O problematickém postavení CISO v hierarchii organizace jsem naposledy psal zde.

Otázka je, zda se od té doby něco změnilo. Nic zásadního, ale k určitým změnám přesto došlo, dochází a bude i nadále na této pozici docházet.

Bezpečnostní firmy a média se v posledních měsících předhánějí, kdo silněji varuje před „novými“ technikami zvanými ClickFix a FileFix.

Ale když se na ně podíváme blíže, zjistíme, že tyto útoky jsou jen další variací dávno známých sociálně-inženýrských principů.

Matice rizik patří k nejrozšířenějším nástrojům v oblasti řízení rizik. Nabízejí jednoduchou formu vizualizace rizik podle dvou dimenzí – dopadu a pravděpodobnosti.

Právě tato srozumitelnost stojí za jejich popularitou u managementu i auditorů. Jak je ale ukázáno v článku o hanojském masakru krys, popularita je někdy důsledkem iluze efektivity, nikoli reálné užitečnosti.

Většina mezinárodních certifikací v oblasti kybernetické bezpečnosti pochází z USA, což odráží dlouhodobou dominanci amerických organizací v této oblasti.

Nicméně, tyto certifikace jsou uznávané globálně a často slouží jako standardy v oboru. Uveďme si ty nejznámější:

Organizace působící ve vysoce regulovaném prostředí patří mezi nejlépe zabezpečené instituce vůbec.

Mají zavedená veškerá doporučená opatření, často v režimu „best in breed“. Pravidelně procházejí audity, podléhají detailnímu dohledu regulátorů a disponují zdroji, o kterých si většina firem může nechat jen zdát. V takovém prostředí se může zdát, že kvantitativní analýza kybernetických rizik je zbytečná.

Černá labuť, šedý nosorožec, černý slon, černá medůza, bílá labuť jsou metaforická označení, která nám pomáhají lépe pochopit různé typy rizik a jejich dynamiku.

Každé uvedené zvíře přináší nový úhel pohledu na to, jak může riziko vzniknout, jak ho rozpoznat a jak s ním efektivně pracovat. A začneme těmi nejznámějšími.

Před pár lety jsem zde otevřel otázku, zda má v oblasti informační a kybernetické bezpečnosti smysl se zabývat pojmem „inherentní riziko“. Dnes říkám naprosto otevřeně: „Nemá.“

Ano, vím, že se to mnoha expertům opět nebude líbit. Budou zásadně nesouhlasit. Ale nemohu jinak.

Evropská unie se snaží budovat strategickou autonomii, tedy schopnost činit klíčová rozhodnutí nezávisle na vnějších mocnostech.

Ať ale sáhnete kamkoli, téměř vše běží na základech, které nemáme zcela pod kontrolou, což představuje nezanedbatelné bezpečnostní riziko.

Kybernetické útoky na organizace v České republice jsou stále častějším jevem. Přesto jsou informace, které se dostávají do médií, často povrchní, nesystematické a postrádají jakýkoliv praktický význam pro odbornou veřejnost i potenciální oběti.

Tento článek představuje dva pohledy na problematiku zveřejňování detailů o kybernetických útocích: přístup, který zastávám já, a umírněnější přístup ChatGPT.

V minulém dílu našeho seriálu jsem uvedl koncept černé labutě a pár příkladů. Nyní se pojďme zamyslet nad tím, jak se na černé labutě připravit.

Nechme se volně inspirovat dílem Nassima Nicholase Taleba, a především jeho myšlenkou robustnosti a antifragility. Tedy budováním odolných systémů schopných prosperovat v prostředí, které se vyznačuje stále větší komplexitou a nepředvídatelností.