Главная Новости Безопасность Корпоративная культура безопасности – главная задача. Участникам встречи представили концепцию культуры безопасности ПАО «Газпром», основанной на вовлечении всего персонала в систему управления производственной безопасностью. Забота о сотрудниках влияет в том числе и на их производительность и уровень удовлетворенности работой. Главная» Новости» Как вам кажется кто в компании является носителями культуры безопасности. «Культура безопасности организации есть результат индивидуальных и групповых ценностей, восприятий, способностей и моделей поведения, которые определяются обязательствами, стилем и способностями менеджмента по здоровью и безопасности в организации.
Проект «Развитие культуры безопасности»
| Практики безопасности на производстве: российские реалии | Кроме того, культура безопасности влияет на репутацию компании. |
| Влияние культуры безопасности на производительность труда | повышение безопасности, гигиены труда и общих условий работы в компаниях. |
| У руля безопасности | Эксперт рассказал об основных этапах, которые проходит компания в ходе развития культуры безопасности, о ключевых методах ее оценки и важности приверженности руководства в данном процессе. |
| Каков уровень культуры безопасности в российских компаниях? | | Влияние на создание культуры безопасности Создание и развитие культуры безопасности в РЖД зависит от многих факторов. |
Корпоративная культура безопасности – главная задача
Третья - повышение интереса среди россиян к здоровому образу жизни в целом. Продолжается также обязательная специальная оценка условий труда на рабочих местах. К концу 2019 года она была проведена в 764,5 тысячах компаний по всей стране, проверено 32,5 миллионов рабочих мест. Система постонно совершенствуется: с января 2020 года ужесточен контроль за внесением результатов спецоценки в Федеральную государственную информационную систему. А как дополнительно простимулировать людей соблюдать все нормы и правила охраны труда на производстве? Ответ нашли на предприятиях Металлоинвеста. Это один из крупнейших горно-металлургических холдингов России, мировой лидер в производстве товарного горячебрикетированного железа, ведущий производитель и поставщик железорудной и метализованной продукции. Теме охраны труда на предприятиях Металлоинвеста уделяется большое внимание: постоянно совершенствуется система управления промышленной безопасностью, идет работа по повышению профессионального уровня работников в этой сфере.
Но зачастую они лишь бюрократизируют процессы, вызывают сопротивление, а в результате соблюдение этих стандартов сводится к заполнению бумажек. И все снова упирается в людей. Если что-то случилось — происшествие попытаются скрыть. Если скрыть не удается и дело становится резонансным — попробуют найти и наказать виновных, но редко кто докапывается до причин. Проанализировав примеры наиболее продвинутых предприятий, хочу дать несколько советов тем, кто хочет, но пока не решается развивать культуру безопасности на производстве. Начните с головы! Идеально — если этот директор имеет опыт работы в западных и российских компаниях. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом. Вопрос нужно ставить более широко: на каком производстве мы хотим работать и чего хотим избежать? Вот реальный пример малой нефтегазовой компании, за несколько лет снизившей травматизм в разы. Началось все с того, что прямо на месторождении рядовые вахтовики обсуждали, что для них важно в работе. Они сами пришли к выводу, что хотят работать в безопасной, надежной и эффективной компании.
И в такой ситуации оказывается важна не столько форма личных обязательств, сколько вопрос непосредственной коммуникации между сотрудниками. Мы задавали еще один вопрос: «Кто считает, что личное участие топ-менеджеров в мероприятиях по культуре безопасности является исключительно полезным? Практики с высокой популярностью, но низкой эффективностью Сюда вошли, как не странно, комитеты по культуре безопасности и охране труда, на которых топ-менеджмент и высшее руководство предприятия совещается и разбирает различные ситуации. На наш взгляд, респонденты присваивают этой практике низкую эффективность, так как считают, что наиболее эффективно работает лишь открытая коммуникация между всеми уровнями - от рабочего до топ-менеджера. На границе по эффективности практик находится «Поведенческий аудит безопасности», который в целом широко применим. На наш взгляд, в тех компаниях, где он внедрен формально и проводится лишь с целью заполнения бумаг, которые затем складируются на полку, эта практика признается слабо эффективной. В других же компаниях, в которых нормы на количество поведенческого аудита безопасности не установлены, и каждый руководитель понимает, для чего он это делает. Данные мероприятия проводятся неформально, в виде беседы: топ-менеджеры выходят в цеха, разговаривают с сотрудниками, обсуждают проблемы безопасности. В таком формате поведенческий аудит безопасности уже показывает свою эффективность, что и отметили участники исследования. Мало популярные, но эффективные практики, или «Клад» Мы решили назвать эту зону «Клад», так как мало кто применяет и не знает об этих практиках, а те, кто узнал и применил, отмечают их высокую эффективность. Итак, что же попало в «Клад»? Первое — это оценка склонности людей к рискованному поведению. Например, при устройстве в компанию установлен барьер в виде теста, который отмечает склонность к риску у каждого сотрудника. И на опасное производство «рискованных» людей не допускают. Этот факт сильно влияет на повышение безопасности на производстве. Или другое применение, когда в компании уже работает несколько сотен или тысяч человек и их всех протестировали на склонность к рискам таким образом выявив тех, к кому требуется особое внимание. В таком случае если линейный руководитель уже знает, какие люди работают у него в подчинении, может правильно формировать состав бригад, звеньев, рабочих команд, комбинируя в них в равном количестве людей, склонных к риску или тех, которые крайне внимательно относятся к вопросам безопасности. Вторая практика — это практика реальной остановки опасных работ, когда у каждого сотрудника есть право остановить работу. Почему она попала сюда, в мало популярные практики? Потому, что многие компании признали, что на самом деле такого права у простого рабочего на самом деле нет.
Для оперативного информирования о несчастных случаях на производстве с тяжелым или смертельным исходом в АО «ОДК» была разработана форма информационного листка «Молния». Отчет по методике выявления корневых причин происшествий Вторым шагом стала организация процесса идентификации и оценки профессиональных рисков на предприятиях ОДК. Этот аспект очень важен, так как для обеспечения безопасности своих работников компания должна знать все риски, которые она создает. Статистика по несчастным случаям показывает, что не всегда соблюдения трудового законодательства достаточно, чтобы обеспечить безопасность работников, и зачастую большое количество факторов скрыто в зоне неявной опасности, которые можно определить, только проводя оценку опасностей на каждом рабочем месте. Ну и, наконец, оценка рисков — это хороший инструмент. В первую очередь она может лечь в основу процессов обучения. Сейчас существует проблема, что зачастую инструктажи — это не столько процесс обучения, сколько процесс перекладывания ответственности с работодателя на работника. Как показывает практика, отсутствие надлежащего обучения — эта та сфера, формализм в которой напрямую приводит к травмам и авариям. Оценка рисков также практически применима и в других процессах. Это могут быть маркировки рабочих зон с визуальным отображением опасности. Составление планов мероприятий, направленных на снижение конкретного риска. Ну и наконец, оценка рисков может быть использована при обеспечении работников СИЗ.
Как начать внедрять культуру безопасности?
Культура безопасности в «Газпром нефти» — это наглядно демонстрируемые ежедневные усилия и конкретные действия работников и руководителей всех уровней компании, направленные на повышение безопасности. Для продвижения культуры безопасной разработки и улучшения понимания проблем безопасности разработчиками, мы внедрили следующие практики. Правильное отношение к безопасности в компании начинается с правильных установок и лидерства топ-менеджмента. Зачем развивать культуру безопасности труда в организации?
Корпоративная культура безопасности – главная задача
В организации определяющим фактором являетсякорпоративная культура, поскольку она носит воспитательную функцию. Корпоративная культура — понятие сложное. Сюда относятся и декларируемые ценности — закрепленные в регламентах, и неформальные — те, которые рождаются в головах сотрудников и руководителей, но не получают официальногозвучания. К неформальной норме можно отнести, например, традицию дляновичков накрывать стол для коллегпосле получения первой зарплаты.
Работник может передать данные своей учетной записи другому коллеге. Конфиденциальные данные могут быть распечатаны и забыты на принтере. Это только самые типичные примеры ситуаций, которые могут произойти из-за недостаточно развитой культуры безопасности у сотрудников. Поэтому задача руководства каждой организации — донести до работников, насколько опасна халатность, и чем она может обернуться. Важно выработать четкий алгоритм взаимодействия с информационной инфраструктурой, добиться сознательного отношения к обязанностям и слаженной коммуникации всех подразделений. Как происходит формирование культуры безопасности сотрудников Ключевой момент формирования культуры в том, что сотрудники должны понимать и разделять все принципы безопасности. Мало толку, если люди в теории прекрасно осведомлены о возможных угрозах, но на деле продолжают небрежно относиться к обязанностям. Также имеет место разрыв между теоретическими знаниями об угрозах безопасности и пониманием, как их распознать и предотвратить. Например, многие в курсе, что такое фишинг, но не могут отличить подозрительную ссылку от легитимной. Формирование культуры безопасности у сотрудников как раз позволяет найти баланс между знаниями и действиями.
Три этапа внедрения новых принципов: Достойный пример со стороны руководства.
Систематическая оценка риска представляет собой динамичный процесс, который позволяет предприятиям проводить активную политику по управлению рисками. Подразделение, у которого по итогам месяца оказался наименьший показатель эффективности, выбывает из соревнования и остается без премии.
Пресс-служба взаимодействует с коммуникационным агентством, оно, в свою очередь, делится информационным поводом со СМИ, а наша задача состоит в том, чтобы найти людей внутри компании, готовых делиться экспертизой. Мы их обучаем, вдохновляем, поддерживаем. Это наши звёзды! Только благодаря кросс-функциональному взаимодействию внутрикому удаётся решать десятки задач разной сложности. Задачи, навыки и компетенции Направление внутренних коммуникаций в большинстве компаний причисляют к HR-департаменту, где точно подскажут, как ведётся подбор, насколько продуктивна работа над брендом работодателя. Находясь в структуре HR, менеджер по коммуникациям будет лучше понимать портрет целевой аудитории, ориентируясь не только на базовые параметры — пол, возраст, количество детей, — но и на культурные особенности, ценности людей. Бывает и так, что роль внутреннего коммуникатора выделяют в маркетинге или в digital-направлении, поскольку, во-первых, в работе используются цифровые каналы, во-вторых, специалист должен уметь пользоваться современными маркетинговыми инструментами и оценивать эффективность своей работы.
В каком бы направлении ни мыслила компания, работа любого менеджера по коммуникациям начинается с погружения в организационную структуру, знакомства с топ-менеджерами и лидерами функций и далее — с сотрудниками. Специалисту важно понимать, кого ищет и нанимает компания, про кого он должен писать, с кем делиться информацией. Только так можно сформировать целостную картину происходящего — к кому с какими вопросами обращаться, кто за что отвечает, — поэтому внутрикому пригодятся не только коммуникативные навыки, но и аналитические. Вторая важная составляющая в работе внутрикома, о которой уже упоминалось, — стратегия. Любые новости, мероприятия, инфосессии должны перекликаться с целями бизнеса, миссией и ценностями компании. Хаотичные активности не приведут к желаемому результату. Ключевую идею необходимо вести сквозь каждую коммуникацию. Если человек приходит в компанию и не понимает, куда она движется, если у бизнеса нет долгосрочного планирования на 5—10 лет, значит, и у самого сотрудника не будет целей на будущее. Он не будет задумываться, как ему развиваться, не станет строить амбициозных планов. Скорее всего, скоро он захочет сменить работодателя.
Понимание миссии на всех уровнях — от линейного специалиста до топ-менеджера — позволяет задавать нужный вектор развития бизнеса. Третий фактор, влияющий на то, какой человек будет занимать позицию внутрикома, — открытость. Помимо того, что специалист транслирует идеи, ценности, миссию компании, делится важными корпоративными событиями, он является «единым окном» для всех сотрудников, своего рода «справочником», в котором, возможно, нет ответов на все вопросы, но он обязательно подскажет, к кому и куда обратиться. Внутренние коммуникации — тот самый отдел, который первым должен знакомиться с новичками и активно их поддерживать информационно, развивать программы адаптации, не ограничиваясь пересмотром приветственных боксов — приятных бонусов при приёме на работу. В компании может быть множество информационных сервисов, при этом сотрудники должны знать, что они в любой момент могут обратиться к внутрикому и получить помощь. Ксения Степанова справедливо отмечает, что лидер этой функции является неким буфером между топ-менеджментом и людьми. Я очень часто рассказываю коллегам, какие возможности есть в компании. Ко мне приходят с разными запросами. Кто-то хочет перейти в другую команду и не понимает, что для этого нужно сделать, кто-то стремится получать новые знания. Я направляю коллег: подтянуть компетенции — сюда, обучиться новому — туда.
Это одна из самых трудоёмких и важных задач в работе менеджера по внутренним коммуникациям, она отнимает много времени, зато любой сотрудник знает, что найдет здесь ответ. Это упрощает жизнь и работу всем. Его задача — подтолкнуть работника к принятию решения или к действиям. Вместе с тем это всегда незаметная коммуникация, которая не про лобовую атаку, а про витающие в воздухе идеи, лёгкие и прозрачные смыслы. В последнее время мы делаем рассылки, в которых говорим об экономических показателях компании. Всё из-за усложняющейся ситуации на рынке. Мы пошли на это сознательно, чтобы сотрудники понимали, как они влияют на бизнес-результат. Если всё идет хорошо — могли увидеть в этом часть своего вложенного труда, если вдруг начинается стагнация платежей, обращений — делали всё возможное, чтобы помочь. Хотя не каждый СЕО готов признать, что сила слова может повлиять как на настроения в компании, так и на финансовые результаты. Влияние на бизнес Внутренние коммуникации — это всегда игра вдолгую, нельзя провести единичный опрос или сессию вопросов и ответов с топ-менеджментом компании и разрешить все противоречия.
Как корпоративная культура влияет на бизнес в пандемию
Культура безопасности организации делится на пять уровней: патологический, реактивный, расчётливый, инициативный и созидательный. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом. Компания MSB Events хотела бы поделиться результатами традиционной ежегодной встречи профессионалов безопасности, которая прошла в марте в Москве. Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности. Второй аспект — влияние корпоративной культуры на отношение к вопросам безопасности.
Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома»
| Специалистов по охране труда познакомили с концепцией культуры безопасности «Газпрома» | Сегодня широко распространено мнение, что культура безопасности в компании оказывает решающее влияние на показатели соблюдения безопасности в тех или иных условиях. |
| Культура производственной безопасности – надёжный проводник | На предприятиях Топливной компании Росатома «ТВЭЛ» регулярно проводятся внешние независимые оценки уровня культуры безопасности. |
| Академия безопасности: формирование культуры безопасности в компании | Светлана рассказала, как развивает культуру безопасности в своей компании, кого привлекает к внедрению изменений и без каких компонентов эта инициатива не «полетит». |
| Как начать внедрять культуру безопасности на рабочем месте | ять на восприятие безопасности работником организации. |
| Как начать внедрять культуру безопасности на рабочем месте | В организации определяющим фактором являетсякорпоративная культура, поскольку она носит воспитательную функцию. |
Корпоративная культура безопасности – главная задача
Светлана рассказала, как развивает культуру безопасности в своей компании, кого привлекает к внедрению изменений и без каких компонентов эта инициатива не «полетит». Культура безопасности – это такой набор характеристик и особенностей деятельности организаций и поведения отдельных лиц, который устанавливает, что проблемам безопасности АС, как обладающим высшим приоритетом, уделяется внимание. Эффективная культура безопасности Культура безопасности не может быть построена в компаниях, которые обращают внимание на вопросы безопасности только в рамках общего расследования инцидентов например, в компаниях.
В «Росатоме» обсудили культуру безопасного поведения
В 2021—2022 годы работа концерна будет нацелена на развитие лидерства руководителей в целях безопасности, добавил Андрей Петров. Они управляют процессами развития культуры безопасного поведения, внедряют лучшие практики. Есть еще координаторы в структурных подразделениях, которые сфокусированы на коммуникациях с коллегами. И наконец, уполномоченные по охране труда проводят независимый аудит, сообщают о выявленных отклонениях и дают рекомендации, как их устранить. В эту работу вовлечены более 1 тыс.
Стратегия ТВЭЛ заключается в том, чтобы помимо соблюдения регламентов и правил в сфере безопасности влиять на изменение поведения персонала, содействовать развитию неравнодушного отношения специалистов. Наталья Никипелова подчеркнула, что за последние пять лет у ТВЭЛ не было ни одного замечания от иностранных заказчиков по культуре безопасности. В 2020 году сотрудники предприятий подали более 18 тыс. Более 6 тыс.
В итоге на совещании было принято решение рекомендовать всем руководителям дивизионов рассмотреть возможность внедрения института уполномоченных менеджеров по культуре безопасности. Клуб лучших практик Глава «Росатома» в заключительном слове подчеркнул, как важно при развитии культуры безопасного поведения поощрять неформальный подход, вести поиск самых разных методов вовлечения людей. Он предложил создать неформальное объединение предприятий отрасли, которые будут заниматься развитием культуры безопасного поведения. Культура безопасного поведения в отрасли будет на высоком уровне только тогда, когда сотни, а может быть, тысячи неправильных действий, мелких нарушений не будут скрываться, уверен гендиректор.
Алексей Лихачев также предложил разработать отдельную программу признания для специалистов, которые занимаются развитием культуры безопасного поведения.
Она заметно влияет на поведение людей, даже когда они решают задачи самостоятельно, без пристального надзора начальства или коллег. Все это поможет достичь значимых результатов по снижению травматизма и принятию сотрудниками осознанной безопасности. Унифицированного подхода к применению эффективных методов культуры безопасности труда, ее диагностике, становлению на сегодняшний день в Российской Федерации не существует. Также на уровне законодательства не сформировано определение этого интересного и сложного направления.
Проекты по внедрению культуры безопасности труда основаны на «западных» ценностях, нормах и правилах. На своих проектах я чаще всего вижу адаптированные под российскую специфику инструменты концерна «Shell», а также, так называемые, методики холдинга «Dupoint». Рассмотрим самую распространённую модель культуры безопасности труда Патрика Хадсона, заложенную в программу «Сердца и умы». Модель Hearts and Minds Патрика Хадсона разработана при поддержке компании Shell признанными в мире организационными психологами и социологами университетов Манчестера, Лейдена и Абердина. В модели Hearts and Minds используется культурная лестница для упрощения и классификации культур безопасности.
Это делит культуру безопасности на пять категорий: 1. Созидательный: организации устанавливают очень высокие стандарты и пытаются их превзойти. Они используют неудачи для улучшения, а не для обвинения. Руководство знает, что происходит на самом деле, потому что им говорят сотрудники. Люди стараются быть максимально информированными, потому что это готовит их к неожиданностям.
Это состояние «хронического беспокойства» отражает уверенность в том, что, несмотря на все усилия, ошибки будут происходить и что даже незначительные проблемы могут быстро перерасти в опасные для системы сбои. Инициативный: переход от управления HSE на основе того, что произошло в прошлом, к предотвращению того, что может пойти не так в будущем. Персонал начинает вовлекаться в практику, и линия начинает выполнять функцию HSE, в то время как персонал HSE сокращается и дает рекомендации, а не выполнение. Расчетливый: сосредоточьтесь на системах и числах. Собирается и анализируется большой объем данных, проводится множество аудитов, и люди начинают чувствовать, что знают, «как это работает».
Но зачастую они лишь бюрократизируют процессы, вызывают сопротивление, а в результате соблюдение этих стандартов сводится к заполнению бумажек. И все снова упирается в людей. Если что-то случилось — происшествие попытаются скрыть.
Если скрыть не удается и дело становится резонансным — попробуют найти и наказать виновных, но редко кто докапывается до причин. Проанализировав примеры наиболее продвинутых предприятий, хочу дать несколько советов тем, кто хочет, но пока не решается развивать культуру безопасности на производстве. Начните с головы!
Идеально — если этот директор имеет опыт работы в западных и российских компаниях. Невозможно улучшать безопасность на предприятии с низкой производственной культурой в целом. Вопрос нужно ставить более широко: на каком производстве мы хотим работать и чего хотим избежать?
Вот реальный пример малой нефтегазовой компании, за несколько лет снизившей травматизм в разы. Началось все с того, что прямо на месторождении рядовые вахтовики обсуждали, что для них важно в работе. Они сами пришли к выводу, что хотят работать в безопасной, надежной и эффективной компании.
Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса. Во время очередного звонка руководитель вытащил козырь из рукава. Я знаю кое-кого из владельцев этой соцсети.
Звоню ему. Мы пока продолжим подгонять службу поддержки. Крис связался со своим знакомым и рассказал о нашем случае.
Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем. Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные.
Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями.
Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось. Наученные горьким опытом Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения.
Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ назовем ее Джули , которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом. Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль.
Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях.
После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой. Задним умом мы все крепки, и этот случай — не исключение.
Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети будучи одним из администраторов нашей страницы — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже?
Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории. Это ее вина.
Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему.
Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина. Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ.
Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта. Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести.
Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети. Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома.
Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.
Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей.
Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности. Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время.
Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую. Вторая причина, по которой я скрою название этого инструмента, заключается в том, что McAfee является важной мишенью для хакеров по всему миру.
Оставляя их теряться в догадках, какие именно средства мы используем, мы помогаем снижать угрозу. Поискав описания инструментов в сети, вы быстро найдете то, что можно опробовать. Вернемся к урокам, которые мы вынесли.
Мы не были знакомы с протоколом действий службы поддержки соцсети в подобных ситуациях. И очень зря. Только постфактум мы узнали о том, что их политика требует блокировки аккаунта на много часов, вне зависимости от того, насколько велики изменения на странице.
Теперь мы узнаем о подобных процедурах заранее — до размещения корпоративных страниц на других сайтах. Мы на собственном горьком опыте убедились, как много значат деньги. Поскольку мы тратили приличную сумму на продвижение в социальной сети через агентства, самой платформе мы казались менее значимым аккаунтом, чем были на самом деле.
Это могло повлиять на быстроту реакции. Теперь мы оплачиваем продвижение напрямую на платформах социальных сетей — чтобы наши инвестиции были на виду и приносили нам уровень сервиса, которого мы заслуживаем. Кроме того, мы узнали, что сторонние компании, с которыми мы ведем бизнес, могут не иметь надежных методов обеспечения безопасности.
Это особенно важно, если это ваши филиалы или у них есть доступ к вашим системам. В частности, у небольших сторонних компаний, с которыми вы поддерживаете отношения, может не быть подразделений ИТ и безопасности, не говоря уже о строгой политике киберзащиты. И наконец, последний удар под дых.
Как показало вскрытие, McAfee даже не был изначальной целью атаки. Когда хакер получил доступ к личным данным Джули, он понятия не имел о том, что она администратор корпоративной страницы компании. Он не знал, кто такая Джули: ему было все равно.
Он просто охотился за паролями, стремился определить, к чему они откроют доступ, — к личному банковскому счету, сети компании или чему-то еще. Как только он нашел тот, который случайно подошел к странице McAfee в этой социальной сети, он вывалил на всех, кого мог, целый ушат оскорблений, унизив при этом компанию. Даже для хакеров удача иногда важнее мастерства.
Еще несколько важных уроков Составьте список людей, с которыми вы можете связаться в такой ситуации. Держите их контакты под рукой — там, где вы и ваша команда легко сможете их найти. Эти списки должны быть не только у ваших людей, но и у сотрудников, обслуживающих сайт компании, ее социальные сети, облачное хранилище и так далее.
В чьи-то рабочие обязанности должна быть включена регулярная проверка доступа к аккаунту, а помимо этого — удаление из списка администраторов людей, чья работа больше не связана с текущими проектами.