Как руководители и сотрудники влияют на культуру безопасности в компании предоставлен нашим книжным партнёром — компанией ЛитРес. Роль культуры безопасности в многопрофильных компаниях Во-первых, наличие культуры безопасности позволяет создать осведомленную и ответственную рабочую среду. Мы поднимаем вопрос о культуре безопасности, о готовности оказать помощь. Как это повлияет на безопасность? Что компании собираются делать для обеспечения лояльности, должного уровня осмотрительности и осведомленности? Культура пищевой безопасности – это общие ценности, убеждения и нормы, влияющие на мышление и поведение людей в отношении безопасности пищевых продуктов во всех подразделениях организации.
Актуальность развития культуры безопасности на российских ТЭС
Поскольку и до пандемии компания активно поддерживала ценности корпоративной культуры, в текущий период она не подверглась сильной модификации. Правильное отношение к безопасности в компании начинается с правильных установок и лидерства топ-менеджмента. Запуск на предприятиях инструментов проективной культуры безопасности всегда вызывает волну обсуждения у сотрудников предприятий, и не всегда внедрение этих инструментов заканчивается успехом. Компания MSB Events хотела бы поделиться результатами традиционной ежегодной встречи профессионалов безопасности, которая прошла в марте в Москве. внутренняя потребность). Слайд 1, Развитие культуры безопасности в организации.
ЭКСПЕРТЫ ОБСУДИЛИ РАЗВИТИЕ КУЛЬТУРЫ БЕЗОПАСНОСТИ НА РОССИЙСКИХ ПРЕДПРИЯТИЯХ В РАМКАХ ВНОТ-2022
Главная» Новости» Как вам кажется кто в компании является носителями культуры безопасности. Кроме ключевых показателей проанализированы фоновые условия, которые напрямую или косвенно влияют на развитие культуры безопасности компании. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом. ять на восприятие безопасности работником организации. Эффективная культура безопасности Культура безопасности не может быть построена в компаниях, которые обращают внимание на вопросы безопасности только в рамках общего расследования инцидентов например, в компаниях. Организации, в которых есть психологическая безопасность, реже совершают ошибки и порождают больше инноваций.
Культура корпоративной безопасности. Слагаемые успеха в новой реальности
В организации определяющим фактором являетсякорпоративная культура, поскольку она носит воспитательную функцию. Корпоративная культура — понятие сложное. Сюда относятся и декларируемые ценности — закрепленные в регламентах, и неформальные — те, которые рождаются в головах сотрудников и руководителей, но не получают официальногозвучания. К неформальной норме можно отнести, например, традицию дляновичков накрывать стол для коллегпосле получения первой зарплаты.
Приоритеты концепции - повышение безопасности, гигиены труда и общих условий работы в компаниях. Концепция также предполагает стимулирование заинтересованности в соблюдении правил безопасности всех участников процесса: от собственника до работников. Первые результаты уже есть, число травм на производстве в целом по стране снижается. Традиционно самыми рискованными отраслями остаются строительство, обрабатывающие производства, транспорт, сельское хозяйство и добыча полезных ископаемых. Правительством России также принят комплекс мер по решению этого вопроса. Он предусматривает модернизацию системы управления охраной труда и системы обязательного социального страхования, своевременное выявление ранних признаков профессиональных заболеваний и их профилактику.
Вторая важная часть - стимулирование работодателей и работников к улучшению условий труда. Третья - повышение интереса среди россиян к здоровому образу жизни в целом.
Петр Тищенко: Одного контроля со стороны руководства часто оказывается недостаточно.
Проведем аналогию: можно ли считать культурным того человека, у которого дома собрана большая библиотека? Можем, но только при условии, что он эти книги читает. То же самое и с безопасностью.
Много раз мы в комитете сталкивались с ситуациями, когда приходишь на предприятие, оборудованное по последнему слову техники, знакомишься с работниками, опытными, передовиками производства, ими все гордятся. А при этом из пяти обязательных средств индивидуальной защиты эти сотрудники используют только два, а остальные висят на крюке у рабочего места. Предприятие может закупить самые современные средства защиты, использовать самое прогрессивное оборудование, но если сотрудники не будут в обязательном порядке всем этим пользоваться, то усилия руководства пойдут насмарку.
Культура безопасности - это высшая степень охраны труда, когда вся организация пронизана идей безопасности, начиная от собственников и высшего руководства и заканчивая работниками рабочих профессий и служащими. Все 100 процентов работников должны быть привержены этой идее и вовлечены в выполнение требований на уровне привычного поведения и автоматизма. Как добиться такого вовлечения, работодатель же не может заставить работника думать по-другому?
Петр Тищенко: Этот вопрос пытаются решить сейчас в компаниях по всему миру. Мне кажется, что проблема в том, что о таких вопросах, как следование инструкциям на производстве, мы задумываемся слишком поздно, когда человек уже идет на работу. Думаю, что о культуре безопасности нужно начинать говорить еще с детского сада и со школьной скамьи.
Изучаются же детьми, например, правила дорожного движения. Мы даже обращались в Министерство труда с предложением инициировать введение небольшого курса об охране труда в рамках уроков ОБЖ. На мой взгляд, это очень важно.
Пока же на предприятиях нередко происходит так: пришел человек после колледжа на завод, смотрит на коллег, а они для галочки расписываются в журналах по охране труда, игнорируют средства индивидуальной защиты. Естественно, что новичок ориентируется на их поведение и будет делать так же. Подобные подходы нужно менять на корню.
Есть успешные мировые практики.
Проанализирована статистика производственного травматизма на пред- приятии, на основе несчастных случаев. Были выявлены причины опасных дей- ствий работников. Проведен обзор существующих инструментов по развитию культуры безопасности.
Выявлены, инструменты, применяющиеся на предприятии для снижения определенных опасных действий работников. В результате выполнения магистерской диссертации разработан инстру- мент по развитию культуры безопасности на промышленном предприятии. А именно, предложено мероприятие, направленное на обучение работника, с ис- пользованием VR-технологии — шлема виртуальной реальности. На основе ста- тистики причин несчастных случаев был выбран вид работ.
После чего разра- ботан пример сценария VR-симуляции для обучения сотрудников предприятия, который позволит продемонстрировать работникам признаки опасности для конкретного вида работ и отработать последовательность действий.
"Влияние корпоративной культуры на безопасность организации"
Как культура безопасности влияет на финансовое состояние компании. Руководство компании подчёркивает: культуру производственной безопасности важно осознавать как внутреннюю потребность каждого человека, чтобы сделать рывок к достижению нулевого травматизма. Но бывают предприятия, которые действительно ищут способы мотивации своих сотрудников к активному участию в устойчивых инициативах.
Культура корпоративной безопасности. Слагаемые успеха в новой реальности
Прежде всего оцените, какой стиль характерен для руководителей в вашей организации, какого стиля придерживаетесь вы сами? Если руководители в большей степени — контролеры, то спутниками сотрудников чаще всего становятся страхи и сомнения: как поступить правильно, безопасно ли вообще задать вопрос, если что-то осталось непонятным. Часто сами руководители испытывают сложности в управлении командой, когда инструкции остаются лишь информацией на бумаге. Что меняется, когда руководители выступают для своих подчиненных в роли коучей, наставников?
Сотрудники становятся более открытыми и уверенными в своем поведении. Личный пример, живые истории, беседа помогают руководителям доступным путем обеспечить лучшее понимание и соблюдение командой правил безопасности. Обеспечив развитие руководителей как лидеров и наставников, заручившись их поддержкой, переходите к следующему этапу - диалогу со всеми сотрудниками.
Петр Тищенко: Одного контроля со стороны руководства часто оказывается недостаточно. Проведем аналогию: можно ли считать культурным того человека, у которого дома собрана большая библиотека? Можем, но только при условии, что он эти книги читает. То же самое и с безопасностью.
Много раз мы в комитете сталкивались с ситуациями, когда приходишь на предприятие, оборудованное по последнему слову техники, знакомишься с работниками, опытными, передовиками производства, ими все гордятся. А при этом из пяти обязательных средств индивидуальной защиты эти сотрудники используют только два, а остальные висят на крюке у рабочего места. Предприятие может закупить самые современные средства защиты, использовать самое прогрессивное оборудование, но если сотрудники не будут в обязательном порядке всем этим пользоваться, то усилия руководства пойдут насмарку. Культура безопасности - это высшая степень охраны труда, когда вся организация пронизана идей безопасности, начиная от собственников и высшего руководства и заканчивая работниками рабочих профессий и служащими.
Все 100 процентов работников должны быть привержены этой идее и вовлечены в выполнение требований на уровне привычного поведения и автоматизма. Как добиться такого вовлечения, работодатель же не может заставить работника думать по-другому? Петр Тищенко: Этот вопрос пытаются решить сейчас в компаниях по всему миру. Мне кажется, что проблема в том, что о таких вопросах, как следование инструкциям на производстве, мы задумываемся слишком поздно, когда человек уже идет на работу.
Думаю, что о культуре безопасности нужно начинать говорить еще с детского сада и со школьной скамьи. Изучаются же детьми, например, правила дорожного движения. Мы даже обращались в Министерство труда с предложением инициировать введение небольшого курса об охране труда в рамках уроков ОБЖ. На мой взгляд, это очень важно.
Пока же на предприятиях нередко происходит так: пришел человек после колледжа на завод, смотрит на коллег, а они для галочки расписываются в журналах по охране труда, игнорируют средства индивидуальной защиты. Естественно, что новичок ориентируется на их поведение и будет делать так же. Подобные подходы нужно менять на корню. Есть успешные мировые практики.
Подобные ценности должны пронизывать все уровни управления, включая средний уровень, среднее звено. Я, конечно, могу выжать из людей все, а могу удержать людей на ближайшие 5-10 лет. В этом заключается стратегическая задача. Эта философия должна пронизывать всю систему управления и менеджмента».
Культура — это не стандарты Как начать внедрять культуру безопасности? Есть ли конкретные инструменты, приемы и практики. Что эффективнее нормативы или культура? Контроль или внутренние установки человека?
В первую очередь, это отношение к людям, - делится опытом технический директор компании «3M» Россия Сергей Дмитрук. Это когда руководитель компании своим собственным примером демонстрирует культуру безопасности во всем». Сергей Дмитрук рассказал об опыте компании в подборе для работников СИЗ органов дыхания. Так, каждому сотруднику 3М подбирают СИЗ индивидуально, примеряют на хорошее прилегание и только после того, как сотрудник будет уверен, что именно в этом респираторе или маске он чувствует себя хорошо и комфортно, он получает этот СИЗ.
Мало, кто из российских компаний позволяет себе такой индивидуальный подход. Но в компании 3М уверены, что это и есть часть культуры безопасности, в основе которой забота о людях. Также в компании стараются применить всевозможные наглядные инструменты, позволяющие увидеть уровень опасности. Так, к примеру, на рабочих местах установлены счетчики пыли, которые дают возможность работнику увидеть, в какой среде он работает, какой процент частиц может попасть в его легкие, если он не будет использовать СИЗ.
И тогда человек готов менять свое поведение. Рабочий тоже человек, или каждый должен нести ответственность Эксперты сходятся во мнении, что в основе внедрения культуры безопасности — система ответственного менеджмента, которая строится на принципах персональной ответственности. Я бы стремился уменьшить уровни менеджмента внутри компании. Опыт подсказывает, что во многих российских компаниях существует слишком много уровней управления и слишком много контролирующих людей.
Поэтому происходит аутсорсинг процесса ответственности. Важно воспитывать в людях их персональную ответственность».
Это требует комплексного подхода в отношении организации труда, развития сотрудников, экологической и промышленной безопасности, поддержки населения в регионах присутствия. Главная задача стратегии нашей компании по охране труда — это создание корпоративной культуры, при которой здоровье и безопасность сотрудников компании и подрядных организаций являются ключевыми ценностями компании.
Мы активно мотивируем персонал, в том числе развивая у людей такие компетенции, как лидерство руководства в вопросах охраны труда. В 2020 году в Юнипро была раскрыта информация по охране труда в соответствии со стандартом GRI 403 Occupational health and safety, устанавливающим требования к отчетности по охране труда. Компании используют этот пакет для отчетов о своем влиянии на экономику, окружающую среду и общество. С учетом вышесказанного и других эффективных практик по охране труда, которые давно применяются в Юнипро, можно сказать, что реализация программы устойчивого развития ощутимых изменений в деятельность служб охраны труда филиалов Юнипро не внесла.
Программа стала еще одним важным и полезным инструментом в нашей работе. Когда такое будет возможно? И как только появится такой поставщик и с действительно реализованной программой устойчивого развития, мы изучим такую возможность. Экологически чистая защита — Сейчас в Европе набирает силу тренд производства средств индивидуальной защиты СИЗ из экологически чистых или переработанных материалов.
Как вы считаете, придет ли этот тренд и в Россию? Уже сейчас в рамках международной специализированной выставки «Безопасность и охрана труда» БИОТ 2021 года крупные российские поставщики демонстрируют СИЗ из экологически чистых или переработанных материалов. Экологичность — важное направление работы современных компаний, тем более если в этих компаниях реализуются программы устойчивого развития. Когда подобные СИЗ появятся на российских предприятиях?
Об этом сказать пока сложно. На мой взгляд, это зависит от динамики внедрения на предприятиях принципов ESG, готовности российских производителей к переходу на производство СИЗ из переработанных материалов и в целом от темпов развития экономики в России. Стать лидером по охране труда — Компания Юнипро — один из лидеров по инновациям в охране и безопасности труда.
Формирование культуры безопасности у сотрудников с помощью DLP-системы
Риск-ориентированный подход. Критическое восприятие отклонений. Отмечается не умение персонала оценивать возможные риски и их последствия, работники не осознают вероятность возникновения ошибок. Отсутствует критическое восприятие отклонений от установленных норм безопасности. Персонал допускает отступление от требований, а также не выступает с инициативой усовершенствования в области безопасности. Чувства самоуспокоенности.
Отмечается излишняя самоуспокоенность работников в вопросах безопасности, низкий уровень самоконтроля. Цитирую: «если водитель не пристегнулся — это его проблема, я не буду делать замечание, я сяду и пристегнусь. У него зимняя резина, исправно всё, для меня безопасно». Взаимодействие при выполнении работ. Работа в команде.
Данные показатели характеризуют коммуникации между работниками в процессе производства работ. Отмечается, что работниками крайне редко обращаются за советом к коллегам и обсуждают вопросы безопасности в процессе выполнения работ. Участники исследования отмечали, что поведения работников в большинстве случаев зависит от руководителя, от его отношения к вопросам безопасности. Исследования показали, что проблемы существуют и их необходимо решать.
Какие инструменты использует «Росэнергоатом» для повышения вовлеченности в культуру безопасности и для создания открытого диалога? Обзор лучших практик — в нашем материале. Советы и уполномоченные Культура безопасности — одно из ключевых направлений для Концерна. Для совершенствования этого направления был создан Совет по культуре безопасности под руководством генерального директора «Росэнергоатома», а также аналогичные Советы на каждой атомной станции под руководством директоров АЭС. Основная цель деятельности Советов — создание необходимых условий для непрерывных улучшений культуры безопасности на корпоративном, станционном и индивидуальном уровнях, развитие приверженности культуре безопасности в Концерне, а также создание атмосферы открытости и доверия при рассмотрении вопросов, связанных с безопасностью. Уже не первый год в электроэнергетическом дивизионе функционирует институт уполномоченных по культуре безопасности, в который на сегодняшний день входят 872 сотрудника.
В 2021—2022 годах фокусными областями в развитии культуры безопасности в дивизионе стали развитие лидерства руководителей в целях безопасности, установление руководителями всех уровней атмосферы доверия и требовательности к соблюдению норм и правил, стремление к постоянному самосовершенствованию, коммуникация руководителей как ключевой элемент эффективности мероприятий по формированию и развитию культуры безопасности. Дмитрий Гастен Директор по персоналу и социальной политике Концерна «Росэнергоатом», генеральный уполномоченный по культуре безопасности электроэнергетического: — Качественные изменения культуры безопасности возможны только при широкой поддержке персонала. В числе основных факторов успеха в этом вопросе отмечу достижение атмосферы открытости и доверия, лидерство руководителей в развитии культуры безопасности и высокий уровень квалификации и компетенций. В последние годы благодаря системному подходу к развитию культуры безопасности и реализации комплекса важных мероприятий повысилась заинтересованность персонала в изменениях, сотрудники охотнее делятся проблемами, с которыми сталкиваются в процессе работы. Также улучшилась коммуникация между смежными подразделениями. Прямая речь Пространство открытости и доверия Проект по развитию атмосферы открытости и доверия в электроэнергетическом дивизионе реализуется с 2018 года. Он начался с диагностики культуры безопасности на семи атомных станциях: Калининской, Балаковской, Кольской, Ленинградской, Смоленской, Курской и Белоярской. Затем был успешно реализован пилотный проект развития культуры доверия и открытости на Кольской АЭС. А в 2020—2021 годах основными задачами стали тиражирование опыта Кольской АЭС на Курскую, Смоленскую и Ленинградскую атомные станции; развитие системы управления безопасностью работ подрядных организаций на Нововоронежской АЭС и разработка, а также внедрение процедуры эффективной работы с возможными, но реально не случившимися событиями так называемые near miss на Кольской АЭС. В 2021—2023 годах проект посвящен новому этапу — развитию культуры доверия и открытости.
В частности, это тиражирование проекта на семь атомных станций и крупнейшие дочерние компании Концерна «Росэнергоатом». От честного диалога к единой команде В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности. Первая практика — «Честный диалог». Ее суть состоит в обсуждении с сотрудниками выполненной работы с целью анализа сделанного и улучшения рабочих процессов и охраны труда. Ключевой показатель при проведении диалога — количество сложностей, о которых рассказали сотрудники. В целом проведено 130 встреч с сотрудниками и рассмотрено 223 проблемных вопроса. Вторая практика — «Одна команда». Ее цель заключается в обсуждении проблем и возможностей улучшения взаимодействия между подразделениями с целью повышения безопасности и охраны труда, улучшения взаимосвязанных процессов. Эффективность практики оценивается по количеству проблем и ожиданий, высказанных в ходе встреч. На сегодняшний день проведено 105 встреч и рассмотрено 157 проблемных вопросов.
И, наконец, практика «Прямой разговор»: после проведения наблюдений руководитель беседует с сотрудниками, за работой которых проводилось наблюдение, обсуждая безопасность выполняемой работы в свете безопасности подразделения и всей станции, включая вопросы охраны труда. Встречи проводят директор, главный инспектор, главный инженер, заместители главного инженера, руководители основных подразделений. Во время беседы также обсуждаются возможности для улучшения рабочих процессов. На данный момент в организациях проведено 112 таких встреч.
В области HSE «культура безопасности труда» — это комплекс индивидуальных и групповых ценностей, отношения, восприятия, компетенции и модели поведения, которые определяют стиль, мастерство и приверженность сотрудников здоровью и безопасности. Она является основой современного производства. Достижение и поддержание высокой культуры безопасности труда — непрекращающийся путь. Поддерживать уровень культуры на должном уровне необходимо непрерывно.
А ведь это годы работы службы охраны труда по изменению стереотипов о безопасности на производстве. Культурная модель, которая установилась в организации, моментально распространяется на новых сотрудников. Она заметно влияет на поведение людей, даже когда они решают задачи самостоятельно, без пристального надзора начальства или коллег. Все это поможет достичь значимых результатов по снижению травматизма и принятию сотрудниками осознанной безопасности. Унифицированного подхода к применению эффективных методов культуры безопасности труда, ее диагностике, становлению на сегодняшний день в Российской Федерации не существует. Также на уровне законодательства не сформировано определение этого интересного и сложного направления. Проекты по внедрению культуры безопасности труда основаны на «западных» ценностях, нормах и правилах. На своих проектах я чаще всего вижу адаптированные под российскую специфику инструменты концерна «Shell», а также, так называемые, методики холдинга «Dupoint».
Рассмотрим самую распространённую модель культуры безопасности труда Патрика Хадсона, заложенную в программу «Сердца и умы». Модель Hearts and Minds Патрика Хадсона разработана при поддержке компании Shell признанными в мире организационными психологами и социологами университетов Манчестера, Лейдена и Абердина. В модели Hearts and Minds используется культурная лестница для упрощения и классификации культур безопасности. Это делит культуру безопасности на пять категорий: 1. Созидательный: организации устанавливают очень высокие стандарты и пытаются их превзойти. Они используют неудачи для улучшения, а не для обвинения. Руководство знает, что происходит на самом деле, потому что им говорят сотрудники.
Если соблюдены необходимые регламенты, если достигнут необходимый уровень производственной и технической дисциплины, то несчастные случаи исключены. Его куратором выступает главный инженер — первый заместитель генерального директора, руководителем — заместитель генерального директора по управлению персоналом.
Определена ответственность руководителей, функциональные направления работы и конкретные задачи. Результатом внедрения Проекта станет создание в Обществе эффективной системы вовлечения работников и формирования у них стиля безопасного поведения в производственном процессе и вне его; внедрение ключевых элементов культуры безопасности, направленных на сохранение жизни и здоровья работников всех подразделений Общества; внедрение элементов культуры предупреждения происшествий, направленной на повышение уровня безопасности производственных процессов. Внедрение культуры безопасности в ООО «Газпром добыча Оренбург» направлено на достижение главной цели — выработку нетерпимости к рискам и нарушениям в области охраны труда и промышленной безопасности, и, как следствие, снижение травматизма. Основная цель АСУПП — обеспечение регистрации сообщений работников Общества о потенциальных происшествиях и контроль своевременности осуществления корректирующих и предупреждающих действий, предпринятых для предотвращения потенциальных происшествий. Службой информационно-управляющих систем Общества была разработана и запущена в опытно-промышленную эксплуатацию АСУПП, а также разработаны операционные инструкции для всех участников процесса. В настоящее время каждый работник Общества при обнаружении потенциального происшествия имеет возможность внести информацию об указанном событии в АСУПП как самостоятельно, так и через уполномоченного по охране труда в своем коллективе. Система позволяет регистрировать и оперативно реагировать на все потенциальные происшествия, выявленные работниками, тем самым способствует усилению вовлечения работников в систему управления производственной безопасностью.
Корпоративная культура безопасности – главная задача
И наконец, в рамках формата «Прямой разговор» руководители разных уровней обсуждают со специалистами их работу с точки зрения культуры безопасного поведения. В 2021—2022 годы работа концерна будет нацелена на развитие лидерства руководителей в целях безопасности, добавил Андрей Петров. Они управляют процессами развития культуры безопасного поведения, внедряют лучшие практики. Есть еще координаторы в структурных подразделениях, которые сфокусированы на коммуникациях с коллегами. И наконец, уполномоченные по охране труда проводят независимый аудит, сообщают о выявленных отклонениях и дают рекомендации, как их устранить. В эту работу вовлечены более 1 тыс. Стратегия ТВЭЛ заключается в том, чтобы помимо соблюдения регламентов и правил в сфере безопасности влиять на изменение поведения персонала, содействовать развитию неравнодушного отношения специалистов. Наталья Никипелова подчеркнула, что за последние пять лет у ТВЭЛ не было ни одного замечания от иностранных заказчиков по культуре безопасности. В 2020 году сотрудники предприятий подали более 18 тыс.
Более 6 тыс. В итоге на совещании было принято решение рекомендовать всем руководителям дивизионов рассмотреть возможность внедрения института уполномоченных менеджеров по культуре безопасности. Глава «Росатома» в заключительном слове подчеркнул, как важно при развитии культуры безопасного поведения поощрять неформальный подход, вести поиск самых разных методов вовлечения людей. Он предложил создать неформальное объединение предприятий отрасли, которые будут заниматься развитием культуры безопасного поведения. Культура безопасного поведения в отрасли будет на высоком уровне только тогда, когда сотни, а может быть, тысячи неправильных действий, мелких нарушений не будут скрываться, уверен гендиректор.
Это часть их роли. Прежде всего оцените, какой стиль характерен для руководителей в вашей организации, какого стиля придерживаетесь вы сами?
Если руководители в большей степени — контролеры, то спутниками сотрудников чаще всего становятся страхи и сомнения: как поступить правильно, безопасно ли вообще задать вопрос, если что-то осталось непонятным. Часто сами руководители испытывают сложности в управлении командой, когда инструкции остаются лишь информацией на бумаге. Что меняется, когда руководители выступают для своих подчиненных в роли коучей, наставников? Сотрудники становятся более открытыми и уверенными в своем поведении. Личный пример, живые истории, беседа помогают руководителям доступным путем обеспечить лучшее понимание и соблюдение командой правил безопасности.
Это ее вина. Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта. Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести. Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети. Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома. Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение. Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности. Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую. Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру. Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли. Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице. Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле. Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности. Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых. Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно. Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства. Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее. В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами. Используйте многофакторную аутентификацию. Некоторые наши системы автоматически определяют, когда пользователи входят в них, а когда выходят — даже если выключение произошло всего на несколько минут, например, для смены компьютера. При работе в системах с меньшим уровнем прямого контроля — таких как облачные сервисы, например, — мы просим сотрудников присылать скриншоты, показывающие, что многофакторная аутентификация включена. Можете себе представить, как тщательно мы теперь изучаем социальные сети, прежде чем разместить там свою страницу. На основе ответов мы проводим оценку уязвимости. Чья это вина? Безусловно, провайдер социальной сети сможет доказать, что мы сами не сделали несколько очевидных шагов — не свели к минимуму количество администраторов, регулярно проверяя их список, не настояли на использовании уникальных надежных паролей и так далее. Но решению проблемы не способствовала и его жесткая политика, в рамках которой очевидно взломанная грубейшим образом страница должна была оставаться неизменной до окончания проверки. И, конечно, сотруднице агентства не стоило использовать одинаковый пароль для нескольких учетных записей. Но обратите внимание: главу я назвала «Как я испортила Пасху». Нет, я не взламывала корпоративную страницу McAfee. Не я предоставила такую возможность злоумышленнику. И в то пасхальное воскресенье я меньше всего хотела разбираться с ситуацией, возникшей в результате цепи нелепых ошибок. С учетом всего сказанного я могу лишь взять на себя ответственность за все произошедшее. Ведь, в конце концов, эта корпоративная страница находилась в ведении моей команды. И мы не выполнили свой долг — не приняли разумных мер для ее сохранности. Личная ответственность — вещь неприятная. Немногим из нас доставляет удовольствие обдумывать, что можно было сделать лучше или иначе для предотвращения несчастного случая. Уклонение — гораздо более нормальная человеческая реакция. Тем не менее именно наша тяга к отказу от личной ответственности остается ключевым оружием в арсенале хакерского сообщества. Слишком долго кибербезопасность была «чьей-то там» проблемой. Слишком многие считают кибербезопасность мутной темой, не заслуживающей их личного времени, не говоря уже об ответственности. Эта книга ставит целью изменить данную парадигму, хотя бы помочь сделать скромный шаг к признанию ответственности, которую мы все разделяем как сотрудники — и, в конечном итоге, защитники — наших организаций. Если наша компания не может рассчитывать, что мы примем разумные меры предосторожности, чтобы уберечь ее драгоценные цифровые активы, то кому она вообще может доверять? Однако позвольте мне отвлечься от своей «мелодрамы» и обозначить настоящую проблему. Дело не в том, что сотрудники в большинстве своем не хотят поступать правильно. Гораздо чаще они просто не знают, как это делать. Кибербезопасность — это командный спорт, в котором каждый должен играть на своей позиции в любую минуту. Дополнительные инструменты могут быть чрезвычайно полезными; но только когда люди, программы, процедуры, регулярные проверки и другие факторы работают вместе, они образуют эффективную защиту.
В рамках формата «Честный диалог» идет обсуждение выявленных проблем, улучшения рабочих процессов и охраны труда. Формат «Одна команда» нацелен на обсуждение проблем между подразделениями. И наконец, в рамках формата «Прямой разговор» руководители разных уровней обсуждают со специалистами их работу с точки зрения культуры безопасного поведения. В 2021—2022 годы работа концерна будет нацелена на развитие лидерства руководителей в целях безопасности, добавил Андрей Петров. Они управляют процессами развития культуры безопасного поведения, внедряют лучшие практики. Есть еще координаторы в структурных подразделениях, которые сфокусированы на коммуникациях с коллегами. И наконец, уполномоченные по охране труда проводят независимый аудит, сообщают о выявленных отклонениях и дают рекомендации, как их устранить. В эту работу вовлечены более 1 тыс. Стратегия ТВЭЛ заключается в том, чтобы помимо соблюдения регламентов и правил в сфере безопасности влиять на изменение поведения персонала, содействовать развитию неравнодушного отношения специалистов. Наталья Никипелова подчеркнула, что за последние пять лет у ТВЭЛ не было ни одного замечания от иностранных заказчиков по культуре безопасности. В 2020 году сотрудники предприятий подали более 18 тыс. Более 6 тыс. В итоге на совещании было принято решение рекомендовать всем руководителям дивизионов рассмотреть возможность внедрения института уполномоченных менеджеров по культуре безопасности. Клуб лучших практик Глава «Росатома» в заключительном слове подчеркнул, как важно при развитии культуры безопасного поведения поощрять неформальный подход, вести поиск самых разных методов вовлечения людей.
«Мы работаем над тем, чтобы культуру безопасности сделать модной»
| К сотрудникам с любовью: как в компаниях заботятся о команде | В организациях дивизиона на ежемесячной основе реализуются несколько полезных практик, которые проводят уполномоченные по культуре безопасности. |
| Что такое культура безопасного поведения и как ее повысить | То, на что ещё влияет внутриком и что сложно поддаётся оценке, — корпоративная культура. |
Почему компаниям выгодно внедрять культуру безопасности
Как его руководитель, я считаю, что среди отраслевых компаний мы в числе лидеров по стране в этом направлении работы. Хотя базовые принципы охраны труда и техники безопасности остаются прежними, в мире постоянно появляются какие-то новые решения, новые достижения и новые вещи, которым нужно учиться, чтобы «держать руку на пульсе». Необходимо перехватывать новейшие знания и все полезное внедрять, чтобы ту достаточно ровную ситуацию, которая есть сейчас, сделать еще более устойчивой. Именно поэтому мы продолжаем и усиливаем работу по обучению в сфере охраны труда и техники безопасности с привлечением консультантов мирового уровня, которые расскажут нашим сотрудникам о новых решениях в интересующей нас теме, зададут новый вектор. И обучение руководителей сейчас — это первый шаг нового этапа развития. А дальше нужно целенаправленно работать с теми специалистами, которые на местах отвечают за организацию работы в сфере охраны труда и техники безопасности. Проект начался с обучения руководителей, потому что именно они — основные проводники корпоративной идеологии, от которых зависит вся система охраны труда в компании. А для того, чтобы нулевой травматизм стал нормой, необходимо не только дорабатывать инструкции, но и изменять менталитет персонала. Новые приоритеты — поиск не виновных, а коренных причин опасных производственных факторов и изменение отношения к охране труда. Обучение на базе Корпоративного университета «ЕвроСибЭнерго» проводит компания Abiroy Technical Training, специализирующаяся на международных сертифицированных технических программах и курсах по охране труда и технике безопасности для нефтегазовых и энергетических компаний Казахстана, России, Азербайджана и Узбекистана.
Тренером выступает Асхат Ералиев, консультант в области культуры безопасности и лидерства, инструктор по охране труда и технике безопасности, обладатель международного диплома NEBOSH, а также один из тех, кто адаптировал проводимую им британскую программу обучения для российских специалистов. Об истории термина «Культура безопасности» говорит консультант NEBOSH Асхат ЕРАЛИЕВ: — Отправной точкой для развития культуры безопасности как отдельного направления стала Чернобыльская авария, во всем мире это событие считается «днем рождения» данного направления сферы охраны труда и техники безопасности. С тех пор делается очень много, чтобы влиять на умы работников вместо того, чтобы надзирать за ними. Сейчас такое направление деятельности, как культура безопасности, — номер один во всем мире: есть значительные методологические и технические наработки. И мировое сообщество понимает: важнее все-таки достучаться до умов и сделать так, чтобы люди осознанно соблюдали правила безопасности, это сейчас очень и очень важный инструмент дисциплины. Программа обучения состоит из двух модулей — теории в области изучения таких международно-признанных стандартов в области техники безопасности, как ISO 9000, OHSAS 18001, ILO-OSH 2001, а также ознакомления с конкретными опасными факторами производства; после прохождения этих двух модулей слушатели выполнят самостоятельную практическую работу и сдадут письменные экзамены на получение международного сертификата. Помимо получения теоретических знаний и практических навыков успешно сдавшие экзамены слушатели смогут претендовать на вступление в Общественный институт охраны труда и техники безопасности IOSH в качестве ассоциированного или технического члена, что дает доступ к большому количеству профильной информации и круглосуточной горячей линии по любым вопросам охраны труда.
По состоянию на конец 2019 года на территории предприятий АО «ОДК» произошло 118 несчастных случаев той или иной степени тяжести, выраженной в утрате общей трудоспособности на 13 170 дней. В частности, с тяжелыми последствиями — 11 несчастных случаев НС , с легкими — 106, а для одного человека НС на производстве закончился гибелью. Несчастный случай ведет не только к снижению производительности и потере объема производимой продукции, но и к дополнительным затратам, таким как: медицинская помощь, госпитализация и лечение пострадавшего работника; расследование несчастного случая; возможное нанесение ущерба оборудованию, инвентарю, сырью или готовой продукции предприятия, ущерб третьим лицам; повышение страхового взноса; возможное наложение штрафов. Можно сказать, что эти причины являются следствием отсутствия культуры безопасности или ее низким уровнем. Говоря о культуре безопасности, мы подразумеваем набор правил, стереотипов и норм поведения в отношении безопасности, отношения людей к собственной безопасности и безопасности окружающих. От ее уровня напрямую зависит уровень травматизма. Для определения уровня развития культуры безопасности предприятия используют кривую Брэдли. Исходя из этой кривой, можно понять, что нулевой травматизм достигается только при совместных усилиях, приложенных к обеспечению безопасных условий труда, обучению персонала, изменению мышления каждого сотрудника. Безопасное поведение должно быть основано на общих целях и ценностях, заботе о других членах команды. Кривая Брэдли. Эволюция культуры безопасности Проанализировав культуру безопасности в АО «ОДК», можно сказать, что на сегодняшний день Корпорация уже ушла от реактивного уровня, на котором управление безопасностью заключается только в обеспечении минимальных законодательных требований, и скорее, находится на зависимом уровне см. Однако нулевой уровень травматизма, при котором безопасность является задачей каждого работника, по-прежнему остается недостижим.
Я планирую свою работу для безопасного производства. Я использую инструменты и обучение по охране труда и здоровья для безопасного планирования своей работы. Я действую, когда вижу что-то небезопасное. Я вмешиваюсь, исправляю или открыто обсуждаю любые проблемы с охраной труда и здоровья. Я верю в безопасность всё время. Безопасность — на работе, вне работы и всегда. Генеральный директор не должен видеть трагический несчастный случай в своей семье или стоять на рабочем месте, когда работник теряет руку, чтобы лично стать приверженцем безопасности. Если вы генеральный директор, читающий эту книгу, я, конечно, надеюсь, что ничего подобного с вами не случится. Тем не менее, похоже, что требуется момент осознания, когда человек говорит: «Хорошо, я собираюсь измениться. Я собираюсь сделать это своим приоритетом». Вопреки распространенному мнению, этот момент, как правило, наступает не при взгляде на кучу графиков по возврату на инвестиции, сравнивающих затраты на безопасность и сокращение затрат на рабочую силу, хотя такие графики, безусловно, имеют значение. Руководители — это не роботы, а люди. Доллары и центы являются мотиватором их поведения, но, на самом деле, не главным. Множество исследований показали, что все основные человеческие решения являются скорее эмоциональными, чем логическими. Эмоция на первом месте; логика только подтверждает это. Ниже приведены некоторые конкретные шаги, которые может предпринять руководитель охраны труда для того, чтобы заставить высшее руководство принять меры безопасности близко к сердцу. Сделайте статистику травматизма персонализированной. Начните делать безопасность рук личной проблемой для высшего руководства, включив в отчеты реальные истории о раненых работниках. Не просто сообщайте: «В прошлом месяце у нас было пять травм рук, из которых одна была серьёзной, связанной с временной потерей трудоспособности». Вместо этого скажите лично: «У нас было пять травмированных в прошлом месяце, включая Билла Томпсона, чья рука была раздавлена в конвейерной ленте на заводе в Аркадии. Билл отсутствует две недели и уже перенес две операции. Неясно, когда он вернуться на работу и сможет ли вообще это сделать. Биллу тридцать два года, у него есть жена и двое детей в возрасте до пяти лет. Мы расследуем этот несчастный случай, но пока уже ясно, что кто-то отключил оповещение об опасном приближении на конвейере, потому что оно срабатывало с ложными тревогами. Руководитель этого подразделения — Гейб Тернер». Еще лучше было бы, чтобы генеральный директор лично представил отчет о безопасности в рамках совещаний высшего руководства. Если генеральный директор расскажет историю Билла Томпсона, это будет иметь гораздо большее значение как для генерального директора, так и для его менеджеров. Понимание того, что только руководство может обеспечить безопасность. Часто у руководителей складывается ошибочное впечатление, что только рабочие могут следить за собственной безопасностью.
Это поможет избежать ситуаций, когда человек пришел на работу не в том состоянии и не смог разобраться, пришло ли ему фишинговое письмо на почту. Поэтому лучшая стратегия — это балансировать между техникой и работой над культурой. Но, к сожалению, одной культурой невозможно ничего решить, потому что люди не идеальны. Что такое безопасная разработка и как ее придерживаться Безопасная разработка — это культура безопасности плюс страховка программистов от ошибок. И дело не в том, что разработчики такие безответственные люди, а как раз в обратном. Обычно код пишут люди с серьезным уровнем полномочий, а помогают обслуживать всю инфраструктуру DevOps-специалисты и сисадмины. У них есть высокий уровень доступа и большая ответственность за итоговый результат. То, что они пишут, может увидеть весь мир — или хотя бы компании, которые покупают этот софт. Поэтому ошибки здесь очень критичны, а значит, именно с безопасной разработки начинается вся культура кибербезопасности. Чтобы развить культуру, сначала нужно обучить разработчиков писать безопасный код: рассказать, как нужно делать правильно, на что обращать внимание, показать, какие уязвимости существуют. Например, почему не нужно держать токены в коде и почему их нужно выносить куда-то в сторону — в идеале в систему специального хранения, чтобы даже на тесте они неожиданно не попали во внешние источники. Задача компании — объяснить разработчикам, почему это важно. И при этом построить систему контроля, которая будет говорить о том, что нужно исправить. Самое важное — воспринимать ее не как «надсмотрщика», а как помощника, который будет подсвечивать ошибки. Не нужно говорить программистам, как следует писать код, — они сами знают, как делать свою работу. Нужно только показать, что вот здесь уязвимость, вот тут небезопасный метод, а здесь небезопасная работа с данными. Или что ты забыл убрать то, чего тут быть не должно. Безопасная разработка — это, по сути, страховка для разработчиков и бизнеса. Мы внедряем средства, которые указывают на потенциальные проблемы, а затем, когда все замечания будут отработаны, передаем код на постобработку, в продакшен и так далее. При этом обычному программисту не обязательно знать всю специфику безопасной разработки, достаточно только понимать, какие типы уязвимостей существуют в его сфере и зоне ответственности. Этих уязвимостей много, но совершенно новые появляются не так часто. Поэтому нужно один раз разобраться во всех типах, чтобы было базовое понимание, а дальше будут тонкости, разбираться в которых разработчику совершенно не обязательно — этим уже займутся специалисты по кибербезопасности. Отдельно хочется еще упомянуть про работу со сторонними библиотеками. Сейчас очень популярна тема безопасности с внешними пакетами — теми, что разработчики используют в своей работе, чтобы не писать функционал с нуля. Ожидаемо, эти библиотеки не всегда безопасны. Когда компания выстраивает безопасную разработку, она зачастую делает безопасное хранилище, или репозиторий. Всё, что попадает в этот репозиторий, нужно тщательно проверять на уязвимости и убеждаться, что с пакетами всё в порядке. Для разработчиков это часто очень неудобно, потому что нужно ждать, пока закончится проверка. Но это важный элемент защиты. Крупные компании поступают следующим образом: дают разработчикам полную свободу действий в тестовой среде, а затем проверяют все нужные библиотеки перед выпуском в продакшен. Так программисты могут использовать вообще всё что угодно, потому что среда изолирована. Там нет настоящих данных клиентов, и оттуда нельзя попасть в полноценную внутреннюю сеть компании. Но когда нужно будет перейти в продуктовую среду, начнутся проверки на безопасность.