Kvantitativní analýza kybernetických rizik: Loss Exceedance Curve

Publikováno: 11. 03. 2025, v rubrice: Bezpečnost, autor: a , aktualizováno: 20. 03. 2025, zobrazeno: 226x

V našem závěrečném pojednání o risk maticích jsme uvedli řadu naprosto zásadních nedostatků risk matic, které je činí prakticky nepoužitelnými.

Nyní se podíváme na to, jak se s těmito nedostatky můžeme elegantně vypořádat prostřednictvím CRQ.

Jedna z oněch zásadních nevýhod matice rizik byla nemožnost agregovat jednotlivá rizika a s tím spojené neřešitelné strasti typu: „Mám řešit tři oranžová rizika nebo to jedno červené?“

Dále jsme nebyli schopni odpovědět ani na tak jednoduchou otázku jako: „Jaká je celková nálož za všechna kybernetická rizika a jakou má vnitřní povahu a strukturu?“, tj. jestli je očekávaná roční ztráta složená spíše z mnoha častých událostí s menšími škodami nebo spíše ze vzácných událostí, zato ale s ohromnou „dardou“ pro IT i pro podnikové procesy.

A pokud se k tomu přidalo ještě kreativní řízení rizik, tak jsme se mohli setkat i s tzv. „salámovou metodou“, kde je závažné (červené) riziko záměrně rozdrobeno na několik dílčích (oranžových), které rázem vypadají méně nebezpečně a tudíž „tolerovatelně“. Účelové „salámování“ ale v kvantitativním světě s matematicky korektní agregací postrádá smysl, dílčí rizika se nám stejně posčítají a „ukážou se“ v dílčí nebo celkové sumě (naší „náloži rizik“).

Nyní nám tak už zbývá jen nahradit líbivou barevnou „ilustraci“ celkové situace v podobě risk matice s „balónky“ jednotlivých rizik nějakým seriózním grafem s jasnou mírou pravděpodobnosti a jasnou mírou ztrát. A tím bude Loss Exceedance Curve (LEC).

Také jsme si vysvětlili, že stanovovat v rámci kvantitativního hodnocení rizik jen jednu (diskrétní) hodnotu pro pravděpodobnost a jednu (střední) hodnotu pro dopad je nevhodné kvůli ohromné ztrátě informace o popisovaném rizikovém scénáři, a že mnohem lepší je zvolit vhodnou statistickou distribuci a tu parametrizovat, tj. stanovit (kvalifikovaně odhadnout) intervaly, ve kterých se budou jak pravděpodobnost vzniku škody, tak i výše škody pohybovat. A agregovat tedy nebudeme jednotlivá čísla, ale rovnou celé křivky a vše budeme vizualizovat jako LEC.

V naší kvantové „kuchařce“ jako vždy nejprve identifikujeme riziko a pak ho vymezíme, ohraničíme a popíšeme v podobě konkrétního rizikového scénáře (risk scenario), např. daného kybernetického útoku na naši společnost. Pak musíme zjistit (tj. přibližně odhadnout), jak často by k takovému úspěšnému útoku v následujícím roce došlo a jaká může být přibližně škála jeho následků.

Jazykem Monte Carlo simulací z minulého dílu si tedy musíme hodit dvěma různými kostkami hned dvakrát po sobě, z prvního hodu se dozvíme, jestli vůbec nějaká škoda vznikne, a druhým hodem vybereme, jak vysoká škoda v tomto případě bude. Tyto odhady (vstupní informace) můžeme provést na základě:

  • veřejně dostupných reportů;
  • interní databáze bezpečnostních incidentů;
  • interních analýz typu BIA (Business Impact Analysis);
  • vlastního výzkumu.

Pokud bychom zjištěné hodnoty škod zanesli do grafu (histogramu), kde na ose X jsou daná rozmezí dopadů (sběrné koše) a na ose Y četnost (dílčí pravděpodobnost) škody v daném rozmezí, tak bychom viděli, že určité výše škody jsou častější než jiné. Snadno bychom také z těchto dat mohli určit, jaká je pro daný rizikový scénář minimální a maximální škoda, jaká je průměrná škoda, nejpravděpodobnější škoda (modus, mód), prostřední škoda (medián, P50), dolní a horní kvartil (P25, P75) apod.

Křivka překročení ztrát – Loss Exceedance Curve

Dalším krokem je sestavení tzv. Loss Exceedance Curve, zkr. LEC někdy též Exceedance Probability Curve, zkr. (EPC) do češtiny překládaná jako „křivka překročení ztrát“, která nám bude ukazovat různé pravděpodobnosti pro různě velké kumulativní očekávané ztráty. LEC křivka:

  • je typicky spojitá křivka definovaná jako CCDF – komplementární kumulativní distribuční funkce, tj. na ose X máme kumulativní ztrátu a na ose Y máme pravděpodobnost jejího překročení
  • nám v každém svém bodě řekne, s jakou (anualizovanou) pravděpodobností překročí naše očekávaná (kumulativní) roční ztráta (z jednoho rizikového scénáře nebo z celého portfolia rizik) danou hodnotu
  • pravděpodobnost na ose Y zpravidla začíná na 100 % v bodě 0 nebo 1 (USD, CZK, EUR), protože nějaká nenulová (vyšší) škoda nám vznikne vždy a když už daný jev (útok dle scénáře) zpozorujeme (podmínka pozorovatelnosti/měřitelnosti v kvantu), tak nějaká větší škoda nevyhnutelně vznikne (např. formou interních nákladů na detekci, analýzu, reakci, evidenci a reporting kybernetického bezpečnostního incidentu)
  • pravděpodobnost zpravidla klesá (dříve nebo později) s rostoucími škodami k 0 %, protože firma není kachna na střelnici a určitě má nějakou šanci, že likvidační škody nenastanou a dožije se dalšího roku)
  • je tedy pro nás nástroj podobný matici rizik, jen tam máme křivky místo jednotlivých bodů a musíme se naučit s pravítkem v ruce v těch křivkách číst.

Tato křivka je užitečným nástrojem pro:

  • vizualizaci a analýzu jednotlivých rizik, konkrétně jejich pravděpodobnostní distribuční funkce (PDF) a kumulativní distribuční funkce (CDF), s grafickým vyjádřením „jak moc pravděpodobný je tento rozsah individuální ztráty“;
  • kombinovanou analýzu více (agregovaných) rizik v daném „portfoliu rizik“, s grafickým vyjádřením „jak moc pravděpodobný je tento rozsah ztráty za celé portfolio“;
  • podporu rozhodování manažerů o akceptaci rizika (v kombinaci s risk tolerance curve, RTC);
  • podporu rozhodování manažerů o strategii ošetření celého portfolia rizik, pokud je nějaká část LEC nad RTC;
  • jasnou kvantitativní formulaci KRIs a KROs v souvislosti se strategií (tj. jaký výsledný tvar LEC management očekává), ale o tom až příště.

Postup tvorby LEC křivky

Abychom mohli LEC křivku sestrojit, musíme si nejprve vyrobit z dat, které máme k dispozici tabulku, z které pak budeme LEC křivku generovat. Pokročilé SW nástroje to udělají za vás, ale není na škodu vědět, co se za tím skrývá a umět si LEC křivku vygenerovat sami v Excelu, či jiném nástroji. Pro vytvoření LEC křivky je nutné data zpracovat do tabulky, která zachycuje absolutní a relativní četnosti, a z nich odvodit kumulativní četnosti.

Řekněme, že jsme si do našeho risk portfolia (z výzkumu) zadali data o 10 rizikových scénářích (typově je shodný s daným kybernetickým útokem, se kterým už se firmy v našem sektoru setkaly). U každého scénáře tak evidujeme různě velkou škodu, ale nedává smysl tady řešit drobné, takže data seřadíme vzestupně podle výše škod a stanovíme si intervaly a spočteme kolik scénářů spadá do daného intervalu škod. Dále spočítáme absolutní, relativní a kumulativní četnost. Vše je zachyceno v následující tabulce.

Kategorie (rozmezí) Škoda v mil. Kč Počet scénářů Četnost v % Kumulativní četnost v %
1 <1,3) 4 40 100
2 <3,5) 3 30 60
3 <5,10) 2 20 30
4 <10,∞) 1 10 10

Legenda:

  • Škoda v miliónech Kč udává, v jakých intervalech se škoda pohybuje, tj. první číslo udává dolní hranici škody a druhé číslo udává horní hranici škody.
    Počet scénářů udává, kolik risk scénářů má očekávanou hodnotu škody danou intervalem v předchozím sloupci.
  • Četnost v procentech udává kolik scénářů z celkového počtu spadá do daného intervalu a získáme ji podílem počtu scénářů v dané kategorii na celkovém počtu (v tomto případě tedy dělíme 10).
  • Kumulativní četnost získáme postupným načítáním četnosti jednotlivých vzestupně uspořádaných hodnot v předposledním sloupci (10+20+30+40) a musí nám dát 100 %.

Data v tabulce čteme takto:

  • Škoda větší než 1 mil. nastane ve 100 % případů.
  • Škoda větší nebo rovna 3 mil. nastane v 60 % případů.
  • Škoda větší nebo rovna 5 miliónům nastane v 30 % případů.
  • Škoda větší nebo rovna 10 mil. nastane jen v 10 % případů.

Vizualizace LEC křivky

LEC křivku sestavíme tak, že na osu X vyneseme výši škody (v Kč) a na osu Y kumulativní četnost. Tím získáme graf, který ukazuje, s jakou pravděpodobností překročíme konkrétní úroveň škody.

Takový graf pomáhá vizuálně odhadnout riziko spojené s různými úrovněmi škod a je základním nástrojem pro kvantitativní řízení rizik.Poznámka: Pozor, nezaměňujte Loss Exceedance Curve (LEC) s Likelihood Exposure Consequence (LEC). Zatímco první se používá k vizualizaci pravděpodobnosti a dopadu rizik, druhý koncept kombinuje pravděpodobnost (Likelihood), míru vystavení (Exposure) a následky (Consequence) pro hodnocení rizik, zejména ve fyzickém nebo provozním kontextu.

Závěr: Graf Loss Exceedance Curve (LEC) je klíčový nástroj pro kvantitativní analýzu rizik, který pomáhá vizualizovat pravděpodobnosti a dopady škod (i v agregované podobě přes celá portfolia rizik) a umožňuje manažerům činit informovaná rozhodnutí o akceptaci nebo mitigaci rizik, včetně formulace celkové strategie a definice cílů a indikátorů pro její naplnění. Je pro nás důstojnou náhradou za ten jeden pomyslný bod v matici rizik (který jsme si např. vyjádřili kvantitativně jako očekávanou hodnotu rizika – expected value) a zohledňuje situaci, že zhruba jednou za X let z portfolia našich risk scénářů může přilétnout „pořádná darda“. Jednoznačné nám odpoví, jestli jsou 3 oranžová rizika v součtu horší než to 1 červené a pro jaké rozmezí pravděpodobností a škod to platí a pro jaké je to naopak. Je to tedy nástroj podobný matici rizik, jen tam jsou křivky místo jednotlivých bodů a musíme se naučit s pravítkem v ruce v těch křivkách číst.

Spoiler: Graf průběhu více LEC křivek by měl obsahovat také informaci o tom, co naši audienci (Top Management, Business) bolí a co ne, na co jsou připraveni a co je pro ně „rána osudu“, a samozřejmě dle očekávání to nebude jedna přesná škoda (izo-riska v matici rizik) ale celá křivka podobná těm našim LECs: RTC – Risk Tolerance Curve. A pokud jste slyšeli o KRI (key risk indicators) a KRO (key risk objectives) a měli jste z toho vítr v kapse a tornádo v hlavě, tak právě kombinace LEC a RTC křivek v jednom grafu dá pojmům KRI a KRO perfektní smysl.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav a HANUS, Michal. Kvantitativní analýza kybernetických rizik: Loss Exceedance Curve. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/kvantitativni-analyza-kybernetickych-rizik-loss-exceedance-curve/. [cit. 2025-03-26].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Kvantitativní analýza kybernetických rizik: základní distribuční funkce
  2. Kvantitativní analýza kybernetických rizik a Monte Carlo simulace
  3. Kvalitativní nebo kvantitativní analýza rizik?
  4. Analýza rizik: kvantitativní vs. kvalitativní
  5. CRQ – kvantifikace kybernetických rizik

Štítky:


K článku “Kvantitativní analýza kybernetických rizik: Loss Exceedance Curve” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Michal Hanus

Blue teamer, risk manažer, architekt a manažer IT služeb s více než 20 lety praxe

veřejný profil

Podpořte nás

Pokud se vám obsah tohoto webu líbí, můžete na jeho provoz přispět jakoukoliv částkou.

Děkujeme.