Proč CRQ selhává a risk matice stále dominuje

Když se tahá Gumbel, Weibull, Fréchet a Jeffreysův prior do řízení kybernetických rizik, tak se risk matice ozývá.

Kyberbezpečnost není raketová věda. To říkáme pořád. Ale pár doktorandů si to evidentně neřeklo dostatečně nahlas.

Když vyprodukujete spoustu špičkových matematiků a statistiků, dřív nebo později narazí na realitu: svět nemá nekonečnou poptávku po jejich „elegantních řešeních“. A tak se začnou krapet nudit.

Upřímně, špičkovou teorii nemůže dělat každý. A poptávka po špičkových statisticích je menší, než by se mohlo zdát. A jak tihle géniové začnou přemýšlet, kde by ještě mohli zachránit svět těmi svými matematickými ocasy, je to konečná.

A ejhle kyberbezpečnost! Obor, kde se stále používá risk matice, takže proč tam rovnou nepropašovat celý arzenál extrémních modelů? Gumbel, Weibull, Fréchet, Generalized Pareto, shape parameter ξ, threshold stability ploty…

Jenže, ouha. Naprosto nikdo to po nich nechtěl. Mysleli to dobře, ale dopadlo to jako vždycky. Většina lidí se matematiky bojí. Ostatně nemohlo to ani dopadnout jinak. Ve světě, kde cyber risk management vypadá spíš jako šamanský rituál. Zelená – pohoda, žlutá – možná problém, červená – něco bychom s tím měli dělat.

Všude to funguje stejně. S risk matici obejdou manažeři celou zasedačku kolem dokola, posbírají post-it lístečky a pak se zeptají kam je v matici mají umístit  a nakonec slavnostně prohlásí: „Tady nám vyšlo červené riziko.“ A je hotovo. Rituál splněn.

A právě v tomhle světě přistáli tihle doktůrci se svými extrémy a chtěli vysvětlovat nějaký shape parameter ξ. Jako chápeš to? Tolik let studovali, a nedojde jim taková zásadní věc, že opatření v kyber jsou levná. A protože jsou levná, tak nepotřebujeme takovou sofistikovanou úroveň modelování extrémů. Nepotřebujeme vědět, jak moc tlustý a dlouhý je náš ocas. Prostě zavedeme opatření. Bez Frécheta. Bez Gumbella. Bez GPD.

Jenže oni si mysleli, že když vysvětlí něco tak prostého jako je lognormální distribuce, tak lidé padnou na kolena a opustí risk matice. Vzpamatuj se člověče, gaussovka je v tomhle naprosto neúprosná. Jen se podívej na rozložení IQ. Lognormál je pro mnohé věda a pořád jí bude. Kromě toho i ty naše kvantitativní odhady jsou subjektivní, jen těch parametrů, co tam odhadujeme!

Jasně, když děláme kvantifikaci v kyber, vymýšlíme: μ z hlavy, σ z intuice, α protože se hezky vyjímá, β protože sedí k předchozí tabulce, γ protože to vypadá odborně, θ protože přece musíme použít nějaké řecké písmeno. A když nevíme vůbec nic — tadááá: Jeffreysův prior, ten to jistí.

Tak proč ten kvant vůbec děláme? A tady je odpověď, kterou si málokdo troufne říct nahlas: Neděláme kvantifikaci proto, že by byla přesná. Děláme ji proto, že risk matice jsou objektivně špatné.

A protože potřebujeme prioritizovat opatření mezi sebou, potřebujeme vysvětlit managementu, co má dělat první, potřebujeme alespoň rámcově vyčíslit přínos, potřebujeme rozhodnutí podložená něčím lepším než barvami. Kvantifikace v kyber je prostě nástroj, který funguje lépe než risk matice.

Kyberbezpečnost nepotřebuje extravaganci Gumbela, Weibulla ani Jeffreysovy priory. Ale už vůbec nepotřebuje risk matice. Potřebuje obyčejná čísla, obyčejnou logiku a obyčejnou prioritizaci. A také trochu odvahy říct: „Já chci znát realitu.“ Funkční opatření, ta zavedeme tak jako tak.

A to je přesně ten důvod, proč CRQ zatím prohrává. Protože barvy jsou pohodlné. Protože zelenou, žlutou a červenou chápe každý. Každý, kdo stál někdy na semaforu. Protože říct: „Já chci čísla“ vyžaduje kuráž postavit se proti celému davu, který si zvykl na šamanství.

Ale jen dočasně. Protože „červená“ není informace. Informace je kolik, kdy a jak často.

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Štítky: glosa