CRQ – kvantifikace kybernetických rizik

V této nové sérii příspěvků se podíváme na to, jakým způsobem můžeme kvantifikovat kybernetická rizika (Cyber Risk Quantification, zkr. CRQ) a systematicky odhadnout finanční dopady kybernetických hrozeb.

Jsme přesvědčeni, že jedině tak lze učinit informované rozhodnutí, zvolit vhodnou metodu zvládání rizika, zavést účinné bezpečnostní opatření k jeho snížení, a ochránit tak investice a přispět k naplnění a dosažení mise a vize organizace.

Vždyť motto jednoho z hlavních světových CRQ poskytovatelů zní: „Netoleruj riziko, dokud není kvantifikováno!“ V české „maticové“ realitě bychom to parafrázovali jako: „Víte vůbec, co jste právě akceptovali?

Kvantitativní analýza rizik tady s námi je už od 80. let minulého století, kdy se začaly objevovat první metody s výpočtem očekávané roční ztráty (Annualized Loss Expectancy, zkr. ALE), založené na součinu dopadu (Single Loss Expectancy, zkr. SLE) a pravděpodobnosti výskytu hrozby (Annualized Rate of Occurrence, zkr. ARO), která by k této škodě vedla. SLE se pak počítalo jako součin hodnoty aktiva (asset value, zkr. AV) a míry poškození (exposure factor, zkr. EF).

Tento přístup byl formalizován v odborných publikacích a průkopnické dokumentaci, například v pracích publikovaných v souvislosti se standardy amerického ministerstva obrany, jako je DoD Risk Management Framework (RMF), a později také ve standardech ISO zaměřených na řízení rizik. Dnes ale v kybernetické bezpečnosti, kdy řešíme primárně škody v důsledku kybernetických hrozeb, nedává téměř nikdy smysl s hodnotou aktiva počítat, protože škoda nevzniká jako nevratné poškození ICT aktiv, ale úplně jinde a jinak.

Tenkrát tomu bylo samozřejmě jinak, sálové počítače byly obrovské, drahé a vzácné, byly citlivé na vlhkost, teplotu a prach, vyžadovaly klimatizované prostředí a poruchové byly zejména jejich mechanické části (disky, pásky) a elektrické součástky (tranzistory, kondenzátory).

A jednoduchý vzoreček dopadu SLE = EF x AV vyhovoval, protože scénáře živelné a fyzické škody typu „vyplavilo nám to serverovnu do půlky racků“, „shořela nám jedna serverovna, jedeme z té druhé“, „ukradli nám server, ten druhý tam nechali“ a „odešel nám disk, musíme ho vyměnit“ vedly k obávaným škodám a bylo třeba s nimi vážně počítat.

Dnes už je situace oproti dřevním dobám úplně jinde, ICT zdaleka není jen o HW a s digitalizací všeho nás trápí nefunkční business proces daleko více než ztráta hmotných aktiv, která už kolikrát ani nevlastníme, obzvláště pak firmy, co mají vše v cloudu a zaměstnanci se připojují z domova ze svých soukromých zařízení. Jen ten vzoreček nám zůstal (zejména v ISO standardech, profesních testech a certifikacích), tak se ho pro jistotu nabiflujte stejně jako H2S.

K přímé škodě na majetku dochází (kromě živelných pohrom a dalších neúmyslných událostí) zpravidla jen v rámci incidentů fyzické bezpečnosti (krádeže, vandalismus) a kybernetických válek a kybernetického terorismu, kdy je veden kybernetický útok na provozní technologie kritické infrastruktury státu.

Požadavek na stanovení hodnoty aktiva přetrvává v mnohých metodikách dodnes, a to se pak musí v daném modelu rizika (k překvapení všech zúčastněných) s nějakými hodnotami aktiv počítat.

V rámci kybernetického útoku dochází nejčastěji ke škodě v kvůli přerušení business procesu a souvisejícímu omezení peněžního toku v důsledku nedostupnosti ICT služeb. Dále pak kvůli uniku citlivých informací a souvisejícím reputačním škodám, pokutám a reaktivním opatřením a v neposlední řadě kvůli pozměnění informací v důsledku kompromitace systémů a souvisejícím výdajům na následnou kontrolu dat a obnovu systému. Tyto škody rozhodně nesouvisí s cenou dotčených ICT aktiv, následky z narušení bezpečnosti téměř vždy vysoce převyšují hodnotu aktiv.

Abychom však mohli správně spočítat riziko, musíme nejprve identifikovat rizika a popsat odpovídající rizikový scénář, tj. čeho se obáváme, a k čemu by mohlo dojít. (Budeme se tomu věnovat v samostatném článku.) Následně pak můžeme stanovit pravděpodobnost střetu s touto hrozbou (jejího výskytu) a její šanci na úspěch (tj. pravděpodobnost vzniku významné škody) a rozpětí škod, které by realisticky při úspěšném útoku mohly vzniknout.

A je nasnadě, že jiná škoda vznikne v důsledku nedostupnosti služeb, jiná v případě úniku informací a jiná v případě narušení integrity dat, a rozhodně proto nemůžeme násobit pravděpodobnost hrozby cenou aktiva. (Pozn. Pokud na historickém modelu skutečně trváte, nechť je vaše aktivum „business proces“ a CFO vám řekne jeho „hodnotu na letošní rok“ z cash flow, které toto aktivum generuje.)

Dalším problémem je, že většina metodik nás nutí uvažovat o velikost škody jako o jedné jediné (diskrétní) hodnotě a takto ji odhadnout (stanovit). My však ze zkušenosti a ze statistik víme, že celková škoda vzniká jako suma primárních a sekundárních ztrát a každá dílčí položka má svoji míru neurčitosti, a proto dvě sumy pro dva identické případy nikdy nebudou stejné. Proto je mnohem vhodnější odhadovat škodu jako interval, ve kterém se s danou pravděpodobností budou škody pohybovat. (Budeme se tomu věnovat v samostatném článku.)

Odpůrci kvantitativní analýzy tvrdí, že nelze přesně odhadnout pravděpodobnost a škodu kybernetické události, ale na druhou stranu nemají problém stanovit ji kvalitativně, kdy se rovněž musí rozhodnout s jakou pravděpodobností událost nastane a jaký bude mít dopad, aby mohli v risk matici zvolit příslušný řádek a sloupec, ve kterém se budou pohybovat.

Ale ani v kvantu po vás nikdo nebude chtít jako vstup jediné super-přesné číslo, právě naopak – i zde budete definovat intervaly, ve kterých si myslíte, že se škoda bude pohybovat a s jakou pravděpodobností k ní dojde. V dalším dílu se podíváme, jak takový interval stanovit. A aby naše odhady byly realistické a svém odhadu jsme nestříleli jen tak od boku a celé to dobře zafungovalo, tak nás bude muset být víc a budeme se muset „zkalibrovat“ stejně jako se kalibrují teploměry nebo váhy. (Na to se se dokonce podíváme v samostatné sérii příspěvků.)

Detailně se budeme věnovat kvantifikaci dopadů, podíváme se na Monte Carlo simulace, Bayesovské sítě, na Poissonovo, Gaussovo, Lognormální a Parettovo rozdělení a nakousneme Markovovy řetězce…

A máte se na co těšit, milióny budou opět lítat vzduchem sem a tam a naše fiktivní firma bude balancovat nad propastí.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav a HANUS, Michal. CRQ – kvantifikace kybernetických rizik. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/crq-kvantifikace-kybernetickych-rizik/. [cit. 2025-02-16].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “CRQ – kvantifikace kybernetických rizik” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: