Auditor vs. manažer kybernetické bezpečnosti
Když se zelená zóna zbarví do ruda

Na první pohled vypadá všechno idylicky. Smaragdově zelené zóny risk matice připomínají klidné mořské zátoky bez vln, bez bouří, bez důvodu k obavám.

Jenže podobně jako u mořských řas stačí velice málo a moře se náhle zbarví do ruda.

Následující rozhovor mezi mezi dvěma odborníky na řízení rizik, manažerem nemocnice (zastáncem risk matic, zkr. ZM) a externím auditorem (obhájcem kvantitativního přístupu, zkr. KM) není o tom, kdo má pravdu. Je to střet dvou přístupů. Dvou úhlů pohledu. Čtěte dále a posuďte sami, zda je matice skutečný pomocník, anebo jen silný opiát, na kterém většina ujíždí?

KM: Jak u vás provádíte hodnocení kybernetických rizik, používáte kvalitativní nebo kvantitativní metody k jejich vyhodnocení?

ZM: Oboje, nejprve rizika zaneseme do risk matice a pak ta, co vyšla jako kritická, vysoká nebo střední zkvantujeme.

KM: Víte o tom, že prioritizovat rizika na základě jejich umístění v risk matici je velmi nespolehlivé?

ZM: To je nesmysl. Tímto způsobem vyhodnocujeme a prioritizujeme desítky rizik ročně, a kdyby byly matice tak nespolehlivé, musely by bychom na to už dávno přijít.

KM: Nemuseli, protože většina rizik se nemusela zatím materializovat. Mohli jste také vynaložit více peněz než bylo potřeba. Možná zbytečně utrácíte za mitigaci rizik, která ve skutečnosti nejsou až tak závážná.

ZM: Kdepak, povětšinou se jednalo o rizika, kde nebylo v podstatě co řešit. DDoS, ransomware, únik informací apod. A když např. vím, že bez segmentace, MFA a záloh mě ransomware položí, tak ta opatření prostě zavedu. Nepotřebuji počítat, jak přesně velká by byla škoda a s jakou pravděpodobností nastane.

KM: Ano, ale pokud nespočítáte dopady a náklady na opatření, tak nemůžete vědět, jestli jste začali tím správným rizikem, zvolili ta vhodná opatření a jak moc jste riziko snížili.

ZM: Podívejte, to je celkem jednoduchá úvaha. Může vzniknout škoda za desítky miliónů a já ji mohu zabránit řešením za pár stovek tisíc. Jsou to základní opatření, best practice, a jejich smysluplnost byla již opakovaně prokázána. Nemusím počítat ROI, abych viděl, že se to vyplatí. To už to spočítali jiní. Mně stačí, že se jedná o červené riziko a po zavedení opatření jsem na zelené.

KM: Ano, ale v okamžiku, kdy máte několik červených rizik, tak jak se pak rozhodnete mezi nimi? Bez kvantifikace se můžete rozhodnout pro řešení, které má ROI 150 %, zatímco jiné, které zavrhnete, mohlo mít ROI 600 %.

ZM: Jak říkám, pokud je rizik více a nemám dost peněz, abych mohl všechna rizika hned ošetřit, tak ta nezelená zkvantuji.

KM: Ano, ale právě tady se můžete zásadním způsobem mýlit, protože zelené může být založené na chybném subjektivním odhadu, a klidně to může být největší vaše riziko. Matice prostě může schovat největší riziko do zelené zóny.

ZM: Podívejte, my jsme nemocnice, my zachraňujeme životy. My nemáme čas všechno kvantifikovat, my musíme rychle rozlišit, která rizika jsou zásadní, a která můžeme akceptovat. To máte jako na příjmu, tam se musíte také rychle rozhodnout, kdo je simulant, koho operovat a koho poslat na další vyšetření.

KM: Ano, ale kybernetická rizika se většinou nematerializují okamžitě. Nejsme na urgentním příjmu, kde vteřiny rozhodují o životě. Rizika se materializuji v měsících nebo letech, máme čas. A právě proto je důležitá analýza. A pokud použiji váš příměr, tak to je jako kdybyste se na urgentu rozhodovali podle toho, že víc křičí pacient s odřeným kolenem a přehlédli vnitřní krvácení.

ZM: Takže znovu, matice nám už roky dobře slouží k prioritizaci rizik a nemáme důvod to měnit. Já kvantifikuju jen nezelené buňky, ty nechám být a ušetřím čas a peníze. Oproti těm, co kvantifikují všechno, mám rychleji hotovo.

KM: Jenže právě v těch zelených mohou být rizika, která by po kvantifikaci vyšla jako zásadní. A vy je minete. Kvantifikace je připočitatelná, také se můžete mýlit, ale máte šanci to poznat.

ZM: I v kvantifikaci se můžete seknout. A to, že to můžete přepočítat, to není argument. Vzpomeňte si na Heartbleed, OpenSSL, všichni to mohli ověřit, nikdo to neudělal a chyba zůstala spoustu let neodhalená.

KM: Ano, ale rozdíl je v tom, že kvantifikace je zpětně ověřitelná. Vidíte vstupy, výpočty, výstupy a můžete je kdykoli zpochybnit, opravit nebo porovnat. U matice se často jen řekne, že je to červené, ale nikdo neví proč.

ZM: Ale ví, máme to uvedeno v rizikovém scénáři. Tam máme stanovenu pravděpodobnost dopadu, samotný dopad a zdroj těchto informací. Matice je jen vizualizační shrnutí. Vy to u těch vašich LEC křivek také máte uvedeno bokem, také nikde z LEC křivky nevyčtu odkud byla vzata ta data.

KM: To je skvělé, že to tak děláte. Ale ne každý to tak dělá, a ne každý eviduje na základě čeho stanovil dopad a pravděpodobnost. A když jsme u těch odhadů dopadů a pravděpodobností, tak ty jsou bez kalibrace klamavé, každý si navíc může představit pod pojmem nízký nebo téměř jistý něco jiného a rovněž můžete snadno udělat chybu.

ZM: My máme politiku řízení rizik s jasně definovanými intervaly pro jednotlivé kategorie dopadu a pravděpodobnosti, takže každý podle popisu ví, co dané slovní hodnocení znamená. A ano, můžeme udělat chybu, konečně ani kvantifikace není prosta chyb. Všechno se musí rovněž odhadovat – pravděpodobnosti, dopady, účinnost opatření… A když do výpočtu dosadíte špatná čísla, dostanete iluzorní přesnost. Matice přiznávají, že pracujeme s hrubými odhady, a to je v praxi férovější.

KM: Ano, ale problém je v samotné podstatě matic, v tom jak jsou konstruovány a jak fungují, např. že kvalitativně vyšší riziko může být kvantitativně nižší a naopak kvalitativně nižší může být kvantitativně vyšší. To je chyba samotných matic a nejde ji eliminovat. Tímhle neduhem LEC křivka netrpí.

ZM: Fajn, ale zkuste to vysvětlit představenstvu. Když na jednání ukážu barevnou matici s červenými, oranžovými, žlutými a zelenými políčky, každý hned chápe, kde je problém. Když přijdu s tabulkou plnou čísel a statistických modelů, nikdo se v tom nevyzná. Matice prostě lépe komunikuje riziko.

KM: To si nemyslím. Manažeři rozumí číslům, když jsou prezentovány jako peníze. Většina se zeptá: „Kolik nás to bude stát?“ Barevná matice je hezká, ale u rozhodování o rozpočtu nestačí. To, že se s ní doposud spokojili, je jen proto, že jim nikdo nic jiného a lepšího nenabídl.

ZM: Možná, ale kvantifikace je drahá. Nemá smysl ji dělat, když víme, že za pár tisíc odstraníme riziko v hodnotě milionu. To je přece jasné.

KM: Jenže pokud máte více takových „jasných“ rizik, musíte vědět, čím začít. Když neznáte čísla, nevíte, která investice má největší přínos. Náklady na chybnou prioritu můžou být mnohem vyšší než náklady na kvantitativní analýzu.

ZM: A proto ta rizika pak kvantifikujeme.

KM: Ano, ale jen ta, která vám vyjdou jiná než zelená. Chápete, že se vaši analytici mohou splést a chybně riziko zařadit?

ZM: Ano, ale chybně odhadnout hodnotu dopadu a pravděpodobnosti můžete i u kvantifikace. A myslíte si, že bude někdo jen tak bezdůvodně přezkoumávat LEC nebo RTC křivku jestli je nakreslena správně? Podle mne pokud to bude někdo přezkoumávat, tak až v okamžiku, až se nějaké riziko zmaterializuje. A pak už to bude celkem jedno.

KM: Jde o to že chyba nemusí být nutně v analytikovi, ale v samotném nástroji, který svým designem svádí k chybnému použití a většina jej pak skutečně používá špatně.

Poznámka: Tento rozhovor není hypotetický. Je destilací desítek reálných debat v nemocnicích, výrobních podnicích i státní správě. Mnoho bezpečnostních rozhodnutí dnes stále stojí na tom, co vypadá červeně, místo na tom, co má největší dopad.

Závěr: Rozhovor odhaluje, že i zastánce matic často používá kvantitativní úsudky. V mnoha firmách přitom zcela chybí záznam, jak byly odhady dopadů a pravděpodobností stanoveny. Matice tak zůstává vizualizační pomůckou bez důkazního rámce. To by nebyl problém, kdyby ji i její uživatelé vnímali jen jako vizualizační pomůcku a nikoliv jako rozhodovací nástroj.

Risk matice mají výhodu v jednoduchosti. Právě proto se staly oblíbeným nástrojem pro prvotní orientaci. Ale jakmile dojde na zásadní rozhodnutí o investicích do bezpečnosti, ztrácí svou výpovědní hodnotu. Dvě buňky stejné barvy mohou znamenat zcela rozdílné finanční dopady a bez kvantifikace zůstáváme slepí. Rizika klasifikovaná jako zelená mohou být ve skutečnosti rudá. A rudá zase mohou být ve skutečnosti zelená.

Ve smaragdově zelených zátokách může číhat nejedno nebezpečí. Stejně jako mořské řasy, které za běžného světla vypadají neškodně a když se skloní slunce nebo se přemnoží, tak hladina moře náhle zrudne.

A právě to je podstata risk matic. Nezobrazují realitu, ale její zjednodušený odraz. Iluzorní klid zelené zóny může zakrýt skutečnou hrozbu, která se odhalí až tehdy, když se na ni podíváme pod jiným úhlem.

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Štítky: řízení informačních rizik