Rain Lag

«Костёр» бумажных разборов аварий: как превращать инциденты в фольклор команды

Как низкотехнологичные, полностью «бумажные» кружки сторителлинга помогают превращать аварии в запоминающийся командный фольклор, усиливать практики реагирования на инциденты и формировать более устойчивую инженерную культуру.

«Костёр» бумажных разборов аварий: как превращать инциденты в фольклор команды

Цифровые инструменты сегодня правят балом в реагировании на инциденты: дашборды, таймлайны, видеозвонки, тикет-системы, ранбуки и «военные комнаты» в Slack. Без них никуда.

Но когда пыль улеглась, самым сильным инструментом вдруг оказывается нечто до смешного простое: круг людей, ручки и стопка бумаги.

Это и есть идея бумажного «костра» после аварии — низкотехнологичной, ориентированной на историю сессии, которая дополняет формальный разбор инцидента. Это не замена отчётам по инцидентам, анализу первопричин (RCA) или вашему плану реагирования на киберинциденты. Это способ превратить хрупкие знания об инциденте в живой командный фольклор, который действительно запоминается.

Зачем нужен «костёр» после RCA

Формальные разборы инцидентов нацелены на ответы на вопросы:

  • Что произошло?
  • Почему это произошло?
  • Как нам не допустить повторения?

Они критически важны, но при этом ограничены:

  • Часто ставят техническую точность выше человеческого опыта.
  • Превращаются в документы, которые почти никто не читает целиком.
  • Теряют эмоциональный контекст, оценочные суждения и неявные знания.

Бумажная «костровая» сессия берёт тот же инцидент и пересобирает его как историю, рассказанную людьми, которые всё это прожили. Такая история:

  • Делает инцидент легче запоминающимся.
  • Очеловечивает решения и компромиссы.
  • Подсвечивает дыры в процессах, обучении и коммуникации.
  • Формирует общий язык и фольклор о том, «как мы здесь переживаем кризисы».

Со временем эти истории становятся частью идентичности вашей команды — мощным инструментом онбординга, усиления хороших практик и выявления повторяющихся паттернов инцидентов.

Что такое бумажный «костёр» после аварии

Бумажный «костёр» после аварии — это структурированный, низкотехнологичный кружок сторителлинга, который вы проводите после формального разбора инцидента (или хотя бы после того, как ситуация стабилизировалась).

Ключевые особенности:

  • Никаких ноутбуков, проекторов, дашбордов. Только ручки, стикеры, карточки и, возможно, флипчарт или доска.
  • По определению без обвинений. Фокус на обучении, а не на поиске виноватых. Никаких оценок эффективности, никаких «пойманных за руку».
  • История в центре внимания. Участники восстанавливают инцидент как сюжет: персонажи, линия времени, конфликт, поворотные точки, развязка и уроки.
  • Осознанность процессов. Часть круга посвящена тому, насколько команда следовала установленным процедурам, например вашему плану реагирования на киберинциденты.
  • Мультидисциплинарность. Инженеры, SRE, специалисты по безопасности, инцидент-респондеры, руководители, иногда представители клиентских команд — все приглашены.

Думайте об этом как о смеси постмортема, сценарного «writers’ room» и групповой терапии, которая проводится целиком на бумаге.

Как провести бумажный «костёр» после аварии

1. Задать рамку: безоценочная история

Сначала проговорите правила вслух:

  • Никакой вины и стыда. Инцидент рассматривается как результат работы системы, а не провал отдельного человека.
  • Цель — совместное обучение. Мы здесь, чтобы понять, что произошло, и улучшить систему.
  • Каждая точка зрения ценна. Каждый видел свою часть «слона» — в этом и смысл.

Скажите это явно. Напишите на флипчарте, если нужно. Психологическая безопасность — основа честного рассказа.

2. Определить действующих лиц

На бумаге или доске выпишите «персонажей» истории:

  • Люди: дежурный on-call инженер, incident commander, SRE, security analyst, руководитель службы поддержки, executive stakeholder.
  • Системы: payment API, pipeline логирования, edge-сеть, SSO-провайдер.
  • Внешние силы: падение у вендора, DDoS-атака, регуляторный дедлайн, крупный запуск у ключевого клиента.

Дайте им простые ярлыки или даже забавные прозвища. Персонажи делают истории «липкими»: «Когда Хранитель Базы Данных заметил лаг репликации…» запоминается лучше, чем «DBA №3 посмотрел на метрики».

3. Нарисовать таймлайн от руки

Далее рисуем простой таймлайн на бумаге:

  • Начало: когда мы впервые поняли, что что‑то не так?
  • Середина: какие были ключевые решения, эскалации и открытия?
  • Конец: когда и как мы объявили инцидент завершённым?

Пусть участники добавляют события стикерами:

  • «Пейджер сработал в 02:13; логи пустые».
  • «Шорткат: перезапустили сервис вместо проверки зависимости X».
  • «Руководство зашло на мост; коммуникация замедлилась».
  • «Наконец‑то посмотрели правила файрвола».

Сам процесс записывания и приклеивания заметок помогает участникам вынести хаос наружу и увидеть в нём сюжетную линию.

4. Вплести процедуры и плейбуки

Здесь вы связываете историю с процессом.

Спросите прямо:

  • «Где мы следовали плану реагирования на киберинциденты?»
  • «Где и почему мы от него отклонялись?»
  • «Были ли моменты, когда люди не понимали, какой шаг следующий?»

Отметьте таймлайн символами или цветами:

  • Зелёная точка: следовали задокументированной процедуре.
  • Жёлтый треугольник: импровизация, но разумное отклонение.
  • Красный восклицательный знак: путаница, противоречивые указания или отсутствие гайда.

Вы не ставите людям оценки — вы стресс‑тестируете документацию и обучение. В тех местах истории, где возникает путаница, вы находите:

  • Устаревшие или неполные ранбуки.
  • Нечёткие зоны ответственности и ролей.
  • Недостаток обучения для менее опытных участников дежурств и инцидент-респондеров.

5. Явно выделить конфликт и развязку

В любой хорошей истории есть конфликт:

  • Конкурирующие приоритеты (быстрее поднять сервис vs. докопаться до корня проблемы).
  • Напряжение между командами (безопасность vs. доступность, продукт vs. инфраструктура).
  • Провалы информации (нет логов, задержка метрик, «врущие» дашборды).

Попросите людей описать трудные моменты на бумаге:

  • «Спорили, откатываться или идти вперёд».
  • «Безопасность настаивала на даунтайме, продажи паниковали».
  • «Непонятно было, у кого полномочия официально закрыть инцидент».

Затем зафиксируйте развязки:

  • Кто принял решение?
  • Какая информация развернула ход событий?
  • Какие обходные манёвры или хаки спасли ситуацию?

Фиксация этих поворотных точек простым языком делает историю — и уроки — гораздо более запоминаемыми.

6. Собрать разные перспективы

Важно, чтобы были услышаны разные стороны:

  • Инженеры / SRE: Что выглядело очевидным или, наоборот, запутанным с вашей позиции?
  • Инцидент-респондеры / безопасность: Как плейбуки показали себя под нагрузкой?
  • Руководство: В какие моменты вы чувствовали, что у вас есть — или нет — понимание ситуации?
  • Клиентские команды: Как мы транслировали риск и влияние наружу?

Попросите каждую группу набросать по 3–5 наблюдений на бумаге. Затем поделиться и сгруппировать их на стене.

Очень быстро проявятся паттерны:

  • Инженерам казалось, что коммуникация нормальная; поддержка чувствовала себя в темноте.
  • Безопасность уверена, что план реагирования соблюдался; инженеры о его существовании толком не знали.
  • Руководству хотелось меньше деталей, но чаще; респондеры высылали больше деталей, но реже.

Эти паттерны — золото, если вы хотите улучшить кросс‑командное взаимодействие в следующем инциденте.

7. Сразу превратить инсайты в действия

«Костёр» без следующих шагов — это просто ностальгия.

Оставьте последнюю часть сессии, чтобы перевести выводы в конкретные изменения.

На бумаге делаете три колонки:

  1. Исправить документацию

    • Устаревшие ранбуки
    • Отсутствующие пути эскалации
    • Запутанные или противоречивые плейбуки

  2. Улучшить процессы / протоколы

    • Прояснить роли в инциденте (IC, communications lead, ops lead)
    • Упростить цепочки согласований
    • Определить пороги объявления и завершения инцидента

  3. Обучение и учения

    • Симуляции для новых on-call инженеров
    • Сценарные тренировки по безопасности и реагированию
    • Шэдоуинг между командами для лучшего взаимопонимания

Запишите конкретные пункты под каждой колонкой, назначьте ответственных и только после этого перенесите их в ваши цифровые трекинг‑системы.

Низкотехнологичное ограничение удерживает разговор человеческим и сфокусированным, а последующее сопровождение приносит реальную пользу.

Как строится общий фольклор и устойчивость

Проводите такие бумажные «костры» регулярно — после крупных инцидентов и время от времени после средних.

Со временем происходит важная вещь:

  • Истории про «тот раз, когда лёг DNS‑провайдер» становятся коротким обозначением того, зачем нужны конкретные защиты и практики.
  • Новые люди быстрее впитывают ваши негласные нормы: как вы общаетесь в кризис, как принимаются решения, что считается «хорошей работой».
  • Повторяющиеся мотивы в историях подсвечивают системные проблемы: хроническую недоукомплектованность ночью, хрупкие зависимости, размытое владение системами.

Так вы и создаёте командный фольклор:

  • Общие истории о преодолённых трудностях.
  • Единый язык для обсуждения рисков и компромиссов.
  • Чувство «мы уже проходили и похуже, мы знаем, как с этим справляться».

И это не просто «культура ради культуры». Это напрямую поддерживает операционную устойчивость: когда случается следующая авария, люди опираются не только на PDF‑отчёты, но и на живые, запомнившиеся истории.

Как внедрить это в вашей организации

Несколько практических советов:

  • Держите формат коротким и сфокусированным. 60–90 минут достаточно для большинства инцидентов.
  • Один инцидент на сессию. Один основной сюжет на «костёр» не даёт размазать внимание.
  • Ротуйте фасилитаторов. Обучайте разных людей вести такие круги; не замыкайте навык на одном человеке.
  • Задокументируйте историю после. Короткий письменный нарратив («Ночь фантомной латентности») с ключевыми выводами может жить рядом с формальным RCA.
  • Начните с пилота. Попробуйте после следующего крупного инцидента и прямым текстом спросите участников: «Это было полезно? Что улучшить в следующий раз?»

Вместо эпилога: когда всё лежит, бумага всё ещё работает

В эпоху автоматизации и дашбордов бумажный «костёр» после аварии звучит почти вызывающе. Но в этой простоте и есть суть.

Преобразуя инциденты так, чтобы:

  • превращать их в структурированные, безоценочные истории,
  • осознанно разбирать, как процедуры и планы реагирования выполнялись (или нет),
  • включать в разговор разные роли — от инженеров и инцидент-респондеров до руководителей,
  • и использовать эти инсайты, чтобы чинить документацию, упрощать протоколы и делать обучение осмысленным, —

вы превращаете аварии из разрозненных катастроф в общий фольклор, который укрепляет вашу команду.

В следующий раз, когда системы уже поднялись, Zoom‑созвоны закончились и тикеты закрываются, не ограничивайтесь этим. Соберите людей у доски, раздайте ручки и начните: «А теперь давайте расскажем, как это на самом деле ощущалось, когда всё упало…»

Именно с этого начинается настоящая устойчивость.

«Костёр» бумажных разборов аварий: как превращать инциденты в фольклор команды | Rain Lag