Per Matthias von Ah, CEO di Gasser Felstechnik AG, la sicurezza e la salute dei dipendenti sono una preoccupazione personale. "Da noi tutti devono poter tornare a casa sani e salvi la sera. I nostri dipendenti sono la nostra più grande risorsa", afferma von Ah e sottolinea: "Per me non ci sono compromessi". Pertanto, è stato logico per l'azienda impegnarsi nella Carta della sicurezza e inviare così un segnale interno ed esterno che la salute dei dipendenti ha la massima priorità e che le regole vitali sono quindi parte integrante del lavoro quotidiano.

Gli errori possono essere fatali

Gasser Felstechnik AG è un'azienda specializzata nell'estrazione mineraria in sotterraneo, nel sostegno della roccia, nella tecnologia di brillamento e nell'ingegneria delle fondazioni. Proprio perché i rischi di incidenti in questi campi di attività sono particolarmente elevati, l'azienda sta investendo molto nella prevenzione degli incidenti da diversi anni. E per una buona ragione. Se un dipendente commette un errore mentre lavora su una parete rocciosa, nel peggiore dei casi può provocare una caduta da 200 metri. "La sicurezza è saldamente ancorata alla nostra cultura aziendale. Consideriamo un segno di apprezzamento nei confronti dei nostri dipendenti il fatto che ci prendiamo cura della loro sicurezza", afferma Matthias von Ah.

Pertanto, la sicurezza e la salute fanno parte dell'attività quotidiana di Gasser Felstechnik AG. I nuovi dipendenti ricevono una formazione dettagliata sulla sicurezza il primo giorno di lavoro. Inoltre, le regole vitali vengono regolarmente istruite e discusse in loco in situazioni di lavoro concrete.

La sicurezza in tasca

Per rendere le regole vitali un argomento regolare, Gasser Felstechnik AG si affida anche all'uso di un'app aziendale interna. Tramite questa app è possibile accedere a tutte le comunicazioni riguardanti l'azienda, compresi gli argomenti relativi alla sicurezza e alla tutela della salute. I dipendenti confermano nell'app di aver preso nota dei contenuti. L'azienda di Lungern vuole aumentare costantemente la sicurezza e la salute e ha trovato le leve più efficaci. "L'analisi dei rapporti sugli infortuni, dei quasi incidenti e di altri incidenti che si verificano in loco ci fornisce informazioni importanti su come ottimizzare ulteriormente le nostre procedure e i nostri processi in materia di sicurezza", spiega von Ah.

Una promessa di maggiore sicurezza

Oltre alle regole fondamentali, la Carta della sicurezza è uno strumento importante per ridurre gli infortuni e le malattie professionali sul posto di lavoro. Il sì alla Carta della sicurezza è una promessa. Un impegno che presuppone la volontà di schierarsi attivamente e con impegno come azienda per la sicurezza e la salute dei propri dipendenti.

La nuova campagna informativa per la Carta della sicurezza della Suva si basa su autentici modelli di ruolo. I dirigenti d'azienda e i responsabili della sicurezza che sostengono la Carta della sicurezza vogliono fungere da testimonial per convincere altre aziende dei vantaggi dell'adesione. Dopo tutto, ogni incidente evitato significa anche evitare sofferenze per le persone colpite e le loro famiglie. Inoltre, le aziende possono risparmiare sui costi se i dipendenti rimangono in salute e non perdono il lavoro.

Per saperne di più: safety-charter.ch

Le registrazioni di immagini e video delle operazioni di polizia non sono più un fenomeno nuovo. Le operazioni di polizia possono essere filmate senza essere richieste? E le immagini possono poi essere diffuse su Internet senza essere pixelate? Gli agenti di polizia svolgono un compito sovrano ed esercitano il monopolio dello Stato sull'uso della forza. Il resoconto delle azioni di polizia in pubblico è quindi coperto dall'interesse pubblico all'informazione (art. 28 comma 2 CC). Le riprese delle operazioni di polizia sono quindi consentite in linea di principio.

Tuttavia, esistono anche eccezioni a questa regola, come dimostrano diverse sentenze. Nel 2017, una manifestazione a Berna è sfociata in un violento alterco tra un gruppo di agenti di polizia e un partecipante alla manifestazione. Una persona ha filmato l'azione della polizia da una distanza di circa 5-10 metri. Anche lei era sotto il controllo della polizia. Molti membri della polizia, per ragioni comprensibili, non vogliono essere ripresi e si voltano o guardano a terra. L'ufficiale responsabile ha riconosciuto un rischio per la sicurezza in questo comportamento del suo personale. Ha chiesto alla persona che filmava di astenersi dal filmare e di cancellare le registrazioni sotto la minaccia di arresto e sequestro del cellulare. La Procura ha quindi aperto un procedimento penale contro il responsabile delle operazioni per abuso di autorità e coercizione.

Da un punto di vista legale, la polizia può vietare di fotografare o filmare un'operazione di polizia solo se la persona commette contemporaneamente un reato, ad esempio ostacolando un atto ufficiale. Solo in questo caso, in caso di rifiuto, possono essere segnalate le possibilità di arresto e di sequestro del telefono cellulare. Se non è stato commesso alcun reato, si tratterebbe di una minaccia di conseguenze illecite e quindi di un abuso di autorità.

Nel caso citato, era legittimo che il responsabile delle operazioni identificasse un problema di sicurezza nelle riprese. L'azione ufficiale intrapresa era lecita. L'archiviazione del procedimento penale contro il capo delle operazioni è stata confermata dalla Corte Suprema.² Nel caso di registrazioni di immagini e filmati, occorre quindi distinguere se una persona sta effettivamente ostacolando l'operazione di polizia o se sta semplicemente registrando come estraneo che non è coinvolto. Nel caso di registrazioni effettuate da giornalisti, la libertà dei media pone ostacoli ancora maggiori.

Violazione della personalità degli agenti di polizia

Ora succede che dopo un'operazione in una manifestazione, le foto ritratto di una task force vengono pubblicate insieme agli appelli alla violenza su Internet e successivamente sulla stampa e in televisione.

Le registrazioni effettuate nel pubblico interesse devono limitarsi a catturare il corso degli eventi. I membri della polizia possono essere identificabili a condizione che non siano particolarmente enfatizzati o che siano riconoscibili solo come "accessori" o "compagni di cattura". Il diritto alla propria immagine è violato se i membri della polizia sono ovviamente fotografati come personalità individuali. Ciò si verifica in particolare quando si scattano ritratti da breve distanza o con un teleobiettivo. In altre parole, i ritratti sono inammissibili se non c'è alcuna azione o ulteriore collegamento con l'oggetto del reportage, cioè se la foto è scattata solo per ritrarre i membri della polizia stessi. Tali violazioni della personalità possono essere fatte valere con un'azione legale presso il tribunale civile. Tuttavia, gli agenti di polizia devono intentare questa azione come privati. Il procedimento è solitamente così complesso che è necessario rivolgersi a un avvocato. Oltre all'onorario dell'avvocato, devono essere pagate in anticipo anche le spese processuali. Una causa di questo tipo può costare rapidamente diverse migliaia di franchi. Inoltre, il procedimento civile può essere avviato solo se il convenuto è noto. Questo può essere un ostacolo insormontabile nel caso di pubblicazioni su siti web anonimi con server all'estero. Non bisogna inoltre sottovalutare l'onere mentale e temporale di un simile procedimento civile. Se il tribunale giunge alla conclusione che vi è stata una violazione illegale dei diritti della personalità, può ordinare la rimozione o la distruzione delle immagini in questione. Il tribunale può anche condannare il convenuto al risarcimento dei danni e alla soddisfazione.

Sostegno da parte del datore di lavoro?

È proprio qui che si pone la domanda se il datore di lavoro non debba intervenire contro tali violazioni della personalità. L'obbligo di diligenza previsto dal diritto del lavoro è un principio giuridico generale che tutti i dipendenti possono invocare. In ogni caso, il datore di lavoro deve garantire che non si verifichino violazioni ingiustificate della personalità del dipendente e deve aiutarlo a porre rimedio alle violazioni della personalità esistenti. Di conseguenza, la tutela legale deve essere garantita non solo se gli agenti di polizia sono perseguiti penalmente, ma anche se devono avviare un procedimento civile per violazione dei diritti della personalità. Anche in questo caso si fa riferimento all'attività di polizia. Tuttavia, questo diritto al sostegno non è concesso nella maggior parte dei cantoni, cosicché i membri della polizia non possono ancora contare sull'aiuto del loro datore di lavoro. Questa circostanza è deplorevole e necessita di una revisione. Per proteggere la personalità degli agenti di polizia, sono necessarie ulteriori misure. Come spunto di riflessione, si dovrebbe menzionare l'uso costante di distintivi numerati al posto di quelli nominativi o il camuffamento generale degli agenti di polizia nelle foto e nelle registrazioni cinematografiche. Sarebbe inoltre utile che i siti web interessati fossero specificamente bloccati, come in Germania. Questo perché i procedimenti civili non possono essere avviati contro ignoti, ma devono essere diretti contro l'autore o il gestore del sito web.

In sintesi, si può affermare che le registrazioni ingiustificate di immagini e filmati e la loro pubblicazione su Internet costituiscono una violazione dei diritti della personalità. Le violazioni dei diritti esistenti possono essere sanate in tribunale, ma i procedimenti sono costosi e richiedono molto tempo. I servizi di supporto al datore di lavoro sono ancora arretrati o inesistenti. Questo aspetto deve essere contrastato, perché le persistenti violazioni dei diritti della personalità non fanno parte del rischio professionale accettabile degli agenti di polizia.

La gestione dei dati generati da grandi progetti edilizi è un compito gigantesco. I team hanno quindi bisogno di un accesso centralizzato ai dati e di trasparenza per recuperare le informazioni al momento giusto. Un Common Data Environment (CDE) è uno strumento prezioso per snellire la complessità dei grandi progetti edilizi e infrastrutturali e migliorare la sostenibilità di questi beni durante il loro ciclo di vita.

7 migliori pratiche

1. l'accesso giusto al momento giusto: Un ambiente di dati condiviso consente agli stakeholder del progetto di iniziare a collaborare prima, ma rilasciare i dati del progetto troppo presto o troppo tardi può generare confusione. La soluzione CDE ideale dovrebbe consentire di suddividere gli utenti in gruppi, in modo da controllare chi ha accesso a cosa e quando può vederlo. Ad esempio, si può creare un gruppo per i proprietari, un altro per gli architetti e un altro ancora per gli artigiani. I responsabili BIM possono quindi definire quali dati ciascun gruppo può visualizzare e quando, e aggiungerli o rimuoverli man mano che il progetto procede.

2. sostenere la necessità di un CDE individualePuò sembrare un controsenso, ma in alcune situazioni ci sono buone ragioni per mantenere CDE separati. I subappaltatori che devono svolgere un intenso lavoro di progettazione, calcolo dei costi e analisi dei costi possono voler mantenere i propri CDE per proteggere i dati sui costi e semplificare la quantità di informazioni da fornire all'appaltatore generale o al proprietario. In questo caso, importano il modello di progetto rilasciato nel proprio CDE, eseguono le analisi e rimandano i modelli dettagliati al contraente generale. Questo approccio riduce la quantità di dati generati su un progetto di grandi dimensioni, consentendo al subappaltatore di centralizzare la gestione dei dati e lo scambio tra i team interni.

3. Mappatura dei datiUn buon CDE preserva la qualità dei dati, indipendentemente dal programma utilizzato per creare il modello originale e dai sistemi utilizzati dai diversi membri del team per rivederlo. I visualizzatori del modello CDE non devono rimuovere i dati dall'originale. Devono invece tradurli in modo da poterli visualizzare sempre in un formato fedele all'originale. A tal fine, è necessario far corrispondere i campi tra i sistemi, un processo noto come mappatura dei dati.

Come sottoprodotto della mappatura dei dati, gli utenti ottengono una migliore comprensione delle informazioni raccolte. La mappatura dei dati costringe gli stakeholder del progetto a pensare a quali informazioni devono essere estratte dai diversi file e a quali attributi devono essere assegnati all'interno del CDE.

4. automatizzare i flussi di lavoro utilizzo di API: un CDE che supporta le interfacce di programmazione delle applicazioni (API) consente di collegarsi a qualsiasi sistema, dai sistemi ERP agli strumenti di gestione dei documenti. Grazie a questa connettività, è possibile impostare automazioni per migliorare l'efficienza e l'accuratezza dei dati. Utilizzando uno strumento come Trimble Connect, ad esempio, i progettisti possono automatizzare i flussi di lavoro con l'ERP e il CDE per attivare i pagamenti ai geometri una volta che questi hanno completato il loro elenco di attività nel CDE. I connettori API consentono inoltre di scalare gli investimenti tecnologici.

5. Raccogliere solo i dati realmente necessariDopo la progettazione e la costruzione, i dati del progetto possono essere utilizzati dai proprietari per gestire e mantenere gli edifici costruiti in modo più efficiente, nonché dai progettisti e dagli appaltatori per interventi di retrofit, ristrutturazione e aggiornamento. Tuttavia, questi dati sono preziosi solo se sono facilmente accessibili e rilevanti. Per evitare un sovraccarico di dati, gli utenti dovrebbero configurare il proprio CDE in modo da acquisire solo i dati necessari per il progetto e utili per i team coinvolti.

Ad esempio, è possibile creare i propri set di proprietà costituiti dagli input utilizzati per creare il modello. All'interno di questi set di proprietà, è possibile creare campi o proprietà a cui assegnare attributi specifici. Se il nuovo campo richiede un input numerico, questo può essere impostato come parametro e anche il valore minimo o massimo può essere limitato.

6. standard aperti per la condivisione: Per trarre veramente vantaggio dalla centralizzazione dei dati, è necessario un CDE che tratti tutti i dati allo stesso modo, indipendentemente dal programma o dallo strumento da cui provengono. Altrimenti, i pianificatori corrono il rischio di un inserimento manuale dei dati e di una loro scarsa integrità. Un CDE che supporta standard aperti per la condivisione dei dati consente di facilitare i flussi di lavoro con qualsiasi strumento di progettazione senza perdere o corrompere i dati. È questo che rende possibile un progetto veramente indipendente dal software. Gli standard aperti consentono a ogni azienda di utilizzare la tecnologia più adatta alle proprie esigenze e al proprio budget e di collaborare pienamente senza dover ricorrere a soluzioni alternative.

7. lavorare con un singolo modello continuoIl controllo delle versioni può essere un problema quando ogni stakeholder lavora con il proprio modello. Con un CDE orientato agli oggetti, le informazioni possono essere scambiate direttamente tra il modello e i suoi strumenti di progettazione interna tramite API.

Poiché tutti i soggetti coinvolti lavorano su un unico modello end-to-end, anziché caricare nuovi file a ogni modifica, il controllo delle versioni non è più un problema. Come ulteriore vantaggio, la curva di apprendimento per l'adozione è ancora più breve rispetto alla maggior parte degli altri CDE, in quanto gli utenti effettuano gli aggiornamenti con gli strumenti che utilizzano attualmente. Questa migliore interattività del modello supporta anche il livello 3 di maturità BIM.

Attrezzarsi per il successo di un ambiente di dati solido

Alcuni CDE offrono più funzioni di altri, consentendo di creare un'unica fonte di verità per ogni progetto e di ottenere un maggior valore dai dati. Se il CDE serve solo per l'archiviazione dei dati e offre poco altro, potreste perdere tutti i vantaggi che una singola fonte di verità può offrire, come l'aumento della produttività, dell'efficienza e della sostenibilità e la riduzione dei rischi. Quando tutte le parti interessate hanno accesso ai dati giusti al momento giusto, è possibile introdurre nuovi processi automatizzati per aumentare la produttività e aumentare la trasparenza dei dati per ridurre i rischi. Inoltre, le parti interessate possono fornire i dati giusti al momento giusto per prendere decisioni migliori e più rapide, ottenere approfondimenti significativi e aumentare l'efficienza durante l'intero ciclo di vita del progetto (rosso./sgr).

Fonte: Trimble

La polvere di perforazione può causare il cancro e può essere letteralmente fatale per gli occhi. Quando volano trucioli, si verifica l'inquinamento acustico e si maneggiano oggetti taglienti, anche gli amanti del fai-da-te dovrebbero proteggersi con degli ausili.

Proteggere bene le mani

Siamo costantemente attivi con le mani. I guanti protettivi proteggono le mani da lesioni dolorose. Importante al momento dell'acquisto:

• Per i lavori con utensili o materiali taglienti, esistono guanti protettivi con la denominazione standard EN 388. Questi guanti proteggono dai rischi meccanici come tagli o coltellate.
• Per i lavori di pulizia e per la manipolazione di sostanze chimiche, guanti protettivi con la designazione standard IT 374 selezionare.
• I guanti robusti e resistenti all'inverno vi proteggono dal freddo e dalle intemperie.
• Fatevi consigliare: La scelta è ampia.
• ImportanteNon indossare i guanti se c'è il rischio di impigliarsi nelle parti mobili della macchina (ad es. trapani).

In modo che nulla colpisca l'occhio

Schegge di legno o metallo volanti, polvere e schizzi: gli occhiali di sicurezza assicurano che gli occhi rimangano intatti.

Importante al momento dell'acquisto:

• Scegliete bicchieri che si adattino bene e che si chiudano bene.
• Per i lavori al sole, sono disponibili occhiali di sicurezza con protezione UV e colorazione.
• Acquistare un paio di occhiali con la designazione standard EN 166.
• ImportanteI normali occhiali per correggere i difetti visivi o le lenti a contatto non hanno un effetto protettivo, quindi esistono speciali sovraocchiali per i portatori di occhiali.

L'udito è protetto

Il rumore si fa sentire quando si lavora con le macchine. La protezione dell'udito previene i danni all'udito. Importante al momento dell'acquisto:

• Scegliete una protezione acustica che si adatti perfettamente e che sia progettata per l'attività e il livello di rumore.
• Chiedete consiglio: Le protezioni acustiche sono disponibili con diversi valori di attenuazione.
• Sono disponibili modelli speciali per bambini.
• Sulla designazione standard IT 352 prestare attenzione.

Contro la congestione polmonare

Le attività del fai-da-te producono polveri o fumi tossici. Un respiratore protegge i polmoni. Importante al momento dell'acquisto:

Polveri o vapori: chiedere consiglio. A seconda dell'area di utilizzo e del tipo di inquinante, è necessario un respiratore diverso.

Fonte: AAIB

Alle sette di venerdì 13, tutto si è improvvisamente fermato presso il marchio di moda tedesco Marc O'Polo. I telefoni sono rimasti muti, le e-mail non hanno più funzionato, gli scanner e i sistemi di cassa dei negozi dell'etichetta erano morti. Un attacco hacker aveva criptato i sistemi informatici della catena di moda. È stato chiesto un riscatto. L'azienda di moda ha pagato l'importo tre anni fa. Tuttavia, ci sono volute quasi quattro settimane prima che venisse ripristinata la normale operatività.

Una nuova tendenza: più stampe doppie e triple

Marc O'Polo è una delle tante piccole e grandi aziende che sono già state vittime di un cosiddetto attacco ransomware. Attualmente, questi attacchi con crittografia di sistemi e dati e richieste di riscatto rappresentano uno dei maggiori rischi informatici per le aziende di tutto il mondo. Secondo l'ultimo Cyber Report di Allianz Global Corporate & Specialty (AGCS), nel 2021 si è registrato un record di 623 milioni di attacchi ransomware a livello globale, il doppio rispetto al 2020. Sebbene la frequenza sia diminuita di 23 % a livello globale nella prima metà del 2022, il numero totale di attacchi ransomware fino ad oggi quest'anno supera ancora quello del 2017, 2018 e 2019: In Europa, gli attacchi sono aumentati notevolmente in questo periodo. Si prevede che il ransomware causerà danni per 30 miliardi di dollari a livello globale entro la fine del 2023. Dal punto di vista di AGCS, il valore dei sinistri assicurativi dovuti al ransomware, in cui la società è stata coinvolta insieme ad altri assicuratori nel 2020 e nel 2021, ha rappresentato ben oltre il 50 % di tutti i costi dei sinistri assicurativi informatici.

Il costo degli attacchi ransomware è aumentato anche perché i criminali hanno preso di mira aziende più grandi, infrastrutture critiche e catene di approvvigionamento. Inoltre, i criminali hanno affinato le loro tattiche per estorcere più denaro. Gli attacchi di doppia e tripla estorsione sono ormai la norma: oltre alla crittografia dei sistemi, i dati sensibili vengono sempre più spesso rubati e utilizzati come leva per estorcere denaro a partner commerciali, fornitori o clienti.

Aumento delle tattiche di deep-fake

La gravità degli attacchi ransomware rimarrà una minaccia fondamentale per le aziende, alimentata dalla crescente sofisticazione delle bande e anche dall'aumento dell'inflazione, che si riflette in un incremento dei costi per gli specialisti della sicurezza informatica. Inoltre, anche le piccole e medie imprese, che spesso non hanno le risorse per investire nella sicurezza informatica, saranno sempre più bersaglio delle bande di ransomware. Questi impiegano un'ampia gamma di tecniche di estorsione, adattano le richieste di riscatto a specifiche aziende e si avvalgono di negoziatori esperti per massimizzare il profitto dell'attività criminale.

Il cyber report ha rivelato una serie di altre minacce a cui le aziende svizzere dovrebbero prepararsi. Ad esempio, la truffa Business E-Mail Compromise (BEC) continua ad aumentare. Ciò è favorito dalla crescente digitalizzazione e disponibilità di dati, dallo spostamento dei luoghi di lavoro verso gli uffici domestici e dalla diffusione delle tecnologie deep-fake. Secondo l'FBI, le truffe BEC ammontano a 43 miliardi di dollari a livello globale dal 2016 al 2021, con un aumento di 65 % solo tra luglio 2019 e dicembre 2021. Gli attacchi stanno diventando sempre più sofisticati e mirati, con i criminali che ora utilizzano piattaforme di riunioni virtuali per convincere i dipendenti a trasferire fondi o condividere informazioni riservate. Sempre più spesso, questi attacchi sono consentiti dall'intelligenza artificiale che utilizza audio o video falsi per imitare in modo ingannevole i dipendenti senior. L'anno scorso, un dipendente di una banca degli Emirati Arabi Uniti ha trasferito 35 milioni di dollari dopo essere stato ingannato dalla voce clonata di un dirigente aziendale.

Impatto del tema della guerra sulle assicurazioni

Anche la guerra in Ucraina e le tensioni geopolitiche generali sono un importante fattore di cambiamento del panorama delle minacce informatiche: Il rischio di spionaggio, sabotaggio e attacchi informatici contro le aziende legate alla Russia e all'Ucraina, nonché contro gli alleati e le aziende dei Paesi vicini, è aumentato. I cyberattacchi sponsorizzati dagli Stati potrebbero prendere di mira le infrastrutture critiche, le catene di approvvigionamento o le imprese. Finora, la guerra tra Russia e Ucraina non ha portato a un aumento significativo delle richieste di risarcimento per la cyberassicurazione, ma indica un potenziale aumento del rischio da parte degli Stati nazionali. Sebbene gli atti di guerra siano solitamente esclusi dai prodotti assicurativi tradizionali, il rischio di guerra cibernetica ibrida ha accelerato gli sforzi del mercato assicurativo per chiarire la questione della guerra e degli attacchi cibernetici sponsorizzati da uno Stato nei contratti assicurativi e per fornire chiarezza ai clienti sulla copertura assicurativa.

Meno specialisti nei concetti di sicurezza informatica

Un'altra grande preoccupazione è che la mancanza di lavoratori qualificati stia ostacolando gli sforzi per migliorare la sicurezza informatica. Sebbene la consapevolezza del management stia crescendo, le stime mostrano che il numero di posizioni di cybersecurity non coperte in tutto il mondo è aumentato di 350 % a 3,5 milioni negli ultimi otto anni. Ciò è preoccupante anche perché, allo stesso tempo, la cybersecurity viene sempre più vista con gli occhiali ESG: Oggi gli stakeholder interessati al livello di sicurezza informatica delle aziende sono molto più numerosi che in passato. Gli aspetti di cybersecurity sono sempre più inclusi nell'analisi del rischio ESG dei fornitori di dati. Non è mai stato così importante assicurarsi che le politiche e i processi di cybersecurity siano in atto e siano integrati a livello di consiglio di amministrazione.

Le aziende sono quindi impotenti alla mercé degli hacker? Certamente no! Possiamo confermare che le aziende con un elevato livello di sicurezza informatica e una difesa informatica ben funzionante sono anch'esse vittime di attacchi, ma sono molto più in grado di respingerli e di tornare rapidamente alla normale attività. In qualità di assicuratori cyber, oggi la discussione sui rischi informatici e sui concetti di protezione è molto diversa rispetto a qualche anno fa. Otteniamo informazioni molto migliori attraverso i questionari e i dialoghi sul rischio e apprezziamo il fatto che i clienti si impegnino a fondo per fornirci informazioni complete. Questo, a sua volta, ci aiuta a fornire consigli e raccomandazioni utili, come ad esempio quali controlli sono più efficaci o dove la gestione del rischio può essere ulteriormente migliorata. Il risultato dovrebbe essere che le aziende subiscono meno eventi informatici, o almeno meno gravi, e che di conseguenza le richieste di risarcimento assicurativo diminuiscono. Tale cooperazione contribuirà a creare un mercato assicurativo sostenibile nel lungo periodo che non si affidi esclusivamente alle coperture tradizionali, ma che integri sempre più i rischi informatici nell'assicurazione captive dei rischi proprietari e nell'autoassicurazione, nonché in altri concetti alternativi di trasferimento del rischio.

Il Centro nazionale per la sicurezza informatica (NCSC) ha informato già nel novembre 2022 che oltre 2800 server Microsoft Exchange in Svizzera erano vulnerabili perché presentavano la vulnerabilità critica denominata "ProxyNotShell". Un mese dopo, circa 2000 operatori sono stati invitati dall'NCSC, tramite lettere raccomandate, a chiudere la vulnerabilità. Tuttavia, il messaggio non è ancora arrivato ovunque. Più di 600 server in Svizzera sono ancora la porta d'accesso per i criminali informatici. L'NCSC consiglia di installare gli aggiornamenti il prima possibile.

Il dato è preoccupante, ha detto, perché l'NCSC ha segnalato questa vulnerabilità a intervalli regolari per due mesi e ha anche chiesto personalmente agli operatori, tramite lettera raccomandata, di colmare la lacuna. Ognuno di questi 660 server rischia quotidianamente di essere vittima di un attacco informatico. L'NCSC raccomanda inoltre di controllare sempre le applicazioni e i siti web su Internet con il contatto di sicurezza. "security.txt" e assicuratevi di verificare la correttezza dell'indirizzo nel whois del dominio.

Per applicare le patch alle vulnerabilità di Exchange, l'NCSC raccomanda la seguente procedura:

• Assicurarsi di aver installato un aggiornamento cumulativo (CU) corrente con tutti i corrispondenti aggiornamenti di sicurezza (Nov22SU);
• Controllate il vostro server Exchange con l'HealthChecker fornito da Microsoft:
  https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
• Eseguite una scansione del server Exchange con una protezione antivirus aggiornata;
• Rivedete la vostra strategia di patch e assicuratevi che gli aggiornamenti di sicurezza critici siano applicati al di fuori delle finestre di manutenzione.

Fonte: NCSC

Sebbene la consapevolezza dell'importanza della sicurezza informatica nell'IT stia crescendo, gli ambienti OT ricevono ancora troppa poca attenzione - con conseguenze potenzialmente fatali, dato che i gravi incidenti di ransomware contro le infrastrutture critiche, sia nel cloud che on-prem, sono in aumento in tutto il mondo. Le tattiche e le tecniche di attacco sono in continua evoluzione e prendono di mira i sistemi OT, sempre più spesso in settori come l'automazione degli edifici o la produzione. Il punto cruciale è che anche i sistemi OT fanno parte delle infrastrutture critiche, ad esempio nei settori della sanità, dei trasporti, dell'energia e delle utility. A differenza del mondo digitale, qui i danni fisici sono spesso irreversibili e possono addirittura mettere in pericolo la vita delle persone. Soprattutto negli ultimi mesi, sono stati perpetrati numerosi attacchi informatici, tra l'altro a causa di vulnerabilità nei sistemi ampiamente utilizzati e note da tempo: Log4j, Microsoft Exchange, Linux, Apache, Accesso remoto, ecc. Le possibilità di attacco ai sistemi OT sono quindi aumentate notevolmente a causa del crescente panorama delle minacce.

Infrastrutture critiche

Sebbene il mondo OT fisico richieda approcci di sicurezza diversi rispetto all'IT virtuale, i due ambiti si stanno avvicinando. Le nuove tecnologie dell'IT sono correlate agli sviluppi e alle modernizzazioni dell'OT. Nell'industria, i robot ad autoapprendimento realizzano prodotti complessi; nell'automazione degli edifici, i sensori integrati forniscono dati come la temperatura, l'umidità, l'utilizzo o le prestazioni dei sistemi a una piattaforma cloud centrale; nell'ingegneria elettrica, i sistemi di misura sono sempre più collegati in rete, controllati e monitorati in modo intelligente. Due mondi che si fondono, nuovi rischi per la sicurezza che emergono. La visione è quella di una connettività completa e dell'utilizzo dei potenziali di sinergia. La realtà, tuttavia, è che questi due mondi hanno spesso interfacce complesse, talvolta obsolete o difettose, il che rende difficile una fusione sicura. I criminali informatici sfruttano la vulnerabilità e la manipolabilità di questi sistemi OT, che in precedenza erano stati progettati per la stabilità piuttosto che per la sicurezza e l'offline.

Mentre l'IT si concentra classicamente sulla riservatezza, sulla sicurezza delle informazioni e sulla protezione dei dati, l'OT si concentra sulla disponibilità dei sistemi OT (macchine e impianti) e sulla protezione (sicurezza) dei dipendenti e dell'ambiente. Garantire questa sicurezza non è solo necessario a causa degli ambienti critici per la sicurezza, ma anche obbligatorio dal punto di vista legale. Di conseguenza, esistono linee guida chiare e vengono effettuate valutazioni elaborate, ma non per la sicurezza OT. Tuttavia, l'IT e l'OT sono entrambi componenti integrativi e dovrebbero quindi essere inclusi nella valutazione del rischio operativo e di business. Poiché gli attacchi ai sistemi OT possono mettere a repentaglio la sicurezza fisica, la loro protezione deve avere la massima priorità. Le misure necessarie sono, da un lato, la sensibilizzazione dei dipendenti in merito ai rischi specifici e, dall'altro, lo sviluppo del know-how e delle competenze relative ai componenti e ai protocolli OT. Inoltre, è essenziale un approccio a più livelli (difesa in profondità) che combini tutti i livelli. Ciò include un'architettura di sicurezza completa con soluzioni di sicurezza integrate per correlare i dati e rispondere alle minacce distribuite, sistemi quali IDS/NIDS o rilevamento in linea, rilevamento degli attacchi, XDR, gestione delle minacce, ecc.

La norma IEC 62443 si è affermata nell'ambiente OT per la creazione, l'implementazione, la revisione e il miglioramento continuo di un sistema di gestione della sicurezza delle informazioni (ISMS). Si tratta di un metodo efficiente per rendere sicuri i sistemi di automazione e controllo industriale (IACS), tenendo conto di tutti gli aspetti importanti, come la sicurezza dei dipendenti e della produzione, la garanzia di disponibilità, l'aumento dell'efficienza e della qualità della produzione e la protezione dell'ambiente. Ciò consente alle aziende di identificare tempestivamente i potenziali punti deboli della tecnologia di controllo e strumentazione e di avviare misure di protezione adeguate. Tuttavia, un approccio completo e lungimirante va oltre e prende in considerazione il panorama IT tradizionale, l'IT di sviluppo e persino l'IT di produzione. La gestione proattiva delle vulnerabilità non deve essere dimenticata. Questo non dovrebbe concentrarsi solo sulle vulnerabilità che hanno un certo valore CVSS, ma anche su quelle che vengono attivamente sfruttate dai criminali informatici. L'azione rapida è fondamentale in questo caso. Infine, ma non per questo meno importante, le valutazioni dei rischi e della sicurezza ICS/SCADA e il relativo controllo fanno parte di un approccio globale alla sicurezza.

Dalla difesa in profondità alla fiducia zero

Il Defence-in-Depth, ovvero l'approccio multilivello spiegato, ha un ruolo importante nella sicurezza IT/OT. In questo modo si riduce al minimo il rischio che gli attacchi informatici, o altri incidenti innescati, possano diffondersi come un effetto domino e causare ingenti danni. Tuttavia, per stare al passo con le nuove minacce, le aziende devono anche implementare modelli Zero Trust e automazione. Zero trust è un approccio strategico alla sicurezza che si concentra sul concetto di eliminazione della fiducia intrinseca, ovvero sulla riduzione al minimo dei permessi e degli accessi per minimizzare il rischio. Tutte le risorse sono considerate esterne. La fiducia non è né binaria né permanente. Zero Trust stabilisce la fiducia per ogni richiesta di accesso, indipendentemente dalla sua provenienza, facendo rispettare l'affidabilità dei dispositivi. L'automazione, invece, utilizza i dati attuali sulle minacce per ispezionare il traffico, applicare i criteri Zero Trust e bloccare gli attacchi in tempo reale.

Per un'implementazione ben ponderata di un concetto di sicurezza, è necessario migliorare le funzioni di sicurezza di tutti i sistemi, prodotti e soluzioni coinvolti. Ma anche le linee guida, i processi e, in ultima analisi, i dipendenti devono essere adeguatamente considerati, in modo da poter stabilire diverse misure. Dopo tutto, se una misura di protezione viene aggirata, quella successiva continua a fornire protezione. Questo principio ha molto senso, perché spesso i sistemi e i componenti coinvolti non hanno un livello di sicurezza aggiornato a causa della mancanza di aggiornamenti e di disponibilità permanente.

Anche se oggi i requisiti sono elevati: Questo è l'unico modo per raggiungere gli obiettivi strategici della sicurezza informatica, ridurre al minimo i rischi, soddisfare i requisiti normativi e garantire la sicurezza in ambienti IT/OT complessi.

Gestione intelligente degli allarmi, Cloud, intelligenza artificiale (AI) e analisi video sono le tecnologie che si combinano per migliorare significativamente l'accuratezza e l'efficacia della verifica degli allarmi. Come strumenti affidabili per prevenire e rispondere agli eventi di sicurezza nei centri di ricezione degli allarmi, le soluzioni dotate di intelligenza artificiale possono analizzare i dati provenienti da più sensori e telecamere per fornire una panoramica completa dell'ambiente. In questo modo il rilevamento e la risposta agli incidenti sono molto più semplici e precisi e riducono la probabilità di falsi allarmi. Anche la capacità di integrare una serie di tecnologie è fondamentale per una verifica accurata ed efficiente degli allarmi. A Architettura di sistema basata sul cloud è flessibile e può essere adattato alle nuove tecnologie che si rendono disponibili.

La soluzione Eagle Eye Networks-Sitasys aiuta i professionisti ARC a rilevare e rispondere agli allarmi

I centri di ricezione degli allarmi (ARC) devono monitorare migliaia di telecamere. Per rispondere rapidamente, la capacità di filtrare gli allarmi in modo efficiente è fondamentale. Sitasys e Eagle Eye Networks offrono agli ARC una soluzione di sicurezza integrata alimentata dall'intelligenza artificiale che rende il monitoraggio e l'analisi dei dati più efficienti e accurati. Aiuta il personale addetto alla sicurezza a filtrare gli avvisi, consentendo di rispondere prontamente agli allarmi e alle potenziali violazioni della sicurezza. Con soluzioni come questa, gli ARC possono diventare uno strumento più potente nella lotta contro il crimine, fornendo ai professionisti della sicurezza e alle forze dell'ordine le informazioni e il supporto di cui hanno bisogno.

Ulteriori informazioni sono disponibili nella sezione Studio del caso Protectas.

Prospettive professionali

Pascal Hulalka, CTO di Protectas: "Chi vuole stare al passo con gli sviluppi e allo stesso tempo beneficiare di servizi professionali deve essere in grado di utilizzare le offerte corrispondenti sul mercato. L'integrazione di soluzioni cloud nel settore della sicurezza consente agli utenti di scambiare dati in modo digitale, di risparmiare tempo, di ridurre al minimo le operazioni e di evitare inutili costi di intervento grazie al rilevamento automatico di audio e video."

Peter Monte, CEO di Sitasys AG: "Il cliente è contento quando non è più disturbato da falsi allarmi. Le soluzioni di sicurezza integrate con l'intelligenza artificiale consentono di fornire servizi di alto livello al cliente. Grazie all'automazione fornita dall'AI, il carico di lavoro del personale specializzato del centro di controllo si riduce".

Malte Hollung, Direttore vendite DACH, Eagle Eye Networks: "Il futuro della verifica degli allarmi nel settore della sicurezza è molto promettente. Con l'aiuto di soluzioni di sicurezza integrate che utilizzano l'intelligenza artificiale e l'analisi video, la verifica degli allarmi diventerà più accurata ed efficace e aiuterà a rilevare e rispondere agli incidenti di sicurezza in modo più rapido ed efficace. I centri di ricezione degli allarmi devono sfruttare appieno il potenziale della tecnologia a loro disposizione per aumentare la sicurezza e, allo stesso tempo, rendere la loro attività a prova di futuro".

Come il nuovo passaporto, lanciato quattro mesi fa, anche il è stato introdottoLo Swiss ID è stato aggiornato con l'aiuto delle più recenti tecnologie di sicurezza. Alcuni elementi di sicurezza sono inclusi nel materiale, altri sono generati durante la produzione della carta o anche durante la sua personalizzazione. Per la prima volta nella storia della carta d'identità svizzera, la nuova carta d'identità svizzera, insieme al nuovo passaporto, forma una famiglia di documenti d'identità con un design uniforme.

Come il passaporto, la nuova carta d'identità è rilasciata dall'Ufficio federale delle costruzioni e della logistica (UFCL). Presso la FBL, la carta viene personalizzata con dati personali quali il nome del titolare, la data di validità e la fototessera.

Ottenere il nuovo ID

Tutte le carte d'identità rilasciate in precedenza rimangono valide fino alla data di scadenza riportata su di esse. Le persone che desiderano ottenere una nuova carta d'identità possono richiederla a partire dal 3 marzo 2023 presso un ufficio passaporti o presso la competente rappresentanza svizzera all'estero. In alcuni cantoni, anche i comuni di residenza rilasciano carte d'identità. Inoltre, presso gli uffici passaporti cantonali è possibile richiedere offerte combinate di passaporto e carta d'identità.

Uffici passaporti cantonali e procedure nei singoli cantoni

Fonte: Fedpol

Secondo un rapporto dell'Ispettorato federale della sicurezza nucleare (IFSN), nell'anno di esercizio 2022 non si sono verificati incidenti nelle centrali nucleari che abbiano messo in pericolo la sicurezza delle persone o dell'ambiente. "Anche i rilasci di sostanze radioattive nell'ambiente da parte degli impianti nucleari sono stati ben al di sotto dei limiti previsti nel 2022", riassume Rosa Sardella, responsabile della Divisione di Radioprotezione.

Secondo l'IFSN, nell'anno in esame non sono stati registrati rilasci non autorizzati di sostanze radioattive da impianti nucleari svizzeri.

Una prima panoramica provvisoria del numero di incidenti segnalabili rilevanti per la sicurezza nucleare comprende 30 rapporti. Gli incidenti segnalati sono distribuiti tra le strutture nucleari come segue:

• 1 incidente relativo alle centrali di Beznau 1 e 2,
• 5 incidenti relativi alla centrale nucleare di Beznau 1,
• 5 incidenti relativi alla centrale nucleare Beznau 2,
• 6 incidenti relativi alla centrale nucleare di Gösgen,
• 6 incidenti relativi alla centrale nucleare di Leibstadt,
• 4 incidenti relativi alla centrale nucleare di Mühleberg (in fase di disattivazione),
• 2 incidenti relativi alle strutture nucleari del PSI,
• 1 incidente legato al CTA.

Nell'anno di supervisione 2022 si è verificato un arresto del reattore: Il 7 ottobre 2022, il reattore della centrale nucleare di Beznau 2 è stato spento automaticamente a causa di un malfunzionamento tecnico nella zona delle turbine.

Nel suo rapporto annuale di supervisione, l'IFSN nel secondo trimestre del 2023, un rapporto dettagliato sugli eventi e le scoperte segnalate negli impianti nucleari.

Occhi che lacrimano, naso chiuso, mal di testa: questi e altri sintomi simili non sono rari negli uffici. Spesso questi disturbi sono legati alla percezione degli odori sul posto di lavoro e di conseguenza alle preoccupazioni per i rischi per la salute. Ma la valutazione scientifica è complicata.

Un questionario può essere una base utile per l'analisi sistematica di tali disturbi dell'umore. A lista di controllo interessante è stato sviluppato dall'Istituto per la prevenzione e la medicina del lavoro (IPA) e dall'Istituto per la sicurezza e la salute sul lavoro (IFA) dell'Assicurazione sociale tedesca contro gli infortuni. Secondo le istituzioni tedesche per la SSL, lo strumento di indagine è rivolto a tutti i responsabili della sicurezza e della salute sul lavoro nelle aziende e nelle istituzioni.

Nuove misure possono eventualmente derivare da un'indagine mirata per verificare l'efficacia delle misure di ristrutturazione o per rivalutare locali ed edifici nell'ottica della gestione della salute.

Fonte: DGUV

La Svizzera ottiene quasi tutto il suo gas dall'estero e non dispone di uno stoccaggio stagionale proprio. Se il gas dovesse essere approvvigionato immediatamente, la riserva di oltre 6 TWh detenuta negli impianti di stoccaggio esteri fornisce almeno una buona copertura. Secondo il governo federale, questa quantità corrisponde a circa il 15% del consumo annuale di gas della Svizzera.

Estensione delle capacità di riserva

Probabilmente il gas russo non sarà più disponibile sul mercato europeo nel 2023/24. In questo modo si elimina anche il rischio di insolvenza. Il Consiglio federale ha ora creato una base corrispondente per estendere le proprie riserve al 1° febbraio 2023. Nel corso del processo, la riserva di gas è stata adeguata e prolungata di un anno. L'idea è nata nel settore del gas.

Secondo il Ordinanza per garantire le capacità di approvvigionamento in caso di grave carenza, i seguenti gestori di rete del gas svizzeri, tra gli altri, sono obbligati a rifornire la Svizzera di una quantità sufficiente di gas naturale dall'ottobre 2023 all'aprile 2024: Erdgas Ostschweiz AG, Erdgas Zentralschweiz AG, Gasverbund Mittelland AG e Gasznat SA, nonché le Aziende Industriali di Lugano SA.

Tuttavia, la riserva ora estesa per l'inverno 2023/24 potrebbe non coprire completamente le carenze di approvvigionamento. In caso di grave crisi di approvvigionamento, l'accesso alle strutture di stoccaggio estere non è automatico. Solo con la Francia le forniture sono assicurate da un trattato di Stato. Secondo il Consiglio federale, questo rimane un rischio che deve essere preso seriamente in considerazione nel caso di una grave situazione di crisi in tutta Europa.

Fonte: Bund/Ufficio editoriale