Рефлексія про стандарти безпеки – кейс ЗТЦ

Безпека для Євросоюзу – це святе. Безпека для своїх громадян, своїх активів, природнього середовища, своїх коштів, своїх інтересів. В області промисловості так само існують десятки національних й спільних стандартів, які регулюють різні види та рівні безпеки – машин, обладнання, персоналу, протиаварійного захисту, кібер-безпеки тощо.

Власне, більшість з нас, хто хоч раз стикався з європейцями в близьких ділових контактах це знає, а якщо не знає, то мабуть здогадується. Власне – так і має бути. Питання не в тому, що роблять європейці. Питання в тому що робимо ми, підписавши Угоду про асоціацію з ЄС, яка регламентує 28 сфер, які мають бути приведені у відповідність з законодавством з ЄС? Що ми робимо зі своїми бурштиновими полями, лисими Карпатами, щезаючими малими річками та Дніпром, який став джерелом небезпеки? Що робимо з своєю енергетикою, залізницею та водоканалами, активи яких зношені на 90% і більше?

З 2014 року АППАУ періодично ставить подібні питання до своїх спільнот, а також центральних органів виконавчої влади в сфері функційної безпеки (фізична безпека, протиаварійний захист), а з 2017 – і в області кібер-безпеки.

В нас зібралось чимало інформації – на жаль, більше негативної й про відставання України й конкретно в цій сфері відповідності до міжнародних норм. Найголовніше –

за 5 останні років ми ніяк не можемо знайти відповідальних осіб на рівні ЦОВВ кому ставити ці питання.


Я пам’ятаю добре виступ на виставці Elcom – EIA 2014 Бєгуна Василя Васильовича, одного з провідних наших фахівців в сфері безпеки, про відсутність ризик-орієнтованих підходів в більшості сфер промисловості та енергетики. Пам’ятаю, що найбільше вразила мене тоді демонстрація розвинутої системи корупції. Заміть відповідності та дії кількох основоположних міжнародних стандартів в сфері безпеки на рівні ДСТУ, в Україні існувало понад 40 відомчих та галузевих норм та актів, які регулювали питання безпеки. Було понад 100 організацій різного виду, які могли прийти підприємство, й використовуючи один з таких актів, наприклад, в сфері санітарної чи пожежної безпеки й просто зупинити підприємство. І як соромно тоді, – вже після початку агресії РФ в Україну, – було чути про наше відставання як мінімум на 5-15 років. Адже стандарти як МЕК 61508 в Росії діють з початку нульових, й будь-який керівник нафтогазу чи енергетики, виставляючи в ТЗ вимоги по SIL буде апелювати до відповідних ГОСТ-ів.

Я пам’ятаю і той сором за наших чиновників на форумі GCS-2017, коли 30 кращих американських експертів, докопуючись до аналітики та висновків кібер-атак 2015-16 рр весь час запитували наших про вивчені уроки (lesson learned). Їх тоді не було – принаймі, не прозвучало, ніяких таких, що свідчили б про державне управління в цій сфері. Одна пустопорожня тріскотня.

Зрештою, ми самі тоді, в 2017 проаналізувавши стан речей в сфері стандарті АСУТП, дійшли до сумних висновків, що

всю аналітику та гайди по кібер-безпеці для нас пишуть американці, французи, німці, росіяни – хто завгодно, але не українці.

І що весь секрет виходу наших Обленерго з кризових ситуацій полягав в «дзвінку до дяді Васі, щоб він включив рубильник». Тобто, дуже низький рівень низової автоматизації став тим чинником, який не дозволив збільшити масштаби та поглибити наслідки атак.

Але до честі нашої спільноти, ми сприйняли тоді все це як виклик. Як справжня спільнота ми об’єднались, ми створили власний Технічний комітет, ми швидко включили в перелік необхідні стандарти по безпеці та кібер-безпеці, й буквально за місяць роботи ми випустили перший технічний гайд.

Тоді ж, з 2017 року в нас почались системні, регулярні відносини з різними урядовими структурами та державними організаціями. Віддаючи належне попередньому урядові в скасуванні тих самих відомчих норм й обмеженні сваволі чиновників різного рівня, ми все-ж продовжуємо бути в пошуку відповідальних осіб різного рівня, які можуть конкретно відповідати на питання про стан безпеки.

Зокрема, прискіплива увага надається сьогодні від нашої експертної групи до державного оператора «Укрзалізниця» (УЗ). Недолуга спроба 1-го проекту «цифровізації» – й під опікою МЕРТ (!)  рік тому призвела тільки до колективного обурення та конфліктів, в результаті вийшла заява «Як НЕ треба розпочинати цифрову трансформацію». Серед інших фактів грубих порушень професійних підходів в області технічних політик в УЗ, ми виявили кричущу невідповідність стандартів безпеки. Як в 2014 в області енергетики, так і в 2018 ситуація в Укрзалізниці виглядала тотальним «замилюванням ока». Замість прийняття стандартів ЄС та введення їх в дію, – й навіть з відповідними указами Кабміну, менеджери цього найбільшого залізничного оператора зовсім не поспішали вводити ці положення в дію.

Зокрема, нашу групу експертів тоді зацікавив досвід дніпровського Залізничного Технічного Центру, (ЗТЦ), рис. нижче з їх презентації.

Віталій Савлук, директор ЗТЦ, в жовтні 2018 чимало розповідав про критичний стан речей в УЗ, проводив паралелі з Казахстаном. Віталій працював там 3 роки над впровадженням Центру стандартизації та сертифікаці для залізниці. Він згадував живий, справжній  інтерес казахських чиновників, їх ентузіазм, темпи робіт і зрештою запуск цього центру.

Ми включили Віталія в групу експертів проекту «Розробка дорожньої карти цифрової трансформації УЗ». Документ – як початкова концепція, вийшов в березні 2019. Звісно, ми знали і знаємо, що з нинішнім керівництвом УЗ ніякі подібні концепції не мають шансів на прийняття. Але, принаймі, як експертна спільнота, ми вважали, що рано чи пізно прийде наш час й такі стратегічні документи знадобляться.

Потім було затишшя – в країні йшли вибори за виборами.

І ось, тепер, коли після приходу нової влади шанси реанімації цифрових проектів різко підвищуються, ми взнали, що ЗТЦ більше не існує. Єдиний в залізниці центр випробувань та розробки стандартів припинив свою роботу, позаяк нікому в керівництві УЗ це не потрібно.

Далі пряма мова з наших обмінів.

Виталий Савлук, директор ТОВ «Залізничний технічний центр»

«В УЗ нет стратегии развития, ее нет и в министерстве. Старая гвардия, не хочет изменений. Банально,  но факт: отсутствие стратегии и планов не даёт  надежд на перспективу. Ведь реальных планов на 3-5 лет с финансированием для этих работ нет. Именно эта ситуация “выкосила” много специалистов. Для молодых специалистов главное видеть перспективу. К примеру, в Казахстане я участвовал в обсуждении стратегии развития КТЖ, при том, что работал там по контракту. А в Украине, будучи единственным руководителем отраслевой научно-испытательной лаборатории по железнодорожному пути ДИИТа,  я только видел как из года в год разрушают все, что создавалось многие десятилетия.

На данный момент в Украине нет ни одного крупного железнодорожного испытательного центра с современным оборудованием! Подтверждение безопасности есть только на бумаге! Реальных испытаний нет, а по стандартам ЕС тем более.

Все, что осталось это громкие названия и куча разрешительных документов. Может кому-то это все покажется мелочью, но эта мелочь говорит о том, что по-настоящему оценить с практической стороны, как стандарты, так и продукцию некому! Соответственно специалистов растить негде, ведь  на книгах настоящего специалиста не вырастить!»

******

От така сумна історія чергових втрат. До речі, Віталій пішов працювати в ІТ-компанію, одну з найбільших з наших аутсоурсерів, і замовники якої точно не в Україні.

За останні 28 років Україна понесла неймовірні втрати людського потенціалу по всім промислових хайтек галузям. Десятки тисяч кращих спеціалістів – від авіакосмічної галузі, й до залізниці та машинобудування покинули країну. Десятки тисяч пішли в ІТ-сектор, – той який аутсоурсинговий, а не продуктовий і який працює на внутрішнього замовника. І ми констатуємо, що  ці процеси продовжуються.

Тому мій заклик для наших спільнот  – тих, хто тримає останні рубежі в АППАУ, ТК 185, русі 4.0 та новій платформі Industry4Ukraine, – все той самий: давайте швидше об’єднуватись й працювати разом над спільними викликами!

Звісно, ви можете сказати, що колективний тиск на ту ж УЗ виявляли вже набагато більш потужні організації як УСПП чи ФРУ. Але я відповім тільки  двома зустрічними питаннями. Перше – «де результат?». І друге – «яке це має відношення до нашої сфери діяльності?». Тобто, нам всім потрібно розуміти, що експертні спільноти – різні. І в тій сфері, в якій ми працюємо – промислових застосувань хайтек (автоматизації, ІТ, проектування та інжинірингу тощо)  немає нікого, хто міг би консолідовано захищати інтереси й не допускати таких випадків як з ЗТЦ.

Самі технічні директори, директори по АСУТП, ІТ, інновацій мають бути в рази більш консолідовані на галузевому рівні, щоб не допускати подібних грубих порушень технічних, професійних правил, яких можливо зовсім не розуміють фінансисти, комерсанти чи економісти, які часто займають топ-позиції, як зараз в УЗ. І разом працювати в експертних групах яких при АППАУ вже вистачає – від галузевих експертних груп, – й до роботи в ТК 185, а також нетвокингового формату як клуб «5-ий елемент». Результати роботи цих груп якраз і йдуть на рівень галузевих, регіональних, кластерних та прикладних (стандарти, цифровізація) політик державного рівня.

Тому мова не тільки про тиск на керівництво – аж до вимог відставки. Мова про те, чи здатні функційні директори генерувати стабільний попит на ті самі стандарти безпеки та кібер-безпеки, інтегрувати їх в технічні політики, впроваджувати в реальне життя? Чи здатні вони в критичних ситуаціях захищати спільні галузеві інтереси – як мало б бути у випадку з ЗТЦ? Чи здатні вони разом працювати в експертних групах над виробленням спільних політик? І в результаті цього всього – чи здатні вони виробити перспективу для молоді, щоб утримати її в своїй галузі? Адже очевидно, якщо в галузі є молодь та спеціалісти – буде розвиток і галузі, і країни.

Все вищесказане не може бути завданнями чи питаннями тільки для СЕО компанії чи якогось нового міністра. Хіба ні?

Юрчак Олександр

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *