Nezávislý e-zin o řízení informačních rizik, kybernetické bezpečnosti a strategickém myšlení za hranicemi best practice. Od expertů pro experty.

Analýza rizik v silně regulovaném odvětví: povinnost, formalita, nebo klíčová obrana?

Publikováno: 01. 07. 2025, v rubrice: Bezpečnost, autor: and , zobrazeno: 216x

Organizace působící ve vysoce regulovaném prostředí patří mezi nejlépe zabezpečené instituce vůbec.

Mají zavedená veškerá doporučená opatření, často v režimu „best in breed“. Pravidelně procházejí audity, podléhají detailnímu dohledu regulátorů a disponují zdroji, o kterých si většina firem může nechat jen zdát. V takovém prostředí se může zdát, že kvantitativní analýza kybernetických rizik je zbytečná.

Proč modelovat (samozřejmě tu anualizovanou) pravděpodobnost 0,05 % (tj. 1-in-20) oproti 0,08 % (tj. 1-in-12,5), když výsledek je mimo běžnou rozlišovací schopnost? Jenže právě v této fázi vyzrálosti získává analýza rizik zcela nový význam.

Rizika extrémně nízké pravděpodobnosti, ale katastrofického dopadu

Čím je organizace odolnější, tím méně často dochází k incidentům. Logicky. To však neznamená, že riziko zaniká. Naopak zůstává v podobě tzv. „HILF scénářů (high impact with low frequency), které se běžnými statistikami těžko zachycují (dostatečné vzorkování k dispozici není a nebude), ale jejich následky mohou být systémové až likvidační. Pozor nezaměňovat s černými labutěmi, které nikdo z definice nepředvídal a které patří do kategorie unknown-unknowns.

V praxi mluvíme o situacích, jako jsou např. APT útoky, kompromitace poskytovatele klíčového cloudu nebo řádění insidera. Všechny tyto scénáře jsou málo pravděpodobné právě proto, že stávající opatření, do kterých organizace již po mnoho let investuje, opravdu fungují (a už jsme významně ošetřili ty pravděpodobnější a očekávatelné průběhy daných scénářů rizik). Ale nikoliv absolutně – jen do té doby, než některé z nich významně (např. systémově) selže. Analýza rizik v takovém prostředí neslouží k predikci, ale k anticipaci.

Obhajoba stávajících investic: právě proto

Právě úspěch bezpečnostní strategie bývá důvodem, proč se management ptá: „Proč do toho pořád tolik investujeme, když jsme přece nikdy žádný incident neměli a nesetkala se s ním dokonce ani naše konkurence?“

Odpověď je jednoduchá: Právě proto, že ta naše opatření fungují. A analýza rizik je nástroj, kterým tuto skutečnost můžeme kvantitativně obhájit. Ne tím, že přesně spočítáme riziko ztráty 110 vs. 120 miliónů, ale tím, že ukáže, jaký dopad by nastal bez daného opatření, a jak se riziková expozice změnila v čase. A v tom nám může významně pomoci i reporting z daných bezpečnostních funkcí a systémů, např. kolik phishingových kampaní zastavil SOC za poslední měsíc a rok a kdyby byl jen o trochu horší, tak k čemu by to v daném kvantitativním modelu pro scénáře typu BEC (business email compromise) nebo ransomware vedlo. Musíte si ale nastavit ty správné metriky. Zde vstupuje do hry porovnání stávajícího a reziduálního rizika.

Ale jak odhadnout stávající riziko, když se nikdy nic nestalo?

Tato otázka je naprosto zásadní a představuje jeden z nejméně známých aspektů kvantifikace ve vysoce regulovaném sektoru. Naráží totiž na časté omyly typu „0 incidentů (nejsou historické případy) ⇒ 0 riziko (riziko neexistuje)“ a „0 incidentů (nejsou historické případy) ⇒ NDEF riziko (riziko nelze odhadnout)“. Prof. Dough Hubbard ve svých přednáškách často opakuje „Skutečnost, že jsme nepozorovali žádné události, nám něco říká o jejich pravděpodobnosti.“ Z pohledu statistiky je negativní nález také nález (datový bod), který snižuje horní hranici pravděpodobnosti vzácné události.

Pro odhad pravděpodobnosti (četnosti) se tedy pro nulovou incidenci používají:

  • Pravidlo tří pro odhad horního 95% limitu (p≈3/n)
  • Bayesovská statistika s uniformním (neinformativním) priorem (Beta 1,1)
  • Jeffreysův prior s přidáním „půlky úspěchu“ a „půlky neúspěchu“ na začátek (Jeffreys Beta ½, ½) doporučovaný NASA pro situace s nulovým počtem pozorovaných událostí pro model vzácných selhání

Pro odhad dopadů existují 2 rozumné cesty:

  • Analogická extrapolace z méně vyspělých odvětví: Incidenty z okrajových oblastí mohou sloužit jako proxy pro odhad dopadu při absenci bezpečnostních opatření. Tyto incidenty lze použít jako modelový scénář, co by se mohlo stát, kdyby organizace působící ve vysoce regulovaném prostředí daná opatření zavedena neměla (např. by neměla segmentaci, EDR nebo SIEM.) Např. u dodavatele HR systému, nebo u zahraniční pobočky.
  • Simulace, red teaming, tabletop cvičení: Modelování „co by se stalo, kdybychom neměli MFA“. Výsledky penetračních testů a krizových simulací lze využít k odhadům dopadu bez opatření.

Cílem není absolutní přesnost, ale odhad rozdílu mezi scénářem s opatřením a bez opatření. Ukázat, že současné riziko je řízené, a právě proto se incident nestal (díky důsledně snížené pravděpodobnosti). Kvantifikace a prioritizace HILF scénářů však není triviální úkol. Často vyžaduje specialistu, který rozumí nejen modelování rizik, ale i kontextu konkrétního sektoru. Jde o práci, která kombinuje technické znalosti, ekonomickou úvahu a cit pro strategii. Náročnost spočívá mimo jiné v tom, že:

  • data nejsou běžně dostupná a často se musí ručně sbírat z nesourodých zdrojů,
  • scénáře nelze jednoduše převzít z katalogu, protože i když názvy typických hrozeb jako insider, APT nebo AI-based útok zůstávají stejné, konkrétní podoba jejich realizace, dostupnost cílových aktiv a možnosti eskalace se mohou výrazně lišit podle konkrétní organizační a technické architektury, regulačních povinností a geografického působení organizace.
  • inherentní riziko je důsledně snížené řadou opatření a je nutné modelovat jejich náhodná či systémová selhání (např. metodou PRA – pravděpodobnostní risk analýza – používanou na misích NASA)
  • celý proces vyžaduje komunikaci mezi bezpečností, IT, právem i byznysem. Tato práce nemůže být automaticky očekávána od interního bezpečnostního nebo rizikového manažera jako běžná agenda. Vyžaduje čas, specializaci a mezioborovou expertizu, kterou nelze standardně kombinovat s operativní odpovědností. Manažer může být výborný ve svém oboru, ale komplexní analýza vzácných událostí (HILF) vyžaduje externí kapacitu, která se bude věnovat výhradně tomuto cíli – bez provozního rozptylování, s metodickou precizností, se sběrem dat či kalibrovaných expertních odhadů a s možností nestranného pohledu zvenčí.
  • je nutné zohlednit vzájemné závislosti mezi opatřeními v rámci jejich ucelené sady (tj. modelovat jejich případné kaskádové selhání) i závislosti mezi riziky (tj. modelovat tzv. „ripple effect“, kdy v daném scénáři dochází k efektu zesílení/amplifikace na složky ostatních rizik, což v běžné kvantitativní RA neuvažujeme). Ale jeden z nejděsivějších případů nedávné historie – kampaň Solarwinds/Solorigate – obsahoval tak výraznou a více-úrovňovou amplifikaci, že mu byl udělen status „černé labutě“. Kombinací opakovaného útoku na dodavatelské řetězce, použití nových APT technik a dokonalého utajení útočné operace (opsec) došlo ke kompromitaci 425 z Fortune 500 globálních firem a útok se od nich dodavatelským řetězcem exponenciálně šířil dál a dál. A poměrně triviální případ nečekaného krátkodobého selhání EDR/XDR nástroje Crowd Strike Falcon také vedl k neuvěřitelným kaskádovým selháním (bez běžící privilegované stanice se moc dlouho neubráníte) a amplifikaci dopadů (kdo měl u pracovních stanic v BIA napsané u RTO „do týdne“, ten se divil).

Kolik stojí a jak dlouho trvá analýza extrémních scénářů?

Je třeba počítat s rozpočtem, který odráží tuto hloubku a složitost, ale nikoliv jako zátěž, ale jako investici do rozhodnutí, které může mít existenční význam. Přesná cena se liší podle rozsahu, ale orientačně platí, že nejvíce času zabere:

  • získávání, čištění a validace dat (často manuální proces),
  • scénář a model rizika, včetně uvažovaných vazeb a efektů mezi opatřeními a riziky (kaskádové selhání, ripple effect),
  • modelování dopadů ve specifickém prostředí organizace,
  • mezioborová koordinace (bezpečnost, IT, právo, provoz),
  • zpětné testování scénářů, schvalování, reporty pro vedení.

Investice se ale vrací ve formě přesněji zaměřených opatření, silnější argumentace pro board i lepší připravenosti na krizové scénáře, které mohou rozhodnout o reputaci nebo přežití organizace.

Zároveň je ale fér přiznat, že v některých případech může být cena analýzy vyšší než samotné zavedení daného opatření. A pokud organizace ví s jistotou, že dopad scénáře by byl katastrofální, zatímco náklady na mitigaci jsou relativně nízké a řešení je bez architekturních komplikací, může být racionální rozhodnutí nasadit další (dodatečné) opatření do existující sady i bez hlubší analýzy.

Další praktický problém je, že i když HILF známe a uznáváme jejich závažnost, ochota investovat do opatření proti nim je nízká. Důvodem nejsou jen náklady v absolutním smyslu, ale i vedlejší důsledky: například ochrana proti insiderovi může znamenat zásadní změny ve firemní kultuře, zpomalení procesů, zvýšenou byrokracii a v konečném důsledku odpor uvnitř organizace. Opatření tedy nejsou jen ekonomickou investicí, ale i zásah do vnitřního fungování firmy, a právě proto se jim manažeři často raději vyhýbají, nebo je odkládají.

Zde může pomoci jiný přístup: místo přímého prosazování jednotlivých kontrol navrhnout scénářový přístup, který ukáže, co se stane, když určité opatření chybí. Vytvořit jednoduché porovnání „s“ a „bez“, které ukáže rozdíl v dopadu i schopnosti organizace zvládnout situaci. Tím se ochrana proti extrémním scénářům nestane jen dalším nákladem, ale součástí strategické diskuze.

Navýšení rozpočtu

Útočníci si vybírají cíle pragmaticky. Bezpečnost je tedy relativní, jde o to, být o krok před ostatními. Organizace proto musí investovat dál, nejen do technologií, ale i do lidí a aktualizace znalostí. Každý den vznikají nové zranitelnosti a techniky útoků. Smyslem analýzy rizik je sledovat změny v hrozbách i vlastní infrastruktuře, nikoliv opětovně potvrzovat, že je vše v pořádku.

Např. APT útok s exfiltrováním citlivých dat může mít jiné důsledky než insider, který systematicky obchází kontrolní mechanismy. Oba scénáře jsou extrémní, ale není důvod je neporovnat a neprioritizovat. I HILF scénáře mohou mít svou pořadovou frontu. A právě způsob, jakým se k těmto HILF scénářům organizace postaví – zda je pasivně akceptuje, nebo je aktivně analyzuje a připravuje se na ně – může být tím, co v kritickém okamžiku rozhodne o jejím přežití.

Rozdíl mezi těmi, kteří krizi zvládnou, a těmi, kteří jí podlehnou, často nespočívá v tom, zda k ní došlo, ale v tom, jak byli připraveni na něco, co se z principu připravit nedá. V tom spočívá skutečný rozdíl mezi průměrnými a výjimečnými.

Přitom se neočekává, že budeme znát pravděpodobnosti s vysokou přesností. Jestli je odhad rizika APT 0,004 a insidera 0,002, nehraje praktickou roli. Rozdíl mezi nimi může být v dopadech, možnostech detekce, nebo ve schopnosti organizace takový scénář zvládnout. Analýza rizik v tomto případě neslouží k absolutnímu číslu, ale k podpoře rozhodnutí: co má být připraveno dřív, co je zvládnutelnější, co může být zanedbatelné i přes katastrofální potenciál. Jinými slovy: i velmi malé pravděpodobnosti lze kvalitativně srovnávat.

Osobní perspektiva aneb Proč by to měl řešit i běžný manažer

Z pohledu běžného manažera může být hlubší analýza HILF scénářů frustrující. Znamená vyšší náklady, složitější rozpočtové obhajoby a často nulový viditelný přínos v krátkém horizontu. Navíc: nikdo jiný to kolem nedělá, konkurence se tváří, že žádné extrémy nehrozí tak proč zrovna on?

Jenže právě tady vzniká rozdíl. V prostředí, kde všichni řeší pouze viditelné problémy, může být ten, kdo upozorní na systémová rizika, nakonec vnímán jako ten, kdo organizaci podržel v klíčovém okamžiku. Ne tím, že by měl křišťálovou kouli, ale tím, že včas vytvořil podmínky, které umožnily zvládnout nečekané.

Skutečná hodnota manažera se někdy nepozná podle okamžité návratnosti investice, ale podle toho, že se nic nestalo, a to právě díky jeho předchozím vědomým a nenáhodným rozhodnutím. Někteří manažeři mohou namítnout, že priorizace HILF scénářů je zbytečně složitá a budou postupně zavádět další bezpečnostní opatření v pořadí, jak jim to rozpočet a provoz dovolí. Tento přístup ale znamená, že se prostředky rozptylují bez ohledu na to, co by mohlo mít největší přínos. I základní porovnání extrémních scénářů může přinést lepší návratnost investic a navíc umožňuje přesvědčivěji obhájit výdaje před vedením nebo auditorem.

Kromě toho přináší i výhodu osobní. Manažer, který umí argumentovat návratností, nikoliv jen „preventivní potřebou“, je vnímán jako kompetentní a strategicky uvažující profesionál. A právě ten bude v krizi přirozeně vtažen do rozhodovacího kruhu místo toho, aby byl jen vykonavatelem cizích rozhodnutí. Ano, většina konkurence HILF ignoruje. Právě proto stačí málo, abyste byli lepší než průměr. A někdy právě to rozhodne, kdo bude v krizi u stolu a kdo mimo hru.

Závěr: Analýza rizik není ve vysoce regulovaném odvětví zbytečná, jen se mění její účel. V prostředí s vysokou mírou vyzrálosti se analýza rizik neposouvá jen směrem k vyšší přesnosti, ale také ke strategickému přemýšlení. Není to nástroj predikce, ale nástroj, který obhajuje přijatá opatření, odhaluje slepá místa v jinak silném systému, a umožňuje zachovat si náskok před ostatními. Skutečné nebezpečí totiž nepřichází tehdy, když je riziko vysoké – ale když je z našeho pohledu zvládnuté (víme o něm) a přestaneme být ostražití.

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav a HANUS, Michal. Analýza rizik v silně regulovaném odvětví: povinnost, formalita, nebo klíčová obrana?. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/analyza-rizik-v-silne-regulovanem-odvetvi-povinnost-formalita-nebo-klicova-obrana/. [cit. 2025-07-20].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Kvantitativní analýza kybernetických rizik: Risk Tolerance Curve
  2. Kvantitativní analýza kybernetických rizik: Loss Exceedance Curve
  3. Analýza rizik: kvalitativní analýza rizik
  4. Analýza rizik: Jemný úvod do analýzy rizik
  5. Kvantitativní analýza kybernetických rizik: základní distribuční funkce

Štítky:


K článku “Analýza rizik v silně regulovaném odvětví: povinnost, formalita, nebo klíčová obrana?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Michal Hanus

Blue teamer, risk manažer, architekt a manažer IT služeb s více než 20 lety praxe

veřejný profil