Likelihood: frekvence, pravděpodobnost… nebo něco jiného?
🕒 6 min čtení
Když přijde řeč na praktický výpočet rizika bez chytrých pomůcek, všichni logicky sahají po známém vzorci: R = likelihood × impact. Jenže v pojmu „likelihood“ může být zakopaný pes.
Jedni oním pojmem myslí klasickou pravděpodobnost, druzí zase frekvenci výskytu události, typicky za nějaké časové období (ARO — Annualized Rate of Occurrence, jinak bychom asi mohli říci i míra výskytu v jednom roce). Dokonce i norma ISO připouští oboje.
Problém je, že frekvence a pravděpodobnost výskytu nějaké události opravdu není totéž, a teď nemyslíme jen samotnou číselnou hodnotu. A podle toho, co dosadíte, se pak může “hodnota“ rizika lišit až o desítky procent. Rychle konstatujme, že správně má do výpočtu rizika vstupovat frekvence (přesněji ARO). Než si ukážeme praktický postup, jak se s různými vstupy vyrovnat, pozastavme se u toho, v čem je onen rozdíl a co do výpočtu opravdu vstupuje.
Pojem frekvence je přeci jen příliš obecný a může být zavádějící, přidržme se tedy termínu ARO, či „anualizovaná míra výskytu“. Jinak řečeno, kolikrát do roka se sledovaná událost vyskytne (dle našeho odůvodněného očekávání). Co zde vlastně popisujeme? Inu, předpokládanou skutečnost, navíc v „pochopitelných“ pojmech. Pokud říkám, že auto mé značky se pokazí dvakrát do roka (a pokaždé mě oprava bude stát 20 000 Kč), je výsledek jaksi hmatatelný.
Pojem pravděpodobnost popisuje cosi zcela odlišného. Totiž, hlavně ne skutečnost. Tedy tu snadno viditelnou skutečnost. Popisuje nám výsledek modelu – tedy umělé, matematické konstrukce, která má co možná nejpřesněji popsat (či nasimulovat) onu skutečnost, jež se pak projeví tou ARO. A pokud uvedeme jen onu vyčíslenou pravděpodobnost, jsme navíc v dosti slabé pozici, pokud nedodáme, který z možných „modelů skutečnosti“ hodláme použít.
Řekli jsme výše, že správně bychom měli použít v praktickém výpočtu rizika ARO. Ale co když máme onu pravděpodobnost? Nebo ještě jinak, co když máme něco, co je (asi) pravděpodobnost? Čekají nás dva kroky: vstupní údaj rozpoznat a případně převést na správnou variantu.
Typický analytik, nemaje vlastní telemetrii (a tedy spolehlivý zdroj ARO), sáhne často po čísle z nějakého bezpečnostního reportu, kde se uvádí něco jako: „x % organizací zažilo útok“. To už ale často bývá jen jinak vyjádřená pravděpodobnost (alespoň jedné události za rok), nikoli frekvence.
Ačkoliv je převod celkem snadný, málokdo jej dělá (postup naznačíme vzápětí). Ale měl by, protože obě hodnoty se sice mohou za určitých podmínek blížit či téměř shodovat, ale to je jen shoda okolností a záludný klam. Zatímco u výskytu 1× za 10 let vyjde rozdíl mezi oběma čísly v desetinách (zanedbatelný), u výskytu 1× za 2 roky je už pravděpodobnost znatelně odlišná (rozdíl už 10 p. b.). U výskytů 1 a vícekrát ročně se rozdíl vyšplhá na desítky až stovky p. b. – zjevně se obě hodnoty chovají zcela odlišně. Další příklady jsou uvedeny v níže uvedené tabulce.
| Frekvence (popis) | ARO/λ [udál./rok] | P za rok | Rozdíl P-λ (p. b.) |
| 1× za 20 let | 0,050 | 4,9 % | −0,1 |
| 1× za 10 let | 0,100 | 9,5 % | −0,5 |
| 1× za 5 let | 0,200 | 18,1 % | −1,9 |
| 1× za 4 roky | 0,250 | 22,1 % | −2,9 |
| 1× za 3 roky | 0,333 | 28,3 % | −5,0 |
| 2× za 5 let | 0,400 | 33,0 % | −7,0 |
| 1× za 2 roky | 0,500 | 39,3 % | −10,7 |
| 3× za 5 let | 0,600 | 45,1 % | −14,9 |
| 2× za 3 roky | 0,667 | 48,7 % | −18,0 |
| 4× za 5 let | 0,800 | 55,1 % | −24,9 |
| 1× za rok | 1,000 | 63,2 % | −36,8 |
| 3× za 2 roky | 1,500 | 77,7 % | −72,3 |
| 2× za rok | 2,000 | 86,5 % | −113,5 |
| 3× za rok | 3,000 | 95,0 % | −205,0 |
| 4× za rok (čtvrtletně) | 4,000 | 98,2 % | −301,8 |
| 5× za rok | 5,000 | 99,3 % | −400,7 |
Uveďme si, jak provedeme praktický převod. Označení P zastupuje pravděpodobnost, „lambda“ pak zastupuje „frekvenci“, „ln“ a „e“ jsou pak obvyklá označení pro přirozený logaritmus a jeho základ, Eulerovo číslo:
- z pravděpodobnosti na frekvenci: λ=−ln(1−P)
- z frekvence na pravděpodobnost: P= 1 – e^−λ
Odpovězme si ještě na poslední otázku: proč funguje převod zrovna takto? Samozřejmě to souvisí s faktem, že pravděpodobnost je model. Tedy, jeden z modelů, vhodný pro naše počítání s rizikem. V takovýchto případech se typicky využívá tzv. Poissonovo rozdělení pravděpodobnosti, a z jeho formulace pak vycházejí ony převodní vztahy. Také písmeno „lambda“ je běžně užíváno jako označení parametru tohoto rozdělení.
Závěr: V interních metodikách je vhodné na tuto skutečnost upozornit a jasně napsat, že riziko se má počítat jako součin frekvence a dopadu. A dále že procenta z reportů je nutné nejdříve převést na frekvenci (λ=−ln(1−P). Jinak si každý dosadí něco jiného a rizika se vám potichu rozjedou.
Více informací týkající se této problematiky najdete v knize Kvantitativní analýza kybernetických rizik, která přináší detailní návod jak kvantifikovat kybernetická rizika.
LITERATURA:
ISO/IEC. ISO/IEC 27005:2022 — Information security, cybersecurity and privacy protection — Guidance on managing information security risks. Geneva: ISO/IEC, 2022. Online. Dostupné z: https://www.iso.org/standard/80585.html. [cit. 2025-09-10].
NIST. Special Publication 800-30, Revision 1: Guide for Conducting Risk Assessments. Gaithersburg, MD: National Institute of Standards and Technology, 2012. Online. Dostupné z: https://csrc.nist.gov/pubs/sp/800/30/r1/final. [cit. 2025-09-10].
THE OPEN GROUP. Technical Guide: Requirements for Risk Assessment Methodologies. Reading: The Open Group, 2009. ISBN 1-931624-78-X. Online. Dostupné z: https://pubs.opengroup.org/onlinepubs/9299919899/toc.pdf. [cit. 2025-09-10].
CAMPUZAN, Florian. Understanding Poisson Distribution in Simple Terms. FINANCE TUTORING – Organisme de formation n°24280185328, 2025. Online. Dostupné z: https://www.finance-tutoring.fr/understanding-poisson-distribution-in-simple-terms [cit. 2025-09-17]
Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.
Děkujeme!
ČERMÁK, Miroslav a MALINA, Patrik. Likelihood: frekvence, pravděpodobnost… nebo něco jiného?. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/likelihood-frekvence-pravdepodobnost-nebo-neco-jineho/. [cit. 2026-01-25].
Štítky: CRQ
1 komentářů
Pokud byste si chtěli vyzkoušet i jiné frekvence a pravděpodobnosti, můžete využít tento nástroj: https://www.cleverandsmart.cz/likelihood-probability-frequence-prevodnik/
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.