Kybernetické útoky na organizace v České republice jsou stále častějším jevem. Přesto jsou informace, které se dostávají do médií, často povrchní, nesystematické a postrádají jakýkoliv praktický význam pro odbornou veřejnost i potenciální oběti.

Tento článek představuje dva pohledy na problematiku zveřejňování detailů o kybernetických útocích: přístup, který zastávám já, a umírněnější přístup ChatGPT.

V minulém dílu našeho seriálu jsem uvedl koncept černé labutě a pár příkladů. Nyní se pojďme zamyslet nad tím, jak se na černé labutě připravit.

Nechme se volně inspirovat dílem Nassima Nicholase Taleba, a především jeho myšlenkou robustnosti a antifragility. Tedy budováním odolných systémů schopných prosperovat v prostředí, které se vyznačuje stále větší komplexitou a nepředvídatelností.

Formou překladu zahraničního názorového článku What the Great Hanoi Rat Massacre of 1902 and Modern Risk Practices Have in Common vám přinášíme pohled „Z Nového světa“ od Tony Martin-Vegue.

Doufáme, že vám tento článek promluví z duše stejně, jako oslovila americké publikum v roce 1893 světoznámá symfonie „From the New World“ Antonína Dvořáka.

Je pozoruhodné, jak rozdílně lidé přistupují k riziku v práci a v osobním životě.

Tento zásadní kontrast patrný optikou behaviorální ekonomie je možná klíčem k pochopení, proč jsou risk matice ve firmách tak oblíbené, a proč se jich někteří manažeři nechtějí vzdát ani pod tíhou matematických důkazů o jejich totální nespolehlivosti.

Křivka tolerovaného rizika (Risk Tolerance Curve, RTC) ukazuje, co ještě firma a její management „ustojí“, tj. jaké celkové škody vstřebá (např. v rámci provozních nákladů), na jaké má naspořeno (např. v rámci treasury managementu) a na jaké je pojištěná (se spoluúčastí a limity plnění).

RTC musíme odvodit (elicitovat) z řady bodů (konkrétních prahů bolesti) v hlavách naší audience (Top Management a zástupci Businessu, typicky mimo IT a Cyber Risk), které pak propojíme (interpolujeme) nějakou vhodnou sadou křivek.

Jestliže už víme, v jaké dimenzi nejistoty se pohybujeme, můžeme určit, co je třeba udělat pro redukci těchto nejistot.

V případě dokonalé nejistoty však nejistotu redukovat nemůžeme. Namísto toho musíme vytvářet systémy, které jsou odolné vůči nepříznivým událostem, a které dokáží nejen přežít, ale i prosperovat v podmínkách chaosu.

Nedávné studie jasně naznačují, že používání risk matic v organizacích vykazuje znaky návykového chování.

Podobně jako u psychoaktivních látek dochází již po prvním použití k aktivaci psychologických mechanismů pozitivní zpětné vazby – barevné škály, vizuální jednoduchost a okamžitá interpretace vyvolávají krátkodobý pocit kontroly a porozumění.

V posledních letech se v oblasti kybernetické bezpečnosti stále častěji setkáváme s lidmi, kteří si na základě absolvovaného kurzu či získaného certifikátu nárokují status „experta“.

Zdánlivě tomu nahrává rostoucí nabídka vzdělávacích programů a certifikací, stejně jako značný nedostatek skutečných odborníků na trhu práce. Přestože certifikáty a formální vzdělání mohou posloužit jako užitečný základ, často samy o sobě nezaručují skutečnou odbornost. Následující body vysvětlují, proč je třeba k problematice přistupovat obezřetně.

Donedávna jsme se věnovali rizikům, která souvisí především s používáním AI, ale nyní nastal nejvyšší čas, abychom se podívali i na rizika spojená s nepoužíváním AI.

Právě v době rostoucí geopolitické nejistoty a regulatorních tlaků bychom toto riziko měli vnímat velice vážně. Nejde jen o nějaké FOMO, ale o reálnou hrozbu technologického zaostávání, o které se ve svém nedávném článku zmínil i Dr. Libor Dostálek.

V našem závěrečném pojednání o risk maticích jsme uvedli řadu naprosto zásadních nedostatků risk matic, které je činí prakticky nepoužitelnými.

Nyní se podíváme na to, jak se s těmito nedostatky můžeme elegantně vypořádat prostřednictvím CRQ.