Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty
1. díl

V oblasti řízení informační bezpečnosti a kybernetických rizik se organizace často ocitají v situacích, kdy musí rozhodovat v podmínkách nejistoty (uncertainty).

Zatímco frameworky jako NIST CSF, FAIR nebo ISO 31000 problematiku nejistoty zcela opomíjejí, britský framework M_o_R ji zahrnuje, byť jen okrajově. Právě na tento framework navážu a pokusím se koncept nejistoty hlouběji rozpracovat.

Na první pohled by se mohlo zdát, že diskuse o kategoriích nejistoty spadá spíše do akademických debat bez praktického dopadu. Přesto má smysl tomuto konceptu alespoň trochu porozumět, protože jeho pochopení může být užitečné. Například při řešení emergentních rizik nebo při komunikaci s vrcholovým managementem.

Nejistota je širší pojem než riziko a obecně označuje situace, kdy nejsou známy pravděpodobnosti ani možné následky budoucích událostí. Kvantifikace nejistoty není možná, nicméně organizace mohou minimalizovat expozici a posilovat odolnost vůči nepředvídaným situacím.

Riziko pak představuje konkrétnější a lépe měřitelné situace, protože zahrnuje známé pravděpodobnosti a důsledky hrozeb. Nejistota se tak stává rizikem ve chvíli, kdy začneme rozpoznávat četnost výskytu událostí a jejich potenciální dopady.

Pro úplnost je vhodné zmínit i protiklad nejistoty – koncept jistoty (certainty). Jistota představuje stav, v němž existuje absolutní znalost o výskytu určité události, stejně jako o všech jejích důsledcích.

V reálném světe se však jistota vyskytuje pouze v omezených situacích, například v deterministických systémech, kde příčinné vztahy mezi vstupy a výstupy jsou jednoznačně definované (např. fyzikální zákony v uzavřeném systému). V oblasti řízení kybernetických rizik však jistota hraje spíše konceptuální roli jako referenční bod, od něhož lze odvozovat míru nejistoty nebo rizika.

Pochopení jistoty jako kontrastu k nejistotě umožňuje lépe definovat rámce pro rozhodování. V případě jistoty není nutné provádět složité analýzy nebo modelování pravděpodobností, což značně zjednodušuje proces rozhodování. Nicméně v komplexních a dynamických prostředích, jako je informační bezpečnost, se skutečná jistota vyskytuje jen zřídka. Proto je zásadní pochopit rozdíl mezi jistotou, rizikem a nejistotou.

Základní rozdělení nejistoty se opírá o dvě klíčové dimenze: pravděpodobnost výskytu události a její negativní dopad. Tyto dimenze lze graficky znázornit – osa X reprezentuje dopady (impact) a osa Y pravděpodobnost (probability).

Obě osy je pak možné rozdělit na „známé“ (known) a „neznámé“ (unknown), což vytváří čtyři kvadranty, které si dále popíšeme.

Známé známé (Known knowns) víme, že víme

Jedná se o situaci, kdy jsme si vědomi existence hrozby a víme, jaká jsou potenciální následky (known consequences), stejně jako pravděpodobnost (known probability), s jakou daná hrozba nastane. A pokud nám schází nějaké informace, víme, že je třeba shromáždit data, provést analýzu nebo se poradit s odborníky. Jedná se vůbec o nejčastější rizika, která kvantifikujeme. Můžeme se na ně připravit a provést informované rozhodnutí o způsobu jejich zvládání. Tento typ nejistoty je považován za nejnižší úroveň nejistoty, protože máme dostatek informací pro odhadování rizika a rozhodování a označujeme ji jako rozpoznanou nejistotu (Recognized/Deterministic/Low Uncertainty).

Známé neznámé (Known unknows) víme, že nevíme

Jedná se o situaci, kdy víme, co by se mohlo stát, a uvědomujeme si i možné následky (known consequences), avšak neznáme pravděpodobnost (unknown probability), s jakou daná událost nastane, protože nemáme konkrétní data pro určení pravděpodobnosti události. Známé neznámé jsou nejčastěji analyzovány. Máme vědomí o tom, že nějaké informace nebo faktory nám chybí, a víme, že je musíme zjistit. např. z historických dat. Tuto situaci označujeme jako jako představitelnou nejistotu (Imaginable Uncertainty). Při tomto typu nejistoty se nejčastěji setkáváme s kvalitativním hodnocením rizika. Někdy se též hovoří o Emerging Risks nebo Discrete Risk Event.

Neznámé známé (Unknown knowns) nevíme, že víme

Jedná se o situaci, kdy víme, že se něco stane, známe pravděpodobnost (known probability), ale neznáme následky (unknown consequences), jaké by událost mohla mít. Kombinace známé pravděpodobnosti a neznámého dopadu je v praxi méně častá. Většina rizik se analyzuje opačně. Dopady jsou do určité míry známé a pravděpodobnosti jejich výskytu jsou nejisté a zjišťují se. Často však naopak známe pravděpodobnost, která je jednodušší k získání (např. frekvence událostí), zatímco dopad je obtížné kvantifikovat (např. různé možné scénáře následků). Chybí unikátní pojmenování pro tuto konkrétní situaci, ale nabízí se ji zahrnout též pod představitelnou nejistotu. Někdy se též hovoří o emerging risks nebo General Estimate Uncertainity (odhadovaná nejistota).

Neznámé neznámé (Unknown unknowns) nevíme, že nevíme

Jedná se o extrémně obtížně zvládnutelnou situaci, protože ji nelze předvídat. Její existence a dopady jsou zcela mimo náš současný model uvažování. A vzhledem k tomu, že si nedokážeme představit, co by se mohlo stát, nemůžeme mít ani představu o pravděpodobnosti a následcích události. Je to kombinace neznámých následků (unknown consequences) a neznámé pravděpodobnosti (unknown probability). Nejde o riziko v tradičním slova smyslu – je to čistá nejistota, nejvyšší stupeň nejistoty, která není vnímána ani modelována a lze ji označit za nepředstavitelnou nejistotu (Unimaginable/Undetermined Uncertainty).

Protože událost nelze předvídat, jedná se o nepředvídatelné, nepředstavitelné, zcela neznámé a dosud nepoznané hrozby, je třeba stavět na flexibilitě a odolnosti systémů, aby se mohly rychle přizpůsobit novým neznámým hrozbám a reagovat na ně.

Jednotlivé situace a typy nejistoty jsou shrnuty v následující tabulce, která zachycuje znalost informací o pravděpodobnosti a dopadu.

Typ nejistoty následky pravděpodobnost Příklad
Rozpoznaná nejistota Known Knowns Útok má pravděpodobnost 5 % a dopad 100 000 Kč.
Představitelná nejistota Known Unknowns Víme, že výpadek cloudu znamená ztrátu 500 000 Kč, ale neznáme pravděpodobnost.
Odhadovaná nejistota Unknown Knowns Pravděpodobnost výpadku serveru je 1 %, ale není jasné, jaké dopady to přinese (krádež dat, reputace, dostupnost).
Nepředstavitelná nejistota Unknown Unknowns Nový, neznámý typ kybernetického útoku, jehož existence i dopad je mimo naše současné modely.

Pojem představitelná nejistota se někdy používá jak v případě „known unknowns“ tak i „unknow knowns“ a setkat se můžeme i s pojmem emerging risk. V případě:

  • rozpoznané nejistoty můžeme hovořit o nám známém riziku;
  • představitelné a odhadované nejistoty pak o nedokonalé nejistotě;
  • nepředstavitelné nejistoty pak o dokonalé nejistotě.

U první dimenze (known-knowns) se pro identifikaci rizik hodí přstup bottom-up (inside view), u ostatních dimenzí pak naopak přístup top-down (outside view). Blíže se těmto přístupům budeme věnovat v samostatném článku.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 1. díl. Online. Clever and Smart. 2024. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/rizeni-informacni-bezpecnosti-v-podminkach-dokonale-a-nedokonale-nejistoty-1-dil/. [cit. 2025-01-25].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty
1. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: