Každá organizace, která bere kybernetická rizika aspoň trochu vážně, by měla mít systém školení přizpůsobený různým skupinám zaměstnanců.

Každá z těchto skupin totiž potřebuje jiný typ školení. Nejde přitom jen o bezpečnostní osvětu ve smyslu phishingu, hesel a podezřelých e-mailů, ale také o znalost interních procesů, odpovědností, kontrolních mechanismů, používaných frameworků a pravidel, která se vztahují ke konkrétní roli.

Tradiční matice rizik, založené na kombinaci odhadované pravděpodobnosti a dopadu, byly v odborné literatuře opakovaně kritizovány pro metodologickou slabost, statistickou nekonzistenci a omezenou interpretační hodnotu (Cox, 2008; Aven, 2016).

Jejich slabina nespočívá pouze v ordinální povaze použitých škál, ale též v tendenci vytvářet dojem kvantitativní přesnosti tam, kde jsou vstupní pojmy samy o sobě vágní, kontextově proměnlivé a často mezi standardy odlišně vykládané.

Smyslem kvantitativní analýzy není budit dojem exaktnosti tam, kde máme jen omezená data. Smyslem je podpořit  správné rozhodnutí. Firma potřebuje vědět, jak velkou ztrátu ještě unese, kolik kapitálu, likvidity nebo pojistné ochrany má mít připraveno a kdy už riskuje, že ji určitý incident finančně zcela ochromí.

Právě proto nestačí jen říct, že „riziko je vysoké“ anebo že „může nastat velká škoda“. Management potřebuje alespoň orientačně vědět, o jakých částkách se  vůbec bavíme.

Řízení rizik je nedílnou součástí moderního podnikání. Jedním z nejrozšířenějších nástrojů jsou tzv. risk matice, které pomáhají vizualizovat a prioritizovat rizika.

Právě jejich rozšířenost ale vytváří nebezpečný dojem samozřejmosti: co používají všichni, bývá považováno za dostatečné. Jenže dějiny selhání ukazují něco jiného. Mnoho postupů se jeví jako přijatelné až do okamžiku, kdy jejich limity narazí na realitu a způsobí škodu. Teprve tehdy přestává být metodická debata akademickou disciplínou a začíná se zkoumat, kdo rozhodoval, na základě čeho rozhodoval, co měl vědět a zda jednal s péčí, kterou bylo možno rozumně očekávat.

Playbook musí poskytnout návod pro řešení závažného bezpečnostního incidentu, kdy je nutné pod tlakem dělat ty správné kroky, a kdy mozek často jede na autopilota. Proto musí být napsaný jednoduše, jasně a akčně.

Každý krok musí být jednoznačný a srozumitelný i pod kognitivním zatížením, neboť mozek ve stresu ztrácí schopnost komplexního uvažování. Takže žádné filozofování, ale naprosto jasné pokyny, kdo, co  a kdy má udělat.

V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.

Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.

Když se tahá Gumbel, Weibull, Fréchet a Jeffreysův prior do řízení kybernetických rizik, tak se risk matice ozývá.

Kyberbezpečnost není raketová věda. To říkáme pořád. Ale pár doktorandů si to evidentně neřeklo dostatečně nahlas.

V bezpečnosti se nyní hodně mluví o CTEM, AEV a BAS a nejeden CISO se tak nechal zlákat líbivou prezentací firem, které tento přístup k řízení zranitelností propagují.

Aby ne, když to marketing výrobců těchto SW servíruje jako „Nasadíš náš SW, a on ti nejenže řekne, jakou zranitelností začít, ale i jak velké představuje riziko v korunách“. No, nekup to.

V jednom minulém příspěvku padlo, že jedním z důvodů, proč se manažeři tak drží risk matic, je, že se jim nedostane v rozumném čase zpětné vazby, zda jejich odhady pravděpodobnosti a dopadů odpovídaly realitě. Což je pravda, protože bez zpětné vazby se dá věřit téměř čemukoli.

Tedy i tomu, že jim ta jejich kvalitativní metodika hodnocení rizik funguje. Tak nějak jsou všichni přesvědčení, že zrovna ta jejich je v něčem tak výjimečná, že funguje anebo že jsou tak výjimeční oni v tom, jak ji používají. Což je samozřejmě čirá utopie.

Na první pohled tento návod jak prioritizovat systémy, u kterých by se měla řešit migrace na postkvantovou kryptografii, vypadá celkem rozumně.

V dokumentu „Prioritising Post-Quantum Cryptography Migration Activities in Financial Services“ uvádějí autoři celkem jednoduchý postup: spočítat dvě skóre (Quantum Risk Score a Migration Time Score) a podle jejich kombinace pak rozdělit systémy do třech kategorií. Jenže jej rozhodně nemohu doporučit. Ptáte se proč? Tak čtěte dál.