WirelessHART - jedyny fieldbus z natywnym szyfrowaniem

WirelessHART (IEC 62591) to bezprzewodowy protokół komunikacyjny dla automatyki procesowej, standaryzowany w 2010 roku jako pierwsza bezprzewodowa technologia fieldbus. Opracowany przez FieldComm Group jako bezprzewodowe rozszerzenie protokołu HART, WirelessHART wyróżnia się jedną fundamentalną cechą - jest jedynym protokołem fieldbus z natywnym, obowiązkowym szyfrowaniem kryptograficznym wbudowanym w specyfikację.

WirelessHART działa w topologii mesh na częstotliwości 2.4 GHz (IEEE 802.15.4), z mechanizmami TDMA (Time Division Multiple Access) i channel hopping, zapewniającymi deterministyczną i odporną na zakłócenia komunikację. Znajduje zastosowanie wszędzie tam, gdzie okablowanie jest kosztowne, trudne lub niemożliwe - rozległe instalacje procesowe, zbiorniki, obiekty w strefach zagrożenia wybuchem.

Architektura protokołu

Parametr	WirelessHART
Warstwa fizyczna	IEEE 802.15.4, 2.4 GHz ISM
Topologia	Mesh (samoorganizująca się sieć)
Prędkość	250 kbps (radio), efektywna zależna od topologii
Uwierzytelnianie	Tak - klucze sieciowe i sesyjne
Szyfrowanie	AES-128-CCM (obowiązkowe)
Integralność	MIC (Message Integrity Code) na bazie AES-128
Zasięg	Do 250 m między węzłami (z mesh: wieloskokowy)
Kanały	15 kanałów z channel hopping (FHSS)
Dostęp do medium	TDMA (sloty 10 ms)

Architektura sieci WirelessHART składa się z:

• Urządzenia polowe (field devices) - czujniki i siłowniki z radiem WirelessHART. Każdy może pełnić rolę routera w sieci mesh
• Bramka (gateway) - łączy sieć WirelessHART z siecią przewodową (Ethernet, HART, Modbus). Zarządza harmonogramem komunikacji
• Network Manager - oprogramowanie zarządzające topologią sieci, harmonogramem TDMA i kluczami kryptograficznymi. Może działać na bramce lub oddzielnym serwerze
• Access point - punkt dostępowy radiowy bramki, fizycznie oddzielony od elektroniki bramki (pozwala na redundancję)

Channel hopping (FHSS) oznacza, że każda transmisja odbywa się na innym kanale z 15 dostępnych - co znacząco utrudnia zarówno podsłuch, jak i zagłuszanie. TDMA gwarantuje determinizm komunikacji kluczowy w automatyce procesowej.

Bezpieczeństwo - co WirelessHART robi dobrze

WirelessHART to wyjątek wśród protokołów fieldbus - bezpieczeństwo kryptograficzne jest obowiązkową częścią specyfikacji, nie opcjonalnym dodatkiem.

Mechanizmy bezpieczeństwa:

• Szyfrowanie AES-128-CCM - każdy pakiet jest szyfrowany kluczem sieciowym lub sesyjnym. CCM (Counter with CBC-MAC) zapewnia jednocześnie poufność i integralność
• Klucze sieciowe (Network Key) - współdzielone przez wszystkie urządzenia w sieci, chronią komunikację broadcast
• Klucze sesyjne (Session Key) - unikalne dla każdej pary urządzenie-bramka, chronią komunikację unicast
• Join Key - klucz używany do uwierzytelnienia nowego urządzenia dołączającego do sieci
• MIC (Message Integrity Code) - kryptograficzny kod integralności na każdym pakiecie, uniemożliwiający modyfikację w locie
• Counter-based replay protection - numerowanie pakietów zapobiega atakom replay

Ocena bezpieczeństwa - gdzie są granice

Pomimo wbudowanej kryptografii, WirelessHART nie jest odporny na wszystkie zagrożenia. Ponadto protokoły przewodowe mają istotną przewagę, której kryptografia nie zastąpi - fizyczną odporność na manipulację.

Ograniczenia bezpieczeństwa WirelessHART:

• Zagłuszanie (jamming) - pasmo 2.4 GHz ISM jest współdzielone z Wi-Fi, Bluetooth i innymi technologiami. Celowe zagłuszanie może zakłócić komunikację mimo channel hopping. To atak na dostępność, przed którym kryptografia nie chroni
• Zarządzanie kluczami - rotacja kluczy w sieciach z setkami urządzeń zasilanych bateryjnie jest wyzwaniem operacyjnym. Klucze często nie są zmieniane przez lata
• Join Key compromise - jeśli atakujący uzyska Join Key (np. z dokumentacji serwisowej), może dołączyć własne urządzenie do sieci
• Gateway jako single point of failure - kompromitacja bramki daje dostęp do Network Managera i kluczy sieciowych

Przewaga protokołów przewodowych:

Protokoły przewodowe (HART 4-20mA, Modbus RTU, PROFIBUS) nie mają szyfrowania, ale mają coś, czego bezprzewodowe protokoły pozbawione - fizyczną odporność na zdalny dostęp. Aby zaatakować magistralę RS-485 czy pętlę 4-20 mA, atakujący musi fizycznie dotrzeć do kabla. W przypadku WirelessHART sygnał radiowy jest dostępny dla każdego w zasięgu anteny - kryptografia jest jedyną barierą.

To nie oznacza, że WirelessHART jest mniej bezpieczny od HART przewodowego. Oznacza, że profil ryzyka jest inny - w przypadku przewodów chroni fizyka (dostęp do kabla), w przypadku WirelessHART chroni kryptografia (AES-128). Skuteczna ochrona wymaga zrozumienia obu modeli.

Segmentacja i ochrona

Segmentacja sieci WirelessHART:

1. Bramka jako granica strefy - bramka WirelessHART jest naturalnym punktem segmentacji. Interfejs Ethernet bramki powinien znajdować się za firewallem z DPI, w dedykowanej strefie OT
2. Separacja bramek - osobne bramki WirelessHART dla różnych obszarów procesowych (np. zbiorniki vs. kolumny destylacyjne), z niezależnymi kluczami sieciowymi
3. Kontrola dostępu do Network Managera - serwer zarządzający siecią WirelessHART wymaga ścisłej kontroli dostępu (dedykowana stacja inżynierska, uwierzytelnianie wieloskładnikowe)
4. Monitoring widma radiowego - wykrywanie prób zagłuszania i nieautoryzowanych urządzeń radiowych w paśmie 2.4 GHz w obrębie instalacji
5. Procedura joining - dołączanie nowych urządzeń do sieci powinno wymagać fizycznej autoryzacji (np. naciśnięcie przycisku na bramce + wprowadzenie Join Key)

Szczegółowe wytyczne dotyczące stref i korytarzy w sieciach OT, w tym sieci bezprzewodowych, opisujemy w artykule o segmentacji sieci OT.

Źródła

• IEC 62591 - WirelessHART - międzynarodowy standard
• FieldComm Group - WirelessHART - oficjalna dokumentacja
• NIST SP 800-82 Rev. 3 - Guide to OT Security, bezpieczeństwo sieci bezprzewodowych OT
• IEEE 802.15.4 - standard warstwy fizycznej
• ISA-100.11a - alternatywny standard bezprzewodowy dla porównania