La Normativa CENELEC EN 50159: La seguridad en las comunicaciones de los sistemas ferroviarios

La Norma CENELEC EN 50159 es utilizada en sistema electrónicos que tienen comunicaciones seguras con otros sistemas y en los cuales se la aplicará un nivel SIL. Por tanto, la CENELEC EN 50159 está altamente relacionado con la EN 50126, EN 50128 y EN 50129.

La norma está dividida entre sistemas cerrados (EN 50159-1) y sistemas abiertos (EN 50159-2). Típicamente en aplicaciones ferroviarias, trabajaremos en sistemas cerrados, caracterizados por tener un acceso sólo autorizado, todos los participantes del sistema de comunicación son conocidos y el medio de transmisión se define en la etapa de diseño y no cambio durante todo el ciclo de vida.

La CENELEC EN 50159 identifica como situación de riesgo los defectos siguientes: (a) recepción de una información errónea, es decir, recibir incorrectamente la identidad del emisor, el tipo de información que se está recibiendo o, por supuesto, el valor del mismo; (b) errores asociados a la variable tiempo, es decir, la recepción de datos secuenciados de forma diferente a como lo hizo el emisor o datos retardados durante demasiado tiempo y, que por las características de tiempo real de la aplicación, esta información recibida ya no es válida.

Además, identifica 6 medidas centrales de protección a incluirse en el sistema de comunicaciones:

La CENELEC EN 50159 define unos requisitos generales que deben cumplir las comunicaciones seguras entre sistemas de seguridad. El cumplimiento de estos requisitos juntamente con el cumplimiento de la EN 50126, EN 50128 y EN 50129, permitirá asegurar que se dispone de un sistema seguro con nivel de integridad de la seguridad definido:

• Identificación de la fuente. Es imperativo conocer la fuente del emisor de un mensaje determinado. Cuando tenemos en una red de comunicaciones a dos equipos, sabemos perfectamente que un mensaje sólo puede llegar del otro equipo. Pero en sistemas con más de un emisor de mensajes, deberá añadirse al mensaje un identificador de la fuente que autentifica quién ha enviado dicho mensaje.
• El receptor debe poder verificar que los datos recibidos son los mismos que ha enviado el emisor. Por tanto, hablamos de la verificación de la integridad de los datos recibidos. En este sentido, deberá añadirse un código de seguridad suplementario a los datos de aplicación o de usuario. Además, es imperativo que el análisis del código de seguridad para el aseguramiento de la integridad de los datos de aplicación en el lado del receptor, se lleve a cabo por sistemas seguros (no de aplicación que no tienen por qué ser seguros).
• Deberá incluirse a cada mensaje que se envíe una marca temporal o "timestamp", en forma de número secuencial de mensaje enviado o de fecha de envío del mensaje. Esto permitirá al receptor conocer si  todos los mensajes se están recibiendo correctamente y en un tiempo o retraso aceptable acorde a las necesidades del sistema o aplicación que debamos llevar a cabo.
• En el caso de que se utilice un mismo medio para transmitir datos seguros y no seguros o dicho de otra forma, en el caso de convivir sistemas de emisión seguros y no seguros en un mismo canal, los mensajes con requisitos de seguridad y lo que no, deberán tener una estructura lo suficientemente diferente para que un mensaje de no seguridad no se transforme en ningún caso en un mensaje que pueda confundirse como un mensaje de seguridad.

El cumplimiento de estos requisitos deberá ser cubierto por un sistema o subsistema de seguridad ya que se consideran requisitos de seguridad. Además la frontera entre la parte segura y no segura debe estar perfectamente acotada, asegurándose la influencia de las partes no seguras a funciones de seguridad.

Por otro lado y en paralelo a toda estos requisitos, será de gran importancia definir los modos degradados asociados. Por tanto, cuando la recepción de datos en la red de comunicación falla en cumplir exigencias establecidas (de forma muy simplificada: autenticidad, integridad y tiempo correcto) tanto los propios sistemas de comunicación como la aplicación deberá tener estrategias para contener tanto la seguridad como la fiabilidad del servicio que el sistema está ofreciendo.  

La Normativa CENELEC EN 50159 identifica dos fuentes de errores básicos: La primera es aquel producido por el sistema de transmisión o recepción que genera o entiende un mensaje de forma incorrecta. La segunda fuente de error es debido a fuentes externas como por ejemplo un interferencia electromagnética sobre el medio de transmisión que hace cambiar el valor de los mensajes debido a la perturbación que este ejerce sobre dicho medio.

La EN 50159 da un conjunto de estrategias de diseño que pasamos a ver a continuación para solucionar las posibles amenazas que hemos visto anteriormente:

• Número de secuencia. El objetivo de esta estrategia de diseño es añadir a cada mensaje intercambiado un número secuencial, el cual permite verificar al receptor que el mensaje que se está recibiendo es el esperado, es decir, el que envió correctamente el emisor.

El número de secuencia permite la protección frente a las amenazas definidas en la norma de: repetición, borrado, inserción y desordencia de recepción.

• Datación. Muy relacionado con el número de secuencia, la datación sirve para marcar una validez temporal a un mensaje. Sin duda es lógico asumir que la dependencia de la validez de una información está sujeta al tiempo y que además este tiempo, depende en gran medida de la aplicación. En algunas aplicaciones, recibir como actual una información de hace 2 minutos (por ejemplo), puede ser útil e inofensivo pero, en algunas ocasiones, puede generar una situación de riesgo en contra de la seguridad. Por tanto, deberemos siempre tener estudiar el factor tiempo en nuestras aplicaciones e incluir técnicas de datación de la información teniendo en cuenta la aplicación que debemos servir.

La datación permite la protección frente a las amenazas definidas en la norma de: repetición y desordencia de recepción.

• Tiempo establecido sobrepasado. Típicamente para sistemas de seguridad, siempre habrá un reconocimiento (ackownledgment) a un mensaje recibido. En este caso, el emisor puede contabilizar el tiempo entre que se envía el mensaje y se recibe el reconocimiento para comprobar que el proceso de emisión/recepción, ha sido correcto.

El tiempo establecido sobrepasado permite la protección frente a las amenaza definida en la norma de: retraso.

• Identificadores de fuente y destino. Ya comentado anteriormente, el objetivo es incluir una información adicional para conocer exactamente la fuente y destino del mensaje.

Los identificadores de fuente y destino permiten la protección frente a las amenazas definida en la norma de: inserción.

• Mensaje de retorno. Permite al destino, confirmar a la fuente de que el mensaje se ha recibido correctamente. El contenido del mensaje puede incluir los propios datos originales recibidos o incluso alteradas por una función conocida por ambos sistemas; datos añadidos por el destinatario a partir de información generada de su propio proceso y de interés para el emisor, datos adicionales de seguridad.

El mensaje de retorno permite la protección frente a las amenazas definidas en la norma de: inserción y enmascaramiento.

• Procedimiento de identificación. Sólo aplicable a transmisiones abiertas en transmisiones llevadas a cabo por usuarios no conocidos, para que un identificador de usuario no sea confundido por una información de una fuente conocida.

El procedimiento de identificación permite la protección frente a las amenazas definidas en la norma de: inserción y enmascaramiento.

• Código de seguridad. Utilizado para la detección y reconstrucción de errores a nivel de bit o tramas. Es importante garantizar que la reconstrucción se lleva a cabo por un sistema seguro en el caso de comunicaciones de seguridad.

El código de seguridad permite la protección frente a la amenaza definida en la norma de: corrupción.

• Técnicas criptográficas. Como es lógico y conocido, utilizado si no se puede excluir un ataque malintencionado en una red de transmisión de datos.

Las técnicas criptográficas permiten la protección frente a las amenazas definidas en la norma de: corrupción y enmascaramiento.

En Leedeo Engineering, somos especialistas en la aplicación de Ingeniería RAMS y SLI de sistemas, cubriendo el ciclo de vida completos desde el punto de vista de RAMS en productos e instalaciones, en la industria ferroviaria, aeroespacial, defensa y naval. No dude en contactar con nosotros >>