В документации Microsoft описано пять способов изменения параметров TCP в реестре, которые позволяют повысить устойчивость систем Windows 2000 к атакам типа Denial of Service (DoS) - отказ в обслуживании, и другим видам атак. Эти методы эффективны на машинах Windows 2000, подключенных к территориально распределенным сетям (WAN) и Internet, и на сайтах с повышенными требованиями к безопасности. Для внесения столь сложных изменений необходимо вручную настроить многие центральные алгоритмы TCP, и я рекомендую вносить изменения в рабочие системы лишь после экспериментов на тестовой машине. Неправильные или неудачно выбранные параметры TCP/IP могут отрицательно повлиять на большинство служб и приложений Windows 2000. Эти методы затрагивают низкоуровневые алгоритмы, используемые операционной системой для управления и маршрутизации сообщений, поэтому тестовую систему следует подключить к нескольким подсетям с одним или несколькими маршрутизаторами.

Параметры TCP/IP в реестре

Вся информация о работающей системе Windows 2000 сохраняется в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSet. Подраздел Services этого раздела, в свою очередь, содержит по одному разделу для каждой настраиваемой службы Windows 2000 (даже для блокированных и не установленных служб). На Экране 1 показаны общие данные конфигурации TCP/IP из раздела HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters. По умолчанию, данные конфигурации для каждой службы хранятся в разделе Parameters, в подразделе с соответствующим именем.

При работе с несколькими адаптерами (как аппаратными сетевыми адаптерами, так и программными портами Routing and Remote Access) в разделе HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters Interfaces формируется соответствующий подраздел для идентификатора класса каждого адаптера. По щелчку на идентификаторе класса адаптера в правом окне редактора реестра отображаются сведения о конфигурации данного адаптера (см. Экран 2).

В разделе TcpipParameters содержатся элементы, определяющие поведение TCP/IP для всех интерфейсов. При настройке конфигурации адаптера, обеспечивающего связь через протокол TCP/IP, система копирует многие из этих параметров в раздел Interfaces данного адаптера. Если один и тот же элемент входит в TcpipParameters и в раздел конкретного адаптера, то можно изменить режим TCP/IP отдельного адаптера, отредактировав соответствующие параметры. Рассматривая изменения реестра, с помощью которых можно уменьшить уязвимость системы, следует помнить об общих параметрах и параметрах, специфических для каждого адаптера.

Если упомянутый мною элемент в соответствующем разделе отсутствует, его следует создать. Создавая элементы реестра, необходимо обратить внимание на корректность типа и значений вводимых данных. Невозможно предсказать, каким образом система отреагирует (если отреагирует вообще) на ввод некорректных данных. Измененные параметры конфигурации TCP вступят в силу после перезагрузки системы.

Защита от атаки типа SYN DoS

Нападения по TCP SYN DoS - излюбленное оружие взломщиков. Прежде чем рассматривать способы защиты от подобных атак, необходимо понять механизм работы TCP/IP.

Инициируя сеанс TCP в соединении IP, система A посылает системе B пакет синхронизации (SYN). Система B отвечает, посылая машине A в качестве подтверждения пакет SYN-ACK. Если система B не получает подтверждения о получении SYN-ACK от системы A, то отправка SYN-ACK повторяется до пяти раз. Не получив от системы А ответа, система B увеличивает интервал перед очередной попыткой послать SYN-ACK. Благодаря этим задержкам, системам удается установить соединение по медленным каналам связи.

Если система A не отвечает, то по истечении определенного времени система B разрывает соединение. Процесс тайм-аута может занять 3-4 мин, так как, прежде чем прекратить сеанс, система B должна определенное число раз обратиться к системе A. Когда система B разрывает соединение, TCP освобождает ресурсы, выделенные входящему соединению. Процесс освобождения ресурсов может занять еще от 3 до 5 мин.

В ходе типичной атаки с помощью SYN злоумышленник запускает на системе A программу, которая за короткий период времени посылает системе B множество запросов SYN. Каждый запрос SYN пересылается в IP-пакете, содержащем IP-адрес машины, пославшей пакет. Этот адрес может указывать на машину взломщика, но чаще ложный (spoofed) адрес указывает на другой компьютер или на несуществующую машину. В любом случае система B пытается послать подтверждение SYN-ACK по адресу источника в ответ на каждое сообщение SYN. Если система A не отвечает, то машина B вынуждена поддерживать соединение «полуоткрытым» и не может закрыть его, не выполнив определенного числа попыток. Очевидно, что атака с использованием SYN может быстро вызвать перегрузку системы.

Машины Windows 2000 обслуживают сотни одновременных соединений TCP/IP. Попав под атаку SYN, система может выделить до половины свободных TCP/IP-ресурсов для обслуживания запросов входящих соединений. Но процесс выделения, управления и повторного использования ресурсов TCP/IP в конечном итоге приводит к зависанию системы.

С помощью команды

Netstat n p tcp

можно следить за системой, которая, возможно, подвергается атаке типа SYN. Ключ n указывает команде Netstat, что адреса и номера портов следует отображать в числовой форме; ключ p отображает только активные соединения TCP. На Экране 3 показана система со множеством соединений в состоянии SYN_RECEIVED (полуоткрытом). Для каждого соединения приводится адрес системы, предположительно пославшей пакет SYN. Если такие соединения остаются в состоянии SYN_RECEIVED дольше, чем несколько минут, то, вероятно, имеет место атака SYN. Как правило, состояние соединения изменяется на ESTABLISHED менее чем через минуту.

Экран 3. Идет атака типа SYN - DoS.

Windows 2000 автоматически контролирует три счетчика, отслеживающих число активных портов TCP/IP и число портов в полуоткрытом состоянии, обнаруживая потенциальные атаки SYN. Если значения счетчиков превышают определенные пороговые величины, Windows 2000 предполагает, что началась атака SYN DoS. Во время атаки SYN DoS механизм TCP направляет запрос в раздел HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters, чтобы выяснить, какие ответные меры следует предпринять в данной ситуации. Элемент SynAttackProtect определяет число попыток и интервал времени между попытками. Эти величины задают условия тайм-аута соединения. Параметр SynAttackProtect имеет тип REG_DWORD и принимает значения 0, 1 или 2.

На системах, подключенных к Internet, этому параметру следует присвоить значение 1 или 2. В результате уменьшаются число повторных пересылок пакета SYN-ACK, интервал между ними и, как следствие, сокращается время, отведенное на ожидание нормальных и ложных запросов. Для наиболее надежной защиты от атак SYN DoS необходимо присвоить параметру значение 2.

Для систем, к которым можно напрямую обратиться из Internet (особенно не защищенных брандмауэром), элементу SynAttackProtect следует присвоить значение 1 или 2. Узнать о реализованных в брандмауэре мерах защиты от атак SYN и Ping of Death можно у поставщика. Следует иметь в виду, что при увеличении значения SynAttackProtect изменяется поведение системы при обработке как нормальных, так и DoS-запросов на установление соединений.

Защита от атак типа Dead-Gateway

Настраивая параметры TCP/IP вручную, необходимо указать адрес, маску подсети и выбираемый по умолчанию шлюз. Если система получает пакет с адресом назначения, не принадлежащим локальной подсети, то механизм IP пересылает пакет в шлюз. Затем шлюз направляет пакет другому маршрутизатору или конечному адресату. Нормально функционирующий шлюз всегда подтверждает получение таких пакетов. Если система не получает ответных сообщений о 25% пакетов, направленных в шлюз, то она считает шлюз неработающим, или «мертвым».

Чтобы предотвратить последствия отказа маршрутизатора, на закладке Advanced Settings диалогового окна TCP/IP Properties можно указать несколько маршрутизаторов. Если выбрано несколько маршрутизаторов, Windows 2000 автоматически активизирует функцию, которая обнаруживает «мертвый» маршрутизатор и выбирает следующий маршрутизатор из списка. Такая процедура динамической смены конфигурации повышает отказоустойчивость сети, но одновременно позволяет взломщику перенаправить сетевой трафик.

С «мертвыми» шлюзами связаны два элемента реестра. Первый, DeadGWDetectDefault, находится в разделе TcpipParameters и определяет стандартный режим обнаружения «мертвого» шлюза. Он используется для активизации и блокирования процедуры поиска «мертвых» шлюзов во всех интерфейсах TCP/IP. При необходимости можно воспользоваться вторым элементом, EnableDeadGWDetect из раздела Tcpip Parameters Interfaces adapterclassID, чтобы активизировать или блокировать режим обнаружения «мертвого» шлюза для конкретного адаптера. В режиме обнаружения «мертвого» шлюза механизм TCP передает в IP указание использовать резервный шлюз в случае, если TCP не получает ответа от шлюза после нескольких попыток передачи пакета. Если режим обнаружения отключен, то TCP не может пересылать пакеты в другой шлюз.

Чтобы вручную разрешить или запретить обнаружение «мертвых» шлюзов механизмом TCP, нужно присвоить параметру DeadGWDetectDefault значение 0 (запретить) или 1 (разрешить). Для отдельного сетевого адаптера с этой целью следует добавить или изменить параметр DeadGWDetect в разделе InterfacesadapterclassID.

Если режим обнаружения «мертвого» шлюза отключен, то в случае отказа основного шлюза механизм TCP не может динамически перенаправить пакеты на другие маршрутизаторы. Невозможность передать пакеты за пределы локальной подсети приводит к разрыву всех соединений, за исключением локальных. По этой причине, а также потому, что нападение через резервный шлюз - событие гораздо более редкое, чем атаки SYN DoS и Ping of Death, я рекомендую отключать режим обнаружения «мертвых» шлюзов лишь на тех участках сети, в которых требуется особо строгий режим конфиденциальности.

Защита от атак PMTU

Как видно из Таблицы 1, для сети каждого физического типа, например Ethernet и X.25, установлен максимальный размер кадра, называемый Maximum Transmission Unit (MTU) - максимальный размер передаваемого блока данных. Он определяет объем данных, который можно передать по сети отдельным блоком. Когда сообщения пересекают границу сетей различных типов (например, Ethernet и Token Ring), MTU сети-источника может быть меньше или больше, чем MTU сети-приемника.

Когда сетевой пакет размером 16 Кбайт пересекает границу сети с MTU 1500 байт, то между компьютерами в обеих сетях происходит обмен информацией MTU. Затем передающая машина разбивает (фрагментирует) сообщение на несколько пакетов, каждому из которых присваивается порядковый номер, определяющий последовательность малых пакетов в более крупном оригинальном сообщении.

Фрагментация пакетов - важный фактор снижения производительности. При делении пакета на несколько фрагментов передающая машина расходует такты процессора и память, вводит порядковый номер и передает уменьшенный пакет. Система-приемник расходует такты процессора и ресурсы памяти, сохраняя пакеты в буфере, упорядочивает пакеты по номеру и восстанавливает кадр.

В Windows 2000 реализован алгоритм Path MTU (PMTU), который обнаруживает самый малый MTU на пути между источником и приемником сообщения и преобразует сообщение в пакеты соответствующего размера. Таким образом, алгоритм оптимизации PMTU исключает процедуру фрагментации на нескольких маршрутизаторах вдоль пути, соединяющего сеть-источник с сетью-приемником.

В процессе определения PMTU машина становится уязвимой для атак. Теоретически взломщик может запрограммировать систему так, чтобы процедура определения MTU дала результат 68 байт (самый малый размер, предусмотренный TCP/IP). Windows 2000 использует это значение для упаковки и трансляции всех сетевых сообщений на целевую систему за пределами локальной подсети. Затем тот же взломщик может направить на систему лавину из сотен или тысяч пакетов. Если входящие сообщения прибывают быстрее, чем система успевает делить их на 68-байтовые фрагменты для пересылки на целевую машину, то могут быть исчерпаны все ресурсы на всех машинах, обрабатывающих сообщение.

Чтобы избежать подобной ситуации, следует блокировать процесс определения PMTU. Управлять процессом можно с помощью элемента EnablePMTUDiscovery раздела TcpipParameters. Параметр имеет тип REG_DWORD и может принимать значения 0 («ложь») и 1 («истина»). По умолчанию, процесс определения PMTU активизирован.

При разумном подходе запрет определения PMTU может помешать взломщику присвоить MTU, а следовательно, и PMTU, недопустимо малое значение. Но одновременно блокируется и важный алгоритм сетевой оптимизации. Ужесточив режим на системе, которая выполняет маршрутизацию сетевых сообщений, администратор задает одинаковый размер (576 байт) для всех пакетов, пересылаемых в подсети за пределами локальной подсети. Размер такого пакета составляет чуть больше трети стандартного пакета Ethernet (1500 байт).

Защита от обычных атак DoS

Система, инициировавшая TCP-соединение с другой машиной, периодически посылает на целевой компьютер пакет KeepAlive, который представляет собой просто сообщение ACK: она должна убедиться, что бездействующее соединение еще не разорвано. Если целевая система по-прежнему на связи, она посылает подтверждающее сообщение. Если связь прервана, то ответа не приходит, и система-передатчик завершает сеанс связи. По умолчанию Windows 2000 блокирует функцию KeepAlive, так как этот механизм создает существенную дополнительную нагрузку на ресурсы, особенно если сервер должен запрашивать информацию о состоянии сотни или тысячи потенциально бездействующих соединений.

Функцию KeepAlive имеет смысл активизировать на машинах, предоставляющих ресурсы ограниченному числу пользователей. Для управления запросами KeepAlive используется два элемента раздела TcpipParameters - KeepAliveTime и KeepAliveInterval.

Система с активизированной функцией KeepAlive посылает пакет ACK целевой машине в случае, если соединение не использовалось в течение периода времени, определяемого элементом KeepAliveTime. Стандартное значение KeepAliveTime - 7 200 000 мс (2 ч). Если удаленная машина отвечает на сообщение KeepAlive, но в остальном соединение не активно, система-источник пошлет очередной запрос ACK спустя 2 ч.

Если система-источник не получает ответа, она повторяет запрос ACK через интервал времени, определенный параметром KeepAliveInterval. Стандартное значение KeepAliveInterval - 1000 мс (1 с). Система-источник направляет удаленной системе до пяти запросов с интервалом в одну секунду (число повторов определяется элементом TCPMaxDataRetransmissions раздела TcpipParameters). Если удаленная система не отвечает после максимального числа попыток, система-источник закрывает соединение.

Значение KeepAliveTime можно уменьшить с 2 ч до 30-45 мин, чтобы поскорее закрыть неиспользуемые TCP-соединения и освободить ресурсы для других пользователей. Следует помнить, что этот параметр влияет на все соединения TCP, в том числе и локальные, поэтому необходимо тщательно взвесить последствия данного изменения. Для защиты от атак DoS разработчики Microsoft рекомендуют уменьшить значение KeepAliveTime до 300 000 мс (5 мин). За исключением особых случаев, рекомендуется использовать стандартное значение KeepAliveInterval (1 с).

Профилактика нападений по NetBT Name-Release

Сообщения NetBIOS over TCP/IP (NetBT) не подлежат аутентификации, поэтому любая система, в том числе используемая взломщиком, может посылать обычные пакеты NetBT любому другому компьютеру в сети. Для организации атаки с освобождением имени (name-release) используется логическая ошибка в алгоритме разрешения конфликтов имен NetBIOS. Как правило, Windows 2000 и Windows NT 4.0 обнаруживают конфликты имен, когда машина регистрирует свое имя в сети после начальной загрузки. В случае конфликта операционная система блокирует сетевые функции на машине, пытающейся зарегистрировать дублированное имя NetBIOS.

Воспользовавшись логической ошибкой, взломщик может послать датаграмму службы имен машине, уже успешно зарегистрировавшей свое имя NetBIOS. Датаграмма информирует систему о конфликте имен. Получив датаграмму, система выдает соответствующее сообщение, освобождает имя NetBIOS и перестает отвечать на запросы, направленные по этому имени. Освободив зарегистрированное имя, система теряет всю функциональность NetBIOS и не позволяет использовать имена NetBIOS для просмотра и доступа к машинам. Подобные действия не влияют на функциональность TCP/IP при обращении к системам по имени DNS или адресу TCP/IP.

С помощью команды Nbstat -n можно проверить, существует ли на самом деле конфликт имен. Эта команда отображает зарегистрированные в данное время имена NetBIOS с пометкой Conflict у конфликтующих имен.

Windows 2000 хранит сведения о конфигурации NetBT в разделе HKEY_LOCAL_MACHINE CurrentControlSet Services NetBT Parameters. Поведение механизма освобождения имен NetBIOS определяется элементом NoNameReleaseOnDemand. В документации Microsoft указывается, что элемент появился в пакете исправлений Windows 2000 Server Service Pack 2 (SP2), но по умолчанию отсутствует в разделе NetBTParameters. Его необходимо ввести туда вручную.

NoNameReleaseOnDemand имеет тип REG_DWORD. Стандартное значение, 0, заставляет систему освободить имя сразу же по получении датаграммы от службы имен. Если присвоить параметру NoNameReleaseOnDemand значение 1, то система освободит имя NetBIOS, только если конфликт произошел в процессе регистрации имени. Активизировав эту функцию, можно предотвратить нападение. Прием будет лишним, если в адаптере, обеспечивающем связь с Internet, уже отключен режим использования имен NetBIOS в соединениях TCP/IP. Метод можно применять только на машинах Windows 2000 и NT 4.0 с функциями безопасности, реализованными в пакете SP6a.

В бюллетене Microsoft Security Bulletin MS00-047 (Patch Available for «NetBIOS Name Server Protocol Spoofing» Vulnerability) содержится предупреждение, что при активизации элемента NoNameReleaseOnDemand в журнал событий записывается множество сообщений о событии ID 4320. Система будет регистрировать сообщение с этим идентификационным номером всякий раз при получении широковещательного запроса на освобождение имен типовых групп. Эти запросы поступают от систем, которые уже зарегистрировали имена групп и освобождают имена в ходе стандартного процесса завершения работы. Сообщения можно игнорировать.

Максимальная безопасность

Описанные в данной статье приемы ориентированы на системы специального назначения, содержащие конфиденциальную информацию. С их помощью можно повысить отказоустойчивость систем, но при этом есть опасность снижения быстродействия и ухудшения функциональности сети. После каждого изменения машину следует перезагружать.

Паула Шерик - редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу:

Практически любая бизнес-функция, поддерживаемая информационными технологиями предприятия, потенциально может быть доставлена в качестве службы и размещена на внешних хост-машинах. Программное обеспечение как услуга (SaaS) является популярным подходом к организации работы ИТ-систем.

Аналитическое исследование издания InformationWeek свидетельствует о том, что процент компаний, использующих SaaS, вырос с 47% до 60% всего за 11 месяцев. Однако, поставщики SaaS, как правило, уклоняются от обсуждения сферы безопасности. Они очень мало говорят о практической безопасности, ваших правах как клиента или защищенности данных вашей компании.

InformationWeek прогнозирует, что рост SaaS и других облачных сервисов приведет в конечном итоге к коллапсу, поскольку будут изучены риски угрозы безопасности данных. В этот момент поставщики облачных услуг будут вынуждены раскрыть больше информации. До тех пор пользователям надо самим проявить осмотрительность, прежде чем разрешить размещение важных данных за пределами компании.

В случае с компаниями поменьше, все обстоит иначе. Тогда возникает серьезный вопрос: почему вам должны доверять свои данные и репутацию компании, если вы не доверяете их документам или способности разобраться в теме?

К сожалению, для подавляющего большинства компаний, трудно получить официальную информацию, необходимую для принятия решений о величине риска. В таких случаях приходится брать дело в собственные руки. Адам Илай (Adam Ely), директор по безопасности компании TiVo , поделился с изданием InformationWeek своим видением взаимодействия с провайдерами SaaS и дал несколько рекомендаций.

1. Пользуйтесь сторонними информационными источниками. Поинтересуйтесь вокруг. Используйте социальные сети. Часто вам предложат познакомиться с человеком, который поможет в получения официальных и неофициальных ответов.

3. Поищите в Интернете информацию о поставщиках и ответах на любые предыдущие инциденты в сфере безопасности. Некоторые провайдеры, такие как Google, публикуют сообщения об их взглядах на безопасность и управление рисками. Чтение их может рассказать вам много нового.

4. Попросите провести контрольные тесты. Вам никогда не позволят оценить каждый элемент управления, имеющий значение, но сканирование нескольких уязвимостей и проверка кода могут обеспечить понимание практики поставщика SaaS. Большинство авторитетных поставщиков позволяет клиентам проводить некоторые испытания с предварительным уведомлением. Если провайдер показывает слабый контроль над простейшими элементами, есть смысл подумать, что необходима более продвинутая защита.

5. Используйте ваше влияние на полную катушку. Поставщики SaaS, как и остальные, пытаются строить свой бизнес, им всегда нужна маркетинговая подкормка. Даже если ваша компания не в Fortune 500, ваш частный случай использования услуг этого вендора, или вашей отрасли могут послужить ценной ссылкой для поставщика. Используйте это в качестве разменной монеты, чтобы получить более глубокое понимание безопасности и другой информации.

Иногда дело доходит до шестого чувства. Если продавец не внушает доверия, или заметны основания для сомнений в качестве его работы по управлению рисками от вашего имени, двигайтесь дальше, говорит эксперт. Новые поставщики появляются постоянно.

Авария на шахте «Распадская», в результате которой погибло 66 человек, и последовавшая за ней авария на шахте «Алексеевская» в городе Ленинск-Кузнецкий, похоже, все-таки приведут к давно ожидавшемуся ужесточению требований к безопасности труда на российских горнодобывающих предприятиях. Очертания новых порядков пока прорисованы в общем виде. Что необходимо предпринять?

Американская неправительственная организация , специализирующаяся на исследованиях в области окружающей среды, энергетики и полезных ископаемых, изучила развитие угледобывающей отрасли в США с 1930-х по 1990-е годы. За это время количество травм на единицу отработанного времени снизилось в США примерно в 2,6 раза, а количество смертельных случаев - в 7 раз. В исследовании намечается пять основных шагов , позволивших добиться такого результата. В последние годы в России смертность на шахтах в среднем втрое выше, чем в США, а в некоторые годы превышала американскую более чем в шесть раз, притом что количество занятых в угольной промышленности в обеих странах почти одинаково (133 400 в Америке и 164 800 человек в России, по данным за 2009 год).

Смертность на угольных шахтах в России и США

Россия США

Источник: Ростехнадзор, Mine Safety and Health Administration

Какие из принятых в США мер осуществляет Россия и насколько успешен этот процесс?

Создание органа, следящего за безопасностью на шахтах

Как заявил на видеоконференции в понедельник Владимир Путин, в России будет создан отдельный Горный надзор в структуре Ростехнадзора, который будет заниматься исключительно вопросами безопасности в области горнодобычи. Его американский аналог, Администрация по безопасности и охране труда на шахтах Mine Safety and Health Administration (MSHA), появился еще в 1977 году, сразу после принятия одноименного закона (Federal Mine Safety and Health Act).

Поводом к принятию этого закона послужила целая серия аварий на шахтах США с большим количеством жертв. Новая администрация, инспекторы которой проверяют каждую шахту не менее четырех раз в год, а открытый разрез - не менее двух раз, получила право выписывать штрафы за любые нарушения правил безопасности, требовать выполнения собственных предписаний, добиваться устранения обнаруженных нарушений на горных предприятиях любой формы собственности. Со времени образования MSHA смертность на шахтах и разрезах США снизилась примерно в четыре раза.

В России весь Ростехнадзор пока является структурным подразделением Министерства природных ресурсов, но скоро он будет выведен в самостоятельную организацию с прямым подчинением правительству РФ. Это поднимет его статус и увеличит возможность влиять на собственников шахт и разрезов, надеется глава «Росуглепрофа» Иван Мохначук. «Я знаю случаи, когда руководство Ростехнадзора принимало решение об ужесточении каких-то вещей в отношении горнодобывающих предприятий, а министр его потом отменял. Почему, кто к нему приходил, что приносил, не знаю», - говорит Мохначук.

Право инспекторов останавливать работу шахты

У MSHA есть право приостановить работу шахты - но лишь в том случае, если предприятие не имеет возможности платить выписанные штрафы или отказывается от сотрудничества с администрацией. Необходимость увеличения полномочий MSHA в этой сфере ощущается и в США.

5 апреля 2010 года на шахте Upper Big Brunch в Западной Вирджинии взорвался метан: взрыв унес жизни 29 шахтеров и стал самой серьезной катастрофой в угольной промышленности США за последние 40 лет. За последние годы шахта сотни раз уличалась в нарушении требований техники безопасности: в 2008 году инспекторы MSHA зафиксировали 197 подобных нарушений, в 2009 году - 501, за первые три месяца 2010 года - 124. Владельца шахты, компанию Massey Energy Co, постоянно штрафовали - так, в 2009 году общая сумма штрафов составила почти $900 000, а в целом Massey Energy, владеющая 56 шахтами в США, в прошлом году была оштрафована на $13 млн. Но компания оспаривала большую часть штрафов в суде и продолжала работать.

Катастрофы последних лет на российских угольных шахтах были еще более масштабными - взрыв на шахте «Ульяновская» в 2007 году убил 110 человек, на «Распадской» в 2010 году - не менее 66 человек. Вероятно, именно поэтому Ростехнадзору уже решено дать право самостоятельно приостанавливать работу шахт в случае обнаружения грубых нарушений и отстранять от работы должностных лиц, виновных в нарушении правил безопасности.

Этот шаг, по сути, является возвратом к советской практике, говорит Иван Мохначук. «Тогда горно-технический инспектор, который не менее 50% рабочего времени должен был проводить под землей, обнаружив любое нарушение, имел право немедленно отключить электроэнергию и остановить работы. При этом он обычно ставил пломбу на электроаппаратуру. Сорвал кто-то пломбу - суд, тюрьма», - рассказывает Мохначук. С приватизацией угольной отрасли России в конце 1990-х годов инспекторы потеряли свой статус - в частности, их лишили «подземного» стажа, позволяющего выйти на пенсию в 50 лет, а размер их зарплаты стал соответствовать уровню рабочего средней квалификации.

«Потом у них отобрали право самостоятельно останавливать работу шахты, в рамках борьбы с коррупцией. Теперь это можно сделать только через суд, а шахта за это время может просто взорваться. Многие инспектора давно перестали спускаться в шахту, получая от собственников «конверты». Количество нарушений накапливалось, а потом пошли аварии», - говорит Мохначук.

Роль профсоюзов и система оплаты труда

Путин рекомендовал угольным компаниям и профсоюзам договориться о том, чтобы на постоянную часть приходилось не менее 70% зарплаты шахтеров. Именно сильная зависимость конечного размера зарплаты от объемов выработки, по мнению экспертов, заставляла работников шахт пренебрегать мерами безопасности: если участок будет закрыт на некоторое время, он не сможет выполнить план, и, как следствие, шахтеры получат лишь половину своего обычного заработка. По словам Мохначука, в ближайшее время профсоюз займется «отработкой технологии» по внедрению этой инициативы премьера в жизнь.

Власти США с подобными инициативами не выступали, поскольку урегулированием этого вопроса в США традиционно заняты отраслевые профсоюзы, в которых сейчас состоят более 90% работников американской горнодобывающей отрасли. Крупнейший из них, United Mine Workers of America, создан больше века назад. До конца решить проблему, впрочем, не удается и в США: как отмечается в очередном обзоре американской аналитической компании CostMine, «объем добычи угля до сих пор остается основным критерием при расчете размеров премии на угольных шахтах США».

Повышение штрафов за нарушение техники безопасности

Штраф, который может быть наложен на руководителя предприятия, в России не превышает 5000 рублей, на юридическое лицо - 50 000 рублей. В США директор шахты может быть оштрафован на сумму до $250 000. Профсоюз горняков намерен добиваться увеличения штрафов и выплат семьям погибших шахтеров. «Сегодня по закону выплата родственникам погибших составляет 64 400 рублей, мы будем добиваться, чтобы она была не меньше 1000-кратного размера МРОТ, или около 4,5 млн рублей», - говорит Иван Мохначук.

Техническое перевооружение

Притом что в угольных отраслях России и США занято примерно одинаковое количество людей, Америка добывает угля в несколько раз больше. В 2009 году добыча угля в США упала на 8,5% (самое значительное падение с 1958 года) и составила 1,07 млрд т. Добыча угля в России в прошлом году упала примерно на такую же величину и составила 300 млн т.

Производительность труда, позволяющая снизить количество работающих и, соответственно, количество потенциальных жертв аварий, в американской угольной промышленности начала резко расти на рубеже 1970-1980-х годов. Связано это было с внедрением новых технологий разработки угольных пластов, позволяющих увеличить добычу угля одновременно со снижением числа занятых. Только широкое внедрение технологии «длинного забоя» (longwall mining), пригодной для отработки толстых и залегающих горизонтально угольных пластов, позволило снизить количество занятых на участке добычи почти в 10 раз. Если в 1983 году по технологии «длинного забоя» разрабатывалось только 20% всех подземных угольных шахт, то к 1995-му - уже 45%. Как результат, производительность труда шахтеров за тот же период выросла более чем вдвое - с 1,59 т в час на одного работника до 3,85 т в час.

Технологическое отставание связано в большой степени с вопросом трудоустройства высвобождаемых шахтеров в регионах, где угольные предприятия являются градо- и даже регионообразующими. «Добыча угля у нас - традиционно очень трудоемкое производство, с большим количеством работников, целыми шахтерскими династиями. Как показывает практика, такие вещи очень трудно ломаются, скорее всего, процесс повышения эффективности труда будет эволюционным,

6.1. АБВР проводится каждым работником в обязательном порядке непосредственно перед началом любой работы.

6.2. АБВР проводится:

· в устной форме или письменно, с использованием Формы для записей установленного образца (см. Приложение 1);

· работником самостоятельно или совместно с руководителем.

6.3. Решение о варианте проведения АБВР принимается руководителем.

6.4. АБВР с заполнением Формы для записей проводится только руководителем, совместно с непосредственным исполнителем работ или группой работников.

6.5. В обязательном порядке АБВР с использованием Формы для записей проводится в случае, если при самостоятельном проведении АБВР работник или группа работников пришли к выводу о невозможности начинать работу.

6.6. При возникновении разногласий между работником и руководителем относительно возможности безопасного выполнения работ, работник имеет право обратиться в службу ОТ, ПБ и ООС.

· при проведении инструктажей по ОТ, ПБ и ООС перед началом работ с вновь принятыми и переведенными на данный участок работниками;

· если руководитель считает это необходимым для обеспечения качества проведения АБВР.

6.8. Работник имеет право требовать проведения АБВР совместно с руководителем.

6.9. Анализ Безопасности Выполнения Работ (АБВР) состоит из пяти шагов:

Подробное описание методики проведения АБВР приведено в Приложении 2.

6.10. При определении источников опасности необходимо пользоваться методическими рекомендациями, приведенными в Приложении 3.

6.11. При определении мер по защите от источников опасности необходимо пользоваться методическими рекомендациями, приведенными в Приложении 4.

6.12. Если работник не может провести АБВР или не может на практике выполнить меры защиты от источников опасности, он не должен начинать или продолжать работу и должен обратиться к непосредственному руководителю.

6.13. Запрещается подменять проведение АБВР использованием формы, заполненной при проведении АБВР для аналогичных работ в прошлом.

6.14. При существенном изменении условий в ходе выполнения работы необходимо остановить работу, провести АБВР заново, по методике, предусмотренной данным Стандартом.

6.15. Если предстоящая работа должна выполняться группой работников, то АБВР проводится группой работников совместно, под руководством бригадира или другого работника, назначенного руководителем.

6.16. Проведение АБВР в группе работников не отменяет индивидуального выполнения каждым работником шагов по АБВР непосредственно перед началом работы или во время работы при изменении условий.

Обучение

7.1. Все руководители, специалисты и рабочие проходят обучение методике проведения Анализа Безопасности Выполнения Работ.

7.2. Руководители высшего звена (Генеральный Директор, директора по направлениям, главные специалисты и их заместители) изучают требования стандарта по материалам, предоставленным Дирекцией по ПБ и Э.

7.3. Обучение руководителей среднего, начального звена и рабочих проводится внутренними тренерами, службами ОТ, ПБ и ООС предприятий или привлеченными по согласованию с Дирекцией по ПБ и Э Управляющей Компании внешними ресурсами (консалтинговые или тренинговые компании).

7.4. Повторное обучение руководителей среднего и начального звена, а также рабочих проводится путем включения соответствующего раздела в программы обязательного обучения и инструктажи по ОТ, по рекомендованным Дирекцией по ПБ и Э материалам.

7.5. Службы ОТ, ПБ и ООС совместно с кадровыми службами предприятий организовывают оперативное обучение по АБВР для всех вновь принятых работников.

Порядок внесения изменений

8.1. Предложения по внесению изменений (дополнений) в данный Стандарт направляются в Дирекцию по ПБ и Э Управляющей Компании.

8.2. Предложение о внесении изменений (дополнений) должно содержать:

· номера пунктов, в которые предлагается внести изменения (дополнения);

· текст предлагаемого изменения (дополнения);

· обоснование необходимости внесения изменения (дополнения).

8.3. Изменения и дополнения вносятся в соответствии с внутренними регламентами Управляющей Компании.

Записи

9.1. Управление записями осуществляется в соответствии с требованиями ПР-4.5.4-01 «Порядок управления записями Интегрированной Системы Менеджмента ОТ, ПБ и ООС».

9.2. Перечень записей, предусмотренных данным Стандартом, приведен в Таблице 1.

Таблица 1.

Приложения

Приложение 1 – Образец Формы для записи АБВР.

Приложение 2 – Методика проведения АБВР.

Приложение 1

(обязательное) Образец формы для записи АБВР

Приложение 2

(обязательное)

Методика проведения АБВР«5 шагов к безопасности»

АБВР – это обязательная последовательность действий, которая выполняется работником самостоятельно или с участием руководителя непосредственно перед началом работы. Результатом проведения АБВР является принятие решения о возможности безопасного выполнения работы.

• Мысленно разбейте работу на этапы.
• Определите, какие источники опасности для жизни и здоровья существуют или могут появиться на каждом из этапов.
• Определите, какие источники опасности для окружающей среды существуют или могут появиться на каждом из этапов.
• Определите, какие опасные события могут произойти (как источники опасности могут воздействовать на людей и окружающую среду).

• Для каждого источника опасности для жизни и здоровья людей определите:
• кто может пострадать,
• насколько тяжелыми могут быть последствия.
• Для каждого источника опасности для окружающей среды определите, к каким последствиям может привести его воздействие на окружающую среду.

• Какие меры необходимо принять для защиты жизни и здоровья людей?
• Какие меры необходимо принять для предотвращения загрязнения окружающей среды (воды, воздуха, почвы)?
• Есть ли у вас необходимые навыки, оборудование и приспособления?
• Что еще необходимо сделать?

• Знаете ли вы, как действовать в аварийной ситуации?
• Сможете ли вы вызвать помощь?
• Сможете ли вы оказать помощь?

Шаг 5

Принять решение о возможности начинать работу.

• Были ли выполнены все необходимые меры защиты от источников опасности?
• Уверены ли вы, что работу можно выполнить безопасно?
• Уверены ли вы, что не произойдет загрязнения окружающей природной среды?
• Если не уверены, не начинайте работу! Обратитесь к руководителю. Разработайте и выполните необходимые меры защиты!