В этой статье расскажу, как компаниям взращивать культуру безопасности и чему обучать сотрудников. Инструмент развития культуры безопасности в организации.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
Гибкая культура — организация способна перестраиваться, если нужно, из-за растущих требований изменяющейся рабочей среды. Справедливая культура — работники четко видят границу между допустимым и недопустимым поведением. В последнем случае принимаются последовательные, справедливые и обоснованные меры. Положительная культура безопасности труда также строится на доверии, репутации и поведении высшего руководства, либо лидеров безопасности, которыми могут быть не только топ-менеджмент, а любой сотрудник организации. По мнению T. Krause 2005 r. Степень доверия — слова руководителей не расходятся с делом. Ориентированность на практические действия — руководители решают проблемы, связанные с отсутствием охраны труда.
Видение — совершенная картина охраны труда, которую представляют руководители. Ответственность — руководители обеспечивают условия, при которых сотрудники принимают на себя ответственность за работу, связанную с критически важными вопросами охраны труда. Коммуникация — способ сообщения и передачи информации об охране труда руководителями, который помогает формировать и поддерживать культуры охраны труда. Сотрудничество — руководители одобряют заинтересованность сотрудников в решении вопросов охраны труда и активно вовлекают их в это решение. Реакция и признание — поощрение моделей поведения, направленных на поддержание охраны труда, с помощью оперативного, справедливого и конструктивного признания. Немаловажным является вопрос мотивации сотрудников в вопросы безопасности труда. Как правило, мы переоцениваем роль системы оплаты труда в осознанной безопасности, считая ее волшебной палочкой и единственным методом воздействия, даже забавно называем ее «мотивацией».
И забываем, что без остальных инструментов общие цели, обучение и наставничество, поддержка, вовлечение и т. Ваши успехи и необходимые действия по улучшению ситуации в области осознанной безопасности зависят только от вас. Честность, доверие, забота - основа как корпоративной производственной культуры, так и культуры безопасности труда!
Следующим выступил Александр Кручинин, вице-президент по охране труда, промышленной безопасности, экологии и устойчивому развитию золотодобывающей компании «Полюс». Спикер отметил необходимость создания рейтингов внутри страны, ориентируясь на перечень 17 глобальных целей ООН.
При этом не обязательно брать за основу все цели — достаточно выбрать те, которые подходят в конкретном случае. Но даже в текущем времени рейтинговые агентства запрашивают информацию без присвоения рейтингов. И вернуть это все потом будет несложно, но нужно, чтобы была подготовлена информация», — поделился Александр Кручинин. В завершение выступления он добавил, что блок S чаще направлен на все, что связано с HR, когда стоит сделать упор на культуру безопасности. Далее выступила Елена Компасенко, начальник управления по охране труда, промышленной безопасности и охране окружающей среды АО «Зарубежнефть». Она отметила, что в развитие охраны труда, пожарной безопасности и охраны окружающей среды входит все, что должно быть в ESG.
Поэтому повестка ESG уже давно развивается в рамках российского бизнеса. Также она подчеркнула важность не только физического, но и психологического здоровья работников. Это еще и психологическое состояние здоровья. В 2020 году мы начали работать с психологами, продолжаем это делать и сейчас. Сотрудник должен быть не только здоров, но и благополучен.
Личный пример, живые истории, беседа помогают руководителям доступным путем обеспечить лучшее понимание и соблюдение командой правил безопасности. Обеспечив развитие руководителей как лидеров и наставников, заручившись их поддержкой, переходите к следующему этапу - диалогу со всеми сотрудниками. Если ранее подобный формат не практиковался, могут возникнуть трудности с тем, чтобы вдохновить их на открытое обсуждение темы безопасности. Нивелировать сложности помогут такие форматы, как, например, система кратких пульс-опросов, которая позволяет сотрудникам экологично оценить в общем виде свои знания по теме безопасности, а также анонимно высказаться, какие темы важно рассмотреть более подробно. Интерактивные семинары по психологии безопасности через привычный формат мягко погружают в тему безопасности с новой стороны, готовят почву для диалога - совместного обсуждения проблем, идей, вопросов, обмена опытом. Доверительный формат общения в диалоге снижает и тревожность самих руководителей, они осознают, что есть взаимная поддержка, что все прозрачно и согласовано, и появляется больше аргументов и примеров для сотрудников. Испытав психологически «целительные» свойства диалога на себе, лидеры стремятся поскорее начать и развить его со своими сотрудниками.
Специалисты считают, что гораздо эффективнее предупредить события и иметь дело с подготовленными кадрами. Соблюдение ключевых правил позволяет избежать нежелательных последствий, к которым обычно приводит беспечность. В 2023 году надымские газодобытчики запустили пилотный проект по приобщению школьников к культуре безопасности. Учащиеся 9 и 11 классов приходят на интерактивную лекцию с посещением корпоративного квест-центра, снискавшего большую популярность. В 2024-м мероприятия дополнили экскурсиями на производственные объекты. Это слайд-шоу требует JavaScript.
Влияние культуры безопасности на производительность труда
Особую роль в области безопасности в организациях играет феномен культуры безопасности (safety culture), ставший популярным после аварии на ЧАЭС в 1986 году. Культура безопасности определяется как последовательно проводимый руководителем организации принцип приоритета безопасности во всех без исключения ситуациях конфликта интересов. О важности проекта «Культура безопасности» рассказывает генеральный директор ПАО «Иркутскэнерго» Олег ПРИЧКО. Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации. внутренняя потребность).
Актуальность развития культуры безопасности на российских ТЭС
Инструмент развития культуры безопасности в организации. Как руководители и сотрудники влияют на культуру безопасности в компании. Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически.
Культура производственной безопасности – надёжный проводник
Они сами пришли к выводу, что хотят работать в безопасной, надежной и эффективной компании. Они обсудили ценности — честность, доверие, обязательность и заботу — и решили, что они должны стать основой всей корпоративной и производственной культуры в целом. Конкретные меры были разными: от съемки фильмов с участием мастеров до индивидуального обучения топ-менеджеров, но главное — что все сотрудники были эмоционально вовлечены в проект. Выбирайте инструменты, которые соответствуют культуре компании. На предприятии с «красными» директорами и в «бирюзовой» компании с гибким управлением должна быть разная система мотивации безопасного поведения. В бирюзовых компаниях можно использовать соревнования как инструмент мотивации, так как честная игра по правилам там является элементом управленческой системы. В авторитарных иерархических компаниях соревнования, скорее всего, будут обречены на провал — нужно, чтобы руководитель лично проявил внимание к теме безопасности и устроил пару показательных разборов. Также на предприятиях с разными культурами коллектив совершенно по-разному относится к проверкам и вмешательству руководителей.
Из-за отсутствия доверия и интереса к чужому мнению в авторитарных компаниях любые проверки инспекции, поведенческие аудиты безопасности неизбежно останутся игрой в прятки. В гибких организациях они помогут укрепить сотрудничество, направленное на повышение уровня безопасности. Но нельзя просто брать и копировать западную практику — на этом обожглись многие российские компании. На каждом уровне нужны свои приемы.
Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую. Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу.
Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции.
Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще.
Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее. В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена.
Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина? Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику.
И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой.
Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту. Помните о важном факторе Еще один важный элемент, позволяющий минимизировать киберугрозу, — честность.
Я определенно выхожу из зоны комфорта, начиная книгу со своим именем на обложке с описания досадного сбоя в системе безопасности, произошедшего у меня под носом. Могло ли быть хуже? Этого никогда не должно было произойти? Могли ли вы оказаться на моем месте? И снова — конечно. Рассказывая эту историю, я хочу задать тон честности, который необходим и в вашем бизнесе, нацеленном на сопротивление плохим парням. Вам необходимо развить культуру безопасности, которая позволит людям не только помогать друг другу, но и быть взаимно честными при обнаружении подозрительных действий. И честность эта — без гнева, обвинений или возмездия — позволит культуре работать. Кроме того, я описываю взлом нашей страницы, чтобы вы сразу учли наши уроки и применили полученные знания, чтобы устранить щели в броне вашей безопасности.
Почему я? На рынке не наблюдается недостатка в книгах по кибербезопасности от заслуживающих доверия талантливых авторов с самым разным опытом. Вы можете прочитать расследования журналистов, проанализировавших самые знаменитые взломы в истории. Можете ознакомиться с авторитетным мнением корифеев — основателей отрасли. Еще больше информации вы найдете у технических экспертов, которые весьма подробно разбирают сложные элементы кибербезопасности. Однако же в то время, когда я это печатаю, найдется крайне мало книг по кибербезопасности, написанных маркетологами. А уж маркетологами, проработавшими в сфере всего несколько лет, — и того меньше. Так зачем доверять такому автору в столь серьезном вопросе? Считайте мою книгу чем-то вроде гибрида маркетинга и технологий.
Всю свою карьеру я переводила технические концепции на обычный язык. Я изучала взаимодействие работы и технологий, чтобы понять, как меняется корпоративная культура.
Стратегия ТВЭЛ заключается в том, чтобы помимо соблюдения регламентов и правил в сфере безопасности влиять на изменение поведения персонала, содействовать развитию неравнодушного отношения специалистов. Наталья Никипелова подчеркнула, что за последние пять лет у ТВЭЛ не было ни одного замечания от иностранных заказчиков по культуре безопасности. В 2020 году сотрудники предприятий подали более 18 тыс.
Более 6 тыс. В итоге на совещании было принято решение рекомендовать всем руководителям дивизионов рассмотреть возможность внедрения института уполномоченных менеджеров по культуре безопасности. Глава «Росатома» в заключительном слове подчеркнул, как важно при развитии культуры безопасного поведения поощрять неформальный подход, вести поиск самых разных методов вовлечения людей. Он предложил создать неформальное объединение предприятий отрасли, которые будут заниматься развитием культуры безопасного поведения. Культура безопасного поведения в отрасли будет на высоком уровне только тогда, когда сотни, а может быть, тысячи неправильных действий, мелких нарушений не будут скрываться, уверен гендиректор.
Алексей Лихачев также предложил разработать отдельную программу признания для специалистов, которые занимаются развитием культуры безопасного поведения. На заседании также приняли декларацию о культуре безопасного поведения, сформулировав основные принципы. Будь лидером. Твой пример внимательного применения безопасных способов выполнения работ помогает сохранить здоровье тебе и коллегам. Открыто говори о проблемах и действуй.
Незамедлительно сообщай руководителю о травмах и происшествиях, чтобы разобрать причины и не допустить повторения.
В итоге число сторонников нового формата проведения инструктажей в компании растет, а вместе с ним растет уровень осознанности в действиях сотрудников, т. Кейс 3. Как HR-служба может научить персонал безопасному поведению на примере компании Itella Логистическая компания Itella время от времени сталкивалась со случаями травматизма. Чаще других в зоне повышенного риска оказывались кладовщики, специалисты склада, комплектовщики, водители погрузчиков. Например, в ходе разгрузки фуры на складе никто не заметил, как шофер забрался в кузов — и в результате погрузчик случайно зацепил его. До недавнего времени за травматизм на производстве отвечала исключительно служба охраны труда.
Фактически она занималась поиском и наказанием виновных, а не устранением системных причин. Сотрудники не были вовлечены в систему и процессы безопасности, инструктажи проводились формально. После того как в компании реорганизовали службу охраны труда и перевели эти вопросы в ведение HR-подразделения, начались изменения. Как перейти от реактивной культуры безопасности к вовлекающей? Вместе с компанией Itella мы разработали комплексную программу обучения и вовлечения сотрудников. Все люди выполнили тест, оценивающий склонность к рисковому поведению, а затем прошли тренинг «Развитие культуры безопасного поведения». Инструктаж стали проводить в формате деловой игры с отработкой навыков например, сотрудников спрашивали, какие риски они видят в рабочей зоне и что можно сделать для предотвращения этих рисков.
Для начальников складов провели групповые сессии с целью обмена опытом и поиска решения конкретных проблем. Всех менеджеров при выходе в опасную зону обязали надевать СИЗ средства индивидуальной защиты — спецодежда, специальная обувь , чтобы подавать пример рядовым сотрудникам. Новый руководитель службы охраны труда наладил учет всех инцидентов, а не только несчастных случаев, факты нарушения техники безопасности стали учитываться в КПЭ руководителей. Наконец, вопросы безопасности труда в компании вошли в повестку заседаний совета директоров. Кейс 4. Как повысить осознанность в вопросах охраны труда с помощью обучения на примере энергетической компании Менеджеров энергетической компании не устраивала ситуация с безопасностью на производстве: отдел HSE не справлялся с контрольными функциями. Нужно было обучить весь персонал безопасному поведению, повысить осознанность поведения людей в опасных или потенциально опасных ситуациях.
Для этого мы разработали масштабную программу для разных групп сотрудников. Первая группа — это методологи, которые контролируют выполнение правил безопасности. Им требуется в первую очередь развивать навыки работы с людьми и умение влиять на других. Очень важно, чтобы «контролеры» и «инструкторы» как их всегда воспринимали в коллективе стали внутренними лидерами и консультантами по безопасности. Руководителям производственных коллективов важно показать, что факторами, которые приводят к несчастным случаям, реально можно управлять, если не отмахиваться от них. А с рабочими полезно разговаривать о том, почему люди часто недооценивают риски, научить их критически оценивать свою склонность к рискованному поведению, осознавать мотивы собственных поступков. На страже безопасности Одним из ключевых факторов в формировании культуры безопасности являются действия и поступки самих сотрудников отделов HSE: то, как они себя позиционируют, выступают ли носителями правильного отношения к безопасности, умеют ли быть лидерами изменений.
Бизнес хочет видеть в сотрудниках службы охраны труда и безопасности партнеров, которые могут обучить подрядчиков и новичков и найти выход из сложных ситуаций, связанных с соблюдением стандартов безопасности. По сути, их роль в компании — просветительская: они — носители целевой культуры, которые способны донести ценности безопасного производства до всех остальных. Их задача — добиться, чтобы каждый, кто видит опасное действие, немедленно реагировал на него — независимо от должности и сферы деятельности. Кейс 5. Как реформировать функцию HSE на примере крупного металлургического предприятия Компания отвечала высоким стандартам безопасности — на уровне лучших мировых практик, показатель LTIFR суммарное рабочее время, потерянное в результате полученных травм был ниже, чем в среднем по отрасли, — однако существенно снизить количество несчастных случаев никак не удавалось. Коллеги видели в сотрудниках службы HSE исключительно контролеров. Нам предстояло выявить зоны роста в службе HSE и предложить программу действий по формированию культуры безопасности.
Для начала мы разработали профессиональные компетенции и тесты и оценили на их основе 90 работников службы HSE. Кроме того, мы организовали дистанционный анонимный опрос сотрудников 1851 респондент и провели интервью с топ-менеджерами. По итогам исследования сотрудники HSE получили рекомендации о том, как упрочить свое влияние в коллективе, — в частности, мы предложили им совместно с рабочими проводить рейды в цехах. В итоге руководители перестали скрывать инциденты на производстве.
ЭКСПЕРТЫ ОБСУДИЛИ РАЗВИТИЕ КУЛЬТУРЫ БЕЗОПАСНОСТИ НА РОССИЙСКИХ ПРЕДПРИЯТИЯХ В РАМКАХ ВНОТ-2022
| БМЗ стал лучшим предприятием в Брянске по охране труда | Кроме ключевых показателей проанализированы фоновые условия, которые напрямую или косвенно влияют на развитие культуры безопасности компании. |
| Достичь позитивной Культуры ОТ – возможно ли это? | HSE Blog | В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности. |
| Культура безопасности в организации | блог Новая Эпоха Управления | Форум «Культура безопасности» завершился ещё одним круглым столом, во время которого участники обменялись мнениями и получили рекомендации по повышению культуры безопасности на своих предприятиях. |
| Практики безопасности на производстве: российские реалии | Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики. |
Как начать внедрять культуру безопасности?
«Под культурой безопасности подразумевается, что все сотрудники осознают и соблюдают правила и нормы безопасности и следят за тем, чтобы другие поступали так же», – объясняет эксперт. Как руководители и сотрудники влияют на культуру безопасности в компании. В организации определяющим фактором являетсякорпоративная культура, поскольку она носит воспитательную функцию.
Последние выполненные заказы
- Список литературы
- Как привить сотрудникам культуру кибербезопасности
- Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
- БМЗ стал лучшим предприятием в Брянске по охране труда
- Достичь позитивной Культуры ОТ – возможно ли это?
Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
До начала внедрения материалов по охране труда лозунги, информационные стенды и другие визуальные материалы в компании проводятся проективное и фокус-групповое исследования в области охраны труда с привлечением специализированной организации. Цель исследования — повышение эффективности материалов по охране труда, направленных на развитие у сотрудников модели поведения и устойчивой привычки выполнения правил охраны труда, снижению рисков, стремлению к осторожности и безопасности. На основании исследований разрабатываются рекомендации по повышению эффективности визуальных материалов по охране труда. Рекомендации учитываются при разработке дизайна материалов по охране труда. Выше я уже говорил о лидерстве по охране труда. Во всех филиалах компании проводится соответствующий курс, направленный на развитие лидерства и практических навыков эффективного управления по охране труда, формирование личного плана лидера по охране труда. Лидерство по охране труда — это целеустремленность, настойчивость и способность в нужный момент взять на себя ответственность. Лидер на личном примере демонстрирует приверженность безопасности, оценивает риски и, главное, выстраивает диалог с сотрудниками.
Практически любой человек при определенном уровне самоотдачи и старания может развить в себе лидерские качества. По результатам курса линейные руководители сами определяют качества, характеризующие лидера по охране труда, и свои дальнейшие повседневные действия, направленные на демонстрацию своего личного лидерства по охране труда. Не уступаем загранице — Юнипро — международный концерн с филиалами во многих странах. Вы имеете возможность анализировать опыт зарубежных коллег в сфере охраны труда. Насколько сильно, на ваш взгляд, отличаются подходы к охране труда и производственной безопасности в России и других странах? С этой целью совершенствуется законодательство, принимаются новые инициативы в области охраны труда. Если еще несколько лет назад в нашей стране основными задачами в области охраны труда были выполнение соответствующих требований и правил и минимизация воздействия на работников вредных и опасных факторов производственной среды, то сейчас многие работодатели перешли на риск-ориентированный подход.
Российские компании внедряют инициативы, направленные на развитие лидерства и вовлечение работников в вопросы охраны труда. В условиях интеграции российского и мирового бизнеса стремительное изменение законодательства России в области охраны труда, подход многих российских компаний к вопросам охраны труда не уступают лучшим мировым практикам.
Создавалось впечатление, что время физически преодолевало океан, разделяющий нас и службу поддержки. Минуты ползли со скоростью улитки.
Казалось, ожидание длилось целую вечность. Взломали не наши сервера, и у меня не было возможности подключить команду специалистов из McAfee к решению сторонней проблемы. Мы могли лишь каждые несколько минут связываться со службой поддержки, чтобы снова получать ответ: «Мы работаем над этим». Примерно через полчаса они сообщили, что заблокировали всех администраторов нашей корпоративной страницы, и доступ к ней остался только у них.
Это были хорошие новости: по крайней мере, большего вреда нанесено не будет. А что насчет плохих новостей? Они не могли просто откатить страницу до версии 30-минутной давности. Согласно протоколу, страницу заблокировали, чтобы никто больше не мог изменять ее, а затем должны были последовать процедуры проверки и анализа.
В ходе первой они должны были удостовериться, что мы действительно те, за кого себя выдаем, а не хакер, только притворяющийся McAfee какая ирония! Анализ же призван был определить степень взлома — и только затем можно было предпринимать дальнейшие действия. Но как быть с непристойным аватаром? Он все еще висел на нашей корпоративной странице.
Хуже того: платформа работала таким образом, что в личных профилях всех сотрудников McAfee в социальной сети вместо логотипа компании также отображалась эта пошлая картинка. И в моем тоже. Когда мы снова связались со службой поддержки, нам сообщили, что «процедуры» еще не закончены. Если следовать их логике, выходило, что единственный шанс откатить страницу — реактивировать, то есть разблокировать аккаунт, но они не сделают этого до тех пор, пока не закончат проверку безопасности.
Как это вообще возможно? С нашей страницей ничего нельзя было сделать до окончания проверки. Мы были в полной их власти. Все, что могли предпринять наши сотрудники, — удалить любое упоминание о McAfee из собственных профилей.
Те, кто был в курсе происходящего, так и сделали. Но этого было недостаточно. Я продолжила портить другим пасхальное воскресенье — сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах.
И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители — или их профили в соцсетях. Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию подробнее о ней — чуть позже. Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях — пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою — иными словами, уводит подальше от мозга , то ли соцсети стоило сделать настройки безопасности более очевидными.
Скорее всего, и то, и другое. Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль — и всю его историю. Час ожидания превратился в два, затем в три, а потом и в четыре. Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании.
Диалоги сводились к следующему: — Крис, мы все еще работаем с ними. Они не завершили проверку безопасности. Надеемся, все закончится в течение получаса. Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса.
Во время очередного звонка руководитель вытащил козырь из рукава. Я знаю кое-кого из владельцев этой соцсети. Звоню ему. Мы пока продолжим подгонять службу поддержки.
Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем. Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные.
Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями. Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после.
И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось. Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом.
Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях.
После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой. Задним умом мы все крепки, и этот случай — не исключение. Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети будучи одним из администраторов нашей страницы — тот же, что и для других своих учетных записей.
Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже? Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории.
Это ее вина. Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему.
Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта.
Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети.
Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома.
Основная цель АСУПП — обеспечение регистрации сообщений работников Общества о потенциальных происшествиях и контроль своевременности осуществления корректирующих и предупреждающих действий, предпринятых для предотвращения потенциальных происшествий. Службой информационно-управляющих систем Общества была разработана и запущена в опытно-промышленную эксплуатацию АСУПП, а также разработаны операционные инструкции для всех участников процесса. В настоящее время каждый работник Общества при обнаружении потенциального происшествия имеет возможность внести информацию об указанном событии в АСУПП как самостоятельно, так и через уполномоченного по охране труда в своем коллективе.
Система позволяет регистрировать и оперативно реагировать на все потенциальные происшествия, выявленные работниками, тем самым способствует усилению вовлечения работников в систему управления производственной безопасностью. Обучение персонала Прямой способ приобретения новых компетенций — это обучение персонала по вопросам культуры безопасности. Оно проводится по специальным программам, разработанным Учебно-производственным центром Общества. Для повышения эффективности процесса приглашаются тренеры-преподаватели Корпоративного института ПАО «Газпром».
В Обществе действует Институт внутренних тренеров и наставничества. Решением совещания ПАО «Газпром» на тему «Состояние реализации проектов культуры производственной безопасности.
Это происходит благодаря внедрению риск-ориентированного подхода к безопасности и использованию разных инструментов вовлечения в осознанную культуру безопасности. Вместо избитых методов мотивации, таких как штрафы или лишение премий, компании переходят на более осознанный подход, в котором сотрудники сами становятся сторонниками правил безопасности на рабочем месте. Это здорово, потому что безопасность на работе — это не только законодательный требование, но и важная составляющая успешного и продуктивного бизнеса! Происходит это потому, что сотрудники осознанно не нарушают требования безопасности, а не принудительно из-за страха наказания.