«Людей сажали в тюрьму, хотя было ясно, что виной всему – сбой в компьютерной системе»
I
Когда Эрика Кристакис отправляла электронное письмо студентам своего колледжа{42}, она никак не ожидала, что это сообщение вызовет такую жаркую дискуссию во всем кампусе Йельского университета, привлечет внимание целой страны и заставит обиженных студентов выступить против нее и ее мужа, профессора Николаса Кристакиса. Они с Эрикой возглавляли колледж Силлиман Йельского университета, жилая территория которого вмещала более 400 студентов. Здесь же находились библиотека, кинотеатр, студия звукозаписи и столовая.
Накануне праздника Хеллоуин в 2015 году комитет по межкультурным отношениям университета разослал студентам электронные письма, призывая их не облачаться в костюмы, которые «были бы неуместны по расовым или культурным соображениям». Это сообщение появилось в контексте обсуждения{43} произошедших в США событий, связанных с расовым и культурным неравенством, в частности инцидентами с расстрелом афроамериканцев полицейскими, массовым убийством белым расистом девяти чернокожих прихожан в церкви Южной Каролины, а также выступлениями и протестами активистов движения Black Lives Matter[6].
Эпизод с официальным университетским указанием относительно Хеллоуина привлек внимание Эрики и Николаса. Эрика, специалист по дошкольному воспитанию, ответила на электронное письмо комитета по поводу уместности костюмов. Хотя она высказала понимание озабоченностью комитета, адекватность решения администраторов, ограничивающих поведение студентов, с ее точки зрения, все же вызывала вопросы. «Разве мы потеряли веру в способность молодых людей – и вашу – к самодисциплине и соблюдению социальных норм, а также к тому, чтобы не обращать внимания на то, что вас беспокоит?.. О чем говорит этот спор по поводу Хеллоуина с точки зрения нашей оценки молодых людей, их сильных сторон и их суждений?»
В ответ группа студентов разместила в социальных сетях ее открытое письмо и начала собирать подписи под петицией за отставку Эрики и Николаса. Спустя несколько дней это противостояние обострилось. Николас шел по двору колледжа, в этот момент его окружила группа студентов и, осуждая профессора за поддержку Эрики, начала требовать извинений{44}.
Николас ответил, что его обязанность – слушать студентов, а не извиняться перед ними. Он пояснил свою позицию так:
Я извинился за то, что задел вас… это не то же самое, что извиняться за свои слова. Я выступаю за свободу слова… Даже если это слово кого-то обижает, то есть особенно, если оно кого-то обижает. Я согласен с тем, что вы говорите. Я так же против расизма, как и вы. Я так же против социального неравенства, как и вы. Я жизнь посвятил поиску решений этих проблем… Но свобода слова – это несколько иное, это защита права любого говорящего высказать свою точку зрения, включая и вас.
Однако толпа только распалялась. Кто-то выкрикнул: «Он не заслуживает, чтобы его слушали!»
Тут вперед выступила одна из студенток, а когда Николас попробовал прервать ее, она закричала: «Молчать!»
Эта студентка утверждала, что главная задача директора колледжа состоит в создании «домашней обстановки» для студентов, а не в формировании климата для дискуссий. Когда Николас не согласился с этим, студентка окончательно сорвалась. «Какого черта вы вообще заняли должность директора? Кто вообще вас нанял? – орала она. – Чтоб вам мучиться от бессонницы по ночам. Вы отвратительны!»
Эти споры удивительны не содержанием, а тем, как быстро они завладели вниманием всей страны. Некий активист, побывавший в тот день в жилом комплексе колледжа, снял видео этого противостояния и разместил его в социальных сетях. То, что даже по прошествии многих лет осталось бы внутриуниверситетским делом, взорвало социальные медиа.
А они сильно влияют на реальный мир. В конечном счете Эрика и Николас подали в отставку{45}. Вирусное видео навлекло большие неприятности и на чернокожую студентку, которая вышла из себя во время спора с Кристакисом. Ее стали называть «визжащая девчонка», были раскрыты ее имя и фамилия, девушку осуждали и за то, что она, как оказалось, была из очень состоятельной семьи. На одном сайте появилась информация, что ее родителям принадлежал дом за 700 000 долларов в элитном городке в штате Коннектикут{46}. Между тем комментарии к сообщениям и статьям об этом событии наполнились расистскими и угрожающими высказываниями. История быстро попала в международные СМИ, от Гонконга до Венгрии. Такого паблисити Йельскому университету было не нужно.
Когда Чик Перроу опубликовал тезисы своей концепции системных сбоев в 1984 году, таких информационных технологий, которые оказались задействованы в истории с колледжем Силлиман, еще не существовало. Сегодня смартфоны усложняют системы, поскольку связывают события и обстоятельства, которые не всегда были связаны, например эпизод на территории колледжа, который превратил конфликт в мировую новость. Такие видео, усиленные стараниями социальных медиа, становятся частью жестко связанной системы: они распространяются со скоростью молнии и этот процесс нельзя остановить.
А в 1984 году университеты были очевидными примерами слабо связанной системы. Сегодня все уже не так однозначно. Причем это касается не только университетов. С тех пор как Перроу выдвинул свою изначальную концепцию, многие системы, которые он классифицировал как линейные или нежестко связанные, стали сложными и «зазор» в них исчез. Самые разные системы все больше смещаются в опасную зону.
Возьмите плотины, которые Перроу считал жестко связанными, но не сложными системами. Если что-то в эксплуатации плотины пойдет не так, она может затопить и разрушить обширную территорию. Но все же плотины, как утверждал Перроу, представляют собой простые линейные системы с небольшим числом неожиданных взаимодействий, что располагает их вне опасной зоны.
Если вы посещали плотину в 80-х годах, то, скорее всего, вам ее показывал смотритель – человек, который жил поблизости и отвечал за безопасность сооружения. Сегодня рядом с плотиной можно никого и не встретить. Ее операторы сидят далеко, в аппаратных комнатах, очень похожих на помещения щита управления на АЭС, и принимают решения, не видя саму плотину.
Федеральный инспектор гидротехнических сооружений Патрик Реган{47} недавно пересмотрел выводы Перроу и обнаружил, что с 90-х годов новые технологии и правила полностью изменили порядок управления плотинами. Когда всем заправлял смотритель, этот порядок был прост. Если необходимо было понизить уровень воды, чтобы она не переливалась через плотину, человек шел к соответствующим шлюзам и нажимал на переключатель, открывая их. Смотрители собственными глазами видели, сработали в действительности нужные водосбросные шлюзы или нет.
Но сегодня удаленный оператор всего лишь кликает стрелкой на мониторе компьютера и «получает сигнал от сенсора, что шлюзы занимают правильное положение, – писал Реган. – Если сенсор дает ошибочную информацию, у оператора нет представления о том, открывается ли шлюз и насколько»{48}.
Последствия предугадать легко. Например, когда от шлюзов плотины Nimbus Dam в Калифорнии оторвался переключатель шлюзов, операторы оказались в неведении относительно реального положения их ворот{49}. Техники не знали, какой объем воды был выпущен из водохранилища, а внизу по течению люди оказались в опасности. И хотя трагедии удалось избежать, ситуация была начальной стадией классического сбоя системы. Для того чтобы система начала выходить из-под контроля, оказалось достаточно небольшого механического повреждения и ложных показаний индикатора.
Реган утверждает, что сегодня плотины перебрались в ту же самую опасную зону, что и атомные электростанции. Их операторы управляют сложной системой и полагаются на косвенные показания индикаторов. Последствия не могут не тревожить. Как пишет Реган, «по мере того как системы, управляющие плотинами, становятся все более сложными, вероятность возникновения в них сбоев увеличивается».
II
В своей первой книге, написанной в 1984 году, Перроу уделил мало внимания финансам. Финансовая система даже не была включена в его матрицу сложности и жесткости соединений. Однако в последующие три десятилетия финансовая сфера стала отличным образцом сложных и жестко связанных систем{50}. Примером тому может стать финансовый кризис 1987 года, когда биржевые котировки рухнули более чем на 20 % за один только день. В течение продолжительного периода, предшествовавшего кризису, многие крупные инвесторы начали применять портфельное страхование[7] – стратегию торговли ценными бумагами, которая создавала непредвиденные связи между разными игроками. Эта торговая стратегия также повысила жесткость связей в системе, потому что в случае падения цен на акции программы портфельного страхования начинали автоматически продавать их значительно больше, тем самым дополнительно опуская цены.
Через десять лет именно такая нисходящая ценовая спираль{51} нанесла удар по хедж-фонду Long-Term Capital Management (LTCM). Этот крупный фонд привлек огромные заемные средства компаний с Уолл-стрит на общую сумму в 100 млрд долларов для того, чтобы вложить их в различные активы – такие как высокодоходные российские облигации, – которые считались дешевыми на основе рассчитанных фондом компьютерных моделей. В результате LTCM оказался в центре сложной финансовой паутины. В конце 1998 года, когда Россия объявила дефолт по своим финансовым обязательствам, эта паутина начала распадаться. В конечном счете Федеральная резервная система США вынуждена была создать пул банков, которые инвестировали 3 млрд долларов в LTCM в целях сдерживания кризиса.
Спустя десять лет массированные вложения в ипотечные ценные бумаги и кредитные дефолтные сделки резко повысили сложность и жесткость связей в крупнейшем американском инвестиционном банке Lehman Brothers и привели к его банкротству. Оно ускорило наступление мирового финансового кризиса. А все могло обернуться еще печальнее. Как написал Эндрю Росс Соркин в своей книге «Слишком большие, чтобы рухнуть», вся финансовая система Америки чуть не потерпела полный крах из-за глубоких и непрозрачных связей между банками{52}.
В одном из интервью в 2010 году Перроу сказал, что финансовая система «превосходит по своей сложности любую из атомных электростанций»{53}, которые он изучал. Потом, летом 2012 года, сложность и жесткость связей вызвали катастрофу среди крупнейших финансовых компаний Уолл-стрит.
1 августа 2012 года должно было стать очередным относительно спокойным летним днем на Уолл-стрит{54}. Из Европы, где развивался долговой кризис, больших новостей не приходило. Новых важных экономических индикаторов не ожидалось. Однако, когда открылась Нью-Йоркская фондовая биржа, цена акций швейцарской фармацевтической компании Novartis как будто взбесилась. В течение десяти минут сменились владельцы почти дневного объема торговли этими акциями, а заявки на них все поступали и поступали.
В небольшом офисе в небоскребе неоклассического стиля рядом с Уолл-стрит автоматизированная система покупала тысячи акций компании Novartis, пока не уперлась в заранее установленный нижний предел цены и не прекратила торговые операции. Система издала громкий сигнал, что привлекло внимание Джона Мюллера. Мюллер, компьютерный аналитик и выпускник Массачусетского технологического института, разработал основную часть автоматизированной торговой платформы фирмы, где он работал. Именно путем торговли пакетами акций с очень высокой скоростью фирма и зарабатывала свои деньги.
Что за черт? Мюллер вывел информацию об акциях Novartis на портале Bloomberg. Хотя стоимость акций достигла минимума, компания не делала никаких заявлений о том, почему это происходит. И Мюллер не был одинок в своей озадаченности: странное поведение акций удивило всех брокеров Уолл-стрит.
Таблицы на мониторе Мюллера показывали две противоположные картины. Красным были обозначены потери от прежних приобретений его фирмой акций Novartis, поскольку они продолжали дешеветь. Другая колонка, зеленая, показывала прогноз, основанный на его модели: цена акций очень низкая, и Мюллеру следует скупать их как можно больше. Пока взгляд Мюллера метался между этими двумя колонками, он увидел то, что заметили и другие торговцы на фондовой бирже: точно такая же противоречивая информация появилась в отношении акций других компаний, от General Motors до Pepsi. Это означало, что проблема, видимо, заключается не в самих компаниях, а в чем-то другом. Вскоре по офисам и торговым залам Уолл-стрит поползли слухи: одна из теорий заключалась в том, что что-то случилось в хорошо известной брокерской фирме Knight Capital.
Том Джойс, генеральный директор фирмы Knight, развалился на диване и смотрел спортивную программу Sports Center. Ти Джей, как все его называли, в принципе должен был находиться в офисе фирмы в городе Джерси. Но в тот день он остался дома в элитном городке Дариен, штат Коннектикут. Тома незадолго до этого прооперировали, его колено было тщательно забинтовано, и на нем лежал лед.
Около десяти часов утра ему позвонил руководитель торговых операций: «Ты не смотрел канал CNBC? У нас ошибка в электронной торговой системе – и большая». Сбой в компьютерной сети – детали были известны еще только в общих чертах – привел к тому, что фирма уже за первые полчаса торгов заключила непреднамеренных сделок на 6,5 млрд долларов. Ти Джей ужаснулся от мысли о возможных последствиях: такая ситуация – просто кошмар с точки зрения правил регулирования фондового рынка, она могла угрожать самому существованию брокерской компании.
В течение тридцати минут электронная торговая система компании Knight, будто сойдя с ума, рассылала сотни заявок в секунду на покупку акций 140 компаний. Именно эти заявки и стали причиной аномалий, которые Джон Мюллер и сотни других брокеров Уолл-стрит наблюдали на экранах своих мониторов. А поскольку ошибка биржевого робота фирмы Knight всколыхнула весь рынок настолько заметным образом, брокеры смогли перестроить свои позиции. Knight оказалась в роли игрока в покер, карты которого стали известны соперникам. Но обратного хода уже не было. В течение тридцати минут ошибочных торгов компания теряла по 15 млн долларов ежеминутно{55}.
Из машины по дороге в офис Ти Джей сделал один из важнейших телефонных звонков за свою карьеру. Он пытался убедить Мэри Шапиро, председателя Комиссии по ценным бумагам и биржам, что торговые операции компании Knight должны быть отменены, потому что они были откровенно ошибочными. Один из IT-специалистов в офисе компании неправильно скопировал новую версию торгового программного обеспечения на серверы фирмы. «Вы можете быть уверены в том, что с юридической точки зрения это была именно ошибка», – настаивал Ти Джей. Шапиро ответила, что должна обсудить ситуацию со своими коллегами.
Ти Джей сморщился от боли, вылезая из машины и хватая костыли. Поднимаясь на лифте в офис, он все недоумевал, как подобная тривиальная ошибка могла нанести компании такой урон. Как простая безалаберность единственного сотрудника могла стоить фирме 500 млн долларов?
Хотя компьютерный сбой стал причиной огромных убытков компании Knight, корни проблемы лежали гораздо глубже. Предшествовавшее десятилетие технологических инноваций на Уолл-стрит создало отличные условия для катастрофы. Технологии и новые правила регулирования превратили торговые операции на бирже из разрозненной и не очень эффективной сферы деятельности, строившейся в значительной степени на личных связях между игроками, в жестко связанный механизм, в котором начали доминировать компьютеры и алгоритмы. Компании типа Knight, которые когда-то использовали в основном трейдеров в торговом зале и телефонные звонки для заключения сделок, вынуждены были адаптироваться к новой действительности.
В 2006 году большинство торговых сделок с ценными бумагами на бирже были автоматизированы. Тогда в США была создана система под названием Regulation National Market System (Система регулирования национального рынка ценных бумаг), или Reg NMS. Хотя многие эксперты говорят о фондовом рынке США как едином целом, на самом деле в нем больше дюжины отдельных фондовых бирж, притом что в каждой действуют несколько различные правила, но все они могут проводить сделки на любых биржевых площадках.
Организация Reg NMS принесла с собой две важные перемены. Первое: она убрала человека из торгового цикла, установив, что автоматически биржевые заявки (ордера) будут оформляться очень быстро. До этого заявка инвестора на приобретение какого-то пакета акций могла лежать в течение нескольких минут, до тех пор пока трейдер лично не сравнивал ее с заявкой другого инвестора и не осуществлял сделку. Второе: Reg NMS уравняла биржевые площадки в том отношении, что фондовые биржи стали теперь связаны друг с другом и взаимно признавали принятые другими правила. Представьте себе, что инвестор посылает заявку на Нью-Йоркскую биржу (NYSE) на покупку 100 акций корпорации IBM. В прошлом эта заявка осталась бы в NYSE даже в том случае, если другая биржа предложила бы за акции более низкую цену. Но система Reg NMS обязала все биржи адресовать заявки другим площадкам, если те предлагают инвесторам более привлекательные цены. Это создало по-настоящему единый национальный биржевой рынок.
Хотя брокерская фирма Knight Capital не была широко известна за пределами Уолл-стрит, она довольно успешно работала и с ордерами небольших инвесторов, которые поступали через таких брокеров, как, например, E-Trade, Fidelity и TD Ameritrade, и с заявками крупных инвесторов наподобие пенсионных фондов. Ордера поступали на серверы компании, где компьютерный код под названием Smart Order Router определял, что с ними делать: отправлять от имени Knight прямо на фондовую биржу, сравнивать с другими заявками в собственной внутренней электронной торговой системе или поступать с ними каким-то другим образом.
Компания Knight совершенствовала используемые технологии, чтобы соответствовать переменам, происходящим на фондовом рынке. Благодаря появлению Reg NMS количество биржевых площадок в Америке резко возросло. Давно существующие и известные биржи типа Nasdaq и NYSE постоянно работали над модернизацией действующих правил, чтобы привлекать более широкие слои клиентов – от профессиональных трейдеров и больших пенсионных фондов до индивидуальных инвесторов, вкладывающих в ценные бумаги свои личные сбережения.
Переход к полностью автоматизированному рынку ценных бумаг стал революцией в сфере финансов. Использование компьютеров снизило операционные расходы{56}, повысило скорость торгов и позволило трейдерам увереннее контролировать свои заявки. Однако наряду с этим созданный Reg NMS рынок стал характеризоваться значительно большей сложностью и жесткостью связей, что привело к неожиданным последствиям. Например, 6 мая 2010 года американские биржи пережили событие, которое назвали «кризисом-вспышкой»{57}. В ходе него небольшой сбой мгновенно затронул акции сотен компаний, и многие из них рухнули в цене до стоимости одного цента. Правда, несколько мгновений спустя ситуация стабилизировалась. Это был один из самых странных дней в истории Уолл-стрит, что говорит о многом.
Теперь виновницей катастрофы, вынесенной в заголовки всех американских СМИ, стала компания Knight.
Указать на точную причину краха компании Knight достаточно сложно. Но начать, пожалуй, можно с октября 2011 года. В том месяце Нью-Йоркская фондовая биржа предложила новый метод торговли для небольших инвесторов: программу розничной ликвидности (Retail Liquidity Program – RLP). Эта программа создавала некое подобие «теневого рынка» для некрупных клиентов, позволяя им осуществлять сделки по ценам, более выгодным, чем действовавшие в конкретный момент на долю цента. Программисты компании Knight несколько раз в год модернизировали программное обеспечение фирмы, что сделали и сейчас, обеспечив таким образом клиентам доступ к новой программе.
Клиенты компании должны были указать, что их торговые ордера были включены в программу RLP. Чтобы облегчить эту задачу, в программу добавили так называемый флажок. Этот флажок, среди прочего, обозначал, что обрабатывать этот ордер следует особым образом, и предписывал электронной системе направлять его в программу RLP. Такой флажок, как наклейка «Осторожно, хрупкое» на посылке: он не изменяет ее содержимое, но сигнализирует о необходимости особого обращения с упаковкой. Когда брокерские фирмы наподобие Fidelity направляли в компанию Knight ордера, предназначенные для программы RLP, они прикрепляли к ордеру флажок – букву «P» (она входила в аббревиатуру RLP) в специально отведенном для этого месте.
Если электронная система маршрутизации ордеров фирмы Knight под названием Smart Order Router (Умный маршрутизатор ордеров) получала ордер с флажком, она направляла его в ту часть торговой системы, которая знала, что с ним делать дальше.
Много лет компания Knight использовала тот же флажок для обозначения другого вида ордера, который назывался Power Peg («большой заказ»). Когда трейдер присылал такую заявку, электронная торговая система компании делила его на более мелкие пакеты и посылала серию ордеров с целью снизить колебания цен на акции под воздействием большого заказа. Power Peg была устаревшей функцией, которую прекратили поддерживать еще в 2003 году, но программисты не удалили ее из торговой системы, просто сделали недоступной. Несколько лет спустя в код системы были внесены изменения, которые подразумевали, что программа Smart Order Router больше не будет отслеживать торговые сделки ордеров Power Peg. В принципе это было уже и не нужно, ведь функция была отключена. Ошибки никто не заметил.
Таким образом, безопасные на первый взгляд шаги – запуск программы RLP, сохранение в системе функции Power Peg, отключение возможности отслеживать такие сделки, а также использование в новой программе Smart Order Router старого флажка – создали условия для финансовой катастрофы. За несколько дней до запуска RLP IT-специалист фирмы Knight обновлял программное обеспечение в системе электронной торговли. Чтобы убедиться, что проблем не возникнет, он сначала установил обновление только на нескольких серверах. Все прошло хорошо, и техник проделал то же самое на всех восьми серверах компании. Или, во всяком случае, собирался. В итоге получилось так, что на семи серверах был запущен новый код RLP, а на восьмом остался старый – тот самый с функцией Power Peg.
Утром 1 августа в торговую систему компании Knight поступили сотни ордеров от брокеров-дилеров, чьи клиенты могли участвовать в программе розничной ликвидности. Семь серверов обрабатывали ордера правильно и посылали их на Нью-Йоркскую фондовую биржу как ордера RLP. Но на восьмом сервере случилась беда.
Когда в 9:30 открылась Нью-Йоркская биржа, этот сервер начал обрабатывать присланные клиентами заявки. Но код RLP в нем не был установлен, поэтому вместо того, чтобы направлять каждый полученный ордер на биржу по фиксированной цене, сервер рассылал сотни ордеров в секунду, один за другим, причем цену устанавливал дефектный код Power Peg, сохранившийся на этом сервере. Нью-Йоркскую фондовую биржу наводнили ордера на покупку акций более ста компаний, включая Ford, General Motors, Pepsi и ту швейцарскую фармацевтическую компанию, на которую обратил внимание Джон Мюллер, – Novartis.
Хотя заполненные ордера не отражались во внутренних системах компании Knight, они были перехвачены мониторинговой программой, которая следила за некорректными операциями. Однако эта программа не предоставила подробной информации о содержании и происхождении заявок, поэтому менеджеры поначалу не осознавали всей серьезности ситуации. И, подобно компьютеру на АЭС Three Mile Island, который во время аварии выдавал только знаки вопроса, мониторинговая система Knight быстро утратила контроль над происходящим.
К тому времени когда компании удалось устранить проблему, она уже находилась на грани банкротства.
Финансовая катастрофа, постигшая фирму Knight, 30 лет назад была бы невозможна. Пока в торговле ценными бумагами не стали доминировать компьютеры, большинство сделок проводилось в ходе личного контакта покупателей и продавцов в торговом зале биржи. Это делало транзакции более понятными и уменьшало вероятность возникновения неожиданных взаимодействий. Когда происходило что-то странное, например клиент обращался с неожиданно крупной заявкой, трейдеры могли перепроверить ситуацию перед тем, как осуществить сделку. Это делало фондовый рынок достаточно слабо связанной системой. А если возникало недопонимание, то трейдеры могли просто побеседовать с клиентом и отменить некорректную операцию. Однако резкий рост использования компьютеров в торговле ценными бумагами превратил современную финансовую отрасль в сложную, малопрозрачную и не прощающую ошибок среду.
Когда Ти Джей добрался до своего офиса, он и его команда топ-менеджеров начали обсуждать пути получения срочного инвестирования от своих торговых партнеров, поскольку стоимость собственных акций фирмы Knight резко упала. На следующий день после происшествия Ти Джей – с больным коленом и прочим – появился на канале Bloomberg Television и попытался успокоить инвесторов: «Техника дает сбои. Это плохо. Мы этого не хотим, но все же такое случается».
Тому Джойсу с большим трудом удалось спасти компанию. К концу недели он добился значительных денежных вложений в фирму, а через несколько месяцев Knight объявила, что она сливается с фирмой Getco, своим бывшим конкурентом. Вскоре после слияния Ти Джей покинул объединенную компанию.
«Я не думаю, что кто-то из нас застрахован от проблем, – сказал он нам. – Задним числом все мы думаем и бегаем быстрее, а прыгаем выше. До того как возникает проблема, принимается масса мер предосторожности». Но этих мер бывает недостаточно. Фирмы, подобные компании Knight, сместились в опасную зону намного дальше, чем кто-либо мог предположить.
III
10 апреля 2010 года. День у Калеба Холлоуэя начался хорошо. Он был долговязым парнем двадцати восьми лет, работал помощником бурильщика на одной из самых сложных современных нефтяных платформ. Холлоуэй и его коллеги заканчивали бурение разведочной скважины на нефтеносном участке Macondo Prospect, принадлежавшем корпорации British Petroleum (ВР). В то утро начальник платформы Джимми Харрелл вызвал Холлоуэя в свой кабинет. Там на небольшой церемонии, в присутствии других управляющих платформы, Харрелл вручил Калебу серебряные часы – награду за то, что бурильщик обнаружил изношенный болт в ходе инспекции оборудования.
А почти через 12 часов после этого Холлоуэй едва избежал гибели{58}. Глина и нефть, выброшенные из скважины под огромным давлением, били фонтаном высоко над платформой, называвшейся Deepwater Horizon. Через несколько минут от работающих двигателей загорелось газовое облако. Члены команды спустили полупустые спасательные лодки или спрыгнули в темные воды Мексиканского залива с высоты 18 м. Некоторые не смогли выбраться с платформы – погибло 11 человек. Прежде чем затонуть, платформа Deepwater Horizon горела два дня, выбрасывая пламя на такую высоту, что его было видно с расстояния в 50 км{59}.
Последующие три месяца из скважины глубиной 1,5 км беспрепятственно вытекала нефть. Наконец, через 87 дней после взрыва, компании ВР удалось запечатать скважину. Но к тому времени почти 5 млн баррелей нефти вытекло в Мексиканский залив, в результате чего образовалось огромное плавающее нефтяное пятно.
Название буровой платформы Deepwater Horizon («Глубоководный горизонт») было исполнено большого смысла. За год до того, как на ней произошел взрыв, с платформы пробурили самую глубокую на тот момент скважину в мире. Она проходила на 1,6 км сквозь толщу воды и вгрызалась в морское дно на глубину еще 8 км. Такие нефтедобывающие компании, как ВР, брали платформы в лизинг для открытия новых месторождений нефти. Однако процесс бурения на такую глубину резко повысил сложность и жесткость связей во всей системе работ. ВР рисковала, все дальше и дальше заходя в опасную зону. А при стоимости лизинга 1 млн долларов в день эксплуатация Deepwater Horizon была совсем не дешевым делом. Поэтому инженеры торопились закончить работу на участке Macondo и перейти к новым проектам.
Авария на буровой платформе произошла не из-за изношенного болта или чего-то подобного, что могли бы обнаружить бурильщики при очередной инспекции оборудования. Все случилось из-за неспособности ВР справиться с возросшей сложностью всей системы буровых работ.
Как радиация не дает возможности прямо наблюдать за активной зоной реактора, так и глубоководная среда с ее колоссальным давлением закрывала от взора людей то, что происходило внутри скважины. Бурильщики не могли отправить кого-то на километры внутрь земли, чтобы посмотреть, как там развивалась ситуация. Вместо этого они полагались на компьютерные модели и косвенные измерения, такие как показатель давления в скважине или производительности насосов.
Когда инженеры ВР приняли ряд рискованных решений – в частности, проигнорировали настораживающие показатели роста давления в скважине{60} и не провели необходимые тесты ее прочности{61}, – сложность системы заслонила возникшие проблемы. Команда платформы Deepwater Horizon балансировала на грани катастрофы, даже не осознавая этого.
Пока экипаж платформы боролся с пожаром, сложность нанесла новый удар: системы безопасности платформы оказались излишне запутанными. Например, для активации только одной из противопожарных систем нужно было нажать целых тридцать кнопок, а «Руководство по борьбе с чрезвычайными ситуациями» описывало столько всевозможных случаев, что команда не могла определиться, каким инструкциям следовать. Когда произошла авария, экипаж платформы буквально замер в нерешительности. Сложность систем безопасности парализовала людей.
Сама платформа, бурившая нестабильные геологические породы дна Мексиканского залива, оказалась жестко связанной структурой. Когда случилась авария, систему нельзя было отключить, а потом запустить вновь. Для нефти и газа не было другого способа выйти из скважины, кроме движения вверх.
Платформа Deepwater Horizon была чудом инженерной мысли, которая раздвигала границы возможного в процессах бурения. Но даже оказавшись далеко в опасной зоне, эта система полагалась на меры безопасности, более подходящие для простых и щадящих условий.
Компания Transocean, которой принадлежала платформа, уделяла много внимания определенным аспектам техники безопасности. «Совещания по этим вопросам проходили постоянно, – вспоминал Холлоуэй. – Еженедельные и ежедневные совещания по безопасности»{62}.
Команда даже помогала записать видео в стиле рэп{63}, посвященное тому, как в повседневной работе на буровой защищать свои руки. Там были такие слова:
Безаварийное рабочее место
Прежде всего.
Сначала все спланируй
И береги свои руки.
Машинист, работаешь с двигателем?
Береги свои руки!
Разнорабочий, подающий трубы,
Береги свои руки!
Помощник, соединяя трубы,
Береги свои руки!
На ВР так же тщательно следили, чтобы кто-то не ушибся или не поскользнулся, придавалось большое значение предотвращению производственного травматизма. Как объяснял один из бывших инженеров компании: «Руководство ВР{64} сосредоточилось на простых аспектах безопасности: от работников компании требовали, чтобы при ходьбе по лестнице они всегда держались за поручень, часами рассказывали о преимуществах парковки машин задом к ограждению, чтобы потом легче было выезжать, и предупреждали об опасности отсутствия крышки на пластиковом стаканчике с горячим кофе{65}. Однако в более сложных вопросах, например инвестирования в содержание и ремонт различного оборудования, они не проявляли столько же энтузиазма».
Они больше волновались о том, чтобы люди не разлили кофе, а не о том, чтобы по океану не разлилась нефть.
Такой подход на первый взгляд выглядит абсурдным, но компании видели в нем глубокий смысл. Обожженные руки, падения и поскальзывания, а также автоаварии означали для фирм значительные потери рабочего времени и стоили дорого. Кроме того, такого рода происшествия легко отследить, составить статистику травматизма и влияния на него мер безопасности и показать, как позитивно они воздействуют на финансовые итоги работы компании. Меньшее количество травм дает наглядные результаты – снижение расходов и увеличение прибыли квартал за кварталом. Эти результаты создают иллюзию безопасности. Невероятно, но эта иллюзия сохранилась даже после аварии на платформе Deepwater Horizon. «Несмотря на трагическую гибель людей в Мексиканском заливе, мы достигли образцовых статистических показателей в плане обеспечения безопасности, если исходить из общего числа зафиксированных в компании происшествий и тяжести их последствий, – было написано в одном из докладов компании Transocean, которые она, по действующему законодательству, должна ежегодно представлять в Американскую комиссию по ценным бумагам и биржам для обоснования стоимости своих акций. – Учитывая данные показатели, это был лучший год с точки зрения обеспечения производственной безопасности в истории компании. Это отражает нашу приверженность созданию безаварийных условий деятельности всегда и везде»{66}.
Лучший год с точки зрения обеспечения производственной безопасности? Образцовые статистические показатели?
Они замешаны в одной из самых тяжелых катастроф в истории мировой экономики, однако по их стандартам это был безопаснейший год компании.
Возможно, им нужны другие стандарты. Или кардинально новый подход.
По мере того как меняются наши системы, должны меняться и способы управления ими. Компании Knight, BP и Transocean использовали устаревшие подходы. Кстати, фирма Knight вообще не считала себя организацией, связанной с технологиями, хотя технологии и были основой ее деятельности. Методы компании больше подходили для времени, когда на фондовом рынке главным лицом был трейдер в торговом зале. Но Knight работала уже в другую эпоху.
Точно так же подходы концерна ВР и компании Transocean к вопросам безопасности, наверно, нормально работали бы в более простых системах, как, например, обычное бурение с наземных установок. В них упор на предотвращение производственного травматизма и правильное содержание оборудования (скажем, на выявление изношенных болтов) и мог бы сыграть свою роль. Но Deepwater Horizon была сложнейшей плавучей буровой платформой. Она работала непосредственно в той самой опасной зоне.
Когда Перроу выпустил книгу «Нормальные аварии» (Normal Accidents) в 1984 году, описанная им опасная зона была довольно «малонаселенной». Она включала в себя такие системы, как атомные электростанции, химические предприятия и космические полеты. С тех пор самые разные системы – от университетов и компаний Уолл-стрит до плотин и морских буровых платформ – стали намного более сложными и жестко связанными.
И никакие системы сегодня не защищены от такой трансформации, даже те, которые когда-то были самим воплощением простоты и нежесткой связанности. Представьте себе скромное почтовое отделение. В 1984 году Перроу поместил почту в самом безопасном уголке своей матрицы, далеко от опасной зоны. Эта система с наименьшей степенью вероятности могла бы «пойти вразнос». Но изменения затронули и ее.
IV
В начале 2000-х годов Королевская почтовая служба Великобритании начала использовать новую модную IT-систему под названием Horizon («Горизонт»){67}. Она стоила 1 млрд фунтов стерлингов и была гордо провозглашена «одним из самых больших IT-проектов, осуществленных в Европе»{68}. Однако через несколько лет эта система стала предметом широкого обсуждения в британском парламенте, а в английских газетах появились заголовки, подобные следующим:
Почтовая служба разрушила достойную жизнь людей{69}
Почтовая служба под огнем критики из-за своей IT-системы{70}
Субпочтмейстеры отстаивают свое доброе имя после обвинений в воровстве и подтасовке бухгалтерских отчетов{71}
В Соединенном Королевстве почтовая служба – полукоммерческая организация, которая не только предоставляет гражданам почтовые услуги, но и обеспечивает им доступ к их банковским счетам, позволяет пополнять баланс мобильных телефонов и оплачивать текущие счета. В небольших населенных пунктах почтовая служба обычно привлекает для этого владельцев небольших магазинчиков и других подобных заведений на условиях франшизы, и те работают непосредственно со своих площадок. Такие лица в Великобритании называются субпочтмейстерами.
Британская почта разработала систему Horizon, чтобы управлять оборотом сотен продуктов, предоставляемых населению субпочтмейстерами, и значительно сократить время, которое они тратили на бухгалтерскую отчетность. И во многих смыслах эта система заработала хорошо. Однако вскоре после ее внедрения некоторые владельцы таких малых торговых точек стали жаловаться, что Horizon плохо справляется со своими функциями и ошибочно показывает недостачу денежных средств и марок{72}, а кроме того, вызывает сбои в работе банкоматов{73}. Одной из причин этой ситуации могла стать необычайная широта функций системы Horizon. Как писала газета Financial Times{74}, независимый анализ показал, что «Horizon – исключительно сложная система, которую трудно совместить с другими; налицо недостаточная подготовка субпочтмейстеров; при этом появившаяся бизнес-модель возлагала на них ответственность за любые возникающие проблемы». Оказалось, что система Horizon была очень сложной и жестко связанной.
Том Браун многое повидал на своем веку{75}, будучи субпочтмейстером: он работал на этой должности тридцать лет и пережил пять вооруженных нападений. Однако с новой системой он испытывал большие трудности. Том обратился в почтовое отделение, где ему сказали: «Не волнуйтесь, мы уладим все проблемы».
Однако в ходе следующей аудиторской проверки Брауна обвинили в присвоении 85 000 фунтов стерлингов. Полиция арестовала его и обыскала принадлежащие ему дом и машину. Хотя спустя пять лет дело было закрыто, репутация Тома оказалась втоптанной в грязь. Он потерял свой бизнес, дом и более 250 000 фунтов.
Несмотря на то что некоторые субпочтмейстеры сообщали о сбоях в работе системы, почтовая служба продолжала выражать уверенность в том, что «компьютерная система Horizon во всех отделениях работает нормально, а бухгалтерские отчеты, которые она составляет, точны и заслуживают полного доверия»{76}. Более того, в ответ на требования проведения проверок британская почта высказывала недовольство тем, что ее обвиняют в сбоях системы, отмечая, «что система Horizon используется в 11 600 почтовых отделениях руководителями, агентами и тысячами субпочтмейстеров, она успешно осуществляет 6 млн транзакций ежедневно, включая операции крупнейших английских банков»{77}.
Уверенная в точности работы системы, британская почтовая служба обвинила некоторых субпочтмейстеров в воровстве, мошенничестве и фальсификации бухгалтерской отчетности, а также потребовала от них покрыть выявленные недостачи{78}. В некоторых случаях почта настояла на возбуждении уголовных дел{79}. Вот история Джо Гамильтон, которая управляла почтовым отделением в своем магазинчике в родной деревне. Женщине предъявили обвинение в недостаче 2000 фунтов:
Мне пришлось перезаложить дом и выплатить эти деньги. Сначала меня обвинили в воровстве. Мне сказали, что если я покрою недостачу и признаю 14 пунктов фальсификации отчетности, то они не будут возбуждать дело о краже. Я решила, что за фальсификацию отчетности мне вряд ли дадут срок, чего не скажешь о воровстве, и я согласилась. Если бы я не признала свою вину за отчетность, они бы засудили меня за кражу. Я не могла доказать, что ничего не брала, а они не смогли доказать, что я что-то украла. Тогда они сказали, что я была единственным человеком, у которого возникли какие-то проблемы с Horizon{80}.
После того как несколько членов британского парламента{81} выразили свою озабоченность ситуацией в почтовой службе, фирму Second Sight («Второй взгляд») привлекли для проведения независимой аудиторской проверки. Эта компания обнаружила, что проблемы могли возникнуть{82} из-за неожиданных взаимодействий в системе: «необычного стечения обстоятельств, таких как сбои в электроснабжении и связи или ошибки при проведении операций».
Second Sight также пришла к выводу, что погрешности в работе системы Horizon{83} можно объяснять хитроумными атаками киберпреступников на банкоматы. Злоумышленники разрабатывали вредоносные программные средства, чтобы обойти системы безопасности программного обеспечения Horizon. На самом деле многие из отмеченных случаев хищения денег со счетов происходили через уличные банкоматы Банка Ирландии{84}. Это позволяло сделать предположение о том, что именно эти банкоматы стали уязвимыми. Однако сложность системы Horizon{85} скрыла эту потенциальную опасность на многие годы. Между тем именно в этот период некоторые субпочтмейстеры обанкротились или оказались в тюрьме{86}.
Несмотря на чрезмерную сложность системы Horizon и растущее количество жалоб{87}, руководители британской почтовой службы сохраняли веру в нее, оспаривая выводы доклада фирмы Second Sight{88}. «После двух лет расследования абсолютно отсутствуют какие-либо доказательства того, что компьютерная система Horizon давала систематические сбои»{89}, – настаивали руководители британской почты. Но вопрос остается открытым: почтовая служба выступает ответчиком по коллективному иску{90}, который подали более пятисот субпочтмейстеров. А Комиссия по проверке уголовных дел[8] расследует несколько обвинений, в которых свою роль могла сыграть система Horizon{91}.
Как заявил один из членов британского парламента, мысль, что «субпочтмейстеры, которые неустанно трудились в своих городках и поселках иногда десятками лет, вдруг решили, что могут обмануть компьютерную систему, – полнейшая и абсолютная чепуха»{92}. Или, как сказал один бывший субпочтмейстер: «Людей сажали в тюрьму, хотя было ясно, что виной всему – сбой в компьютерной системе»{93}.