Nezávislý e-zin o řízení informačních rizik, kybernetické bezpečnosti a strategickém myšlení za hranicemi best practice. Od expertů pro experty.

Co mají společného Velký hanojský masakr krys a moderní přístupy k řízení rizik

Publikováno: 27. 04. 2025, v rubrice: Bezpečnost, autor: , and , zobrazeno: 519x

Formou překladu zahraničního názorového článku What the Great Hanoi Rat Massacre of 1902 and Modern Risk Practices Have in Common vám přinášíme pohled „Z Nového světa“ od Tony Martin-Vegue.

Doufáme, že vám tento článek promluví z duše stejně, jako oslovila americké publikum v roce 1893 světoznámá symfonie „From the New World“ Antonína Dvořáka. Po dohodě s autorem přidáváme k původnímu článku formou komentářů ještě naše „Slovanské tance“, abychom tuto vážnou hudbu uvedli do našeho prostředí. Ať se vám tedy líbí riskařská symfonie i naše „druhé housle“!

Velký hanojský „masakr“ krys

Před dávnými časy (v roce 1902) zamořily krysy nově vybudovanou městskou kanalizaci Hanoji. Francouzští koloniální správci, znepokojeni riziky pro veřejné zdraví, zavedli speciální odměnu: místní obyvatelé dostanou zaplaceno za každý odevzdaný krysí ocas.

Zprvu řečí čísel vypadalo všechno skvěle. Tisíce krysích ocasů vyúčtováno a proplaceno. Jenomže pak si městští úředníci všimli něčeho zvláštního: všude kolem byly stále krysy. Brzy dorazila i hlášení. Někteří lidé začali krysy chovat. Jiní krysám ustřihli ocas a vypustili je zpátky do ulic, aby se volně množili a bylo i v budoucnu co chytat a prodat. Někteří dokonce kvůli odměně pašovali do města krysy z okolí.

Systém pobídek a odměn vytvořil iluzi fungujícího řešení, zatímco se ve skutečnosti problém nenápadně zhoršoval. Byl to učebnicový příklad tzv. „zvrácené pobídky“ – situace, kdy jsou odměny nastaveny a vyladěny tak, že u řešeného problému způsobí jeho zhoršení a prohloubení.

Komentář 1: K obdobnému problému došlo i v Indii, kde Britové zavedli odměny za odchyt jedovatých kober v Dillí, což místní motivovalo právě k jejich chovu a množení. Po zrušení výkupů chovatelé hady vypustili a populace kober ve městě ještě vzrostla. Tento tzv. „efekt kobry“ slouží jako varování před důsledky špatně navržených (zvrácených) pobídek.

Zvrácené pobídky v řízení kybernetických rizik

Před pěti lety jsme si říkali, že kvantifikace kybernetických rizik (CRQ) jako téma pomalu vplouvá do hlavního proudu řízení kybernetických rizik. Vedoucí pracovníci si začínali uvědomovat nedostatky a selhání „tradičních“ kvalitativních a risk-maticových metod. Tvůrci standardů a standardizační organizace tomuto problému věnovali pozornost. Všechno naznačovalo, že se věci konečně dávají do pohybu. Ale dnes? Už si tím nejsem tak jistý.

Čím hlouběji do tohoto oboru pronikám, tím víc vnímám, jak silná je setrvačnost udržující status quo. Ukazuje se, že kybernetická bezpečnost je plná zvrácených pobídek, a to nikoli v izolovaných a ojedinělých případech, ale jako nedílná součást systému samotného.

Komentář 2: Příkladem zvrácené systémové pobídky v ČR mohou být i biopaliva první generace (např. MERO). Přínosy sporné, negativní dopady na ekologii a ekonomiku viditelné každému v okolí řepkového pole i běžného autoservisu. Přesto pečlivě vyladěný systém přetrvává, veřejnost následuje média v nadávkách na „EU Green Deal“ a vykrmené krysy doma dál běhají po rozkvetlém poli.

Na tento problém výstižně poukázal před téměř 25 lety Ross Anderson ve svém klasickém článku „Proč je to s informační bezpečností tak těžké“ (Why Information Security Is Hard), kde ukázal, že kybernetická bezpečnost není pouze technologickým problémem, je hlavně problémem mikroekonomickým.

Komentář 3: V článku Why Information Security is Hard — An Economic Perspective autor ekonomicky analyzuje notoricky známe případy z oboru IT, nabádá k zohlednění ekonomických faktorů při návrhu jednotlivých prvků ekosystému informační bezpečnosti, a hlavně varuje před systémem, kde ti, kdo o bezpečnosti rozhodují, nenesou odpovědnost za důsledky. Systém pak inklinuje ke zvráceným pobídkám. Autor dále otevírá řadu témat jako je „asymetrická (informační) situace“, kterým se podrobně věnujeme jinde.

Cílem kybernetické bezpečnosti není jen vytvářet a udržovat bezpečné systémy, skutečnou výzvou je to, že zájmy, motivace a pobídky pro jednotlivé aktéry — uživatele, dodavatele, pojišťovny, konzultanty a regulátory — se často rozcházejí.

Komentář 4: V této kolizi motivací uživatelé preferují komfort před bezpečností, dodavatelé maximalizují zisk, pojišťovny limitují plnění a zvyšují sazby, konzultanti obchodují se strachem a regulátoři rádi papírují.
Když ti, kdo o bezpečnosti rozhodují, nenesou odpovědnost za důsledky, doplácíme na to nakonec všichni.
Komentář 5: Je to učebnicový „morálního hazard“ a na takové případy nakonec doplácíme všichni: naší firmou, zdravím, daty nebo důvěrou.

Současné řízení kybernetických rizik je naší vlastní verzí lovu hanojských krys. Papírově to vypadá, že dosahujeme pokroku: zprávy jsou odevzdány, audity splněny, požadavky standardů a legislativy formálně splněny.

Komentář 6: Příkladem tohoto „pokroku“ je i hodnocení České republiky jako dlouhodobě celosvětově kyberneticky nejbezpečnější země (No.1). „Best in COVID“ už za sebou máme.
Ve skutečnosti však často nejde o skutečné zlepšení, ale o Potěmkinovu vesnici bezpečnosti. Systém, který odměňuje pohyb místo pokroku, aktivitu místo výsledků. Je to samo-udržující se aparát, který se neptá, zda jsme bezpečnější, ale zda jsme vyplnili správný formulář.
Komentář 7: Kdysi dávno mi šéfová tlumočila, že jsme byli na poradě pochváleni. Odevzdali jsme nejvíce tabulek.

Pojďme se na to podívat podrobněji.

Ekosystém řízení kybernetických rizik je založený na opakujících se cyklických pobídkách

Organizace zahajují cyklus dobrým úmyslem. Poohlédnou se po standardech a rámcích jako jsou NIST CSF, ISO/IEC 27001 nebo COBIT, aby jim pomohly zformovat bezpečnostní programy. Tyto standardy často obsahují obecné pojednání ohledně řízení rizik, ale záměrně se vyhýbají předepsání konkrétního modelu. Tato flexibilita je záměrná a zajišťuje jejich širokou aplikovatelnost.

 

Komentář 8: Postačí jen postupovat podle formálně schváleného předpisu. Nazýváme to Governance, Risk and Compliance (GRC), v kybernetické bezpečnosti též Information Security Governance (ISG) a v řeči standardů pak ISO 27014. A vedení daný předpis ochotně schválí, má to ve svých cílech. Takto vzniká „kreativní řízení rizik“ o kterém tu máme celou sérii článků.

Zároveň však ponechává organizacím dostatečnou volnost a libovůli pro to, aby si vytvořili tu nejjednodušší, nejlevnější a nejméně důslednou verzi programu řízení rizik, a pak si odškrtnout „máme splněno“.

Komentář 9: Je toto ještě „risk driven“ nebo „control/compliance driven“? A není to bezvýznamné a není to totéž, že?

Představenstvo a vrcholoví manažeři rozhodnou a vydají pokyn: ‚Získejte SOC 2‘ nebo ‚Zařiďte nám ISO certifikaci‘. Toto se stane misí a hlavním úkolem, který kromě spousty jiných věcí zahrnuje i end‑to‑end program řízení kybernetických rizik.

Na scénu nám teď vstupují konzultační firmy – často tzv. Velká čtyřka (Big 4). Jedna firma přijde pomoci s vybudováním programu, druhá provádí jeho audit. Formálně se jedná o samostatné subjekty, funkčně však postupují podle stejného scénáře. Jejich úkolem není prosazovat rigoróznost v řízení rizik, ale dodat požadovanou zprávu. Rámce, které implementují, jsou tak optimalizovány na rychlost, obhajitelnost a auditovatelnost, nikoli vhled do problematiky, přesnost a zacílení nebo reálné snížení rizika.

Komentář 10: Cílem auditora bývá navíc přenést co nejvíce práce na auditovaný subjekt k nesmírné radosti ostatních zúčastněných.

A tak vzniknou obvyklé výstupy: tepelné mapy (heatmapy), škály a skóre typu červená/žlutá/zelená, nálepky typu vysoké/střední/nízké riziko. Programy jsou navrženy pro jejich snadné opakování, nikoli pro hlubší pochopení situace.

Komentář 11: Auditor neodpovídá za špatná rozhodnutí firmy, stačí mu, že jeho doporučení odpovídají (čti neodporují!) platným normám. Tím se kruh uzavírá: firma formálně vykazuje soulad, auditor je krytý a skutečné pochopení rizik se ztrácí. Had se zakousl do svého ocasu a my přidáváme: „Don’t worry, be happy.“

Heatmapa (riskmatice) se v řízení rizik prosadila jako základní komunikační prostředek o rizicích. Standardy, legislativa ani auditoři nepožadují nic navíc, takže se nikdo neobtěžuje zvýšit laťku, nikdo nic extra nevytváří.

Kde cyklus začíná mít trhliny

Právě v tomto bodě se začíná náš moloch kymácet: ten samý ekosystém, který váš program vytváří, ho následně i hodnotí a posuzuje, co jste provedli ‚správně‘. I když se nejedná o tu samou firmu, použité šablony, slovník a očekávání jsou prakticky totožné.

Je to jako požádat studenta, aby napsal test, ale zároveň mu dovolit, aby si sám vymyslel testovací otázky, vybral ty správné odpovědi a vyhodnocení svěřil svému kamarádovi. Jaký test asi vytvoří? Ten nejjednodušší možný, který vypadá aspoň trochu oficiálně, ale zvládne ho bez námahy každý.

Přesně to se tu právě děje.

Komentář 12: Často se v rámci PDCA cyklů formálně zlepšujeme, ale bez skutečného efektu, protože i kuchař může stále lépe a levněji vařit podle špatného receptu a jíst se to pořád nedá.

Programy jsou často navrhovány tak, aby splnily jen to nejnutnější – tedy nejnižší společný jmenovatel toho, co je třeba splnit pro úspěšné absolvování auditu, o němž všichni vědí, že se blíží. Není to proto, že by lidé zapojení do programu byli špatní, ale tím, že je systém nastaven, aby se vyplatila rychlost, obhajitelnost a tvorba status quo výstupů, a ne hlubší vhled nebo zlepšování.

Komentář 13: Ta populární mantra „KISS – Keep it Simple, Stupid“ (=Jednoduché jako facka.) se stále častěji mění na „Keep It Superficial, Seriously“ (=Jedeme vážně jen po povrchu). Jednoduchost už tu neslouží přehlednosti, ale jako výmluva proč nejít do hloubky a nic nezpochybnit. Výsledkem je přívětivý, ale bezzubý systém, který má hladce projít auditem.

Primárním cílem a hlavní ambicí se tak stává pouhé odškrtnutí příslušné kolonky „splněno“ – nikoliv skutečné pochopení rizika a snížení nejistoty a neurčitosti.

Výsledkem jsou manažerské rámce s úhlednými líbivými grafy a generickými bodovacími schématy, které vypadají na snímcích prezentace naprosto bombasticky.

Ale nejsou navrženy tak, aby nám pomáhaly činit lepší rozhodnutí. Cílem těchto kulis je vytvořit iluzi, že rizika řídíme a máme je pod kontrolou.

Komentář 14: Vzniká „BIS“ – nikoli systém pro bezpečnost informací, ale „Building Illusion of Security“, tedy pro budování iluze bezpečí.

A protože tyto programy uspokojují auditory, regulátory i představenstva, nikdo si nepokládá zásadní otázku: „Pomáhá nám to skutečně snižovat rizika v reálném světě?“

Komentář 15: Originální CRQ otázka zní: „Jak ověřujete, že vám to právě takto funguje dobře?“

Ekonomika krysích ocasů

Aby nebyla mýlka: NIST, ISO a jim podobné rámce nejsou špatné. Tvoří základní pilíř kybernetické bezpečnosti. Problém je v zavedené praxi, kdy ten samý okruh firem navrhuje implementaci i stanovuje audit a kdy jsou tyto rámce optimalizovány pro rychlost a jednoduchost více než pro hloubku a důslednost. Výsledkem je systém, který je mimořádně efektivní v udržování sama sebe v chodu a vysoce neefektivní při řešení problému, kvůli kterému byl stvořen.

Je to ekonomika uříznutých krysích ocasů. Počítáme a poměřujeme se symboly pokroku, zatímco skutečná rizika se na pozadí nepozorovaně a nekontrolovaně množí dál.

Komentář 16: V CZ-SK praxi často vznikají stovky až tisíce nesmyslných „rizik“ kombinatorikou podpůrných aktiv a „vyhláškových“ hrozeb a následnou „maticovou pseudo-násobilkou“. Výsledkem je tabulka a barevná heatmapa, už ta „rizika“ můžeme „řídit“, metodika a vyhláška jsou splněné, vše bez reálného vhledu. Riziko není výzvou k rozhodnutí, ale stává se administrativním výstupem, zatímco skutečné problémy v pozadí tiše rostou zcela mimo formální „Registr rizik“.

Pokud rizika hodnotíte kvalitativně, není to vaše selhání

Pokud pracujete v organizaci, která spoléhá na kvalitativní odhady – heatmapy, barevné škály, rizikové skóre a indexy – a máte pocit, že byste měli udělat víc, zhluboka se nadechněte.

Nejste v tom sami. A vůbec to není vaše chyba.

Komentář 17: Na kurzech CRQ účastníci často uvádějí, že získané znalosti nemohou kvůli firemním směrnicím a přístupu manažerů využít v praxi. Žijeme tedy v systému, kde všichni předepisují nefunkční „lék“ s vedlejšími účinky, ale nikdo si to nepřizná a nikdo se vlastně nechce „vyléčit“.

Tlak na udržení status quo je obrovský. Obklopuje vás ze všech stran. Většina organizací si vystačí se systémem, který uspokojí auditory a dá top manažerům pocit, že jsou „sejf“.

Komentář 18: Strategií je splnit zadání vlastníků, formálně nepochybit a případné systémové problémy přenechat nástupcům.

Ale to ještě neznamená, že ten systém skutečně funguje. Výsledný systém totiž:

  • měří to, co je snadno měřitelné, nikoli to, co je skutečně podstatné
  • klade důraz na úspěšné absolvování auditu, ne na reálné snižování rizik
  • směřuje zdroje do vyplňování checklistů, nikoli do dosažení skutečných výsledků
  • motivuje k tomu dělat jen tolik, aby bylo vyhověno požadavkům (dosaženo souladu), ale nikdy víc

Jak skoncovat s lovci krys?

Upřímně? Celý zaběhlý systém zřejmě nespravíme přes noc. Můžeme však v jeho rámci začít jednat jinak. Dokážeme postupně vytvářet něco lepšího – i když zatím musíme pracovat v jeho intencích a omezeních. Jeden přítel si mi před pár lety postěžoval, že jejich vedení zajímá pouze výsledek auditu. Říkal: „Moje zprávy o rizicích ani nečtou.“ Zeptal jsem se, jak ty zprávy vypadají. „Většinou jen červeno-žluto-zelené grafy,“ přiznal. A tehdy mi to došlo: prvním krokem není přimět představenstvo, aby se zajímalo. Prvním krokem je dát jim něco, co jim za ten zájem skutečně stojí.

Komentář 19: V české CRQ/QICS komunitě to označujeme jako „barevné omalovánky“ nebo „kaleidoskop vydávaný za mikroskop“ a od úvodního kurzu vedeme účastníky k dospělé, ekonomicky podložené a věcné diskusi s top managementem.

Takže začněte takto:

V malých krocích. Plňte si své povinnosti z hlediska splnění předpisů, požadavků a souladu, ale zároveň začněte paralelně kvantifikovat reálná rizika. Používejte odhady ve finančním vyjádření (v monetárních jednotkách), pravděpodobnosti a scénáře dopadu (škodního průběhu). Začněte v malém – vyberte si jednu nebo dvě skutečně významné (materiální) oblasti.

Překlopit rizika do kvalifikovaných rozhodnutí. Ukažte, jak kvantifikovaná data mohou odůvodnit výdaje, pomoci prioritizovat bezpečnostní opatření nebo snížit nejistotu a neurčitost způsobem, který má pro byznys skutečný význam.

Vyprávět přesvědčivější příběhy. Nestačí jen ukazovat grafy; své závěry formulujte v kontextu reálných dopadů a nezbytných kompromisů a zasazujte je do možných budoucích scénářů.

S jemným tlakem. Když jednáte s auditory nebo konzultanty, zkuste se zeptat: „Jak by to vypadalo, kdybychom měřili rizika důsledněji?“ Zasaďte malé semínko změny.

Nejde o dokonalost. Jde o změnu směru v organizaci – jedno rozhodnutí po druhém.

Systém pobídek a odměn nedokážeme zbořit ze dne na den – ale současně nemusíme dál množit a živit nové krysy. Můžeme vystoupit z kruhu, podívat se na něj s odstupem a zkusit jinou cestu.

Takhle začíná změna.

Komentář 20: Risk matice přežívají díky síťovému efektu – viděli je a používají je všichni. Jakmile celý ekosystém (firmy, auditoři, stát) přejde na lepší řešení (např. CRQ), jejich význam zmizí.

Autor Tony Martin-Vegue získal dlouholeté zkušenosti v řízení kybernetických rizik u společností First Republic Bank, LendingClub a Netflix a je propagátorem moderních metod včetně mezinárodního standardu FAIR. Pokud se vám článek Martina líbil, další najdete na jeho webu

LITERATURA

ČERMÁK, Miroslav, 2022. Creative Cyber Risk Management. In Book of Series: Lecture Notes in Networks and Systems: Trends and Future Directions in Security and Emergency Management; Springer Cham: Switzerland AG. ISBN 978-3-030-88906-7.

MARTIN-VEGUE, Tony, 2025. What the Great Hanoi Rat Massacre of 1902 and Modern Risk Practices Have in Common, LinkedIn Online Article

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
HANUS, Michal a MARTIN-VEGUE, Tony a ČERMÁK, Miroslav. Co mají společného Velký hanojský masakr krys a moderní přístupy k řízení rizik. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/co-maji-spolecneho-velky-hanojsky-masakr-krys-a-moderni-pristupy-k-rizeni-rizik/. [cit. 2025-07-20].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Řízení rizik: Jemný úvod do řízení rizik
  2. Co mají společného risk management, incident management a crisis management
  3. Jaký je váš risk appetite v oblasti řízení informačních rizik?
  4. Co mají společného zranitelnosti Beast, Crime, Poodle a Freak?
  5. Řízení rizik


K článku “Co mají společného Velký hanojský masakr krys a moderní přístupy k řízení rizik” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Tony Martin-Vegue

Propagátor moderních metod řízení rizik včetně mezinárodního standardu FAIR

veřejný profil

Michal Hanus

Blue teamer, risk manažer, architekt a manažer IT služeb s více než 20 lety praxe

veřejný profil

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil