Kvantitativní analýza kybernetických rizik: Risk Tolerance Curve

Publikováno: 14. 04. 2025, v rubrice: Bezpečnost, autor: and , zobrazeno: 211x

Křivka tolerovaného rizika (Risk Tolerance Curve, RTC) ukazuje, co ještě firma a její management „ustojí“, tj. jaké celkové škody vstřebá (např. v rámci provozních nákladů), na jaké má naspořeno (např. v rámci treasury managementu) a na jaké je pojištěná (se spoluúčastí a limity plnění).

RTC musíme odvodit (elicitovat) z řady bodů (konkrétních prahů bolesti) v hlavách naší audience (Top Management a zástupci Businessu, typicky mimo IT a Cyber Risk), které pak propojíme (interpolujeme) nějakou vhodnou sadou křivek.

RTC se může na úvod jevit složitější, ale její výhody oceníte při první vážné diskusi s Treasury Managerem nebo CFO. Oni totiž potřebují vědět, na jaké kumulativní škody se mají připravit, a jestli na ně mají/nemají naspořeno nebo pokryto pojištěním a jestli dává/nedává smysl se na určité výjimečné scénáře dodatečně pojistit a jejich aktuální připravenost nést škody je vyjádřená právě v RTC.

RTC se odhaduje (elicituje) na základě několika bodů (uspořádaných dvojic dané četnosti/pravděpodobnosti maximální výše dopadu), ilustrujících očekávané škody, které daná organizace už považuje za nepřijatelné a už je nechce zažít nebo stále ještě považuje za přijatelné (ještě to s odřenýma ušima ustojí):

  • něco jiného představuje pro top management nízká škoda s dlouhodobou četností několikrát do roka (ty pomyslné ukradené rohlíky v supermarketu) a něco jiného je stomilionová škoda jednou za dvacet let
  • typicky vedeme s manažery diskusi typu takto četná a takto vysoká škoda hodně pálí/pálí/nepálí a body značíme na logaritmické škále škod (koruny, tisíce korun, miliony korun, miliardy korun) a velmi rychle se dozvíme, kde nastává „zlom“, čili kdy jsme narazili na stropy naší kasičky (treasury) a naší pojistky
  • body vhodně interpolujeme (o tom až příště) a výsledná RTC křivka s jejich vlastními vstupy (body) umožňuje manažerům vizualizovat hranici mezi akceptovatelnými a neakceptovatelnými riziky v našem grafu s LEC křivkami.

Sestavení RTC se může jevit jako nadmíru složitý úkol a nejednoho risk analytika může od používání CRQ odradit. Je proto nezbytné uvést jasné definice použitých pojmů, související návodné otázky a zahájit korektní dialog se zodpovědnými osobami.

A nebojte se, oni budou dobře vědět, o čem je řeč. Každý den čelí řadě rizik (kurzové rozdíly, výkyvy v dodávkách a dodavatelském řetězci, neurčitosti v budoucí ceně klíčových komodit/surovin, geopolitické efekty typu sankcí, dovozních cel či regulací) a přepočítávají je na koruny.

Některá z rizik označí jako materiální (čili že hodně zabolí a zahoupou s celou firmou i s židlemi top managementu). Přesně tam se chytíte a postupným snižováním četnosti a dopadu se dostanete do oblasti „už to nebolí, už to dáme“. My například začínáme „od středu“ (střední četnosti, střední dopady) a posouváme se směrem k černým „HILF“ scénářům (high impact with low frequency) a pak k těm obyčejným škodám s vysokými pravděpodobnostmi.

V případě matice rizik mívá management problémy s definováním jedné konkrétní hodnoty, kdy je pro ně škoda nepřijatelná. Ono jim to totiž nedává moc smysl. A nedivte se jim, oni očekávají dospělý dialog na základě vhledu do jejich práce a starostí, a dostanou na stůl „omalovánky“ spolu se sadou značně nelogických dotazů. A jestli jsme v kyber-bezpečnosti nad omalovánkami ztratili celé čtvrtstoletí, máme co dohánět. My, ne oni!

Rozhodně nestačí pouze jeden odhad, např. uvést maximální tolerovanou škodu jako „tvrdý strop“, bez alternativy, že by mohla i hypoteticky nastat škoda větší, vznikne nám vertikální křivka (singularita typu žijeme/končíme), kdy nám nalevo od křivky („žijeme“) bude zoufale chybět informace o četnosti (tj. kolikrát za rok/dekádu si můžeme tuto maximální škodu jako firma dovolit), ale toto se přece můžeme snadno dozvědět právě během konstruktivnho dialogu s managementem.

Dva odhady už umožňují vytvořit realistický model, který reflektuje, že vyšší škoda je tolerovatelná pouze při nižší pravděpodobnosti a naopak. Z pěti odhadů (s řádově odlišnými škodami a s podchycenými „stropy“ v kasičce a v pojištění) už bude RTC jako víno.

Níže uvádíme metody, které je možné použít:

1. Scénářové otázky
Namísto přímého dotazu na maximální tolerovanou škodu a pravděpodobnost je možné použít scénáře:

  • „Představte si, že se tato škoda stane jednou za 10 let. Je to přijatelné?“
  • „Co když by tato událost nastala každých pět let?“

2. Párové porovnání
Prezentujte dvě situace a požádejte management o výběr té, kterou považují za méně tolerovatelnou:

  • Situace A: Škoda 1 milion Kč s anualizovanou pravděpodobností 10 % (jednou za dekádu).
  • Situace B: Škoda 5 milionů Kč s pravděpodobností 2 % (jednou za padesát let).

Pozor na kalibraci a na kognitivní zkreslení a na anchoring. Určitě by tam měli být experti/exekutivci s vhledem a manažerskou zodpovědností.

Cílem je postupně zanášet body a do grafu a pak jimi proložit RTC křivku, která bude pravděpodobně hezky ilustrovat prvky „Nobelovské“ teorie prospektu (prospect theory), zejména tzv. averze ke ztrátám („loss aversion“), kdy ztráta psychologicky bolí více, než kolik radosti přináší stejně velký zisk a rizikovější chování v doméně ztrát (kdy nám hrozí „mínusy“), kdy neopodstatněně doufáme, že se nám zřídkavá ztráta vůbec nestane a když se nám stane, tak to „nějak zvládneme“.

Závěr: Přesvědčit management k poskytnutí několika „kalibrovaných“ odhadů pro sestavení „zkalibrované“ RTC je klíčové pro vytvoření realistické a užitečné křivky. Realistická RTC křivka následně umožňuje efektivnější řízení rizik a lepší komunikaci o jejich tolerovatelnosti. RTC křivka pak bude někde protínat LEC křivku, která se používá pro vizualizaci scénáře konkrétního rizika a velmi přímočaře můžeme tuto situaci použít k definicím KRI (key risk indicators) a KRO (key risk objectives), ale o tom zase až příště.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav a HANUS, Michal. Kvantitativní analýza kybernetických rizik: Risk Tolerance Curve. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/kvantitativni-analyza-kybernetickych-rizik-risk-tolerance-curve/. [cit. 2025-04-30].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Kvantitativní analýza kybernetických rizik: Loss Exceedance Curve
  2. Kvantitativní analýza kybernetických rizik a Monte Carlo simulace
  3. Kvantitativní analýza kybernetických rizik: základní distribuční funkce
  4. Kvalitativní nebo kvantitativní analýza rizik?
  5. Analýza rizik: kvantitativní vs. kvalitativní

Štítky:


K článku “Kvantitativní analýza kybernetických rizik: Risk Tolerance Curve” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Michal Hanus

Blue teamer, risk manažer, architekt a manažer IT služeb s více než 20 lety praxe

veřejný profil

Podpořte nás

Pokud se vám obsah tohoto webu líbí, můžete na jeho provoz přispět jakoukoliv částkou.

Děkujeme.