U ransomwaru je vhodné oddělit dvě roviny, které bývají v debatách zbytečně směšovány. První rovinou je trestní odpovědnost pachatelů. Druhou rovinou je právní postavení oběti, která se pod tlakem rozhodne zaplatit výkupné. Právě tato druhá rovina je daleko složitější, než jak se někdy prezentuje.

Na straně útočníků typicky nejde jen o vydírání, ale současně i o neoprávněný přístup k počítačovému systému a neoprávněný zásah do systému nebo dat. Nás zde ale nezajímá pachatel, nýbrž oběť, která stojí před otázkou, zda zaplacením výkupného nepřekračuje hranici zákona.

V okamžiku, kdy máme k dispozici rizikové scénáře, přichází další krok: oslovíme vybrané experty, aby nám dodali své odhady jak pro frekvenci výskytu daného scénáře, tak pro škody, které z něj mohou vyplynout.

Jenže právě tady se z celé analýzy může stát fraška a zbytečná matematická ekivilbristika jen proto, že každý expert může tentýž scénář chápat trochu jinak.

V okamžiku, kdy máme stanovit škodu, která by mohla vzniknout v důsledku určitého kybernetického útoku popsaného v rámci konkrétního rizikového scénáře, stojíme před otázkou, jak ji vlastně vyjádřit.

Pokud bychom škodu popsali jediným číslem, získali bychom jen zjednodušený obraz reality. Ve skutečnosti totiž může nastat celé spektrum různých následků a ani průměr, ani medián samy o sobě tuto variabilitu nevystihnou.

Správa informační bezpečnosti (Information Security Governance, zkr. ISG) a řízení informační bezpečnosti (Information Security Management, zkr. ISM) jsou dva propojené cykly, které bývají v praxi často zaměňovány.

První je ale governance cyklus realizovaný na úrovni vrcholového vedení, který je spojován s normou ISO/IEC 27014. Druhý je cyklus na úrovni výkonného řízení, typicky realizovaný jako ISMS podle ISO/IEC 27001.

Každá organizace, která bere kybernetická rizika aspoň trochu vážně, by měla mít systém školení přizpůsobený různým skupinám zaměstnanců.

Každá z těchto skupin totiž potřebuje jiný typ školení. Nejde přitom jen o bezpečnostní osvětu ve smyslu phishingu, hesel a podezřelých e-mailů, ale také o znalost interních procesů, odpovědností, kontrolních mechanismů, používaných frameworků a pravidel, která se vztahují ke konkrétní roli.

Tradiční matice rizik, založené na kombinaci odhadované pravděpodobnosti a dopadu, byly v odborné literatuře opakovaně kritizovány pro metodologickou slabost, statistickou nekonzistenci a omezenou interpretační hodnotu (Cox, 2008; Aven, 2016).

Jejich slabina nespočívá pouze v ordinální povaze použitých škál, ale též v tendenci vytvářet dojem kvantitativní přesnosti tam, kde jsou vstupní pojmy samy o sobě vágní, kontextově proměnlivé a často mezi standardy odlišně vykládané.

Smyslem kvantitativní analýzy není budit dojem exaktnosti tam, kde máme jen omezená data. Smyslem je podpořit  správné rozhodnutí. Firma potřebuje vědět, jak velkou ztrátu ještě unese, kolik kapitálu, likvidity nebo pojistné ochrany má mít připraveno a kdy už riskuje, že ji určitý incident finančně zcela ochromí.

Právě proto nestačí jen říct, že „riziko je vysoké“ anebo že „může nastat velká škoda“. Management potřebuje alespoň orientačně vědět, o jakých částkách se  vůbec bavíme.

Řízení rizik je nedílnou součástí moderního podnikání. Jedním z nejrozšířenějších nástrojů jsou tzv. risk matice, které pomáhají vizualizovat a prioritizovat rizika.

Právě jejich rozšířenost ale vytváří nebezpečný dojem samozřejmosti: co používají všichni, bývá považováno za dostatečné. Jenže dějiny selhání ukazují něco jiného. Mnoho postupů se jeví jako přijatelné až do okamžiku, kdy jejich limity narazí na realitu a způsobí škodu. Teprve tehdy přestává být metodická debata akademickou disciplínou a začíná se zkoumat, kdo rozhodoval, na základě čeho rozhodoval, co měl vědět a zda jednal s péčí, kterou bylo možno rozumně očekávat.

Playbook musí poskytnout návod pro řešení závažného bezpečnostního incidentu, kdy je nutné pod tlakem dělat ty správné kroky, a kdy mozek často jede na autopilota. Proto musí být napsaný jednoduše, jasně a akčně.

Každý krok musí být jednoznačný a srozumitelný i pod kognitivním zatížením, neboť mozek ve stresu ztrácí schopnost komplexního uvažování. Takže žádné filozofování, ale naprosto jasné pokyny, kdo, co  a kdy má udělat.

V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.

Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.