Formazione sanitaria: la simulazione VR per i tecnici di Radiologia UniUD

Come anticipato nel precedente articolo dedicato all’ AR/VR per la formazione sanitaria, MOLO17 ha sviluppato un progetto estremamente interessante all’interno del panorama serious gaming: UniUD – CT Trainer o, con il suo nome interno, MIMICT (MIMIC + CT). Il progetto nasce da una collaborazione tra MOLO17 e l’Università degli Studi di Udine, destinato al Corso di Laurea in Tecniche di Radiologia medica per immagini e radioterapia.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

DEMO – CT Trainer

Lo strumento finale è un software simulativo VR che consente di ricreare l’esperienza dell’esecuzione dei più disparati esami CT (computed tomography) dal punto di vista di un TSRM (Tecnico Sanitario di Radiologia Medica), sia negli aspetti di interazione con il paziente che in quelli di utilizzo dello scanner CT. 

Sebbene in questo specifico progetto non sia stato possibile, con tecnologie che implichino forme “importanti” di persistenza, come Couchbase, si possono però aprire anche scenari nuovi e diversi. Ad esempio, possono essere sviluppate soluzioni per il training supervisionato da remoto e, per gli studenti, possono essere creati esercizi ed esami direttamente online il cui esito sia verificabile senza dover essere fisicamente presenti. Ciò ha ovvie ed interessanti implicazioni, poiché abilitata lo studente a sperimentare il tutto da casa, possibilità chiave per qualsiasi ente formativo a fronte della presente situazione post COVID-19.

Virtual simulation of X-Ray room
Stanza virtuale di Radiologia per gli esami CT

Vediamo ora nel dettaglio il progetto realizzato.

Formazione dei Tecnici di Radiologia: CT Trainer come soluzione

Il percorso di formazione degli studenti di Tecniche di Radiologia medica per immagini e radioterapia è fortemente legato al contesto ospedaliero. Per la legge italiana sono richieste alcune centinaia di ore di tirocinio nei diversi reparti (RX convenzionale, CT, MRI, RT, etc), affinché il titolo di laurea sia valido ai fini del sostenimento dell’esame di abilitazione.

Le modalità di svolgimento variano da ateneo ad ateneo, ma la costante è la presenza di un tutor che segue uno o più discenti a stretto contatto, durante la sua normale attività lavorativa. L’anno è spesso diviso in un periodo in cui lo studente studia la parte teorica ed una seconda fase in cui sostiene gli esami e contemporaneamente svolge i tirocini.

Criticità

Tutto questo porta a molteplici problematiche da gestire e che possono inficiare la qualità dell’apprendimento, oltre che pesare in maniera significativa sui costi assicurativi dell’Ospedale Universitario.

Normative e ruoli

Vi sono norme molto stringenti sull’uso delle radiazioni ionizzanti su pazienti viventi, così come sul possibile abuso di professione. Questo implica che lo studente non sarà titolato ad erogare radiazioni, ma potrà solo parteciparvi, osservando o prendendo parte in attività preparatorie all’esame solo sotto la più stretta sorveglianza del tutor.

Interazioni umane

Lo studente che entra in un nuovo reparto deve imparare rapidamente a relazionarsi con il paziente, con gli altri operatori TSRM, col resto del personale sanitario. Contemporaneamente dovrà imparare ad utilizzare le apparecchiature specifiche con le loro pertinenze.

L’interazione con il paziente è strettamente normata e ha delle implicazioni legali significative che aumentano il rischio assicurativo.

Disponibilità macchine radiologiche

Alcune macchine radiologiche (CT e MRI ad esempio) sono disponibili in numero molto ridotto. Spesso sono in costante attività senza fermi macchina di cui poter approfittare per sperimentare con calma su manichini o fantocci.

Rischio materiale e assicurativo

La presenza sul campo di operatori in formazione è comunque da considerarsi un fattore di rischio (materiale e assicurativo) ulteriore in un ambiente già tra i più pericolosi di per sé.

In sanità, uno dei futuri modi per rispondere a queste criticità è proprio attraverso la simulazione. Come detto sopra però, in ambito radiologico la simulazione classica con manichini o fantocci può non essere sempre facilmente applicabile, oltre che essere costosa ed implicare diverse problematiche.

Simulazione in realtà virtuale, la risposta a questi problemi è: CT Trainer

Come alcuni che ci seguono sapranno già, chi vi scrive ha vissuto in prima persona queste problematiche, avendo percorso tutto l’iter sopra brevemente esposto fino alla Laurea e all’abilitazione professionale come TSRM. Assieme ai coordinatori del corso di Laurea, più di una volta avevamo accarezzato l’idea di uno strumento simile. Finalmente con il team di MOLO17 abbiamo potuto trasformare questa visione in realtà.

Lo strumento finale, basato sul motore UNITY, è simile ad un videogame FPS, in cui lo studente può liberamente muoversi in una sezione CT dell’ospedale fornita di sala comandi, stanza del gantry, medicheria e sala d’attesa.

Qui incontrerà i pazienti prelevandoli dalla sala d’attesa. Potrà poi dialogare con un sistema a risposta multipla, in cui alcune risposte sono possono implicare anche conseguenze legali e cliniche negative. Altre risposte dell’intervista iniziale, invece, sono solo parzialmente corrette, mentre altre rappresentano la best practice suggerita per ogni specifica situazione.

Dopo aver prelevato il paziente, lo studente lo accompagnerà in medicheria per l’applicazione dell’agocannula o direttamente alle macchine CT per l’esecuzione dell’esame, qualora tale esame non preveda l’utilizzo del mezzo di contrasto.

Il paziente all'interno del macchinario radiologico durante l'esame
Il paziente all’interno del macchinario radiologico durante l’esame

Sarà quindi possibile far stendere il paziente sul lettino ma, non prima di avergli indicato quali indumenti è necessario rimuovere per eseguire l’esame nel migliore dei modi. 

La parte tecnicamente più interessante è la vera sfida per gli sviluppatori, è stata la console della macchina radiologica. Abbiamo fedelmente riprodotto al suo interno l’interfaccia tipica di una CT, con multi monitor. Lo studente a questo punto interagisce con la strumentazione virtuale esattamente come avrebbe fatto dal vivo con l’evidente vantaggio di non aver bisogno di hardware specifico e di poterne fruire attraverso un semplice PC portatile.

Dei monitor, due sono dedicati al controllo della CT, mentre il terzo simula l’iniettore remoto di mezzo di contrasto. Su questo monitor sarà necessario impostare dose e velocità di iniezione dello stesso e della soluzione salina, se l’esame lo richiede.

Lo studente dovrà poi impostare i parametri per eseguire l’esame e la ricostruzione delle immagini, imparando così ad ottimizzare la qualità dell’immagine radiologica attraverso la somministrazione della dose minima ragionevolmente ottenibile di raggi X, necessaria alla corretta leggibilità dell’esame.

Interfaccia CT
Interfaccia CT

Se i comandi sono realistici, le immagini visualizzate lo sono ancora di più. Tutti gli esami sono creati a partire da immagini realmente acquisite in reparto. Oltre a questo è possibile caricare all’interno della simulazione un qualsiasi dataset DICOM anonimizzato, proveniente da un esame realmente eseguito in reparto. Questa funzione è molto utile per simulare esami eseguiti non di frequente o presentare casi clinici particolarmente rari.
Di fatto abbiamo un DICOM Viewer all’interno del mondo virtuale.

L’interazione con le immagini è totalmente assimilabile a quella di una macchina reale. Terminato l’esame, è possibile rivedere tutte le immagini ed è possibile per il docente commentarle assieme allo studente.

Terminate le operazioni sarà necessario congedare il paziente in modo appropriato rispetto alla clinica e alle attività svolte. Ad esempio, i pazienti che hanno ricevuto il mezzo di contrasto, da protocollo, dovranno essere inviati in osservazione presso la medicheria e non immediatamente a casa o in reparto.

Le nostre conclusioni rispetto a CT Trainer

Siamo fermamente convinti che lo strumento, che entrerà in utilizzo effettivo presso il CdL di Tecniche di Radiologia medica per immagini e radioterapia a breve, sia in grado di mitigare e di risolvere molte delle problematiche tipiche del tirocinio in CT in ambiente ospedaliero. 

L’intenzione non è assolutamente quella di sostituire l’aspetto umano del tirocinio, anzi lo si vuole maggiormente valorizzare e preservare. Ci auguriamo che questo strumento possa agevolare la formazione di professionisti sanitari sempre più preparati sugli aspetti tecnici, ma allo stesso tempo ancor più human-centered ed in grado di garantire standard sempre più elevati di cura e sicurezza per i pazienti.

Per avere maggiori informazioni su CT Trainer o sullo sviluppo sugli ambienti di simulazione virtuale, contattaci sul sito https://molo17.com/.

Smart working & Failover di rete durante il COVID-19

#iorestoacasa: è oggi una delle regole fondamentali da rispettare per evitare il contagio da COVID-19.
Considerate queste direttive, lo smart working è la soluzione più semplice che le aziende e i professionisti, che possono adottare, se è possibile, per garantire la continuità operativa. 

In questo articolo Marco Cosatto, DevSecOps di MOLO17, vi spiegherà come fare da soli a collegare un gateway LTE di failover di emergenza al router principale attraverso l’uso delle VLAN.

Smart working di Marco
Smart working di Marco

Dato questo particolare periodo di emergenza COVID-19, vedremo come collegare un gateway LTE di failover al router principale attraverso le VLAN. Un occhio di riguardo sarà riservato anche all’estetica, con un dock stampato in 3D. Per collegarsi ad internet e lavorare da casa senza rischiare di essere tagliati fuori!

#IORESTOACASA – l’Hashtag usato dai lavoratori in smart working in Italia

In Italia l’epidemia da Coronavirus ha lasciato il segno ed è stato un brutto colpo per tutti.
Come MOLO17, eravamo preparati e siamo passati subito allo smart working. Abbiamo abbracciato quindi volentieri il movimento #IORESTOACASA (ovvero “sto a casa”).

Se ci segui sulla nostra pagina instragram, avrai notato dalle nostre storie che il team di MOLO17 sta lavorando dalle proprie scrivanie di casa.

  • Story about Marco's smart working
  • Instagram story with mac and #iorestoacasa
  • #iorestoacasa
  • Instagram story with MOLO17 by Klodian
  • Smart working in sunny day with mac
  • Smart working with two monitor
  • The Harbor Smart working
  • Smart working by Giovanni with four monitor

Alcuni di noi erano più preparati di altri. Io, per esempio, senza pretese di essere un survivalista a tutti gli effetti, ero preparato per questo, almeno parlando di connettività.
Se vuoi sapere cosa intendo, dai un’occhiata alla mia serie di articoli.

Ho sempre creduto che la casa fosse il posto in cui il wifi si connette automaticamente. Durante questa eccezionale esplosione di smart working per necessità, la connettività Internet è spesso intasata da tante persone che la usano. Anche se ho già due uplink Internet a casa, volevo garantire la mia continuità lavorativa aziendale anche a livello di “survivalista”.

Connettività LTE/4G come opzione di failover di rete per lo smart working

Come anticipato in un precedente articolo, oggi mostrerò come ho realizzato il mio terzo uplink, una connettività in “failover assoluto”.
In altre parole capace di entrare in azione solo quando tutti gli altri uplink sono inattivi.

È una connettività LTE/4G, ovviamente a consumo. Viene utilizzata solo quando FTTC e WIMAX si disattivano contemporaneamente, come spiegato in precedenza. Quando non sono a casa, posso portare con me il dispositivo per usarlo all’esterno.

Failover di rete con router Netgear Nighthawk M1 LTE

Cosa sto usando? Un router LTE ad alte prestazioni il Nighthawk M1, di Netgear. Come sai, non sono un fan dei dispositivi COTS, ma questo include tutto ciò di cui avevo bisogno. Questo router ha infatti una batteria di lunga durata, un chip LTE CAT16 (che potenzialmente offre 1 Gbps/150 Mbps di velocità di download/upload) e una porta ethernet.
La porta Ethernet è la caratteristica più importante perché mi consente di utilizzare in modo professionale un dispositivo COTS.

Ora, durante questa pandemia resterò a casa e voglio davvero che l’uplink di Internet sia il più resiliente possibile. Per questo, lascerò tale dispositivo sempre collegato alla rete come un uplink.
Come ho fatto a farlo funzionare come uplink al mio router/firewall già esistente?

Le VLAN anziché i cavi

Il primo problema è che al piano terra della mia casa non c’è quasi alcun segnale LTE/4G. Il firewall e la connettività internet principale si trovano lì.

Al primo piano, dove si trova la mia camera da letto, c’è uno switch che distribuisce la rete cablata per quel piano. Sarebbe un posto perfetto per collegarlo, ma poiché il router principale è al piano terra e non volevo tirare ulteriori cablaggi attraverso le pareti, ho realizzato il collegamento con una VLAN dedicata.

Diagramma della topologia delle reti VLAN

Diagramma della topologia delle reti VLAN

Il router principale è collegato allo switch principale con un LACP, con quattro interfacce di rete per un totale di 4Gbit. Questo sia per la resilienza che per la larghezza di banda.

Le VLAN anziché i cavi: il progetto

Ecco cosa ho fatto passo per passo:

  1. Ho realizzato una nuova interfaccia VLAN sul LACP,  taggata 200.
  2. Come secondo step, ho creato la nuova VLAN su entrambi gli switch: lo switch principale e switch del primo piano.
  3. In seguito, ho impostato tutte le porte per utilizzare la VLAN come TAGGED sia in ingresso che in uscita. Unica eccezione è la porta alla quale deve essere collegato il Nighthawk M1, ovvero PVID 200/UNTAGGED 200, o “Access Port della VLAN200″, senza altre VLAN su di essa.
  4. Dopo, ho impostato la nuova interfaccia VLAN, con il client DHCP abilitato, come porta di uplink sul router. Poi ho impostato le regole appropriate, le rotte e i gruppi di failover.
  5. Poiché la connessione 4G è a consumo, ho creato una whitelist di host autorizzati a utilizzarla, per evitare di consumare traffico per cose non prioritarie. Ho già i due uplink a traffico illimitato. Posso sempre disabilitare la regola del firewall relativa in caso di emergenza.

Infine, ho anche inserito un cavo di alimentazione USB-C nell’armadio di rete del piano in cui si trova la mia camera. Quindi posso tornare a casa, collegare il dispositivo al cavo Ethernet e al connettore USB-C, caricando e abilitando il mio terzo collegamento ad internet in un’unica mossa.

Bonus per i survivalisti paranoici. Se si è stati messi in quarantena in un solo piano della casa, realizzando il collegamento con VLAN invece che con cavi reali, su una rete già installata, non c’è bisogno di alcun accesso fisico a nient’altro che lo switch del piano dove ti trovi già. 

A causa del COVID-19 i negozi sono chiusi? La soluzione è la stampa 3D 

Ora possiamo rendere ancora più rifinito il progetto. Ci sono alcuni dock per il dispositivo, ma non si può andare fuori a comprarne uno al momento. Durante un’emergenza come questa non si può uscire per motivi futili. Per ragioni di contagio, uscire senza giustificato motivo è illegale in Italia da qualche settimane.

Sono anche un maker e non mi dispiace usare la mia stampante 3D di tanto in tanto.
Ho trovato un bel modello qui, perfetto per le mie esigenze: https://www.thingiverse.com/thing:3891372

È tempo di accendere Slic3r ed ecco il risultato:

  • Realization of
  • The 3D printed Dock
  • Testing the Dock]
  • Dock in the final installation

Conclusione

Spero che questo articolo possa aiutarti con la tua rete domestica e con le tue sessioni di smart working.

#IORESTOACASA per il bene di tutti. 

Prenditi cura di te e buon smart working!

Ufficio 4.0: sicurezza e qualità della vita

Come ben ricorderà chi segue questo blog da diverso tempo, lo scorso anno ha avuto tra i suoi eventi salienti il cambio di sede di MOLO17 (https://molo17.com) e la conseguente progettazione e realizzazione dei nostri nuovi Uffici 4.0. In merito a questo abbiamo avuto modo anche di partecipare all’evento dedicato “Ufficio 4.0” del 27/11/2019, organizzato dal Polo Tecnologico di Pordenone a cui ha partecipato il nostro collega Marco Cosatto in qualità di relatore. Di seguito il video dell’intervento.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Cos’è un ufficio 4.0

Il richiamo con il termine Ufficio 4.0 al concetto di Industria 4.0 è chiaro: ciò che è stato fatto per il settore manifatturiero, e per il settore secondario più in generale, è stato rendere connesse ed informatizzate le strutture e le macchine di produzione assieme alle loro pertinenze. Questa interconnessione, mediata dalle tecnologie IoT industriali, ha permesso di accumulare e correlare grandi moli di dati prima quasi completamente scollegate (quand’anche non ignorate) dal processo di decision making ed ora elementi fondamentali dello stesso.

Analogia a Industria 4.0

Se pensiamo però all’intero flusso delle informazioni, risulta chiaro come il cerchio non possa essere completo senza informatizzare e collegare a questi flussi di dati anche la parte “back-office” dell’azienda. Immaginiamo, ad esempio, un controllo di giacenza e il relativo flusso degli ordini di ripristino della stessa in caso di carenza di un componente: è fantastico che gli operatori di magazzino possano inviare l’ordine all’ufficio acquisti, tuttavia, se il flusso dell’ufficio acquisti non si trovasse allo stesso livello di automazione e informatizzazione finirebbe per agire efficacemente come collo di bottiglia, quand’anche non come “buco” nel processo di raccolta dati, che è invece un fondamentale strumento per il decision making.

Dalla fabbrica alla scrivania

Anche nel contesto di un terziario puro, quale un’azienda di servizi o consulenza, inoltre, trarranno sicuro giovamento dall’integrazione e dalla raccolta dati a supporto delle funzioni di decision making, rendendo il controllo di gestione oltre che i flussi interni di informazioni estremamente più efficaci. Si tratta, molto semplicemente, di portare l’esperienza di integrazione e correlazione già vissuta per la produzione industriale fino alle scrivanie.

Miglioramento della qualità della vita del dipendente

Continuando nel parallelismo con l’automazione industriale, negli uffici l’integrazione di strumenti IoT può, se fatto con i giusti criteri, essere un ottimo strumento per migliorare l’efficienza e la qualità del lavoro, oltre che la qualità della vita del dipendente. L’abilità dell’ambiente di reagire autonomamente alle metriche raccolte, come regolare la luce rispetto alla luminosità esterna o lo spegnimento di tutti i sistemi in modo automatico, quando l’ultimo dipendente rimasto non è più rilevato all’interno dell’edificio, possono grandemente semplificare e migliorare la sede dei propri uffici, sia in termini di qualità della vita dei dipendenti ma anche e soprattutto come costi di gestione della stessa.

Potete leggere l’intera storia della progettazione della nostra sede a questo articolo. Ora però, voglio spendere qualche parola sulle implicazioni di sicurezza che questi strumenti portano con sé.

Sicurezza nell’Ufficio 4.0

Sicurezza e qualità della vita
Sicurezza e qualità della vita

Stiamo lontani dai Commercial Off-the-Shelf components (COTS)

La prima considerazione di sicurezza da farsi è quella di evitare il più possibile strumenti IoT COTS (che personalmente cerco di evitare o isolare anche nel contesto domestico, come ricordo in questa serie di articoli). Così come in ambito IoT industriale, l’utilizzo di strumenti domestici in contesto lavorativo non porta sufficienti garanzie di sicurezza e affidabilità tipiche degli strumenti professionali.

3 punti da tenere a mente

È infatti importante ricordare, come per ogni strumento informatico progettato secondo criteri di sicurezza, che durante tale fase siano stati definiti almeno tre elementi:

  1. un perimetro di sicurezza;
  2. un contesto di sicurezza;
  3. un modello di minaccia/e potenziale/i.

Spostando il dispositivo dal contesto domestico a quello lavorativo andremo a variare, in modo significativo, tutti questi elementi, rendendo anche il più grande sforzo di progettazione conforme a dei parametri di sicurezza potenzialmente vano. Questo senza contare come l’inserimento di un apparato informatico, in un contesto connesso come un luogo di lavoro che deve implicare le stesse valutazioni di sicurezza che si fanno in progettazione sull’apparato, ma applicate al sistema ufficio, da parte di un professionista esperto.

Cloud o on-premises?

Un’altra falsa credenza che spesso serpeggia in ambito PMI è relativa al cloud rispetto all’on-premise.

Si può sintetizzare in: “Io non voglio i miei dati nel cloud, perché voglio sapere dove stanno, li tengo qui a casa mia”.

Difficile però avere un datacenter on premise certificato ISO 27001 quando si è una PMI italiana. Potenzialmente, con le configurazioni e le progettazioni opportune, i propri dati sono più al sicuro nel contesto di un fornitore cloud.

Nel nostro caso, cogliendo l’occasione del cambio di sede, abbiamo optato per migrare tutte le infrastrutture in cloud, anziché spostarle fisicamente da una sede all’altra. Questo ha accelerato la messa online dei sistemi e la realizzazione del nostro obiettivo: un vero e proprio Ufficio 4.0.

Completa migrazione verso il Cloud per il nostro Ufficio 4.0

Le logiche che ci hanno portato a questa scelta sono state soppesate con grande attenzione e i punti vincenti sono stati principalmente:

  • le attività sull’hardware non sono il nostro core business e tali attività distraevano risorse dai progetti core, causando un dispendio di energie significativo, interruzioni imprevedibili del lavoro di sviluppo per interventi sull’hardware e tutto ciò che sappiamo conseguire dall’avere in carico il proprio hardware;
  • il TCO, per quanto alto in assoluto, è risultato lo stesso più basso di un datacenter on premises;
  • la resilienza e la capacità di ricostituire il sistema, anche completamente da zero, sono impareggiabili rispetto ad un datacenter on-premise: ogni availability zone di AWS è replicata in un cluster di datacenter che vengono commutati in modo automatico in caso di problemi. Manualmente o, tramite alcuni accorgimenti tecnici in modo automatico, è possibile ripristinare l’intera infrastruttura in una nuova availability zone o in una nuova città in pochi minuti dal backup o da zero usando il template di progetto;
  • diverse considerazioni di sicurezza, tra cui:
    • l’accesso fisico al nostro “datacenter” è oggettivamente impossibile, persino per noi stessi;
    • l’unico accesso al datacenter è un tunnel VPN con il VPC (gruppo di subnet virtuali a cui appartengono i server virtuali in cloud), proteggendo i dati in transito;
    • i dischi delle macchine remote sono crittografati con una chiave di cui abbiamo copia, tenuta in un luogo sicuro.

Questo livello di sicurezza, facilità di gestione e resilienza è davvero difficile da ottenere agli stessi costi con un datacenter on-premise.

Punti deboli?

Il punto debole, se così possiamo considerarlo, è la necessità di avere una connessione stabile con il cloud, facilmente superabile dotandosi di una seconda connettività così da garantire il failover.

Uno sguardo a cosa abbiamo “a terra”

A “terra”, rispetto alla nuvola, è necessario avere una grande attenzione alla progettazione di rete, essendo questo l’asset fondamentale con cui si lavorerà.
Presso la sede, a livello infrastrutturale abbiamo un network principalmente basato su Ubiquiti e Watchguard, con access point per alta densità di client, dotati di analizzatore di spettro indipendente dalle radio usate per le comunicazioni e IDS a bordo di ciascuno.
Questo è riflesso del nostro modo di lavorare, flessibile e mobile, pertanto l’accesso al network avviene principalmente via rete wireless, che però deve garantire adeguati livelli di sicurezza e affidabilità.

Soluzioni per il remote working

Abbiamo poi creato un concentratore vpn in cloud che consente l’accesso ai server da ogni parte del mondo, garantendo peraltro una qualità e disponibilità di accesso ai sistemi aziendali molto più alta di quella normalmente garantita dai datacenter e dalle connettività delle PMI.
Questo si sposa estremamente bene col fatto che MOLO17 ha dipendenti full remote, dipendenti che lavorano da casa per parte dell’orario e simili situazioni. Pertanto l’accesso remoto resiliente, sicuro e veloce ai server aziendali è fondamentale per questo tipo di rapporti lavorativi.

Ufficio 4.0, sicurezza e qualità della vita
Lavoro da remoto

Governare il mobile e edge

Per favorire la gestione delle problematiche di sicurezza e gestione di client che questo setup abbiamo messo in atto diverse misure organizzative e tecniche, ad esempio:

  • l’utilizzo di una soluzione MDM, nello specifico MERAKI di Cisco, per inviare configurazioni ai computer aziendali e valutare in tempo reale la compliance alle politiche di sicurezza;
  • l’utilizzo della full disk encryption obbligatoria e forzata dall’MDM stesso, a tutela del dato aziendale;
  • l’utilizzo di una soluzione in cloud, GSuite di Google, per quel che riguarda l’email aziendale e l’autenticazione centralizzata. Accediamo a tutti i servizi aziendali tramite account G Suite;
  • come telefoni aziendali, utilizziamo telefoni apple, anch’essi gestiti con DEP, supervisione e gestione via MDM;
  • Per i dipendenti che vogliono utilizzare un loro terminale telefonico, abbiamo implementato il bring your own device, tramite Google for Work, forzato attraverso il nostro MDM. Quando si prova ad accedere con un dispositivo Android al proprio account:
    • viene creato il work profile nel terminale del dipendente. Tale profilo è un contenitore isolato che può essere disattivato in qualsiasi momento dallo stesso;
    • l’MDM consente la sua creazione e l’accesso conseguente al dato aziendale solo se il telefono non è stato manomesso (come tramite rooting e/o custom rom) e ha la full disk encryption attiva;
    • in caso di furto o perdita del telefono, possiamo cancellare il contenitore da remoto in qualsiasi momento, così come nel caso di uscita dall’azienda del dipendente. Viceversa ciò che sta fuori dal contenitore è per noi opaco, tutelando la privacy dell’utente;
    • possiamo assicurare la compliance del dato impedendo la copia fuori dal contenitore.

Non finisce qui

Nella nostra ricerca di flessibilità non ci siamo fermati qui.
In cloud abbiamo spostato anche il nostro centralino telefonico, nello specifico 3CX.

Centralino VoIP nel Cloud

Tutti i dipendenti hanno un loro numero interno personale.
Eccetto per usi speciali, non utilizziamo telefoni fissi, ma utilizziamo un’app all’interno dei nostri mac e/o dei nostri cellulari.
Possiamo ovviamente in qualsiasi momento disconnetterci dal centralino, deviare chiamate e simili funzionalità classicamente disponibili su qualsiasi centralino.

Accesso con chiave digitale

In qualsiasi momento, tecnicamente anche in piena notte, i dipendenti possono entrare ed uscire dall’ufficio 4.0, utilizzando delle chiavi bluetooth presenti in un applicativo sui loro telefoni o nel loro profilo lavoro. L’accesso viene registrato e l’allarme viene disattivato.

Questo consente di lavorare in modo flessibile e agli orari più consoni ai progetti che i vari team stanno seguendo. Ovviamente in qualsiasi momento possiamo invalidare le chiavi elettroniche di ogni dipendente.

C’è nessuno in casa?

L’ufficio 4.0 è in grado di reagire alla presenza o all’assenza dei suoi “abitanti”, ad esempio osservando gli utenti del wifi per determinare quando è arrivata l’ora di chiudere le luci ed inserire l’allarme alla sera.

Una scelta win-win

La sicurezza negli uffici 4.0 può, e a mio avviso deve, essere percepita come uno strumento dalla doppia potenzialità.

L’esempio più sentito in azienda è forse l’implementazione dell’MDM per tutti i dispositivi e Work Profile su Android: non solo queste contromisure migliorano in maniera significativa la sicurezza degli endpoint, ma danno al loro utilizzatore una contropartita positiva che migliora il bilanciamento tra vita lavorativa e personale.

La rotta verso un ufficio migliore

Credo fermamente che l’Ufficio 4.0 sia un’occasione storica imperdibile per spostare l’immagine che comunemente abbiamo delle procedure e degli strumenti di sicurezza informatica.

In primo luogo perché si passa da considerarli fonti di frustrazione a strumenti che, oltre a farci sentire sicuri, ci possono far vivere meglio il contesto lavorativo con una forte contropartita sulla qualità della vita per il dipendente.

Il ROI della soluzione

Infine i costi sostenuti che vengono percepiti come inutili da parte della direzione, diventano occasioni per abbassare il TCO delle infrastrutture informatiche e non solo. Ciò permette anche di ottimizzare le procedure aziendali con tutte le conseguenze positive che ne derivano.

The Lighthouse and the Pendulum

or “How We designed and brought to life the electrical brains, nerves and muscles of our new Headquarters while the clock was ticking

A quick video message from the protagonists

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

The story so far…

It was the late afternoon of a relatively calm day at MOLO17, when Mr. Angeli called me.

The Assessment

“I will send you my position, can you get there now?”

“Sure Daniele, can you give me some more information about the task I’m doing there? Shall I bring diagnostic tools or…?”

“No, just come here, it’s just a quick assessment”

“I’m on my way.”

As I got there, I quickly identified my CEO’s car and I parked near it. As I left the car with my tool-ridden backpack (I know how fast a “quick assessment” can turn into a major multi-disciplinary security assessment with some pentest-like recognizance) I saw Mr. Angeli waving at me while standing in front of a beautiful but very neglected piece of architecture. 

The new Headquarters

“Hi Daniele, what is this place?”

“With all the probability, you are looking at our new headquarters”

“Wow!”

My expression included both the awe for the beauty of the place and the worry about all the marks the time left on the building. 

MOLO17's headquarter today
The new HQ, as it looks today

A jump into the ’80s

We entered our new headquarters. It was like passing through a wormhole directly connected to the mid ’80s. Everything, dust and dirt aside, was frozen in time. The fake plastic plants did in fact contribute to that feeling with their perfect appearance despite the years of abandon.

There were no electricity, no heating implants, no air-conditioning and no internet connection.

Most of the stuff inside was seemingly coming right out of a MacGyver or Knight Rider episode, both for the yellowish tone every piece of plastic had acquired with age and for many old-but-very-high-tech-for-that-time technological artifacts, like the glass doors with key card readers on them and the IBM-branded network sockets mounted into brown connection boxes.

“I guess you want me to estimate and plan the new IT infrastructure, is that right?”

“Not only that. You said some of your past experiences were in building automation. What I would like here is an intelligent building with building automation, easy access at every hour, day and night by employees and all the technology you can imagine to reduce the hassle of managing it. And the most common tasks should be doable on a mobile with specific apps. You think you can do that?”

“That’s for sure Daniele, no problem.”

I always get too excited with new and unusual projects. Let alone being part of making MOLO17’s new “home”. This usually makes me forgetting about asking about trivial stuff like deadlines and such…

State of the Art

I opened one of the network sockets. Very old and worn CAT-5 cable. It was surely cutting-edge at that time. In what was and would be the server room, one wall was basically made of ISDN NT1 boxes, a clear sign that intelligent life has existed inside the building after the ’80s, but not for long after that. Various other boxes were riveted on the walls. No trace of a rack or anything, only a bunch of cables coming out of the wall, probably cut away from a patch panel. 

IBM Sockets, with the bunch of cables

The Basement

In the underground basement, there was a big door, labeled “research and development”. After lock-picking the aforementioned door due to the missing handle, we found the remnants of a small network rack, with a whopping-10mbps network hub inside (yes, hub), with coax and AUI uplink ports. On the walls more ISDN NT1 boxes, along with many fuse / breaker boxes for the electrical wiring.

Electrical implant needs to be replaced. Entirely.

Electrical breaker boxes are not my main field of knowledge, but the panels around the building were obviously way too old to be used today according to current regulations. 

“Well, Daniele, this is going to be a lot of work, both for designing the system and to configure it, let alone we are going to need electricians and such to make new electrical and network wiring from scratch.”

“We need to move the headquarters here in 25 days from now. At least basic services must be up and running by that day”.

“So we are going to need a huge workforce or a miracle. Probably both. But I’m confident we are going get at least one of the two somehow. And probably we’ll also manage to have some fun in the process”

Last time I took part in a team behind a building automation project made from scratch on a new building, it took at least 20 days just to get to a point where all subsystems where designed, mapped on paper and every contractor was aware of what was to be done on their side. The whole thing was powered up the first time almost six months later.

Planning the Miracle

We were in a hurry, apparently, to leave the old headquarters. 

On the way to the soon-to-be-former headquarters, I started making up my mind on how to make said miracle happen and how to control the possible damages if such miracle would be, even partially, unavailable.

By the time I parked the car, this is what was clear:

  1. All designing work was to be done ASAP
  2. We had no guarantee that the contractors were aware of every building automation system in the world, so selected technologies would have to be chosen between those that are generally easy to explain to electrical wiring-aware personnel, and at the same time all the technology to implement had to be something at least two of us would be perfectly confident using and configuring
  3. A clear overview of the final system was mandatory, but it had to be broken down to independent modules so that if something wouldn’t be ready in 25 days, well, it’s bummer but it wouldn’t be a total “blocker”.
  4. Power supply, “Life support” and network were the top priorities.
  5. The more I was thinking about the process of moving physical servers between the two buildings the more it started to look like The Recipe for The Disaster, because of the switchover time between two different fiber uplinks, the operation of dragging tons of metal around in an hurry, the possible security problems leaving the servers unattended during the construction and renovation works, let alone possible damages in transit to hardware and data, ip changes and such. What a better day to finally complete the process of migrating all the production systems to the cloud and to create our HQ datacenter even before installing a single rack unit inside it? Only test systems would remain local. Being test systems, the final users wouldn’t have experienced any downtime, no sensitive data is being moved on the roads and if a server breaks or arrives to destination late, it won’t be a disaster.

I firmly believe that the last proposition saved us all at a certain point. More on that later. 

Requirements and Materials

I started building the network diagram.

“Daniele, are you really sure that we are going to go with wifi as the main connectivity?”

“Yes, we must be able to use our computer around the new HQ without any kind of tether

“So basically you want the cables to exist mainly in the datacenter and for specialized tasks. I’ll try to find appropriate products in respect to that, but please be prepared: the density of wifi clients in the open space is going to be, well, high. This means using specialized equipment for high density”

“No problem with that”

Testing the core network infrastructure on a table with Mr. Chinazzi

Wireless-first approach

So we decided to build system around the idea of “wireless first” as client access mean of connection, and because of that we opted for the use of Ubiquiti Network’s UniFi SHD APs everywhere, due to the implementation that favors high density of clients. The added benefit of using UniFi equipment is that we can now manage most of the network settings directly from a mobile phone, PoE switches included.

The wifi controller for UniFi also doubled as a small DVR for the cameras of the same brand, with the same added benefit of viewing the footage directly on the phone or other devices that support the app. So we decided to play along with the convergence strongly suggested by the brand and install cameras from them and we are not disappointed so far.

Firewall

For the firewall, we went with our classic choice, Watchguard, due to our experience with the brand and the dependability it showed through the years / tried and tested compatibility in our scenarios. 

Access control

“I think we should go with NFC cards for physical access, so everybody can access the structure at every hour necessary as you wanted”

“Ok Marco, but I don’t quite like the idea of cards. It looks old. Isn’t there something that I cannot forget at home?”

“Well fingerprint scanners, but you know, after the GDPR, biometry on workers is a dangerous thing…”

Something that uses phones maybe? I mean, nobody forgets the phone at home”

“Never had to do with such a thing but I believe somebody already made such a product, let me check”

“…and for the doorbells?”

“Those will be internal numbers of the PBX that will call a specific ring group or queue during the day and another during closing hours, so you can answer the door even if nobody is there”

Can we make the door intercom speak and explain that so the caller won’t be confused?”

“I believe so”

The main gate’s intercom

Cutting-edge Intercoms

Basically we ended up with doorbells / intercoms from 2N, with bluetooth and relay modules, that the PBX uses to play music and speak while you are waiting to be connected to a local or remote operator after ringing the doorbell. The operator can activate the relays to open gates and doors while looking at you via the integrated camera and/or the other cameras around the building. The bluetooth module is used to recognize the users, that we can invalidate at will from a database, with time period based permissions (for example external service personnel can only access the structure at certain times, while full time employees can access it as they want).

Access gate

We also integrated every access gate with HTTP APIs with the building automation functions, so we can use the gate as a controller accessory inside time or condition-based scenes. For example opening the gate at 08.30 during working days for our workforce to find it already open in the peak hours, and closing it back at 9.15 when most of the workforce is already inside, both for ease of use and power/wear saving on the electric motor

Turn-on the Lights

“Daniele, are you still of the idea of a full fledged building automation?”

“Maybe, but we can always implement it later

“I beg to differ, if you want to control every LED light in the building with IoT / building automation, it is now or never. I know that the building must be completely rewired even in the electrical parts, so. This is the perfect moment: the wiring for building automation is kinda different from what they are going to do now, so you would end up rewiring everything again in the future”

“I see… Did you already found a supplier for the building automation parts?”

“Yes, I sent you a document with the part list some minutes ago…”

Daniele checked the list- “Ok then. Order what’s needed. What technology are we using?”

“Z-Wave, basically every relay is a node of a radio mesh, with a “special” node that is the controller that will be put in the server room”

“Marco, please make sure that nobody has to get up from their desk just to turn on the light in their room ok?”

“Ok… that’s a bit weird but I think we can manage…”

“Also, I don’t really want to see those ugly IR remotes for the air conditioning. Come up with something else.

“Ok… I think I just saw something that you might like… What about a big red button that controls everything in the room? You press it one time for the light, two times for the air conditioning, three times for something else maybe… You can have up to five presses sequences per button”

“Is it wireless?”

“Sure, we already agreed on the “wireless first” principle!”

The Big Red Button

A box of about thirty Z-Wave relays, a Fibaro z-wave controller, some IR blasters and a bunch of motion-light-temperature sensors and door opening sensors, along with The Buttons, quickly arrived at the soon-to-be-former HQ, just in time to reach the electricians at the new HQs. I jumped in the car to bring the stuff to them.

Bad news and the avoided failure

As I got there, some bad news were waiting.

“We measured the routes from the gate to the server room and some other places that are on the diagram here” – the installer shows to me my diagram with his notes – “the existing tubing is very, very long from here to there, I believe way too long for network cables”. 

“Yes, 150 meters are way too much for a PoE cable”. 

I opened my laptop and quickly updated the network diagram to add a second network rack in the basement and showed to the installer. This seemed to work.

“Daniele, we need to order another PoE switch and another rack with accessories, but just a small wall-mounted one in this case”

“Why is that?” 

“We just found out that the routes from the server room to the most distant nodes are way more distant than what we imagined from the outside, the tubing takes some weird routes from the server room to the gate.

This is the problem with old buildings, you didn’t design the tubing for the wiring, but you have to design the wiring and then adapt it to the tubing.

Another bad news broke in.

“It’s a long way to the fiber if you wanna rock and roll”

FTTH cabling
Direct FTTH link to the server’s room, about 4 km

“There is no internet connection in the area, to route the fiber connection to the new HQ, the internet provider needs to procede with a very long excavation work, but the permits from the Municipality require time to be granted. Probably the fiber won’t be there in time

“That could be a big problem. I will come up with something, don’t worry Daniele.”

No fiber… no party! But there’s plan B

And this is where “condition 5” of the above guidelines I gave myself probably saved us all: no fiber means no public ip. No public ip means production systems offline, if they were already being moved to the new HQ instead of the cloud. Since we migrated everything to the cloud, even the ERPs that run on Windows, converting them to terminal servers, along with our PBX and our main storage migrated to Google Drive, we just needed an uplink to our brand new concentrator in front of our private cloud, while final clients-faced services were all already there long before moving.

As soon as the main network rack came to existence, I fetched one of our spare mobile data SIM card, an LTE/4G USB adapter and a couple of high-gain LTE antennas and plugged everything to the Firebox. Then I just created an application control ruleset that only allowed critical services through the USB device, and there we went online, albeit slowly, way before the official opening.

Good News everyone!

The project was starting to take shape in the physical realm. As the electricians installed a group of relays, I was following them adopting the devices in the integrator. All in all everything was smooth, with only some minor mishaps, like when a too high load was plugged into the relays, effectively melting the solenoid inside them in a cloud of gray smoke.

Network cables were all in place and the APs started to appear around the HQ, broadcasting their SSIDs. Finally we were online, at least for essential services.

Controlling temperatures

The HVAC system was installed just after that and with the help of the IR blasters, it was integrated into the building automation controller, to allow scheduling and reactions to outside events.

Since Tomorrow.

We have always been on schedule, albeit on the edge of it, thanks to careful planning, inside help from many volunteers from the MOLO17’s staff and some fantastic contractors.

We are still implementing new technology and fine tuning the existing automations, for example since a couple of days ago the whole system is HomeKit-enabled, with a custom gateway made from opensource software, custom plugins for it, an embedded APU2 board and our sweat and blood.

That is one of the serious advantages of undertaking such an endeavour with in-house resources in an IT company. You will get it exactly the way you wanted it. I’ve seen tons of home and building automation projects go terribly wrong because of that: someone sells you the building automation package, the contractor installs it, and that is what you get, frozen in time. Without any chance of improvement or update over the years, to the point that COTS IoT devices will often surpass it in features by the time the contractor has finished installing it.

Instead, here we will improve it, day by day.
This building is and will be alive and evolving with us, with cutting edge technology, day by day.