Крис Клирфилд, Андраш Тилчик
?Неуязвимость! Отчего системы дают сбой и как с этим бороться
Возмутителям спокойствия, неравнодушным людям и лидерам, которые умеют слушать. Нам нужно больше таких, как вы.
Посвящается Линнее, Торвальду и Сорену
Крис Клирфилд
Посвящается моим родителям и Марвину
Андраш Тилчик
Пролог. Самый обычный день
«Меня заинтересовали кавычки вокруг слова “пустые”…»
I
Это был теплый понедельник в конце июля [Подробности этой аварии взяты из заключения Национального совета по безопасности на транспорте NTSB/RAR-10/02, «Collision of Two Washington Metropolitan Area Transit Authority Metrorail Trains Near Fort Totten Station», Washington DC, June 22, 2009. URL: https://www.ntsb.gov/investigations/AccidentReports/Reports/RAR1002.pdf. Подробности о супружеской паре Уирли и других жертвах взяты из статей: Christian Davenport. General and Wife, Victims of Metro Crash, Are Laid to Rest // Washington Post, July 1, 2009. URL: http://www.washingtonpost.com/wp-dyn/content/article/2009/06/30/AR2009063002664.html?sid=ST2009063003813; Eli Saslow. In a Terrifying Instant in Car 1079, Lives Became Forever Intertwined // Washington Post, June 28, 2009. URL: http://www.washingtonpost.com/wp-dyn/content/article/2009/06/27/AR2009062702417.html; Gale Curcio. Surviving Against All Odds: Metro Crash Victim Tells Her Story // Alexandria Gazette Packet, April 29, 2010. URL: http://connectionarchives.com/PDF/2010/042810/Alexandria.pdf.], как раз перед часом пик. Энн и Дэвид Уирли сели в первый вагон состава метро № 112, который направлялся в Вашингтон, округ Колумбия. Они возвращались с занятий для волонтеров, работающих в больницах. Молодая женщина уступила им свое место в передней части вагона, и супруги Уирли уселись рядом, неразлучные, какими они были еще со времен старших классов. 62-летний Дэвид только что вышел в отставку, и пара с нетерпением ждала 40-го юбилея свадьбы и путешествия в Европу.
Дэвид был удостоенным наград офицером ВВС и летчиком-истребителем. Во время воздушных атак 11 сентября 2001 года именно он был тем самым генералом [Davenport. General and Wife. См. также: The National Commission on Terrorist Attacks upon the United States // The 9/11 Commission Report: Final Report of the National Commission on Terrorist Attacks upon the United States. Washington, DC: Government Printing Office, 2011. P. 44.], который по тревоге поднял истребители над Вашингтоном и приказал пилотам по собственному усмотрению сбивать любые гражданские самолеты, которые могли представлять угрозу для столицы. Но даже в те времена, когда Дэвид был генералом и занимал командный пост, он отказывался от услуг персонального водителя. Он любил ездить на метро.
В 16:58 ритмичное постукивание колес поезда прервал скрежет. Это машинист нажал на аварийный тормоз. Потом последовала какофония из звуков лопающегося стекла, ломающегося металла и криков: поезд № 112 во что-то врезался. По непонятной причине он резко остановился на путях. От удара в передней части состава образовалась четырехметровая стена из обломков сидений, потолочных конструкций и металлических поручней. Этот же удар убил Дэвида и Энн, а также еще семерых людей.
Такого просто не могло произойти. Вся система вашингтонского метро протяженностью линий более 160 км была запрограммирована так, чтобы отслеживать и контролировать движение поездов. Когда составы опасно приближались друг к другу, их скорость автоматически снижалась. Но в тот день, когда поезд № 112 проходил изгибающийся участок пути, на рельсах перед ним оказался другой стоящий поезд. Он существовал в реальности, но каким-то образом оказался невидимым для датчиков пути. Поезд № 112 автоматически прибавил скорость: ведь сенсоры показывали, что путь свободен. К тому моменту когда машинист поезда увидел стоящий впереди состав и включил экстренное торможение, столкновение было уже неизбежным.
Пока спасатели вытаскивали из поезда раненых пассажиров, инженеры метро уже приступили к работе. Они должны были убедиться, что жизни других пассажиров подземки вне опасности. А для этого им нужно было решить загадку: как может поезд метро длиной в два футбольных поля просто исчезнуть?
II
Вызывающие тревогу сбои вроде аварии с поездом № 112 происходят постоянно. Посмотрите на заголовки газет всего за одну неделю.
Катастрофа на шахте в Бразилии
Новый день, новая хакерская атака: сеть отелей накрыла волна краж кредитных карточек
Автомобили Hyundai отозваны из-за дефекта датчиков включения тормозной системы
История с системой водоснабжения на реке Флинт. В Вашингтоне говорят об «ошибке правительства»
«Массовые сбои» в работе спецслужб привели к атакам террористов в Париже
Ванкувер удовлетворил судебный иск человека, несправедливо заключенного в тюрьму почти на три десятилетия
Эпидемия лихорадки Эбола: ученые обвиняют во всем «опасно неэффективную глобальную систему здравоохранения»
Следствие по делу об убитой 7-летней девочке превратилось в сагу о неспособности системы защитить ее
Искусственные землеустроительные поджоги в Индонезии привели к огромным лесным пожарам и экологической катастрофе
Управление по санитарному надзору за качеством пищевых продуктов и медикаментов расследует случаи появления кишечной палочки в ресторанах мексиканской кухни сети Chipotle в штатах Вашингтон и Орегон
Эта неделя может показаться вам особо неудачной, но на самом деле ничего особенного в ней нет. Ведь редко какая неделя обходится без нескольких крупных катастроф. Одна неделя знаменуется аварией в промышленности, другая — крупным банкротством, а третья — ужасной медицинской ошибкой. Даже небольшие проблемы могут привести к разрушительным последствиям. Например, за последние несколько лет целый ряд авиакомпаний вынужден был поставить свои авиапарки «на прикол» из-за сбоев в их технических системах [Это случалось на многих авиалиниях только за тот период, в который писалась эта книга. См., например: Alice Ross. BA Computer Crash: Passengers Face Third Day of Disruption at Heathrow // Guardian, May 29, 2017. URL: https://www.theguardian.com/business/2017/may/29/ba-computer-crash-passengers-facethirdday-of-disruption-at-heathrow; United Airlines Systems Outage Causes Delays Globally // Chicago Tribune, October 14, 2016. URL: http://www.chicagotribune.com/business/ct-united-airlines-systems-outage-20161014-story.html; Chris Isidore, Jethro Mullen, and Joe Sutton. Travel Nightmare for Fliers After Power Outage Grounds Delta // CNN Money, August 8, 2016. URL: http://money.cnn.com/2016/08/08/news/companies/delta-system-outage-flights/index.html?iid=EL.], что стало причиной многодневных задержек в аэропортах. Такие проблемы могут вызывать гнев, но они нас уже не удивляют. Для того чтобы сохранить свою жизнь в XXI веке, мы должны полагаться на бесчисленное количество сложных систем, которые глубоко влияют на наше существование: от электросетей и станций по очистке воды, транспортных систем и сетей связи до систем здравоохранения и законодательства. Однако иногда эти системы подводят нас.
Эти сбои в системах, включая такие крупные, как взрыв нефтяной платформы корпорации British Petroleum (BP) в Мексиканском заливе, авария на атомной электростанции Фукусима-1 или мировой финансовый кризис, на первый взгляд происходят по разным причинам. Однако оказывается, что проблемы, лежащие в их основе, на удивление схожи. У всех этих событий наблюдается одна общая «ДНК», которую ученые лишь начинают исследовать. Эта «ДНК» подразумевает, что неудачи в одной сфере могут стать уроками для специалистов в других отраслях: стоматологи могут учиться у пилотов, а команды маркетологов — у отрядов спецназа. Понимая глубинную природу катастроф в таких специфических и рискованных сферах человеческой деятельности, как глубоководное бурение или высотный альпинизм, мы можем получить знания, необходимые для понимания сбоев и в более простых системах. Оказывается, что многие наши повседневные неудачи — провалившиеся проекты, неправильные кадровые решения и даже сорванный званый ужин — имеют много общего с разливами нефти и чрезвычайными происшествиями в горных экспедициях. К счастью, за последние десятилетия ученые со всего мира нашли способы, которые позволят нам поменять подход к принятию решений, формированию команд, созданию систем и предотвращению аварий и катастроф, которые стали сегодня слишком обычным делом.
Эта книга состоит из двух частей. В первой объясняется, почему дают сбои наши системы. В ней раскрыты общие причины, которые приводят на первый взгляд к очень разным событиям: провалу рекламной кампании в социальных сетях вокруг сети кофеен Starbucks, крупной аварии на атомной электростанции Three Mile Island, финансовому кризису на Уолл-стрит и странному скандалу с небольшими почтовыми отделениями в маленьких провинциальных городках Великобритании. В первой части исследуется также «парадокс прогресса»: по мере того как наши системы приобретают все бóльшую эффективность, они становятся все более сложными и прощают меньше ошибок, создавая такие условия, когда простые недоразумения могут вызвать ужасные аварии. Системы, бывшие когда-то вполне безобидными, сегодня могут случайно убивать людей, банкротить компании и посылать в тюрьму невиновных. Помимо этого в первой части показывается, что те изменения, которые сделали наши системы уязвимыми с точки зрения случайных сбоев, одновременно создали благодатную почву для намеренных противоправных действий, в частности для хакерства и мошенничества.
Во второй части (которая представляет собой основу книги) рассматриваются те решения, которые мы можем использовать в жизни. В ней показано, как на примере маленьких ошибок люди могут учиться находить точки возникновения более крупных проблем. Мы расскажем, как простая женщина-администратор спасла человеческую жизнь, возразив начальнику, и как программа дополнительной подготовки, которую пилоты поначалу отвергали, называя «уроками хороших манер», позволила сделать полеты как никогда безопасными, а также объясним, как совместная работа разных людей помогает избегать крупных ошибок и как альпинисты, поднимающиеся на Эверест, и инженеры Boeing могут научить нас могуществу простоты. Мы увидим, как съемочные группы и врачи из отделения реанимации справляются с неожиданными ситуациями, и поймем, как их подход мог бы спасти плохую организацию IPO (первой публичной продажи акций) компании Facebook, а также провалившуюся экспансию американского сетевого гиганта Target на канадский рынок. Мы также еще раз обратимся к загадке с исчезновением поезда в вашингтонском метро и увидим, как близко были специалисты к тому, чтобы предотвратить аварию.
Мы пришли разными путями к написанию этой книги. Крис был трейдером на бирже. Во время финансового кризиса 2007–2008 годов с этой позиции он наблюдал за крахом банковско-финансового холдинга Lehman Brothers и крушением биржевых рынков по всему миру. Одновременно в тот период он начал учиться летному делу и стал интересоваться тем, как избежать катастрофических ошибок. Андраш принадлежит к научному сообществу, он изучает вопрос о том, почему многие организации страдают от излишней сложности собственных систем. Несколько лет назад он создал учебный курс под названием «Катастрофические сбои в организациях». В ходе занятий менеджеры из самых разных сфер изучают аварии и сбои, которые становятся достоянием газетных заголовков, и обмениваются опытом преодоления повседневных неудач.
