V jednom minulém příspěvku padlo, že jedním z důvodů, proč se manažeři tak drží risk matic, je, že se jim nedostane v rozumném čase zpětné vazby, zda jejich odhady pravděpodobnosti a dopadů odpovídaly realitě. Což je pravda, protože bez zpětné vazby se dá věřit téměř čemukoli.

Tedy i tomu, že jim ta jejich kvalitativní metodika hodnocení rizik funguje. Tak nějak jsou všichni přesvědčení, že zrovna ta jejich je v něčem tak výjimečná, že funguje anebo že jsou tak výjimeční oni v tom, jak ji používají. Což je samozřejmě čirá utopie.

Na první pohled tento návod jak prioritizovat systémy, u kterých by se měla řešit migrace na postkvantovou kryptografii, vypadá celkem rozumně.

V dokumentu „Prioritising Post-Quantum Cryptography Migration Activities in Financial Services“ uvádějí autoři celkem jednoduchý postup: spočítat dvě skóre (Quantum Risk Score a Migration Time Score) a podle jejich kombinace pak rozdělit systémy do třech kategorií. Jenže jej rozhodně nemohu doporučit. Ptáte se proč? Tak čtěte dál.

I kdybyste měli řízení rizik hodnocené podle CMM na stupni 5, pominu, že většina firem je maximálně na 3, a  měli tak všechno dokumentované, měřené, auditovatelné a pravidelně zlepšované, budete se stejně potácet nad propastí.

Ono totiž, když je samotná metoda hodnocení rizik postavená na úrovni středověké medicíny jako je zaříkávání a pouštění žilou, tak rizika reálně neřídíte a dostáváte se na úroveň středověkého ranhojiče.

Když v CRQ používáme Monte Carlo simulaci, dostáváme velké množství výsledků: někdy za každý rok jednu agregovanou ztrátu, jindy navíc i jednotlivé ztráty během roku. Z těchto výsledků pak obvykle sestavujeme křivku překročení ztrát (Loss Exceedance Curve. zkr. LEC).

A možná jste si i všimli, že zatímco na ose X je snad téměř vždy uvedena škoda, tak na ose Y bývá dost často stejně tak pravděpodobnost jako frekvence. Křivka pak říká, s jakou pravděpodobností nebo jak často překračujeme daný práh.

Byť je řízení rizik vyžadováno i legislativou, která na něj klade důraz a mnozí si dokonce i uvědomují jeho smysl, a leckdy se o řízení rizik i opravdu snaží, přesto dělají systematicky špatná rozhodnutí, protože se rozhodují na základě špatných vstupů.

Ve většině organizací rizika někdo identifikuje, analyzuje a posuzuje. Postupuje přitom dle schválené metodiky. Výstupy vypadají strukturovaně. Rizika jsou popsána a vyhodnocena. Jsou navrženy způsoby zvládání. Rizika mají své vlastníky a jsou zvládána i v daném termínu. Formálně se zdá, že je vše v naprostém pořádku. Problém je však někde zcela jinde.

Jako každý rok se podíváme na to, co nás v kyberprostoru čeká. Rok 2025 byl přelomový: umělá inteligence se stala běžnou součástí útoků i obrany, ransomware přidal exfiltraci dat a útoky na Active Directory a chyby v cloudu znovu ukázaly, že největším rizikem není technologie, ale její správa.

Rok 2026 nebude o nových trendech, ale o chytřejších kombinacích, vyšší míře integrace a menší lidské kapacitě reagovat.

Útoky z tohoto roku ukázaly, že AI asistenti představují úplně nový typ rizika.

Techniky, které byly dříve využívané ve phishingu, fungují celkem spolehlivě i zde: skrytý text, neviditelné části dokumentu, obsah posunutý mimo viditelnou oblast nebo data uložená v base64.

V rámci subverze, kterážto byla popsána v minulém díle, se stále častěji využívá i umělá inteligence ke generování věrohodně působících interních dokumentů.

Ty pak později jako náhodně uniknou, po nedávném hackerském útoku se objeví na darknetu anebo budou jako vyneseny nějakým insiderem či zachyceny zpravodajskou službou.

Vlastníci firem, členové představenstva i manažeři nesou odpovědnost za dodržování právních předpisů v oblasti kybernetické bezpečnosti.

Tato odpovědnost zahrnuje nejen implementaci technických opatření, ale i řízení rizik a dodržování bezpečnostních standardů podle předpisů EU jako jsou GDPR, NIS2, CRA a DORA. Ale neměl by to být ten hlavní důvod. Tím by měl být pud sebezáchovy, který možná některým zcela schází.