creación, diseño y mantenimiento de especificaciones y estándares asociados a las áreas de ingeniería eléctrica y sistemas de información (es en Alemania donde surge el concepto de Industria 4.0).

En [4] se introduce el concepto de RAMI 4.0 (Reference Architectural Model Industrie 4.0). Como puede observarse en la Figura 1 este modelo combina los elementos cruciales de la Industria 4.0 en un modelo de capas tridimensional: la primera dimensión propone una jerarquía funcional para todos los componentes de una Industria 4.0 desde el producto (workpieces) hasta el mundo conectado.

Este enfoque está basado en las normas IEC 62264 e IEC 61512; pero añade una segunda dimensión que propone un modelo de datos consistente durante todo el ciclo de vida y toda la cadena de valor del producto (basado en la norma IEC 62890) y una tercera dimensión que propone un modelo de capas que permita integrar fácilmente tecnologías apropiadas. Por otro lado el IEC Strategic Group 8 ha realizado un esfuerzo de consolidación normativo, identificado, para cada una de las dimensiones descritas, las normas y estándares que pueden aplicarse en un contexto de Industria 4.0. La principal norma que propone DKE para diseñar y desplegar programas de ciberseguridad industrial es la IEC 62443 cuyo objetivo, alcance, estructura y principales aportaciones se discuten en la siguiente sección.

Dr.  Fernando Sevillano – Logitek

Dra.  Marta Beltrán – Universidad Rey Juan Carlos

(*Este artículo se completará con 2 entregas más)

REFERENCIAS

• [1] D. Gorecky; M. Schmitt; M. Loskyll; D. Zühlke: “Human-machine-interaction in the industry 4.0 era” en Industrial Informatics (INDIN), 2014 12th IEEE International Conference, pg. 289 – 294, 2014.

• [2] I. Garbie; “Sustainability in Manufacturing Enterprises: Concepts, Analyses and Assessments for Industry 4.0 (Green Energy and Technology)”. Springer; Edición: 1st ed. 2016.

• [3] O. Sauer: “Delopments and trends in shopfloor-related ICT systems” en Industrial Engineering and Engineering Management (IEEM), 2014 IEEE International Conference, pg. 1352 – 1356, 2014.

• [4] D. Schulz: “FDI and the Industrial Internet of Things” en Emerging Technologies & Factory Automation (ETFA), 2015 IEEE 20th Conference, pg. Pages: 1 – 8, 2015.

• [5]           “Recommendations for implementing the strategic initiative INDUSTRIE 4.0”. Abril 2013. http://www.acatech.de/fileadmin/user_upload/Baumstruktur_nach_Website/Acatech/root/de/Material_fuer_Sonderseiten/Industrie_4.0/Final_report__Industrie_4.0_accessible.pdf

• [6] “German Standardization Roadmap, Industry 4.0, Version 2”. Enero 2016.https://www.vde.com/en/dke/std/Documents/RM_Industrie%2040_V2_EN.pdf

• [7] C. Lesjak; D. Hein; J. Winter: “Hardware-security technologies for industrial IoT: TrustZone and security controller” en Industrial Electronics Society, IECON 2015 – 41st Annual Conference of the IEEE, pg. 002589 – 002595, 2015.

• [8] ISA99/IEC 62443. Marzo 2016, http://isa99.isa.org/ISA99%20Wiki/Master-Glossary.aspx

• [9] IEC 62443-1-1 Models and Concepts . Marzo 2016. http://isa99.isa.org/ISA99%20Wiki/WP-1-1.aspx

• [10] F.Sevillano y M.Beltrán. “Metodología para el Análisis, Auditoría de Seguridad y Evaluación del Riesgo Operativo de Redes Industriales y Sistemas SCADA (MAASERISv2.1). Septiembre 2015. JNIC 2015