Řízení rizik je nedílnou součástí moderního podnikání. Jedním z nejrozšířenějších nástrojů jsou tzv. risk matice, které pomáhají vizualizovat a prioritizovat rizika.

Právě jejich rozšířenost ale vytváří nebezpečný dojem samozřejmosti: co používají všichni, bývá považováno za dostatečné. Jenže dějiny selhání ukazují něco jiného. Mnoho postupů se jeví jako přijatelné až do okamžiku, kdy jejich limity narazí na realitu a způsobí škodu. Teprve tehdy přestává být metodická debata akademickou disciplínou a začíná se zkoumat, kdo rozhodoval, na základě čeho rozhodoval, co měl vědět a zda jednal s péčí, kterou bylo možno rozumně očekávat.

Playbook musí poskytnout návod pro řešení závažného bezpečnostního incidentu, kdy je nutné pod tlakem dělat ty správné kroky, a kdy mozek často jede na autopilota. Proto musí být napsaný jednoduše, jasně a akčně.

Každý krok musí být jednoznačný a srozumitelný i pod kognitivním zatížením, neboť mozek ve stresu ztrácí schopnost komplexního uvažování. Takže žádné filozofování, ale naprosto jasné pokyny, kdo, co  a kdy má udělat.

V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.

Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.

Když se tahá Gumbel, Weibull, Fréchet a Jeffreysův prior do řízení kybernetických rizik, tak se risk matice ozývá.

Kyberbezpečnost není raketová věda. To říkáme pořád. Ale pár doktorandů si to evidentně neřeklo dostatečně nahlas.

V bezpečnosti se nyní hodně mluví o CTEM, AEV a BAS a nejeden CISO se tak nechal zlákat líbivou prezentací firem, které tento přístup k řízení zranitelností propagují.

Aby ne, když to marketing výrobců těchto SW servíruje jako „Nasadíš náš SW, a on ti nejenže řekne, jakou zranitelností začít, ale i jak velké představuje riziko v korunách“. No, nekup to.

V jednom minulém příspěvku padlo, že jedním z důvodů, proč se manažeři tak drží risk matic, je, že se jim nedostane v rozumném čase zpětné vazby, zda jejich odhady pravděpodobnosti a dopadů odpovídaly realitě. Což je pravda, protože bez zpětné vazby se dá věřit téměř čemukoli.

Tedy i tomu, že jim ta jejich kvalitativní metodika hodnocení rizik funguje. Tak nějak jsou všichni přesvědčení, že zrovna ta jejich je v něčem tak výjimečná, že funguje anebo že jsou tak výjimeční oni v tom, jak ji používají. Což je samozřejmě čirá utopie.

Na první pohled tento návod jak prioritizovat systémy, u kterých by se měla řešit migrace na postkvantovou kryptografii, vypadá celkem rozumně.

V dokumentu „Prioritising Post-Quantum Cryptography Migration Activities in Financial Services“ uvádějí autoři celkem jednoduchý postup: spočítat dvě skóre (Quantum Risk Score a Migration Time Score) a podle jejich kombinace pak rozdělit systémy do třech kategorií. Jenže jej rozhodně nemohu doporučit. Ptáte se proč? Tak čtěte dál.

I kdybyste měli řízení rizik hodnocené podle CMM na stupni 5, pominu, že většina firem je maximálně na 3, a  měli tak všechno dokumentované, měřené, auditovatelné a pravidelně zlepšované, budete se stejně potácet nad propastí.

Ono totiž, když je samotná metoda hodnocení rizik postavená na úrovni středověké medicíny jako je zaříkávání a pouštění žilou, tak rizika reálně neřídíte a dostáváte se na úroveň středověkého ranhojiče.

Když v CRQ používáme Monte Carlo simulaci, dostáváme velké množství výsledků: někdy za každý rok jednu agregovanou ztrátu, jindy navíc i jednotlivé ztráty během roku. Z těchto výsledků pak obvykle sestavujeme křivku překročení ztrát (Loss Exceedance Curve. zkr. LEC).

A možná jste si i všimli, že zatímco na ose X je snad téměř vždy uvedena škoda, tak na ose Y bývá dost často stejně tak pravděpodobnost jako frekvence. Křivka pak říká, s jakou pravděpodobností nebo jak často překračujeme daný práh.

Byť je řízení rizik vyžadováno i legislativou, která na něj klade důraz a mnozí si dokonce i uvědomují jeho smysl, a leckdy se o řízení rizik i opravdu snaží, přesto dělají systematicky špatná rozhodnutí, protože se rozhodují na základě špatných vstupů.

Ve většině organizací rizika někdo identifikuje, analyzuje a posuzuje. Postupuje přitom dle schválené metodiky. Výstupy vypadají strukturovaně. Rizika jsou popsána a vyhodnocena. Jsou navrženy způsoby zvládání. Rizika mají své vlastníky a jsou zvládána i v daném termínu. Formálně se zdá, že je vše v naprostém pořádku. Problém je však někde zcela jinde.