03:14 ч. в SOC-а
Алармата на SIEM-а врещи. Дежурният анализатор, Мартин, е сам. Вместо да блокира изтичането на 12 000 клиентски записа, той затваря тикета с „FP“ – false positive. Седем часа по-късно всички са будни, но в атмосферата мирише на страх и вина. Шефът вика: „Кой точно спа?“
Това е моментът, в който или ще циментираш blame културата, или ще създадеш екип, който никога повече няма да премълчава инцидент.
Защо вината убива реакцията при инциденти
- Страх от наказание → мозъкът преминава в режим „замръзване“ и прикрива данни.
- Социално бездействие: „Ако никой не разбере, че аз съм сгрешил, рискът се разпределя.“
- Научена безпомощност: множеството обвинения водят до усещането „каквото и да направя – все е без значение“.
Резултатът е техническ дълг при инциденти: една и съща първопричина се повтаря, но остава скрита под килима на страха.
Какво всъщност е blameless post-mortem?
Определение: Структуриран разбор на инцидента, фокусиран върху системите и процесите, а не върху индивида.
Цел: Не „кой“, а „какво в процеса позволи тази грешка да се случи“.
Изходни документи: timeline, impact graph, action items с owner и deadline, но никога имена на „виновници“.
5 стъпки за провеждане на blameless post-mortem
- Покани рано и всички
Изпрати календарна покана още докато инцидентът е отворен – включи дежурния, разработчиците, SRE и дори комуникационния екип. - Хронология без пропуски
Използвай времеви печати в UTC, експорт от Slack, логове на GitHub Actions и JSON-и от SIEM. Фокусът е „какво се случи“, а не „кой го направи“. - Техниката „петте защо“, но без обвинения
Пример: „Алармата не се ескалира“ → „Правилото в PagerDuty има грешен regex“ → „Липсва автоматизиран тест за regex“. - Действия в SMART формат
„Добавяне на unit тест за regex-а в PagerDuty до 15.09.2025 г., отговорник @ivan_dev“. - Публикувай и празнувай
Качи резюмето в Confluence, спомени го в общия stand-up и благодари публично на екипа, че е споделил грешката.
Чек-лист за психологична безопасност
✔️ „Благодаря, че го сподели“ – всяко изказване започва с благодарност.
✔️ Без записване – срещата не се записва, за да няма страх от доказателства.
✔️ Ротация на водещ – всеки месец друг човек води, за да не се концентрира власт.
✔️ Анонимен вход – преди post-mortem пусни Google формуляр с въпроса: „Какво те притесняваше по време на инцидента?“
Вероятна история: български fintech стартъп
Инцидент: 11 юни 2024 г. – скрипт изтрива 8 % от транзакционните логове.
Blameless резултат: причината се оказва липсващ dry-run флаг в Ansible playbook. Вместо уволнение, разработчикът получава бюджет за внедряване на canary + feature flags в CI/CD. Три месеца по-късно MTTR спада с 42 %.
Запомни: Грешката е данни. Данните са оръжие. А blameless post-mortem е спусъкът.
Готов ли си да превърнеш екипа си в машина за безгрешни инцидент-реакции?
В store.nit.bg ще откриеш специално разработени онлайн обучения за мениджъри – от лидерски умения и емоционална интелигентност до курсове по киберсигурност и GDPR, които учат как да водиш blameless post-mortem и да градиш психологично безопасна култура.
