Přechod od kvalitativních metod ke kvantitativní analýze rizik nebývá jednoduchý. Nejjednodušší cesta obvykle vede přes semikvantitativní přístup. Místo slov a barev začneme pracovat s čísly, ale pořád ještě ne s celým pravděpodobnostním rozložením.

V této fázi často přichází lákavé zjednodušení. Vezmeme intervaly, které už máme někde v metodice definované, použijeme jejich středy a máme krásné číslo. Asi už tušíte, že s tím bude spojený nějaký problém.

V okamžiku, kdy máme stanovit škodu, která by mohla vzniknout v důsledku určitého kybernetického útoku popsaného v rámci konkrétního rizikového scénáře, stojíme před otázkou, jak ji vlastně vyjádřit.

Pokud bychom škodu popsali jediným číslem, získali bychom jen zjednodušený obraz reality. Ve skutečnosti totiž může nastat celé spektrum různých následků a ani průměr, ani medián samy o sobě tuto variabilitu nevystihnou.

Smyslem kvantitativní analýzy není budit dojem exaktnosti tam, kde máme jen omezená data. Smyslem je podpořit  správné rozhodnutí. Firma potřebuje vědět, jak velkou ztrátu ještě unese, kolik kapitálu, likvidity nebo pojistné ochrany má mít připraveno a kdy už riskuje, že ji určitý incident finančně zcela ochromí.

Právě proto nestačí jen říct, že „riziko je vysoké“ anebo že „může nastat velká škoda“. Management potřebuje alespoň orientačně vědět, o jakých částkách se  vůbec bavíme.

V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.

Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.

Když v CRQ používáme Monte Carlo simulaci, dostáváme velké množství výsledků: někdy za každý rok jednu agregovanou ztrátu, jindy navíc i jednotlivé ztráty během roku. Z těchto výsledků pak obvykle sestavujeme křivku překročení ztrát (Loss Exceedance Curve. zkr. LEC).

A možná jste si i všimli, že zatímco na ose X je snad téměř vždy uvedena škoda, tak na ose Y bývá dost často stejně tak pravděpodobnost jako frekvence. Křivka pak říká, s jakou pravděpodobností nebo jak často překračujeme daný práh.

Když přijde řeč na praktický výpočet rizika bez chytrých pomůcek, všichni logicky sahají po známém vzorci: R = likelihood × impact. Jenže v pojmu „likelihood“ může být zakopaný pes.

Jedni oním pojmem myslí klasickou pravděpodobnost, druzí zase frekvenci výskytu události, typicky za nějaké časové období (ARO — Annualized Rate of Occurrence, jinak bychom asi mohli říci i míra výskytu v jednom roce). Dokonce i norma ISO připouští oboje.

Organizace působící ve vysoce regulovaném prostředí patří mezi nejlépe zabezpečené instituce vůbec.

Mají zavedená veškerá doporučená opatření, často v režimu „best in breed“. Pravidelně procházejí audity, podléhají detailnímu dohledu regulátorů a disponují zdroji, o kterých si většina firem může nechat jen zdát. V takovém prostředí se může zdát, že kvantitativní analýza kybernetických rizik je zbytečná.

Křivka tolerovaného rizika (Risk Tolerance Curve, RTC) ukazuje, co ještě firma a její management „ustojí“, tj. jaké celkové škody vstřebá (např. v rámci provozních nákladů), na jaké má naspořeno (např. v rámci treasury managementu) a na jaké je pojištěná (se spoluúčastí a limity plnění).

RTC musíme odvodit (elicitovat) z řady bodů (konkrétních prahů bolesti) v hlavách naší audience (Top Management a zástupci Businessu, typicky mimo IT a Cyber Risk), které pak propojíme (interpolujeme) nějakou vhodnou sadou křivek.

V našem závěrečném pojednání o risk maticích jsme uvedli řadu naprosto zásadních nedostatků risk matic, které je činí prakticky nepoužitelnými.

Nyní se podíváme na to, jak se s těmito nedostatky můžeme elegantně vypořádat prostřednictvím CRQ.

Monte Carlo simulace je metoda statistického modelování, která pomocí náhodného vzorkování konfiguračního prostoru (opakované náhodné volby hodnoty pravděpodobnosti a hodnoty dopadu) generuje řadu možných scénářů daného rizika.

V kvantitativní analýze kybernetických rizik (CRQ) se běžně používá zejména pro složitější modely s více proměnnými, kdy výslednou distribuci hodnot nelze jednoduše odhadnout nebo stanovit analyticky.