О важности проекта «Культура безопасности» рассказывает генеральный директор ПАО «Иркутскэнерго» Олег ПРИЧКО. Это когда руководитель компании своим собственным примером демонстрирует культуру безопасности во всем».
Корпоративная культура безопасности – главная задача
Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось. Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом. Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях.
После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой. Задним умом мы все крепки, и этот случай — не исключение. Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети будучи одним из администраторов нашей страницы — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже? Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории.
Это ее вина. Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта.
Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети. Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома. Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.
Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности. Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую.
Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах.
Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых.
Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти.
Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее. В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена. Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина?
Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику.
Чтобы решить эту задачу, мы разработали и провели однодневную конференцию для топ-менеджеров компании уровень топ-руководителей блоков, дочерних обществ и бизнес-единиц, генеральных директоров компаний-подрядчиков. На мероприятие приехали 150 сотрудников компании и представители 200 подрядчиков. С докладом выступил генеральный директор — он озвучил нелицеприятную статистику и признал, что в вопросах безопасности компания явно уступает конкурентам. В итоге совместными усилиями топ-менеджеры и подрядчики разработали меры в области охраны труда, которые потом успешно внедрили на местах. Командиры на поле боя Почему люди нарушают правила техники безопасности? Обычно сотрудники неплохо знают теорию и регламенты, но между знаниями и реальным поведением лежит пропасть. Правила и регламенты многим людям кажутся навязанными сверху, а навязанное редко становится «своим». Психологи называют по меньшей мере три причины, по которым сотрудники недооценивают риски в опасных ситуациях. Удаленность от опасных инцидентов или их последствий. Типичные рассуждения людей, попавших в эту психологическую ловушку: «У нас на линии за 5 лет не было ни одного серьезного происшествия — значит, мы действуем безопасно». Или: «Прежде чем лезть к проводам, нужно бы, конечно, снять с них напряжение — но я же такой острожный, со мной ничего не произойдет». Близость к намеченной цели. Когда горят сроки или «победа» маячит на горизонте, трудно притормозить, вспоминая о правилах. Очередная психологическая ловушка заманивает нас мыслями типа: «Да, я устал и плохо себя чувствую, но ведь остался всего один рейс до отпуска» и т. Стремление следовать принятой модели поведения. Тут в ход идут соображения вроде: «У нас так принято, не хочу быть белой вороной». Например, в производственной компании к опытному токарю прикрепили стажера, но как только ученик начал работать, его ударило током. Оказалось, молодой сотрудник копировал поведение наставника и, глядя на него, встал на резиновый коврик одной ногой вместо того чтобы действовать по инструкции и встать на коврик двумя ногами. Стажер просто не знал, что у наставника вместо одной ноги протез, а потому взял за образец небезопасное поведение. Тем не менее есть способы повысить осознанность сотрудников, заставить их по собственной воле а не только из страха перед проверкой выполнять рабочие операции безопасно. Хороший прием — воздействовать на эмоциональную сферу. Здесь помогают встречи с коллегами, пострадавшими в результате несчастных случаев, просмотр роликов с места инцидента, конкурсы детских рисунков и т. Кроме того, важно развивать навыки управления безопасным поведением. Главные «проводники» такой культуры — руководители на местах мастера, бригадиры и т. Кейс 2. Как использовать вовлекающий инструктаж на примере компании «Газпром нефть» Мастер — первое менеджерское звено на производстве, он руководит операторами по добыче нефти и газа до 16 человек в подчинении , и именно от него зависит выполнение требований безопасности. Первый учебный блок назвали «Лидерство в безопасности». Один из конкретных приемов, развивающих культуру безопасности, — вовлекающий инструктаж. Обычный инструктаж выглядит как монолог: мастер рассказывает о предстоящем задании, сотрудник расписывается и уходит. Но никто не знает, действительно ли он в полной мере осознает грозящую опасность. Гораздо эффективнее инструктировать людей в формате диалога, когда мастер задает вопросы «Какой самый большой риск вы видите? Поначалу мастера компании «Газпром нефть» отнеслись к идее скептически — мол, нашим сотрудникам такое не подойдет. Но все же по заданию преподавателя сформулировали плюсы и минусы нового подхода, а затем разделились на тройки для работы по группам, где каждый по очереди выступил в роли мастера, оператора и наблюдателя. Оказалось, никаких минусов у новой формы инструктажа нет — сложность лишь в том, чтобы начать задавать вопросы и вести беседу, а не выдавать готовый текст. Сотрудники получили «домашнее задание»: опробовать новшество на рабочем месте. Почти все отметили, что с молодыми операторами все получилось легко, а вот опытные кадры привыкли получать инструктаж по-старому — молча, и заставить их говорить оказалось непросто. Что делать в таком случае? Возвращаться к прежнему формату нельзя — так новую культуру не построишь.
Вы только создадите атмосферу недоверия в команде и настроите людей против вас. Гарантирует ли это полную безопасность с точки зрения сотрудников? На самом деле нет. Этот процент не зависит от уровня осознанности, обучения и самоконтроля. Я даже лично проверял это. Мы с коллегами делали тестовые рассылки, чтобы проверить, насколько сотрудники способны противостоять фейк-фишинговым письмам. Но каждый раз результаты показывали, что количество обученных сотрудников, игнорирующих простые инструкции, остается приблизительно на одном уровне. Всё потому, что эти люди в момент открытия письма оказывались не в том состоянии, чтобы оценить свои действия и вспомнить те вещи, которым их учили. Например, у человека утром дома мог заболеть ребенок или собака. А может, перед работой он поругался с женой. В таком состоянии он вообще не думает ни о какой безопасности — ему бы пережить этот момент и справиться с проблемами. Чтобы поддерживать высокий уровень культуры безопасности, компании важно не только работать с сотрудниками, но еще и держать баланс между техническими средствами, которые защитят людей от их ошибок. Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту. Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны. Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном. Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто.
Поэтому обучать нужно каждого, или это всё будет бессмысленно. Но тут есть свои нюансы. Технические специалисты. Это обычно разработчики, администраторы и другие. Их обучить проще всего — достаточно подобрать хорошие курсы. Многие компании по кибербезопасности проводят обучение. Например, я работаю в такой компании: мы часто делимся знаниями с заказчиками. Обучение можно устроить и самим — это тоже не проблема. Нужно только оценить, насколько вам трудозатратно это организовать, и убедиться, что в команде есть специалист с подходящим опытом. Все остальные. Это все те, чья работа не связана с IT. С ними сложнее. Людям сначала нужно объяснить, что кибербезопасность — это так же важно, как и любая другая безопасность, например пожарная. Затем стоит показать сотрудникам, на что обращать внимание, где лежит их зона ответственности, какие бывают подозрительные действия, и обучить базовым темам по безопасности. Это может занять много времени, но здесь важно сформировать поведенческий паттерн. С каждым из типов сотрудников нужно обязательно проводить тестирования после обучения. Так вы сможете понять, что они усвоили материал и что в будущем не допустят много ошибок. Для разработчиков всё понятно: у них есть средства, чтобы проверять код на безопасность, и ими нужно владеть. Поэтому просто протестируйте их на знание этих инструментов. С обычными сотрудниками сложнее и дороже: нужно выделять много ресурсов, чтобы понять, насколько готовы работники к атакам. Обычно для этого нанимают целые команды специалистов, которые устраивают социотехнические пентесты и рассылают сотрудникам фишинговые письма, а затем смотрят, как те на это реагируют. Еще они могут делать фишинговые звонки и оценивать, насколько сотрудники окажутся уязвимы. К сожалению, большинство компаний не могут качественно провести такие работы своими силами. Для этого нужно иметь в штате специалиста с редкими профильными навыками, которые в обычной работе бесполезны. Как правило, заказчик нанимает команду сторонних экспертов и платит им за разовые задачи. Например, в моей компании есть пентестеры, которые занимаются только такими проверками и ничем больше. Еще есть очень простой лайфхак, как приучить сотрудников быть более ответственными. Каждый раз, когда человек отходит со своего места и оставляет компьютер незаблокированным, стоит сделать следующее: Если он делает это первый раз, то ему нужно выдать предупреждение. Если он делает это уже второй раз и более, нужно зайти в его компьютер, открыть какой-нибудь рабочий чат в Телеграме и написать что-то в духе: «В пятницу покупаю всем пиццу». И после нужно убедиться, что человек это сделает. Принцип несложный: не уследил — угостил всех пиццей за свои деньги. А если этот сотрудник когда-то проходил курс по информационной безопасности, можно написать немного по-другому: «В честь освоения курса по информационной безопасности в пятницу проставляюсь пиццей». С одной стороны, человек не чувствует, что это какой-то штраф, потому что никто не заставляет его платить деньги, и к тому же он угощает сотрудников и собирает мини-корпоративчик.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
Топ-менеджеры говорят, что во всем виноваты мастера, то есть младшие линейные руководители - «все забывают и делают не так». Сами линейные руководители считают, что виноваты простые рабочие, поскольку молчат о проблемах, не сообщают о происшествиях и поломках. А если обратиться к рабочим с тем же вопросом, то они честно отвечают, что отчасти в этом есть и их собственная вина, но при этом и руководители среднего звена, по их мнению, также часто служат барьером для повышения безопасности на производстве. Рабочие не жалуются на топ-руководителей, как было принято это считать до нашего исследования, они больше винят того, кого видят — начальников цехов и функций. Главным барьером в повышении безопасности сегодня является привычка людей действовать формально, на уровне документов, то есть, выполнять действия «для получения галочки». Принимая во внимание все услышанное, наша команда пришла к выводу, что для того, чтобы повысить безопасность, нужно, прежде всего, сформировать командный дух внутри коллектива и единое видение целей в области безопасности. Для этого необходимо установить должную коммуникацию между топ-менеджерами, линейными руководителями и средним менеджментом. Между ними не должно быть барьеров, недосказанности или разного понимания приемлемого уровня риска, поскольку вопросы безопасности на производстве касаются всех вне зависимости от иерархической структуры. Кроме отсутствия должной коммуникации, был выделен ряд других проблем.
Так, многие отмечали, что главным барьером в повышении безопасности сегодня является привычка людей действовать формально, на уровне документов, то есть, выполнять действия «для получения галочки». Отмечались и такие факторы как непонимание самой сути и принципов безопасности и отсутствие признания ценности человеческой жизни. В процессе исследования практик развития культуры безопасности наша команда определила две оси, на которые поместились все практики. Первая ось — популярность фактически говорит о том, сколько компаний на рынке применяет данные практики , вторая ось — эффективность фактическое субъективное мнение тех, кто применяет практики и видит их пользу для своей компании. У нас получилось выделить четыре четко определенные зоны на данных осях: практики с низкой популярностью и низкой эффективностью, практики с высокой популярностью, но низкой эффективностью, мало популярные, но эффективные практики, популярные практики с высокой эффективностью. В этой статье мы хотели бы рассказать подробнее лишь о некоторых из практик в каждой зоне. Но прежде объясним интерпретацию результатов. Так, практики, которые попали в зону с низкой популярностью и эффективностью - это те, про которые считается, что их можно не применять, так как большинство специалистов признает, что они не работают.
Но по факту есть отдельные компании, в которых именно эти же практики работают и очень эффективно, поскольку как оказалось, все зависит от способа реализации каждой практики. Поэтому будет неверным сразу списывать со счетов практики, которые считаются большинством из участников исследования неэффективными, так как очень важно каким образом мы внедряем нашу практику в деятельность компании. Именно этому мы посвятили исследование 2019 года, к которому еще можно присоединиться до конца июня.
Вместо «Всем пока» — «Берегите себя». Стало больше неформальных групп в мессенджерах, которые организуют и поддерживают сами сотрудники: йога, майндфулнесс, просто болталки. Компания сейчас активно поддерживает эту потребность: проводятся тренинги для сотрудников с участием внешних спикеров, консультации психолога включены в ДМС, готовится тематическая страница на корпоративном портале. Поскольку и до пандемии компания активно поддерживала ценности корпоративной культуры, в текущий период она не подверглась сильной модификации. Безусловно, на первый план вышли ряд вопросов, которые раньше не вызывали такой интерес.
Среди них: личная эффективность на удаленке, стабильность, здоровье. Но они никак не противоречат доминирующим ценностям компании, а лишь расширяют и дополняют угол зрения. Компания, в свою очередь, пытается уделить им повышенное внимание, чтобы главная ценность — каждый сотрудник в отдельности и коллектив в целом — продолжала выступать цементирующим элементом всех бизнес-процессов.
Что такое культура безопасности? Безопасность — приоритет в любой деятельности компании, одна из базовых корпоративных ценностей. Культура безопасности в «Газпром нефти» — это наглядно демонстрируемые ежедневные усилия и конкретные действия работников и руководителей всех уровней компании, направленные на повышение безопасности. Основа культуры безопасности «Газпром нефти» — понимание всеми работниками ключевых и наиболее существенных рисков в области производственной безопасности и выстраивание барьеров на пути их реализации. Достичь высокого уровня культуры безопасности невозможно без комплексной работы в этой сфере, как минимум, по нескольким направлениям: технологии, системы управления, организационные и человеческие факторы. Поэтому в «Газпром нефти» активно автоматизируется производство, что снижает влияние человеческого фактора, развивается риск-ориентированная система управления производственной безопасностью, улучшаются социально-бытовые условия для сотрудников компании и подрядных организаций.
Перспективы повышения уровня безопасности во многом связаны с переходом к интегрированной культуре безопасности.
Подразделение, у которого по итогам месяца оказался наименьший показатель эффективности, выбывает из соревнования и остается без премии. На подразделение ежемесячно выделяется зафиксированная сумма премии.
К сотрудникам с любовью: как в компаниях заботятся о команде
Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации. Отражены цели процесса внедрения культуры безопасности на предприятиях, в числе которых: обеспечение здоровой, системной работы сотрудников; обеспечение непрерывности производственных процессов; организация непрерывных информационных потоков. Один из выводов: управление подрядчиками — важный фактор культуры безопасности, на который предприятиям сложно влиять, на это в своем выступлении указал гендиректор НЗХК Алексей Жиганин. Светлана рассказала, как развивает культуру безопасности в своей компании, кого привлекает к внедрению изменений и без каких компонентов эта инициатива не «полетит».
Проект «Развитие культуры безопасности»
Культура безопасности — это система, которую нужно долго и кропотливо выстраивать. Чтобы начать внедрение культуры безопасности, нужно: Определить мероприятия по повышению культуры безопасности Найти способ их выполнения Найти инструменты, с помощью которых возможно выполнение мероприятий Сформулировать показатели, по которым можно планировать и контролировать работы по повышению уровня культуры безопасности. Как приступить к действию? Система управления охраной труда и культура безопасности Система управления охраной труда СУОТ состоит из 20 процессов, два из которых, оценка профрисков и спецоценка влияют на формирование культуры безопасности. Сама по себе культура безопасности — это, можно сказать, уважительное отношение к работнику. Если мы хотим внедрить культуру безопасности, необходимо использовать культуру проведения, например, специальной оценки условий труда СОУТ. Работнику необходимо показывать процесс проведения СОУТ, проводить оценку так, чтобы работник понял, чтобы была налажена коммуникация. Культура процессов специальной оценки условий труда Культура проведения специальной оценки условий труда отражает отношение организации к процессу выявления и оценки воздействия рабочих условий на здоровье и безопасность работников. Этот процесс является ключевым элементом обеспечения здоровых и безопасных рабочих мест. Элементы культуры могут включать:.
Вот почему, по мнению экспертов, правильное отношение к безопасности в компании начинается с правильных установок среди представителей топ-менеджмента. Самый простой и надежный путь внедрения чего-либо нового — трансляция сверху. К счастью, в Краснодарском крае есть позитивные примеры этого правила. Так, в АО «Черномортранснефть» стандарты безопасности производства — это первое, с чем знакомят новичков и будущих работников предприятия. На очередной экскурсии для студентов Кубанского государственного технологического университета, побывавших на нефтеперекачивающей станции «Нововеличковская», ребятам продемонстрировали виды спецодежды и рассказали о применении средств индивидуальной защиты, а затем показали документальный фильм о реальных несчастных случаях.
Плохая реклама для привлечения свежих кадров, скажете вы? Да ведь тут не о рекламе речь: предприятию с определенными факторами риска необходимы работники ответственные и серьезные. С теми, кому море по колено, потом проблем не оберешься! Пусть лучше испугаются, зато будут знать, с чем реально столкнутся на рабочем месте. Вторая часть фильма, к слову, была посвящена способам предотвращения возможных ЧП. Она оказалась настолько перспективной, что разошлась по странам мира.
В России ее опробовали сначала в Ростовской и Самарской областях, а с 2019 года внедряют и в Краснодарском крае. Главная цель концепции — сломать устаревший стереотип, что за охрану труда на производстве отвечает исключительно специалист по охране труда. Новый подход учит, что ответственность должна быть коллективной: и за свою безопасность, и за безопасность коллег отвечает каждый работник компании. Недавно в компании «Россети Кубань» рассказали об успешном прохождении сотрудниками нового курса профессиональной переподготовки «Тренер нулевого травматизма». Обучение проводится второй год подряд в Краснодаре на базе корпоративного Энергетического института повышения квалификации.
Но этого было недостаточно. Я продолжила портить другим пасхальное воскресенье — сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах.
И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители — или их профили в соцсетях. Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию подробнее о ней — чуть позже. Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях — пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою — иными словами, уводит подальше от мозга , то ли соцсети стоило сделать настройки безопасности более очевидными. Скорее всего, и то, и другое. Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль — и всю его историю. Час ожидания превратился в два, затем в три, а потом и в четыре. Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании.
Диалоги сводились к следующему: — Крис, мы все еще работаем с ними. Они не завершили проверку безопасности. Надеемся, все закончится в течение получаса. Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса. Во время очередного звонка руководитель вытащил козырь из рукава. Я знаю кое-кого из владельцев этой соцсети. Звоню ему. Мы пока продолжим подгонять службу поддержки.
Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем. Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные. Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями. Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после.
И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось. Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения. Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом. Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях.
После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой. Задним умом мы все крепки, и этот случай — не исключение. Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети будучи одним из администраторов нашей страницы — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже? Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории.
Это ее вина. Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта.
Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети. Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома. Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.
Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности. Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую.
Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах.
Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем.
Весь персонал, как эксплуатирующий, так и обслуживающий производственные объекты, обязан изучать, знать и применять действующие нормативные документы. Мы работаем 24 часа в сутки во всех часовых поясах нашей страны. Реализуем уникальные проекты в сложнейших природных условиях. В результате жизнь миллионов людей становится лучше. Наша работа в основном связана с эксплуатацией опасных производственных объектов. Любая ошибка может иметь серьезные последствия. Основной причиной несчастных случаев является человеческий фактор — случайное или осознанное нарушение правил. Таких ситуаций можно избежать. Ведь безопасность всегда начинается с простых вещей: ответственности, уважения к себе и к другим, внимания к действиям коллег».
Развитие культуры безопасности на промышленном предприятии
Факторы влияния на создание культуры безопасности: Руководство компании Техническое обеспечение и инфраструктура Компетентность сотрудников Обучение и повышение квалификации сотрудников проводится систематически. «Культура безопасности организации есть результат индивидуальных и групповых ценностей, восприятий, способностей и моделей поведения, которые определяются обязательствами, стилем и способностями менеджмента по здоровью и безопасности в организации. Многие компании в России и СНГ уже прошли значительный путь развития культуры безопасности, и сегодня перед нами открывается новый горизонт развития. Форум «Культура безопасности» завершился ещё одним круглым столом, во время которого участники обменялись мнениями и получили рекомендации по повышению культуры безопасности на своих предприятиях. Цели и задачи внедрения культуры безопасности заложены в самой сути культуры безопасности — добиться снижения происшествий, аварий, травматизма до нуля. Кроме ключевых показателей проанализированы фоновые условия, которые напрямую или косвенно влияют на развитие культуры безопасности компании.
В «Росатоме» обсудили культуру безопасного поведения
В рамках формата «Честный диалог» идет обсуждение выявленных проблем, улучшения рабочих процессов и охраны труда. Формат «Одна команда» нацелен на обсуждение проблем между подразделениями. И наконец, в рамках формата «Прямой разговор» руководители разных уровней обсуждают со специалистами их работу с точки зрения культуры безопасного поведения. В 2021—2022 годы работа концерна будет нацелена на развитие лидерства руководителей в целях безопасности, добавил Андрей Петров. Они управляют процессами развития культуры безопасного поведения, внедряют лучшие практики. Есть еще координаторы в структурных подразделениях, которые сфокусированы на коммуникациях с коллегами. И наконец, уполномоченные по охране труда проводят независимый аудит, сообщают о выявленных отклонениях и дают рекомендации, как их устранить. В эту работу вовлечены более 1 тыс. Стратегия ТВЭЛ заключается в том, чтобы помимо соблюдения регламентов и правил в сфере безопасности влиять на изменение поведения персонала, содействовать развитию неравнодушного отношения специалистов. Наталья Никипелова подчеркнула, что за последние пять лет у ТВЭЛ не было ни одного замечания от иностранных заказчиков по культуре безопасности. В 2020 году сотрудники предприятий подали более 18 тыс.
Более 6 тыс. В итоге на совещании было принято решение рекомендовать всем руководителям дивизионов рассмотреть возможность внедрения института уполномоченных менеджеров по культуре безопасности. Клуб лучших практик Глава «Росатома» в заключительном слове подчеркнул, как важно при развитии культуры безопасного поведения поощрять неформальный подход, вести поиск самых разных методов вовлечения людей.
С осени 2019 года Металлоинвест ввел новую практику - работники предприятий получают дополнительную ежеквартальную премию за соблюдение требований охраны труда и промышленной безопасности. Очередную премию сотрудники получили в январе - общая сумма выплат по итогам четвертого квартала 2019 года составила около 253 миллионов рублей. Путь к достижению этой цели лежит через укрепление культуры производственной безопасности, соблюдение лучших мировых стандартов в сфере охраны труда, высочайшую внутреннюю дисциплину каждого сотрудника, - подчеркнул генеральный директор УК «Металлоинвест» Андрей Варичев. Это масштабный ежегодный форум на площадке Главного Медиацентра в Сочи. Неделя проводится по инициативе Минтруда России, оргкомитет возглавляет вице-премьер Татьяна Голикова. На форуме представители бизнеса и профсоюзов, чиновники и эксперты обсудят вопросы улучшения системы охраны и безопасности труда, экологии и сохранения здоровья, проанализируют лучшие практики разработки и внедрения систем управления охраной труда, профилактики несчастных случаев и профессиональных заболеваний. Тема форума в этом году - «Здоровье на производстве — устойчивое развитие экономики страны».
Обучение — важный элемент в процессе становления корпоративных ценностей. Компания с развитой системой обучения в области вопросов безопасности восприимчива к урокам, полученным из разных источников.
Один из основных — внутренняя система отчетов и систематический анализ коренных причин происшествий. Второй источник — изучение происшествий в других организациях группы компаний и отрасли. Третий — обмен опытом и знаниями с организациями из других отраслей.
Сбор и анализ информации из разных источников позволяет извлекать и применять в работе компании важные данные и выученные уроки. Однако для эффективного обучения и повышения уровня культуры безопасности недостаточно составить список хороших тренингов и отправить на них сотрудников. Вся организация должна стать самообучающейся.
Это значит, что руководители на всех уровнях управления начиная с самих себя должны создавать в компании такие условия, чтобы люди осознанно накапливали знания и делились ими. Эта картина кажется идеальной, но как к ней приблизиться в реальной жизни?
Эксперт: Екатерина Арановская руководитель компании-партнера Культура — неотъемлемая часть нашей жизни. Все мы знакомы с культурой поведения, культурой речи. Культура должна быть везде, даже на производстве. Давайте разбираться. Начнем с того, что культура безопасности — это нормы и правила, а также принятые способы их выполнения, которые влияют на поведение и отношение работников к обеспечению собственной безопасности и безопасности других людей на производстве. Именно работодатель должен сформулировать нормы и правила, которые будут регулировать поведение работников.
Работники смогут сделать свой труд безопасным только путем осознания личной ответственности за жизнь и здоровье себя и коллег, путём принятия производственных и управленческих решений. С высоким уровнем культуры безопасности правила выполняет все работники даже в тот момент, когда за ним никто не наблюдает. Большинство несчастных случаев связаны с некорректными действиями работников. Почему такое происходит? Потому что работники совершают ошибки.
Культура производственной безопасности – надёжный проводник
Забота о сотрудниках влияет в том числе и на их производительность и уровень удовлетворенности работой. На предприятиях Топливной компании Росатома «ТВЭЛ» регулярно проводятся внешние независимые оценки уровня культуры безопасности. Инструмент развития культуры безопасности в организации.
Каков уровень культуры безопасности в российских компаниях?
Более 500 специалистов и руководителей из различных отраслей, таких как строительство, ЖКХ, нефтяная промышленность и сельское хозяйство, поделились своим опытом и мнением о культуре безопасности в своих компаниях. «Под культурой безопасности подразумевается, что все сотрудники осознают и соблюдают правила и нормы безопасности и следят за тем, чтобы другие поступали так же», – объясняет эксперт. Главная» Новости» Как вам кажется кто в компании является носителями культуры безопасности. Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации. Культура безопасности, в контексте управления организациями, рассматривается как универсальный индикатор эффективности и управляемости. Ежегодно в группе компаний ИНК проводится оценка уровня культуры безопасности по международной методике «Сердца и. «Культура безопасности организации есть результат индивидуальных и групповых ценностей, восприятий, способностей и моделей поведения, которые определяются обязательствами, стилем и способностями менеджмента по здоровью и безопасности в организации.
Как начать внедрять культуру безопасности на рабочем месте
Такие же строгие требования предъявляются ко всем подрядчикам — не должно быть такого, что одни работники в цехе соблюдают стандарты, а другие нет. Неважно кто из какой организации, это вопрос укрепления общей дисциплины. На заводе внедрена система организации рабочих мест 5S — каждый инструмент хранится на своем размеченном месте на специальном стенде, нигде ничего лишнего. Помимо экономии и организации труда, это тоже часть общей дисциплинирующей системы, нацеленной на соблюдение стандартов качества и безопасности. Это часть внедренных на предприятии принципов WCM World Class Manufacturing , целью которых является достижение так называемых «трех нулей»: ноль несчастных случаев, ноль задержек в т. В основе WCM лежат 2 основных принципа: постоянное совершенствование и устранение потерь. Цикл «планируй-делай-проверяй-улучшай» выполняет каждый работник в рамках своих обязанностей. В части безопасности этот цикл представляет собой поиск каждым работником ситуаций риска инцидентов и последующее их устранение самостоятельное ограждение опасной зоны и доклад руководству. Ситуации риска разделены на пять групп: TF1, TF2 и TF3 — касаются инцидентов, фактически повлекших производственные травмы; TF4 — случившийся инцидент авария , создавший угрозу безопасности, но не повлекший травм; TF5 — назревающая опасная ситуация, которая впоследствии может привести к инциденту. Все случаи выявления ситуаций риска отражаются на специальных информационных стендах, размещенных в каждом цехе см. Основной драйвер, поддерживающий данную систему в активном состоянии — еженедельные совещания по теме безопасности с обсуждением всех предложений работников.
Ключевой акцент — это выявление TF5.
На предприятии проводятся первичные и периодические медицинские осмотры. Обеспечен питьевой режим в подразделениях. Приобретены, спроектированы и изготовлены приспособления и оснастка, защищающие сотрудников во время работы. Организованы обучение, инструктажи и проверки знаний по охране труда и промышленной безопасности. В 2023 году обучение по этому направлению прошли 1123 работника.
Для усиления промышленной и пожарной безопасности, обеспечения высокого уровня охраны окружающей среды и охраны труда на БМЗ регулярно проводят проверки и аудиты подразделений завода по оценке профессиональных рисков.
Чтобы существенно снизить травматизм и полностью искоренить случаи тяжелого и смертельного травматизма, нужно добиваться, чтобы ежедневные действия работников отрасли были осознанными и безопасными. Это работа с культурой, с внутренними установками. Один из прикладных инструментов для снижения травматизма — «Минутка безопасности», во время которой участники обсуждают какое-либо происшествие, реальное или гипотетическое, фотографию с нарушениями техники безопасности и прочие подобные материалы. Проводить «Минутку» можно в начале любого собрания или совещания. Цель инструмента — настроить участников на обсуждение вопросов безопасности, сфокусировать их внимание на конкретных проблемных ситуациях и убедить в необходимости действовать осознанно и безопасно в подобных обстоятельствах. Другой важный инструмент, с помощью которого можно развивать культуру открытости и доверия в коллективе и вести активную профилактику происшествий — это «Диалог о безопасности».
Его суть состоит в обсуждении с работником вопросов безопасности после того, как руководитель понаблюдал за его действиями. Существует принципиальное отличие «Диалога о безопасности» от инспекции. Фокус инспекции в свою очередь направлен на оборудование и условия, задача инспектора — найти недостатки и выдать предписание для их устранения.
Сотрудники отмечали ценность того, что наша компания не просто ровно прошла и проходит этот сложный этап, но еще и прирастает, развивается. Для сотрудников это гарант предсказуемости, возможность строить планы. Также стали чаще звучать разговоры о здоровье, в том числе и о ментальном. Чаще вместо привычного «Как дела? Вместо «Всем пока» — «Берегите себя». Стало больше неформальных групп в мессенджерах, которые организуют и поддерживают сами сотрудники: йога, майндфулнесс, просто болталки.
Компания сейчас активно поддерживает эту потребность: проводятся тренинги для сотрудников с участием внешних спикеров, консультации психолога включены в ДМС, готовится тематическая страница на корпоративном портале. Поскольку и до пандемии компания активно поддерживала ценности корпоративной культуры, в текущий период она не подверглась сильной модификации. Безусловно, на первый план вышли ряд вопросов, которые раньше не вызывали такой интерес.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
Минимизировать риски случайных и намеренных утечек можно, если HR-отдел совместно со службой безопасности и IT-командой будут формировать культуру работы с корпоративной информацией. Поскольку и до пандемии компания активно поддерживала ценности корпоративной культуры, в текущий период она не подверглась сильной модификации. Кроме того, культура безопасности влияет на репутацию компании. Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации. Например, чтобы в организации была позитивная культура безопасности, руководители должны четко заявлять о недопустимости компромиссов между безопасностью и производительностью. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом.