Текст книги "?Неуязвимость! Отчего системы дают сбой и как с этим бороться"

Крис Клирфилд, Андраш Тилчик
?Неуязвимость! Отчего системы дают сбой и как с этим бороться

Chris Clearfield and András Tilcsilk

MELTDOWN

WHY OUR SYSTEMS FAIL AND WHAT WE CAN DO ABOUT IT

© Chris Clearfi eld and András Tilcsilk, 2018

© Попов М.Ю., перевод на русский язык, 2018

© Издание на русском языке, оформление. ООО «Издательская Группа «Азбука-Аттикус», 2018

КоЛибри®

* * *

Возмутителям спокойствия, неравнодушным людям и лидерам, которые умеют слушать. Нам нужно больше таких, как вы.

Посвящается Линнее, Торвальду и Сорену

Крис Клирфилд

Посвящается моим родителям и Марвину

Андраш Тилчик

Пролог. Самый обычный день

«Меня заинтересовали кавычки вокруг слова “пустые”…»

I

Это был теплый понедельник в конце июля{1}1
  Подробности этой аварии взяты из заключения Национального совета по безопасности на транспорте NTSB/RAR-10/02, «Collision of Two Washington Metropolitan Area Transit Authority Metrorail Trains Near Fort Totten Station», Washington DC, June 22, 2009. URL: https://www.ntsb.gov/investigations/AccidentReports/Reports/RAR1002.pdf. Подробности о супружеской паре Уирли и других жертвах взяты из статей: Christian Davenport. General and Wife, Victims of Metro Crash, Are Laid to Rest // Washington Post, July 1, 2009. URL: http://www.washingtonpost.com/wp-dyn/content/article/2009/06/30/AR2009063002664.html?sid=ST2009063003813; Eli Saslow. In a Terrifying Instant in Car 1079, Lives Became Forever Intertwined // Washington Post, June 28, 2009. URL: http://www.washingtonpost.com/wp-dyn/content/article/2009/06/27/AR2009062702417.html; Gale Curcio. Surviving Against All Odds: Metro Crash Victim Tells Her Story // Alexandria Gazette Packet, April 29, 2010. URL: http://connectionarchives.com/PDF/2010/042810/Alexandria.pdf.


[Закрыть], как раз перед часом пик. Энн и Дэвид Уирли сели в первый вагон состава метро № 112, который направлялся в Вашингтон, округ Колумбия. Они возвращались с занятий для волонтеров, работающих в больницах. Молодая женщина уступила им свое место в передней части вагона, и супруги Уирли уселись рядом, неразлучные, какими они были еще со времен старших классов. 62-летний Дэвид только что вышел в отставку, и пара с нетерпением ждала 40-го юбилея свадьбы и путешествия в Европу.

Дэвид был удостоенным наград офицером ВВС и летчиком-истребителем. Во время воздушных атак 11 сентября 2001 года именно он был тем самым генералом{2}2
  Davenport. General and Wife. См. также: The National Commission on Terrorist Attacks upon the United States // The 9/11 Commission Report: Final Report of the National Commission on Terrorist Attacks upon the United States. Washington, DC: Government Printing Office, 2011. P. 44.


[Закрыть], который по тревоге поднял истребители над Вашингтоном и приказал пилотам по собственному усмотрению сбивать любые гражданские самолеты, которые могли представлять угрозу для столицы. Но даже в те времена, когда Дэвид был генералом и занимал командный пост, он отказывался от услуг персонального водителя. Он любил ездить на метро.

В 16:58 ритмичное постукивание колес поезда прервал скрежет. Это машинист нажал на аварийный тормоз. Потом последовала какофония из звуков лопающегося стекла, ломающегося металла и криков: поезд № 112 во что-то врезался. По непонятной причине он резко остановился на путях. От удара в передней части состава образовалась четырехметровая стена из обломков сидений, потолочных конструкций и металлических поручней. Этот же удар убил Дэвида и Энн, а также еще семерых людей.

Такого просто не могло произойти. Вся система вашингтонского метро протяженностью линий более 160 км была запрограммирована так, чтобы отслеживать и контролировать движение поездов. Когда составы опасно приближались друг к другу, их скорость автоматически снижалась. Но в тот день, когда поезд № 112 проходил изгибающийся участок пути, на рельсах перед ним оказался другой стоящий поезд. Он существовал в реальности, но каким-то образом оказался невидимым для датчиков пути. Поезд № 112 автоматически прибавил скорость: ведь сенсоры показывали, что путь свободен. К тому моменту когда машинист поезда увидел стоящий впереди состав и включил экстренное торможение, столкновение было уже неизбежным.

Пока спасатели вытаскивали из поезда раненых пассажиров, инженеры метро уже приступили к работе. Они должны были убедиться, что жизни других пассажиров подземки вне опасности. А для этого им нужно было решить загадку: как может поезд метро длиной в два футбольных поля просто исчезнуть?

II

Вызывающие тревогу сбои вроде аварии с поездом № 112 происходят постоянно. Посмотрите на заголовки газет всего за одну неделю.

Катастрофа на шахте в Бразилии

Новый день, новая хакерская атака: сеть отелей накрыла волна краж кредитных карточек

Автомобили Hyundai отозваны из-за дефекта датчиков включения тормозной системы

История с системой водоснабжения на реке Флинт. В Вашингтоне говорят об «ошибке правительства»

«Массовые сбои» в работе спецслужб привели к атакам террористов в Париже

Ванкувер удовлетворил судебный иск человека, несправедливо заключенного в тюрьму почти на три десятилетия

Эпидемия лихорадки Эбола: ученые обвиняют во всем «опасно неэффективную глобальную систему здравоохранения»

Следствие по делу об убитой 7-летней девочке превратилось в сагу о неспособности системы защитить ее

Искусственные землеустроительные поджоги в Индонезии привели к огромным лесным пожарам и экологической катастрофе

Управление по санитарному надзору за качеством пищевых продуктов и медикаментов расследует случаи появления кишечной палочки в ресторанах мексиканской кухни сети Chipotle в штатах Вашингтон и Орегон

Эта неделя может показаться вам особо неудачной, но на самом деле ничего особенного в ней нет. Ведь редко какая неделя обходится без нескольких крупных катастроф. Одна неделя знаменуется аварией в промышленности, другая – крупным банкротством, а третья – ужасной медицинской ошибкой. Даже небольшие проблемы могут привести к разрушительным последствиям. Например, за последние несколько лет целый ряд авиакомпаний вынужден был поставить свои авиапарки «на прикол» из-за сбоев в их технических системах{3}3
  Это случалось на многих авиалиниях только за тот период, в который писалась эта книга. См., например: Alice Ross. BA Computer Crash: Passengers Face Third Day of Disruption at Heathrow // Guardian, May 29, 2017. URL: https://www.theguardian.com/business/2017/may/29/ba-computer-crash-passengers-facethirdday-of-disruption-at-heathrow; United Airlines Systems Outage Causes Delays Globally // Chicago Tribune, October 14, 2016. URL: http://www.chicagotribune.com/business/ct-united-airlines-systems-outage-20161014-story.html; Chris Isidore, Jethro Mullen, and Joe Sutton. Travel Nightmare for Fliers After Power Outage Grounds Delta // CNN Money, August 8, 2016. URL: http://money.cnn.com/2016/08/08/news/companies/delta-system-outage-flights/index.html?iid=EL.


[Закрыть], что стало причиной многодневных задержек в аэропортах. Такие проблемы могут вызывать гнев, но они нас уже не удивляют. Для того чтобы сохранить свою жизнь в XXI веке, мы должны полагаться на бесчисленное количество сложных систем, которые глубоко влияют на наше существование: от электросетей и станций по очистке воды, транспортных систем и сетей связи до систем здравоохранения и законодательства. Однако иногда эти системы подводят нас.

Эти сбои в системах, включая такие крупные, как взрыв нефтяной платформы корпорации British Petroleum (BP) в Мексиканском заливе, авария на атомной электростанции Фукусима-1 или мировой финансовый кризис, на первый взгляд происходят по разным причинам. Однако оказывается, что проблемы, лежащие в их основе, на удивление схожи. У всех этих событий наблюдается одна общая «ДНК», которую ученые лишь начинают исследовать. Эта «ДНК» подразумевает, что неудачи в одной сфере могут стать уроками для специалистов в других отраслях: стоматологи могут учиться у пилотов, а команды маркетологов – у отрядов спецназа. Понимая глубинную природу катастроф в таких специфических и рискованных сферах человеческой деятельности, как глубоководное бурение или высотный альпинизм, мы можем получить знания, необходимые для понимания сбоев и в более простых системах. Оказывается, что многие наши повседневные неудачи – провалившиеся проекты, неправильные кадровые решения и даже сорванный званый ужин – имеют много общего с разливами нефти и чрезвычайными происшествиями в горных экспедициях. К счастью, за последние десятилетия ученые со всего мира нашли способы, которые позволят нам поменять подход к принятию решений, формированию команд, созданию систем и предотвращению аварий и катастроф, которые стали сегодня слишком обычным делом.

Эта книга состоит из двух частей. В первой объясняется, почему дают сбои наши системы. В ней раскрыты общие причины, которые приводят на первый взгляд к очень разным событиям: провалу рекламной кампании в социальных сетях вокруг сети кофеен Starbucks, крупной аварии на атомной электростанции Three Mile Island, финансовому кризису на Уолл-стрит и странному скандалу с небольшими почтовыми отделениями в маленьких провинциальных городках Великобритании. В первой части исследуется также «парадокс прогресса»: по мере того как наши системы приобретают все бóльшую эффективность, они становятся все более сложными и прощают меньше ошибок, создавая такие условия, когда простые недоразумения могут вызвать ужасные аварии. Системы, бывшие когда-то вполне безобидными, сегодня могут случайно убивать людей, банкротить компании и посылать в тюрьму невиновных. Помимо этого в первой части показывается, что те изменения, которые сделали наши системы уязвимыми с точки зрения случайных сбоев, одновременно создали благодатную почву для намеренных противоправных действий, в частности для хакерства и мошенничества.

Во второй части (которая представляет собой основу книги) рассматриваются те решения, которые мы можем использовать в жизни. В ней показано, как на примере маленьких ошибок люди могут учиться находить точки возникновения более крупных проблем. Мы расскажем, как простая женщина-администратор спасла человеческую жизнь, возразив начальнику, и как программа дополнительной подготовки, которую пилоты поначалу отвергали, называя «уроками хороших манер», позволила сделать полеты как никогда безопасными, а также объясним, как совместная работа разных людей помогает избегать крупных ошибок и как альпинисты, поднимающиеся на Эверест, и инженеры Boeing могут научить нас могуществу простоты. Мы увидим, как съемочные группы и врачи из отделения реанимации справляются с неожиданными ситуациями, и поймем, как их подход мог бы спасти плохую организацию IPO (первой публичной продажи акций) компании Facebook, а также провалившуюся экспансию американского сетевого гиганта Target на канадский рынок. Мы также еще раз обратимся к загадке с исчезновением поезда в вашингтонском метро и увидим, как близко были специалисты к тому, чтобы предотвратить аварию.

Мы пришли разными путями к написанию этой книги. Крис был трейдером на бирже. Во время финансового кризиса 2007–2008 годов с этой позиции он наблюдал за крахом банковско-финансового холдинга Lehman Brothers и крушением биржевых рынков по всему миру. Одновременно в тот период он начал учиться летному делу и стал интересоваться тем, как избежать катастрофических ошибок. Андраш принадлежит к научному сообществу, он изучает вопрос о том, почему многие организации страдают от излишней сложности собственных систем. Несколько лет назад он создал учебный курс под названием «Катастрофические сбои в организациях». В ходе занятий менеджеры из самых разных сфер изучают аварии и сбои, которые становятся достоянием газетных заголовков, и обмениваются опытом преодоления повседневных неудач.

Источником материала для книги стали сообщения о различных авариях и происшествиях, академические исследования и интервью с широким кругом людей – от президентов и генеральных директоров компаний до неискушенных покупателей. Появившиеся в результате идеи объясняют различные виды неудач и сбоев и дают практические подсказки, которыми может воспользоваться каждый. В эру катастроф эти подсказки будут весьма полезны при принятии решений на работе и в личной жизни, для успешного управления бизнесом и в преодолении важнейших глобальных вызовов, стоящих перед человечеством.

III

Одним из первых, с кем мы побеседовали в рамках создания этой книги, был Бен Берман, исследователь NASA, командир авиалайнера, принимавший участие в расследовании авиационных происшествий. Кстати, у Бермана есть ученая степень по экономике, полученная в Гарвардском университете. По мнению Бермана, авиация – идеальная лаборатория для изучения того, как небольшие перемены могут предотвратить крупные аварии{4}4
  Интервью с Беном Берманом, 10 января 2016 г.


[Закрыть].

Хотя вероятность аварии в каждом отдельном полете ничтожно мала{5}5
  См.: Air Transport Action Group // Aviation Benefits Beyond Borders, April 2014. URL: https://aviationbenefits.org/media/26786/ATAG__AviationBenefits2014_FULL_LowRes.pdf.


[Закрыть], следует учитывать, что в мире выполняется более 100 000 гражданских рейсов в день. Ошибки можно «поймать» до того, как они выведут ситуацию из-под контроля, – для этого существуют контрольные списки и системы предупреждения, также это происходит на этапе обнаружения незначительных сбоев.

И все же самолеты падают. Когда это происходит, авария становится ценным источником информации о том, что пошло не так. Устройства, записывающие переговоры в кабине самолета, и черные ящики обеспечивают сведения о действиях экипажа и о том, что происходило с самим самолетом, зачастую вплоть до момента столкновения с землей. Такие записи исключительно важны для тех, кто ведет расследование аварий, как Берман. То есть для тех, кто сквозь трагические события авиакатастрофы докапываются до истины, чтобы предотвратить такие происшествия в будущем.

Пейджер сработал прекрасным майским днем 1996 года, когда Берман со своей семьей был в Нью-Йорке. Дело в том, что Бен входил в состав «группы быстрого реагирования» Национального совета по безопасности на транспорте. Эта группа обычно направлялась для расследования на места больших транспортных аварий. Вскоре Берман узнал скорбные детали{6}6
  Описание крушения рейса ValuJet 592 и последующего расследования основывается на нашем интервью с Беном Берманом от 10 января 2016 г.; докладе Национального совета по безопасности на транспорте: NTSB/AAR-97/06 // In-Flight Fire and Impact with Terrain, ValuJet Airlines Flight 592 DC-9-32, N904VJ, Everglades, Near Miami, Florida, May 11, 1996, August 19, 1997. URL: https://www.ntsb.gov/investigations/AccidentReports/Reports/AAR9706.pdf; William Langewiesche. The Lessons of ValuJet 592. Atlantic, March 1998. URL: https://www.theatlantic.com/magazine/archive/1998/03/the-lessons-of-valujet-592/306534. Статья дает подробное описание происшествия и содержит глубокие рассуждения о причинах катастрофы.


[Закрыть]: авиалайнер компании Valujet, выполнявший рейс 592, с более чем сотней пассажиров на борту, исчез с экранов радаров через десять минут после взлета из Майами и упал в болотах Национального парка Эверглейдс (штат Флорида). На самолете возник пожар – это стало ясно из поступивших диспетчерам управления воздушным движением сообщений пилотов. Но что именно вызвало пожар, оставалось тайной.

Когда на следующий день Берман прибыл на место крушения авиалайнера, в воздухе все еще висел запах авиационного топлива. По густым болотистым зарослям были разбросаны какие-то обломки, однако не было и следа фюзеляжа или чего-то такого, что напоминало бы корпус самолета. Его обломки оказались под толстым слоем воды, зарослями зазубренной осоки и болотного торфа, а на поверхности плавали кроссовки и сандалии.

Пока поисковая бригада прочесывала черные воды болота, Берман собрал свою команду в аэропорту Майами и начал опрос людей, которые обеспечивали предполетную подготовку и обслуживание самолета на земле. Один за другим работники различных аэропортовых служб входили в офис менеджера представителя авиакомпании Valujet, который в тот день заняли специалисты, проводившие расследование авиакатастрофы. Большинство бесед проходили примерно так:

Берман. Вам показалось странным что-то в этом самолете?

Сотрудник аэропорта. На самом деле ничего особенного…

Берман. Вы заметили что-нибудь необычное во время обслуживания самолета? Или во время его буксировки? Или в какой-то другой момент?

Сотрудник аэропорта. Нет, все было нормально.

Берман. Вообще что-нибудь привлекло ваше внимание?

Сотрудник аэропорта. Нет, ничего.

Никто ничего не заметил.

Когда Берман прихлебывал свой кофе, он вдруг обнаружил нечто интересное в стопке бумаг на столе менеджера, который представлял авиакомпанию в аэропорту Майами. Из стопки выглядывала нижняя часть какого-то документа с подписью. Подпись принадлежала Кендалин Кьюбек, командиру корабля. Берман снял стопку бумаг с лотка для входящих и исходящих документов и пролистал ее. В них ничего особенного не было. Обычные документы, имеющие отношение к рейсу 592.

Однако один из них привлек внимание Бена.

Это была сопроводительная транспортная накладная компании SabreTech{7}7
  Копия оригинала транспортной сопроводительной накладной фигурирует в докладе NTSB/AAR-97/06. P. 176. Для большей ясности мы приводим здесь ее упрощенный вариант.


[Закрыть], предприятия по техническому обслуживанию самолетов, в которой перечислялись собственные материалы авиакомпании Valujet, отправленные тем рейсом. Берман был заинтригован. На воздушном судне случился пожар, а перед Беном лежал документ, свидетельствовавший о том, что на борту имелись «кислородные контейнеры». И было еще кое-что. «Меня заинтересовали кавычки вокруг слова „пустые“», – сказал нам Берман.

Эксперты, расследовавшие аварию, поехали в офис компании SabreTech в аэропорту Майами и нашли работника, который подписывал накладную. Они установили, что предметы, описанные в накладной как «кисл. контейнеры», в действительности были химическими кислородными генераторами. Это те устройства, которые обеспечивают подачу кислорода в маски для дыхания, выпадающие из верхних полок к пассажирам в том случае, когда самолет теряет герметичность и давление в салоне резко понижается.

«Так они были пустыми?» – задал вопрос Берман.

«Они не работали, просрочены».

Это был тревожный знак. При активации химические кислородные генераторы очень сильно нагреваются. И при неудачном стечении обстоятельств образующийся в них спасительный кислород может вызвать колоссальный пожар. Если в коробках находились кислородные генераторы, чей срок службы закончился, а не просто пустые кислородные контейнеры, то это означало, что на борт самолета могли погрузить мощную бомбу замедленного действия. Как такое могло произойти? Каким образом этот смертельный груз попал на пассажирский авиалайнер?

Расследование обнаружило вязкое, словно болотная топь, стечение ошибок, случайностей и обычной путаницы. Компания Valujet приобрела три авиалайнера и подрядила компанию SabreTech для проведения их модернизации в ремонтных ангарах аэропорта Майами. Многие кислородные генераторы на этих самолетах оказались просроченными, и их нужно было заменить. Компания Valujet проинструктировала SabreTech, что если генераторы не были до конца израсходованы (то есть если они еще могли генерировать кислород), то на них необходимо установить защитный колпачок.

Однако возникла путаница в различении тех генераторов, которые были просрочены, и тех, которые были не израсходованы. Многие устройства были просроченными, но не до конца израсходованными. Другие отслужили свой срок и были израсходованы. Третьи – израсходованы, но еще не просрочены. И были также генераторы, которые шли на замену прежним, они были и непросроченными, и неизрасходованными. «Если вам все это кажется весьма запутанным, то не тратьте время на то, чтобы разобраться в ситуации. Во всяком случае, техники компании SabreTech решили времени на это не тратить. Да от них этого и не ожидали»{8}8
  William Langewiesche. The Lessons of ValuJet 592.


[Закрыть], – писал журналист и пилот Уильям Лангуиш в журнале Atlantic.

Да, механик Valujet мог бы выйти за пределы своих служебных обязанностей и залезть в громадное руководство по техническому обслуживанию самолета McDonnell Douglas-80, дойдя до раздела 35-22-01, в котором параграф «h» мог бы дать ему инструкцию, «как хранить и утилизировать кислородные генераторы». Если бы этот механик проявил усердие в изучении инструкций, то дошел бы до другой части руководства и узнал, что «все обслуживаемые и необслуживаемые (неизрасходованные) кислородные генераторы (контейнеры) должны содержаться так, чтобы ни одно устройство не было подвергнуто воздействию высокой температуры или возможному повреждению». Поразмышляв над значением скобок в вышеприведенной фразе, техник мог бы сделать вывод о том, что «неизрасходованные» контейнеры были также и «необслуживаемыми», а поскольку защитных колпачков для их транспортировки у него не было, он, видимо, должен был поместить их в безопасное место и «привести в рабочее состояние», согласно описанию в разделе 2.D.

Так оно и пошло: все больше деталей, все больше различий между ними, больше терминов, больше предупреждений, больше технического языка.

В конечном счете защитные колпачки на генераторы установлены не были, а сами генераторы оказались в картонных коробках. Через несколько недель они были привезены в отдел доставки компании SabreTech. Там они находились, пока одному из сотрудников не поручили очистить помещение. Сотруднику показалось, что разумно будет отправить эти коробки в штаб-квартиру авиакомпании Valujet в Атланте.

На генераторах имелись зеленые бирки. Технически такая зеленая бирка означает «ремонтопригодный», однако непонятно, что именно под этим имели в виду сами техники. Сотрудник, которому было поручено «разобраться» с устройствами, подумал, что бирки означают «необслуживаемые» или «не подлежащие обслуживанию». Другой сотрудник заполнил транспортно-сопроводительную накладную и поставил кавычки вокруг слов «5 коробок» и «пустые». У него просто была такая привычка – заключать слова в кавычки.

И вот эти коробки последовательно перемещались внутри системы – от техников к другим сотрудникам, от работников аэропорта до багажного отсека авиалайнера. Команда самолета не обнаружила проблему, и командир воздушного судна Кьюбек подписала полетные документы. «В результате пала последняя линия обороны пассажиров, – писал Лангуиш. – Им не повезло, и система убила их».

Расследования аварий поезда № 112 в вашингтонском метро и рейса 592 авиакомпании Valujet показали, что обе катастрофы произошли по одной и той же причине: возрастающей сложности наших систем. Когда поезд № 112 врезался в другой состав, продюсер радиокомпании National Public Radio Жасмин Гарсд{9}9
  Из радиопередачи: Michel Martin. When Things Collide // National Public Radio, June 23, 2009. URL: http://www.npr.org/sections/tellmemore/2009/06/when_things_collide.html.


[Закрыть] находилась за несколько вагонов от головного. «Столкновение было похоже на то, как если бы очень быстрое кино неожиданно остановилось с ужасным скрежетом, – вспоминала она. – Я думаю, в такие моменты каждый осознает две вещи: как мы малы и уязвимы в этом мире гигантских машин, которые сами же и построили, и насколько слабо мы осознаем эту уязвимость».

Но существует надежда. За последние несколько десятков лет наши знания сложности систем, организационного поведения и когнитивной психологии показали нам путь к постижению того, как маленькие ошибки перерастают в огромные неудачи. Мы начинаем не только осознавать, как случаются все эти инциденты, но и понимать, как небольшие шаги могут предотвращать их. В мире есть группа компаний, исследователей и команд, которые ведут поиск революционных способов предупреждения катастроф. И для этого не нужны самые продвинутые технологии или миллионные бюджеты.

Весной 2016 года мы организовали выступление Бена Бермана перед аудиторией, которой интересны уроки авиации, применимые в сфере управления рисками. Это была очень разноплановая аудитория: работники кадровых подразделений, государственные служащие, предприниматели, врачи, сотрудники некоммерческих организаций и юристы и даже кое-кто из сферы моды. Дело в том, что уроки Бермана размывают границы между сферами человеческой деятельности. «Сбои в работе систем, – говорил Берман своим слушателям, – невероятно дорого обходятся и часто недооцениваются. Вы наверняка столкнетесь с ними в вашей карьере или личной жизни». Здесь Бен сделал паузу и внимательно посмотрел на аудиторию: «Я думаю, что хорошая новость заключается в том, что вы действительно можете повлиять на ситуацию».