Nezávislý e-zin o řízení informačních rizik, kybernetické bezpečnosti a strategickém myšlení za hranicemi best practice. Od expertů pro experty.

Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty
6. díl

Publikováno: 23. 06. 2025, v rubrice: Bezpečnost, autor: , zobrazeno: 216x

Černá labuť, šedý nosorožec, černý slon, černá medůza, bílá labuť jsou metaforická označení, která nám pomáhají lépe pochopit různé typy rizik a jejich dynamiku.

Každé uvedené zvíře přináší nový úhel pohledu na to, jak může riziko vzniknout, jak ho rozpoznat a jak s ním efektivně pracovat. A začneme těmi nejznámějšími.

Černá labuť (Black Swan)

S tímto termínem přišel jako první Taleb (2010) a jedná se o takovou události, která je extrémně nepravděpodobná, nepředvídatelná nebo téměř nepředvídatelná a zcela mimo běžná očekávání (tj. nelze ji odhadnout na základě minulých zkušeností). Jejich charakteristickým rysem je velmi malá pravděpodobnost a enormní dopad, ať už pozitivní nebo negativní (ekonomický, sociální, politický), který významně narušuje systém, protože je disruptivní.

Černé labutě jsou neznámé neznámé. Neznáme pravděpodobnost ani dopad, nedokážeme si je plně představit, dokud nenastanou. Černá labuť je událost, která nás zaskočí úplně nepřipravené, protože jsme si ji vůbec neuměli představit. Často její význam odhalíme až retrospektivně, kdy se dostavuje zpětná racionalizace. Lidé mají po události tendenci říkat, že ji bylo možné předvídat, přestože předtím byla nepředstavitelná. Jinými slovy, každý je najednou chytrý jak rádio.

Příklad: Zcela nový typ útoku nebo katastrofická chyba v základní infrastruktuře, která nikdy nebyla testována na daný scénář. Kvantový počítač prolomí šifrování kritických systémů, což vede ke kolapsu bankovnictví a vládních služeb.

Řešení: Černé labutě nás učí budovat robustní a adaptabilní systémy schopné odolat i nepředvídaným událostem. Např. diverzifikací bezpečnostních opatření, monitoringem nových technologií apod.

Bílá labuť (White Swan)

Bílá labuť je označení pro zcela předvídatelné události, které nepřinášejí žádné překvapení. Tyto situace jsou zcela běžné, dobře pochopené a často se pravidelně opakují. Na rozdíl od černé labutě nebo jiných metafor rizik zde lze riziko obvykle velmi dobře kvantifikovat i řídit.

Bíle labutě jsou známé známé. Známe pravděpodobnost i dopad, a dokážeme si představit, že nastanou. Dokážeme tak navrhnout vhodná bezpečnostní opatření. Typicky se opírají o historické trendy nebo pevné vzorce chování. Bílá labuť je jen obyčejné, dobře známé riziko, na které se někdo rozhodl naroubovat zvířecí metaforu, pravděpodobně jako reakci na popularitu černé labutě. Je to spíše hra se slovy, která má naznačit kontrast k černým labutím, jež jsou nepředvídatelné a překvapivé. Pokud někdo mluví o „bílých labutích“, jednoduše popisuje rizika, která už dávno známe, pravidelně se s nimi setkáváme, a obvykle na ně máme připravené plány nebo nástroje k jejich řízení.

Příklad: Pravidelný výskyt phishingových útoků a selhání uživatelů. Organizace ví, že se takové útoky dějí neustále, a má na ně vypracované plány obrany.

Řešení: Automatické detekce phishingu, bezpečností osvěta a trénink uživatelů.

Šedý nosorožec (Grey Rhino)

Šedí nosorožci je termín, který vytvořila analytička Michele Wucker (2016) a označuje zjevná, předvídatelná rizika, která jsou vysoce pravděpodobná, mají významné dopady a jsou dobře známá, ale často bývají ignorována, podceňována nebo odkládána. U šedých nosorožců máme dostatek podkladů, abychom mohli jednat. Selhání ve zvládání šedých nosorožců často vychází z apatie, špatného plánování nebo nezájmu.

Ikdyž ignorujeme varování, událost nebo problém se k nám stále řítí jako nosorožec, který je velký a představuje problém. Jeho velikost a rychlost prostě podceňujeme. Možná si myslíme, že je dost daleko, ale s rychlostí téměř 50 km/h může být u nás dříve, než se nadějeme. Organizace chce tato rizika řešit, ale řešení stále odkládá na později. Lidé jej většinou neignorují úplně, ale řešení má nízkou prioritu, nebo je odsunováno s myšlenkou: „Teď se nic neděje, tak to můžeme nechat na později.“ A dokud se nic nestane, problém se ignoruje.

Příklad: Firmy ignorují známé bezpečnostní zranitelnosti v kritické infrastruktuře (např. staré operační systémy). Riziko neaktualizovaných systémů: Víme, že starý software je zranitelný, ale mnoho firem jej stále používá.

Řešení: Nepodceňovat a neodkládat rizika, o který si myslíme, že hned tak nenastanou,

Černý slon (Black Elephant)

Černý slon podobně jako nosorožec odkazuje na vysoce pravděpodobnou, ale ignorovanou nebo popíranou událost s významnými následky. Riziko je zjevné, ale přesto je ignorováno nebo přehlíženo, a nevěnuje se mu dostatečná pozornost, i když je jasně identifikované. Riziko je vnímáno jako něco příliš složitého nebo nepohodlného, což způsobuje jeho ignorování. Zjevné, ale přehlížené riziko. Organizace je nechce řešit, a tak se tváří, že dané riziko neexistuje, protože jsou s ním spojené problémy. Někdy se též používá termín slon v místnosti nebo růžový slon.

Příklad: Riziko kybernetických útoků na kritickou infrastrukturu, které je známé a stále se zvyšuje. Je zjevné, že takové útoky mohou způsobit vážné škody, ale mnoho organizací k nim přistupuje s myšlenkou „to se nám nestane“, čímž je ignorují, dokud nenastane skutečný incident.

Řešení: Kvantifikace rizika.

Medúza (Medusa)

Medúza symbolizuje latentní riziko, takové, které není snadno rozpoznatelné, dokud nezpůsobí škodu. Stejně jako medúza je někdy těžko viditelná ve vodě, toto riziko může být přítomné, ale obtížně detekovatelné. Podobně jako medúza může latentní riziko „vyplavat“ na povrch v důsledku změn okolního prostředí.

Medúza v reálném světě je často průsvitná a může být těžko viditelná, dokud na ni nenarazíte. Podobně latentní rizika nejsou snadno detekovatelná, i když jsou přítomna.

O latentním riziku víme, že existuje a že může být zneužito, což umožňuje odhadnout pravděpodobnost výskytu na základě historických dat nebo odborného odhadu. Přesná povaha a rozsah následků zůstávají nejasné. Je možné, že zneužití latentního rizika způsobí buď menší incident, nebo naopak eskaluje do masivní katastrofy.

Známe zde pravděpodobnost, ale neznámé následky (Unknown-Knows).

Příklad: Chyby v bezpečnostním návrhu softwaru, které jsou roky přítomné, ale nejsou aktivně zneužívány. Škodlivý kód v open-source softwaru, který se roky šíří bez povšimnutí a později je masivně zneužit.

Řešení: Proaktivní monitoring, Identifikace a průběžné sledování známých hrozeb, i když jejich dopady nejsou okamžitě jasné. Modelování scénářů, simulace různých možných dopadů, aby organizace mohla lépe odhadnout, co by se mohlo stát. Flexibilita a připravenost, Implementace obecných bezpečnostních opatření, která dokáží reagovat na široké spektrum možných důsledků. Zlepšení detekce, rozšíření nástrojů a technologií pro lepší identifikaci latentních hrozeb, jako jsou zranitelnosti nebo abnormality v provozu sítí.

Hejno (flock)

Kumulace několika známých rizik, která samostatně nejsou kritická, ale dohromady vytvářejí velké nebezpečí.

Závěr: Přes všechno výše uvedené je riziko stále jen kombinací pravděpodobnosti a dopadu. Žádné další „zvíře“, které si nějaký chytrák vymyslí, nezmění jeho podstatu. Tyto metafory nenabízejí žádné nové nástroje pro hodnocení rizik a jejich přínos, zůstává čistě jen v prezentační rovině. Jsou nástrojem pro komunikaci a storytelling. Pomáhají upoutat pozornost, zvýraznit konkrétní charakteristiky rizik a zpřístupnit složité koncepty širšímu publiku. Ale i o tomto jejich přínosu můžeme pochybovat.

Pokud byste chtěli nějaké zvíře do přehledu doplnit a rozšířit naši zoo, napište.

LITERATURA:

TALEB, Nassim Nicholas. The Black Swan: The Impact of the Highly Improbable. New York: Random House, 2. vydání, 2010. ISBN 978-0-8129-7381-5.

OFFICE OF GOVERNMENT COMMERCE. Management of Risk: Guidance for Practitioners. 3rd ed. London: The Stationery Office, 2010. ISBN 978-0-11-331274-0.

WUCKER, Michele. The Gray Rhino: How to Recognize and Act on the Obvious Dangers We Ignore. New York: St. Martin’s Press, 2016. ISBN 978-1-250-05382-4.

QR kód pro podporu

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 6. díl. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/rizeni-informacni-bezpecnosti-v-podminkach-dokonale-a-nedokonale-nejistoty-6-dil/. [cit. 2025-07-20].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 4. díl
  2. Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 1. díl
  3. Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 5. díl
  4. Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 3. díl
  5. Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 2. díl

Štítky:


K článku “Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty
6. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil