Proč tolik CEO věří maticím rizik, aneb Když zpětná vazba nepřijde roky a někdy vůbec

V jednom minulém příspěvku padlo, že jedním z důvodů, proč se manažeři tak drží risk matic, je, že se jim nedostane v rozumném čase zpětné vazby, zda jejich odhady pravděpodobnosti a dopadů odpovídaly realitě. Což je pravda, protože bez zpětné vazby se dá věřit téměř čemukoli.

Tedy i tomu, že jim ta jejich kvalitativní metodika hodnocení rizik funguje. Tak nějak jsou všichni přesvědčení, že zrovna ta jejich je v něčem tak výjimečná, že funguje anebo že jsou tak výjimeční oni v tom, jak ji používají. Což je samozřejmě čirá utopie.

10% pravděpodobnost neznamená, že se to do deseti let stane

V praxi se dost často myslí: „když je to 10 %, tak to jednou za deset let přijde.“ Jenže ouha, i když zjednodušíme svět na jeden pokus ročně (a bereme pokusy jako nezávislé), platí:

P(T > n) = (1 – p)^n

kde T je počet let čekání na první událost, p je roční pravděpodobnost (např. 0,1) a n je počet let (tedy počet „pokusů“):

• 20 let:0,9^20 ≈ 0,1216 (12 %).
• 30 let:0,9^30 ≈ 0,0424 (4 %).
• 50 let:0,9^50 ≈ 0,00515 (0,5 %).

Vidíme, že i relativně slušná pravděpodobnost může v reálném kalendáři znamenat dekády bez jediné materializace. A pokud se nic nestane, organizace si to obvykle vyloží jako „měli jsme to pod kontrolou“ nebo „bylo to lehce přestřelené“. Jenže to je logická past. Nebyla to verifikace odhadu. Byla to jen absence události.

Model bez zpětné vazby je odolnější vůči kritice

Matice rizik „funguje“ v prostředí, ve kterém někteří stále věří tomu, že kybernetická rizika se vzhledem k jejich specifické povaze nedají kvantifikovat a dají se posuzovat jen kvalitativně, celkem dobře. A tak pokud událost nenastane, matice „funguje“, protože nelze snadno říct, že byl odhad špatně. A pokud nastane,  matice rovněž „funguje“, protože „matice ukazovala červenou“ nebo „žlutou“, a jen ten dopad nás trochu překvapil.

V obou případech matice přežije a stává  se vírou. Zpětná vazba v kyberriziku je totiž strukturálně opožděná a zkreslená a hlavně problematická i z ryze objektivních důvodů:

• Nízká frekvence velkých událostí: katastrofické scénáře jsou vzácné (high impact and low frequency, zkr. HILF), takže není na čem kalibrovat.
• Neviditelné skoro incidenty: organizace často nepočítá near-misses (zastavené útoky, zablokované exfiltrace, odvrácené podvody) jako data pro model.
• Detekční slepá místa: že se nic nestalo, může ve skutečnosti znamenat, že jsme nic jsme nezjistili.
• Post-mortem zkreslení: vytvoříme si příběh, který sedí na rozhodnutí, která už padla, takže další analýza už jen potvrzuje minulost, ne realitu.
• Změna prostředí: mění se útočníci, technologie i firma samotná.

Když se tyto body spojí, vznikne prostředí, kde je jednoduché udržet „škálu barev“ a zároveň těžké udržet kalibrované pravděpodobnosti.

CEO matici chtějí, protože instituce miluje jednoduché artefakty

V anglosaské literatuře se tomu říká KISS (keep it simple stupid). Matice je výsledkem toho přístupu a není tak populární proto, že je přesná. Je populární, protože je komunikačně výhodná:

• Je rychlá: na workshopu vznikne „výsledek“ během hodiny v duchu „Chodí pešek okolo, nedívej se na něho, kdo se na něj koukne, ten mu post-it vlípne“.
• Je srozumitelná: managementu se dobře vysvětluje barvami. Na červenou stůj, oranžová pozor, na zelenou jeď. Jasně, to pochopí i trotl.
• Vypadá objektivně: i když je postavená na subjektivních třídách, působí jako měření. Něco tam vynásobíme a je to.
• Minimalizuje konflikty: místo sporu o čísla se hlasuje o kategorii. Diskusí jestli je to „spíš střední nebo vysoké?“ se dá zabít celý míting.

Tohle nejsou malé věci. V praxi často nevyhrává nejlepší model, ale takový, který pochopí každý a takový model, který je jednoduchý, bývá často i zavádějící a ve složitější realitě kyberrizik takřka nikdy nefunguje spolehlivě. Ale pravda, když chcete být jen v souladu s legislativou, tak vám to stačí a nebudete se přeci trápit s CRQ. V tomhle kontextu mne ještě napadá jedno úsloví o házení perel sviním.

S maticemi na věčné časy a nikdy ne jinak

Pokud organizace nevyžaduje, aby odhady byly měřitelné a vyhodnocované (tj. aby existovalo nějaké skórovací pravidlo a rutina, která ho používá), pak se odhady časem nezpřesňují. Matice rizik obvykle nezaznamenává predikce v kontrolovatelném tvaru, nevyhodnocuje je po čase, a hlavně neodměňuje přesnost (odměňuje „kompatibilitu s očekáváním“). Výsledkem je pak uzavřený systém, kde se víra posiluje tím, že není vyzvána daty.

Doporučení

Pokud se rozhodnete, že chcete tenhle pohodlný svět opustit, potřebujete data a disciplínu. A když už jste dočetli až sem, tak tady je několik praktických kroků, které dávají smysl i bez dokonalých datasetů:

• Zapisujte konkrétní odhady (pravděpodobnost, dopad, časový horizont) a držte je beze změny jako „verzi 1.0“.
• Zaznamenávejte události, které byly zastaveny až kontrolami (to jsou často nejcennější signály).
• Místo „střední dopad“ používejte intervaly a rozdělení (byť hrubá), a pracujte se scénáři.
• Pravidelně aktualizujte odhady na základě nových indikátorů (změny expozice, zranitelnosti, kontroly, aktivity protivníka).
• Oddělte rozhodování od estetiky: model má být nepohodlný, pokud ukazuje nepohodlnou realitu. Jinak je to dekorace.

Závěr

Matice rizik je v kyberbezpečnosti tak rozšířená mimo jiné proto, že pracuje s jevem, který si manažerský svět ne vždy uvědomuje: časová prodleva mezi odhadem a ověřením. Když je verifikace vzdálená deset, dvacet nebo třicet let, dá se velmi dlouho fingovat, že „to máme spočítané“. A když se pak nic nestane, často se to vydává za důkaz správnosti.

Jenže u pravděpodobnostních odhadů je „nic se nestalo“ často jen informace o tom, že hacker si nás zatím nevybral. A pokud z toho uděláme argument pro funkčnost matic, nehodnotíme riziko. Hodnotíme jen náš pocit, že jsme zatím v suchu a v bezpečí.

Kvantu zdar.

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!