В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности.
Культура безопасности на производстве
По результатам голосования среди сотрудников электроэнергетического дивизиона лучшими плакатами признаны: 1 место — плакат «Надежность в действиях» Ростовская АЭС. Коллективы станций-победительниц получили почетный знак «Лучшая АЭС по культуре безопасности». Форум обозначил цели и решения 2 июня в Москве в формате очной конференции состоялся третий форум по развитию культуры безопасности в электроэнергетическом дивизионе. Руководители госкорпорации «Росатом», центрального аппарата Концерна «Росэнергоатом» и организаций электроэнергетического дивизиона, а также лучшие уполномоченные по культуре безопасности, уполномоченные по охране труда, линейные руководители и молодые лидеры обсудили актуальные вопросы в области безопасности и наметили дальнейшие шаги по преодолению существующих препятствий и развитию культуры открытости и доверия в атомной отрасли.
В мероприятиях форума приняли участие более 4500 человек. Основными целями форума стали обеспечение безопасной и стабильной работы как главного приоритета Концерна на 2022—2024 годы, оценка динамики развития культуры безопасности в дивизионе по итогам реализации решений меморандума, принятого на предыдущем форуме, а также представление хода реализации проектов по развитию культуры безопасности и дорожной карты продвижения принципов Vision Zero в 2021—2022 годах. Бот в помощь В Концерне создан дивизиональный чат-бот «Росэнергоатом.
Культура безопасности». Здесь можно получать учебные материалы и полезные новости о культуре безопасности, участвовать в опросах, конкурсах и викторинах, в активных обсуждениях по разным темам. Сервис позволяет подавать, собирать, систематизировать сообщения о проблемах в области культуры безопасности или предложения по улучшению культуры безопасности, а также включает возможность давать обратную связь работнику, подавшему сообщение или предложение.
Подробности С приветственной речью к участникам форума обратился генеральный директор Концерна «Росэнергоатом» Андрей Петров, отметивший, что основная повестка мероприятия — честное и открытое обсуждение итогов работы за последние два года и приоритетных задач на будущее. Андрей Петров подчеркнул, что курс развития культуры безопасности, выбранный в 2020 году, подтвердил свою правильность. Основные выводы по итогам работы в этой области — необходимость развития коммуникаций с персоналом, а также укрепление доверия персонала.
Генеральный директор «Росэнергоатома» также отметил важность системной работы с молодежью в вопросе развития культуры безопасности, в этом могут помочь менторство, лидерство и наставничество на самом высоком уровне как в Концерне, так и во всех организациях Росатома. Заместитель генерального директора по персоналу госкорпорации «Росатом» Татьяна Терентьева отметила, что Концерн является лидером в вопросах безопасности и что за последнее время, благодаря системной и активной работе, всей атомной отрасли и, в частности, электроэнергетическому дивизиону удалось выйти на качественно новый уровень в развитии культуры безопасности. Татьяна Терентьева подчеркнула: чтобы двигаться к главной цели — нулевому травматизму, необходима системная и многоуровневая работа не только по вовлечению и обучению сотрудников следованию правилам безопасного поведения, но и работапо выявлению, расследованию и недопущению повторения небезопасных событий.
Вместе с тем мы развиваем институт уполномоченных по культуре безопасности. Это дополнительный канал общения между руководителями организаций и простыми работниками, «дорога с двухсторонним движением». И Концерн в этом направлении был первым», — сказала Татьяна Терентьева.
В прошлом году Росатом для распространения лучших практик запустил серию мероприятий для линейных руководителей и уполномоченных по культуре безопасности. Также важным шагом стало создание в Росатоме осенью прошлого года Клуба лидеров по культуре безопасности. В числе его участников три атомные станции: Кольская, Балаковская и Курская.
Миссия клуба — развивать лидерство и вместе формировать безопасное будущее Росатома. С этой целью члены клуба будут обмениваться лучшими практиками и вырабатывать отраслевые рекомендации в области культуры безопасности для достижения нулевого травматизма. Для этого важно использовать потенциал молодежи, команд поддержки изменений и профсоюза для генерации и реализации различных идей и проектов, чтобы создать лучшие практики.
Любая организация отрасли может стать участником клуба, при этом ключевой фактор — лидерство и готовность директора развивать культуру безопасности в своей организации. Шаги по развитию культуры безопасности в Росатоме В 2019 году Росатом присоединился к международной программе по повышению безопасности Vision Zero. В Росатоме создан Отраслевой совет по культуре безопасного поведения под председательством генерального директора Алексея Лихачева.
В 2020 году в Росатоме стартовала отраслевая программа по развитию культуры безопасного поведения КБП , цель которой — внедрить принципы Vision Zero в организациях отрасли. Основные задачи программы: — развить атмосферу открытости, доверия и осознанного отношения к безопасности; — выстроить систему по выявлению и устранению предпосылок происшествий.
Культура безопасности Безопасность — корпоративная ценность «Газпром нефти». Это находит отражение в действиях всех сотрудников компании, на всех уровнях и во всех сферах деятельности.
Что такое культура безопасности? Безопасность — приоритет в любой деятельности компании, одна из базовых корпоративных ценностей. Культура безопасности в «Газпром нефти» — это наглядно демонстрируемые ежедневные усилия и конкретные действия работников и руководителей всех уровней компании, направленные на повышение безопасности. Основа культуры безопасности «Газпром нефти» — понимание всеми работниками ключевых и наиболее существенных рисков в области производственной безопасности и выстраивание барьеров на пути их реализации.
Достичь высокого уровня культуры безопасности невозможно без комплексной работы в этой сфере, как минимум, по нескольким направлениям: технологии, системы управления, организационные и человеческие факторы.
Начните с головы! Идеально — если этот директор имеет опыт работы в западных и российских компаниях. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом. Вопрос нужно ставить более широко: на каком производстве мы хотим работать и чего хотим избежать? Вот реальный пример малой нефтегазовой компании, за несколько лет снизившей травматизм в разы. Началось все с того, что прямо на месторождении рядовые вахтовики обсуждали, что для них важно в работе. Они сами пришли к выводу, что хотят работать в безопасной, надежной и эффективной компании.
Они обсудили ценности — честность, доверие, обязательность и заботу — и решили, что они должны стать основой всей корпоративной и производственной культуры в целом. Конкретные меры были разными: от съемки фильмов с участием мастеров до индивидуального обучения топ-менеджеров, но главное — что все сотрудники были эмоционально вовлечены в проект. Выбирайте инструменты, которые соответствуют культуре компании. На предприятии с «красными» директорами и в «бирюзовой» компании с гибким управлением должна быть разная система мотивации безопасного поведения. В бирюзовых компаниях можно использовать соревнования как инструмент мотивации, так как честная игра по правилам там является элементом управленческой системы.
Интерактивные семинары по психологии безопасности через привычный формат мягко погружают в тему безопасности с новой стороны, готовят почву для диалога - совместного обсуждения проблем, идей, вопросов, обмена опытом. Доверительный формат общения в диалоге снижает и тревожность самих руководителей, они осознают, что есть взаимная поддержка, что все прозрачно и согласовано, и появляется больше аргументов и примеров для сотрудников. Испытав психологически «целительные» свойства диалога на себе, лидеры стремятся поскорее начать и развить его со своими сотрудниками. Алгоритм первых шагов к диалогу о безопасности в компании Проведите аудит имеющихся инструментов и форматов мероприятий по безопасности труда. Оцените степень погружения и роль руководителей в данном процессе, оцените в целом уровень их профессиональной зрелости как руководителей. По итогам анализа составьте программу дальнейшего развития и обучения, в которой первым шагом может стать, например, семинар по психологии безопасности.
Как начать внедрять культуру безопасности?
Один из выводов: управление подрядчиками — важный фактор культуры безопасности, на который предприятиям сложно влиять, на это в своем выступлении указал гендиректор НЗХК Алексей Жиганин. Как оценивать и контролировать уровень культуры безопасности в компании? Но бывают предприятия, которые действительно ищут способы мотивации своих сотрудников к активному участию в устойчивых инициативах. Например, чтобы в организации была позитивная культура безопасности, руководители должны четко заявлять о недопустимости компромиссов между безопасностью и производительностью. Как культура безопасности влияет на финансовое состояние компании.
Как начать внедрять культуру безопасности?
Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь. Инструмент развития культуры безопасности в организации. В студии "ЭТАЛОН-ТВ" мы поговорили с Литвиновой Еленой Владимировной, Директором департамента ОТ, ПБ и ОСС компании "Бейкер Хьюз". Как культура безопасности влияет на финансовое состояние компании.
На ВНОТ обсудили влияние культуры безопасности на ESG-трансформацию бизнеса
И здесь важна не только достойная зарплата, но и безопасность - чтобы профессиональная деятельность не шла в ущерб нашему здоровью. Охрана труда - вопрос, которому в России уделяют все большее внимание. Еще в 2017 году наша страна присоединилась к международной концепции «нулевого травматизма». Во главу угла здесь ставится профилактика травматизма и профессиональных заболеваний. Приоритеты концепции - повышение безопасности, гигиены труда и общих условий работы в компаниях. Концепция также предполагает стимулирование заинтересованности в соблюдении правил безопасности всех участников процесса: от собственника до работников. Первые результаты уже есть, число травм на производстве в целом по стране снижается.
Традиционно самыми рискованными отраслями остаются строительство, обрабатывающие производства, транспорт, сельское хозяйство и добыча полезных ископаемых.
Также мы предлагаем сотрудникам скидки в фитнес-клубы, проводим занятия йогой и организуем командные игры, например, волейбол. Дети Мы стараемся окружить сотрудников заботой и хотим, чтобы они сделали то же самое и для своих детей. Мы предлагаем курсы и консультации, которые повышают уверенность, дают набор необходимых знаний и навыков. Например: Курс первой помощи детям.
Это авторский курс Анны Левадной о первой помощи детям от 0 до 18 лет. Запись вебинара «Простудные заболевания у детей». Психолог, с которым можно обсудить любой вопрос, связанный с отношениями с детьми в программе поддержания благополучия «Понимаю». Мероприятия Авито славится своими тимбилдингами: они проходили даже во время пандемии в онлайн-формате. Сейчас же возможен офлайн-формат, но при условии, что сотрудников будет максимум 10 человек.
Если больше, то у нас есть онлайн-активности на выбор: от совместных онлайн-экскурсий до онлайн-похода в театр. Мы считаем, что тимбилдинг очень важен для поднятия духа и сплочения коллектива — сотрудникам становится комфортнее работать вместе, что в итоге влияет на их командную эффективность. Мы в Авито не отстаем от тренда и активно наполняем компанию уникальным мерчем. Стараемся работать с малыми производствами и необычными проектами, а также развиваем тему осознанного потребления. Для нас важно, чтобы сотрудники постоянно чувствовали себя частью Авито, особенно когда надевают фирменные вещи.
Мы верим, что такой подход настраивает коллектив на нужный лад и поднимает корпоративный дух. Обратная связь — наше все Фидбек — важная часть нашей корпоративной культуры. И руководители, и HR-менеджеры всегда стараются давать обратную связь, как на этапе интервью, так и в процессе работы в компании.
Систематическая оценка риска представляет собой динамичный процесс, который позволяет предприятиям проводить активную политику по управлению рисками. Подразделение, у которого по итогам месяца оказался наименьший показатель эффективности, выбывает из соревнования и остается без премии.
В качестве положительного примера реализации принципа «больше ответственности плюс осведомленность» г-н Хенш привел пивоваренную компанию Efes в Молдове, которая в свое время испытывала проблемы в сфере охраны труда. При реструктуризации системы управления компанией был полностью сокращен отдел контроля качества, а зона ответственности перераспределена на сотрудников. Были выбраны 30 инструкторов, которые начали отвечать в том числе и за безопасность. Сначала контроль осуществлялся ежедневно, но количество проверок и степень контроля постепенно снижались. Такое внедрение довольно быстро дало свои результаты: на предприятии произошли качественные изменения и в разы снижен травматизм. Работодатели больше склонны приглашать сторонних экспертов и платить им большие деньги, чтобы понять, что не так происходит в компании, вместо того, чтобы использовать свои внутренние ресурсы и ориентироваться на работников. А ведь именно они знают лучше других, что происходит в цехе». Все это лишний раз доказывает, что необходимо более активно привлекать рабочих в решение вопросов безопасности на рабочих местах. Но в российской действительности существуют «подводные камни», считают российские эксперты. Задача менеджмента - найти «ключики», чтобы рабочему стало не все равно, а важно рассказать, предупредить, предотвратить что-то опасное, если он эту опасность видит и чувствует». Но реально ли в условиях российской ментальности? Да, уверяет руководитель направления «Промышленная безопасность» Департамента дополнительного профессионального образования Клинского института охраны и условий труда Ирина Журавлева. Но при условии, когда топ-менеджмент предприятия сам вовлечен в этот процесс ответственности, демонстрируют эту вовлеченность, а все его действия пронизаны философией личной ответственности и заботы о людях. В каждом цехе предприятия должен быть создан такой микроклимат, когда лучше предупредить руководство о возможной рисковой ситуации, чем скрыть ее. В качестве наглядного примера того, как обстановка и культура конкретного места, законы и принципы этого места, действуют на поведение людей, Ирина Журавлева привела московское метро. Вернее поведение трудовых мигрантов, которые приезжая в Москву, в первое время уступают места в общественном транспорте женщинам, старикам и детям. Тем самым они демонстрируют те устойчивые модели поведения, принятые в их странах. Но проходит несколько месяцев, и эти люди начинают демонстрировать совсем иное поведение. Они начинают подчиняться культуре и нормам поведения того коллектива, в котором живут в эту конкретную минуту. Ханс-Хорст Конколевски также привел пример Сингапура, где в последние 10-15 лет сложилась эффективная система управления охраной труда за счет стимулирования работников. Так, на одной из судоверфи есть телефон, по которому работник, если видит риск опасной ситуации, может напрямую связаться с министерством труда или производственной инспекцией. Тем самым человек не воспринимается как «предатель», а наоборот, он мотивирован.
Корпоративная культура безопасности – главная задача
| Как начать внедрять культуру безопасности? | Как культура безопасности влияет на финансовое состояние компании. |
| Почему компаниям выгодно внедрять культуру безопасности - Российская газета | Кроме ключевых показателей проанализированы фоновые условия, которые напрямую или косвенно влияют на развитие культуры безопасности компании. |
| Культура безопасности в организации | блог Новая Эпоха Управления | Особую роль в области безопасности в организациях играет феномен культуры безопасности (safety culture), ставший популярным после аварии на ЧАЭС в 1986 году. |
| Как начать внедрять культуру безопасности на рабочем месте | Эффективная культура безопасности Культура безопасности не может быть построена в компаниях, которые обращают внимание на вопросы безопасности только в рамках общего расследования инцидентов например, в компаниях. |
| В «Росатоме» обсудили культуру безопасного поведения | Особую роль в области безопасности в организациях играет феномен культуры безопасности (safety culture), ставший популярным после аварии на ЧАЭС в 1986 году. |
Развитие культуры безопасности на промышленном предприятии
Поэтому развитая культура безопасности самая выгодная модель организации труда для работодателя: экономия на постоянном контроле и потерях от производственного травматизма. Эксперты обсудили развитие культуры безопасности на российских предприятиях в рамках Всероссийской Недели Охраны Труда-2022 (ВНОТ-2022). Главная» Новости» Как вам кажется кто в компании является носителями культуры безопасности. Многие компании в России и СНГ уже прошли значительный путь развития культуры безопасности, и сегодня перед нами открывается новый горизонт развития. Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности?
Развитие культуры безопасности на промышленном предприятии
| Что такое культура безопасного поведения и как ее повысить | Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически. |
| Культура безопасности на производстве | Но бывают предприятия, которые действительно ищут способы мотивации своих сотрудников к активному участию в устойчивых инициативах. |
| Каков уровень культуры безопасности в российских компаниях? | | Кроме того, культура безопасности влияет на репутацию компании. |
| Не для галочки: как повысить культуру безопасности на производстве | Югополис | Главная» Новости» Кто в компании является носителями культуры безопасности. |
Достичь позитивной Культуры ОТ – возможно ли это?
Всему этому сопутствовал один важный призыв, звучащий со всех экранов и каналов — соблюдайте социальную дистанцию. Кто из вас задумывался, к каким последствиям приведёт эта рекомендация? Насколько увеличение физической дистанции которую теперь принято называть «социальной» между родственниками, коллегами и просто прохожими, повлияет на отношения между людьми, внутри семей, трудовых коллективов, между организациями и государствами? Не приведёт ли это к разрыву более глубинных связей и разделению общества, которым теперь станет управлять ещё проще, поскольку мы теперь все всегда «онлайн» и «на связи». С сожалением приходится признать, что к предыдущему образу жизни и работы мы скорее всего уже не вернемся никогда. Как это повлияет на безопасность?
А если коллега начнет зажигать в офисе фейерверки, то с этим стоит разобраться. Культура кибербезопасности — это фактически то же самое, что и культура пожарной безопасности, но для IT-технологий. Каждый сотрудник должен понимать, какие данные можно пересылать, а какие — нельзя, по каким ссылкам можно переходить, а какие письма лучше сразу отправлять в спам и сообщать о них ответственным лицам. Такая культура в основном распространена в сфере информационной безопасности: у компаний есть собственная корпоративная культура и четкое понимание того, чего делать нельзя. Если компания не будет поддерживать высокий уровень собственной безопасности, она понесет колоссальный репутационный ущерб.
Поэтому любая утечка, даже самый незначительный инцидент может серьезно ударить по бизнесу. В обычных IT-компаниях всё не так очевидно. Уровень культуры кибербезопасности меняется от места к месту — на это влияет много разных факторов. Например, то, насколько менеджмент понял важность управления ИБ-рисками. Фактически всё идет от руководства: как оно поставит задачи и насколько будет готово контролировать их выполнение.
Отсутствие такой культуры может привести к плачевным последствиям. И вот два аргумента. В IT-мире есть постоянная угроза киберкриминала, который зарабатывает хорошие деньги на жертвах. В США за 2022 год хакеры украли только у компаний из финансовой сферы 4 миллиарда долларов. А по всему миру компании потеряли 10 миллиардов.
Рынок шифровальщиков и кибервымогателей тоже процветает. Сегодня хакеры наслаждаются тем, что страны не могут взаимодействовать друг с другом так же эффективно, как раньше, чтобы ловить преступников. И всё это приводит к денежным потерям. Хакеры внедряют вирусы в компании, шифруют данные и сливают их. Затем компанию начинают шантажировать, пока она не заплатит выкуп.
И тут всего два варианта: либо платить, либо смириться, потерять данные и понести репутационный ущерб, когда пользователи узнают о факте утечки. С недавнего времени даже появились политические хакеры, которые целенаправленно проводят акции против компаний и правительств. А еще есть случаи, когда некоторые сотрудники перед уходом решают нанести компании ущерб — например, слить какие-нибудь секретные данные или саботировать работу компании. Поэтому очень важно выстраивать кибербезопасность системно. Какие есть стратегии для повышения уровня безопасности Когда компании начинают думать о безопасности, они обычно скатываются к двум радикальным сценариям: закрутить все гайки или не закручивать их вообще.
И на самом деле обе крайности опасны — они создают больше проблем, чем пользы. Компания решает, что нужно использовать по максимуму все способы: поставить средства защиты, контролировать всю коммуникацию, проверять работников на полиграфе. Менеджмент думает, что так закроется от рисков. Такой подход сильно влияет на бизнес-процессы. Чем больше вы следите за каждым шагом сотрудников и добавляете новые системы контроля, тем сложнее людям работать.
Это банально неудобно, поэтому люди хуже выполняют задачи и пытаются создать более комфортные условия. Некоторые сотрудники даже пытаются обойти средства защиты — особенно технические специалисты. Они могут думать: «Я же не дурак, повешу-ка здесь какой-нибудь скрытый VPN, чтобы удобнее работалось, а тут хитрым образом упрощу себе жизнь».
Понимая это, одна из австралийских горнодобывающих компаний разработала долгосрочную программу развития зрелости культуры безопасности. Эта программа была запущена в 2013 году и продолжается до сих пор. Стремясь к нулевому смертельному травматизму, компания заложила в основу стратегии развития в области ОТ, ПБ и ООС четыре ключевые ценности: заботу, доверие, сплоченность и совершенство в работе. Следуя за своими ценностями, компания внесла изменения в организационную структуру, наделяя работников полномочиями проводить оценку рисков до начала выполнения работ и внедрять дополнительные меры по их снижению, что, в свою очередь, привело к переработке подхода к планированию работ.
Совершенствуя подход к управлению вопросами безопасности, компании удалось последовательно продемонстрировать работникам, что ее ключевые ценности действительно являются основой ее функционирования. Перспективные направления развития культуры безопасности для российских компаний Проанализировав особенности текущего состояния и практики повышения уровня зрелости культуры безопасности в российских производственных компаниях, мы выявили несколько основных зон для развития, оказывающих наибольшее влияние на переход к более зрелой культуре безопасности. Лидерство в сфере производственной безопасности По мнению большинства международных экспертов, лидерство является решающим фактором при внедрении изменений в культуре безопасности организации. Именно лидерство необходимо для изменения мышления работников, являющегося основной преградой для развития культуры безопасности. Для дальнейшего совершенствования культуры безопасности компании должны сосредоточиться на усилении роли своих руководителей в формировании приверженного отношения работников к вопросам безопасности. При этом ключевым моментом является демонстрация лидерства не только высшим руководством, но и руководителями линейного уровня ежедневно и повсеместно. В каждой организации руководители несут ответственность за разработку и реализацию политик и стратегий в области безопасности, установление целевых показателей эффективности и распределение ресурсов.
Таким образом руководство контролирует практические механизмы формирования климата в области ОТиПБ. Это означает, что лидеры обладают способностью влиять на восприятие работниками вопросов безопасности, которое, в свою очередь, создает почву для реализации изменений. Однако еще более важным является факт, что вне зависимости от того, осознают ли это руководители, они постоянно влияют на атмосферу безопасности путем принятия управленческих решений как в области ОТиПБ, так и в общепроизводственной сфере. Джон Шерри Партнер Deloitte Австралия , лидер практики в области охраны труда и промышленной безопасности Инициативный подход к вовлечению работников Согласно ответам респондентов, низкий уровень осознанности и недостаточное вовлечение работников в решение вопросов безопасности является распространенной ситуацией, характерной для множества компаний. Эксперты сходятся во мнении, что уровень вовлечения персонала играет существенную роль в построении зрелой культуры безопасности. Например, исследование SHRM Foundation на заводе крупного производителя напитков Molson Coors показало, что у вовлеченных работников в пять раз меньше шансов стать жертвой происшествия. Для перехода к более зрелой культуре безопасности работодателям необходимо внедрять практики, направленные на повышение приверженности и ответственности персонала в вопросах безопасности.
Гарантирует ли это полную безопасность с точки зрения сотрудников? На самом деле нет. Этот процент не зависит от уровня осознанности, обучения и самоконтроля. Я даже лично проверял это.
Мы с коллегами делали тестовые рассылки, чтобы проверить, насколько сотрудники способны противостоять фейк-фишинговым письмам. Но каждый раз результаты показывали, что количество обученных сотрудников, игнорирующих простые инструкции, остается приблизительно на одном уровне. Всё потому, что эти люди в момент открытия письма оказывались не в том состоянии, чтобы оценить свои действия и вспомнить те вещи, которым их учили. Например, у человека утром дома мог заболеть ребенок или собака.
А может, перед работой он поругался с женой. В таком состоянии он вообще не думает ни о какой безопасности — ему бы пережить этот момент и справиться с проблемами. Чтобы поддерживать высокий уровень культуры безопасности, компании важно не только работать с сотрудниками, но еще и держать баланс между техническими средствами, которые защитят людей от их ошибок. Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту.
Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны. Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном.
Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности.
Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить.
Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно.
Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто.
Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности.