Byť je řízení rizik vyžadováno i legislativou, která na něj klade důraz a mnozí si dokonce i uvědomují jeho smysl, a leckdy se o řízení rizik i opravdu snaží, přesto dělají systematicky špatná rozhodnutí, protože se rozhodují na základě špatných vstupů.

Ve většině organizací rizika někdo identifikuje, analyzuje a posuzuje. Postupuje přitom dle schválené metodiky. Výstupy vypadají strukturovaně. Rizika jsou popsána a vyhodnocena. Jsou navrženy způsoby zvládání. Rizika mají své vlastníky a jsou zvládána i v daném termínu. Formálně se zdá, že je vše v naprostém pořádku. Problém je však někde zcela jinde.

European Cybersecurity Skills Framework, zkr. ECSF od ENISA působí na první pohled jako sympatický pokus dát do pořádku chaos v pojmech a rolích v kybernetické bezpečnosti.

Uvádí dvanáct základních rolí s jasnými popisy odpovědností, což zní velice rozumně. Jenže když se podíváme trochu blíže, přichází spíše zklamání. V sekci 2.10 totiž najdeme roli Cybersecurity Risk Manager.

Můžete si vybrat. Rudě zářící pole risk matice, jedno číslo vyjadřující roční ztrátu v korunách anebo smyslné ladné křivky slibující vědeckou přesnost.

Asi už tušíte, že je řeč o kvalitativním, semikvantitativním a kvantitativním přístupu k analýze rizik. Rozdíl mezi jednotlivými přístupy je ale mnohem větší, než si většina lidí připouští. A bohužel právě na tom často stojí nebo padá správné rozhodnutí managementu o investicích do informační bezpečnosti.

Před pár lety jsem zde otevřel otázku, zda má v oblasti informační a kybernetické bezpečnosti smysl se zabývat pojmem „inherentní riziko“. Dnes říkám naprosto otevřeně: „Nemá.“

Ano, vím, že se to mnoha expertům opět nebude líbit. Budou zásadně nesouhlasit. Ale nemohu jinak.

Risk apetit představuje takovou úroveň rizika, kterou je organizace ochotná akceptovat po zahrnutí všech současných kontrol.

V mezinárodním standardu ISO 27005:2022 je risk appetite definován jako: „Amount and type of risk that an organization is willing to pursue or retain.“

Dost často je hodnocení rizik založeno na pouhém subjektivním hodnocení experta, který se může mýlit a dost často se i mýlí. Ovšem zdá se, že to nikoho netrápí.

Což je velice zvláštní, protože kvalita expertů, kteří hodnotí výši kybernetického rizika, od které se pak odvíjí některá zásadní rozhodnutí, by měla být v zájmu vrcholového managementu.

Byť se teď o AI hodně mluví a najednou je na ní každý expert, tak přesto ve většině organizací není AI ani řádně definována a je za ní považováno cokoliv.

Že není sepsána politika, standardy a směrnice pro používání AI, a nejsou ani identifikována a řízena rizika AI, není snad ani potřeba dodávat. Pojďme se proto podívat na konkrétní rizika AI, která můžeme rozdělit do několika skupin.

Byť jsou k dispozici nejrůznější návody pro řízení rizik informačních systémů, tak AI systémy jsou v lecčems jedinečné, především ve své nepředvídatelnosti, neboť jsou trénovány nad daty, která se mohou měnit a dále se pak samy mění na základě interakce s lidmi.

NIST zveřejnil řadu dokumentů týkajících se řízení rizik umělé inteligence. Klíčový je pak rámec pro řízení rizik umělé inteligence AI RMF 1.0 z ledna 2023.

Často se setkáváme s otázkou, zda je lepší provádět analýzu rizik kvantitativní nebo kvalitativní.

Ve skutečnosti je tato otázka zavádějící. Praktická volba nestojí mezi kvalitativní a kvantitativní metodou, ale spíše mezi semikvantitativním a kvantitativním přístupem.

V rámci integrovaného řízení podnikových rizik potřebujeme vrcholovému managementu zobrazit nějaký ten dashboard, aby viděl, jak na tom je.

A zobrazovat bychom měli jak aktuální stav, tedy jaká je celková expozice rizika, tak i trend, tedy jak se riziko vyvíjí.