JD Vance není hlupák, který by nerozuměl problematice AI. Je to zkušený politický stratég, který ví přesně, jak oslovit své publikum.

Šlo o pečlivě připravenou psychologickou operaci (PSYOPS), jejímž cílem nebylo nic menšího než posunout evropskou veřejnou a politickou debatu a vývoj směrem, který by přesně vyhovoval americkým geopolitickým zájmům.

Chytré elektroměry se tváří jako pokrok, ale ve skutečnosti otevírají dveře k vážným bezpečnostním rizikům.

Česká implementace ignoruje osvědčené standardy a místo zabezpečeného systému nabízí řešení, které může vést k blackoutům i manipulaci s měřením. Jaká rizika vám nikdo neřekl? A proč může změna dodavatele znamenat nutnost výměny elektroměru? Čtěte dál.

V této části se zaměříme na to, jak posbíraná data idealizovat (aproximovat) křivkou funkce hustoty pravděpodobnosti (Probability Density Function – PDF), tj. rozpoznat z rozložení dat typ distribuce.

Odhad správné distribuce je klíčovým krokem, protože nám umožní matematicky pracovat s neurčitostí a v případě těch notoricky známých (spojitých) distribučních funkcí i elegantně a správně odhadnout pravděpodobnosti (vzácných) extrémních událostí, které nám v posbíraných datech budou zcela jistě chybět.

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) je rámec vyvinutý Evropskou centrální bankou (ECB) pro testování kybernetické odolnosti finančních institucí.

Jde o specifický typ testování na základě hrozeb (Threat-Led Penetration Testing, TLPT), kdy dochází simulaci reálných kybernetických útoků na organizace s  využitím TTP (Tactics, Techniques, and Procedures) používaných reálnými útočníky.

V posledních dnech se na internetu objevily články zmiňující NÚKIB (např. na info.cz nebo lupa.cz) v souvislosti s prosazováním českého prováděcího zákona k evropské směrnici NIS2.

A to v souvislosti s vyhodnocováním rizik tzv. dodavatelského řetězce. Snahou mobilních operátorů je, aby mohli nadále vše levně nakupovat v Číně. Hrozbou pro ně je, aby na základě hodnocení rizik nemohl NÚKIB zakázat nákupy, u kterých indikuje vysoké nebo dokonce kritické riziko.

V minulém díle jsme si ukázali, v jakých doménách nejistoty se můžeme pohybovat.

Na první pohled se může zdát, že pokud neznáme pravděpodobnost nebo dopad, tj. máme jednostranně/částečně/neúplně definované riziko, jde jen o přechodný stav a s určitým úsilím se vždy nakonec dostaneme do prvního sektoru s plně popsaným rizikem.

V této nové sérii příspěvků se podíváme na to, jakým způsobem můžeme kvantifikovat kybernetická rizika (Cyber Risk Quantification, zkr. CRQ) a systematicky odhadnout finanční dopady kybernetických hrozeb.

Jsme přesvědčeni, že jedině tak lze učinit informované rozhodnutí, zvolit vhodnou metodu zvládání rizika, zavést účinné bezpečnostní opatření k jeho snížení, a ochránit tak investice a přispět k naplnění a dosažení mise a vize organizace.

Je s podivem, že i přes existenci řady vědeckých článků a předložení matematických důkazů a odstrašujících příkladů o nevhodnosti risk matic k hodnocení rizik, se risk matice stále těší takové oblibě.

Použití kvalitativních risk matic v organizacích se bohužel stalo naprosto běžnou záležitostí. A musíme si přiznat, že snaha o zjednodušení problematiky řízení rizik v minulých letech se nám prostě vymstila.

Jedním z nejčastějších mýtů, proč se nepustit do kvantitativní analýzy kybernetických rizik (CRQ) je údajný nedostatek informací (dat, údajů, evidence).

Vychází ze „školních“ představ, že se daná věc na milimetr přesně opakovaně „změří“ a na výsledky aplikujeme tradiční statistiku ze století páry, kterou nám nevybíravě a nezáživně vtloukali do hlavy a kazili nám tak naše studentská léta.

Průměrný breach life cycle v roce 2024 nám poklesl na 258 dnů, což je nejnižší hodnota za posledních sedm let. Ale není důvod kvůli tomu jásat.

Tato hodnota zahrnuje průměrně 204 dnů na identifikaci útoku a 54 dnů na jeho částečné řešení. Nicméně, a teď čtěte pozorně, plné zotavení organizaci často trvá mnohem déle.