Tři přístupy k analýze kybernetických rizik:
Iluze barev, falešná čísla a krutá realita

Můžete si vybrat. Rudě zářící pole risk matice, jedno číslo vyjadřující roční ztrátu v korunách anebo smyslné ladné křivky slibující vědeckou přesnost.

Asi už tušíte, že je řeč o kvalitativním, semikvantitativním a kvantitativním přístupu k analýze rizik. Rozdíl mezi jednotlivými přístupy je ale mnohem větší, než si většina lidí připouští. A bohužel právě na tom často stojí nebo padá správné rozhodnutí managementu o investicích do informační bezpečnosti.

Pojďme se podívat, jak pojmy kvalitativní, semikvantitativní a kvantitativní analýza vnímá odborná komunita a normy.

Zkraje hned uveďme, že pojem semikvantitativní analýza není jednotně vymezen. Normy jej chápou odlišně, často jako prosté přiřazení čísel k ordinálním kategoriím a jejich kombinaci, zatímco v praxi se pod něj někdy schovává i výpočet roční očekávané ztráty podle tradičního vzorce ALE = SLE × ARO, který je považován za mezikrok mezi risk maticemi a plnohodnotnou kvantitativní analýzou.

Nejprve se podívejme, jak tyto 3 přístupy vnímá odborná komunita, které jasně preferuje kvantitativní přístup a od toho se odvíjí i její náhled.

Kvalitativní risk matice:
bleskově rychlá, ale zavádějící

Kvalitativní analýza je rychlá a levná. Stačí jeden workshop, pár post-it papírků a shoda na tom, že něco je „vysoké“,  něco „nízké“ a něco mezi tím. Jenže právě v té jednoduchosti je past. Nejen že si každý pod pojmem vysoký nebo nízký dopad představí něco jiného, hodnotitelé se často uchylují k průměru a výsledky bývají nekonzistentní, ale podstatnou roli zde sehraje i použitý matematický aparát. V tomto případě nepřípustné násobení ordinálních hodnot (Stevens, 1946).  Matice pak zdaleka nevypovídá o realitě, ale spíš o náladě lidí v místnosti. A přestože jsou matice široce používány, tak nejsou vhodným nástrojem pro valuaci a prioritizace rizik. Detailně jsme se tomuto tématu věnovali v této sérii příspěvků.

Semikvantitativní rapid risk assessment:
hezké číslo, ale falešná přesnost

Semikvantitativní přístup, často označovaný jako rapid risk assessment, už působí mnohem věrohodněji. Riziko se vyjádří jedním číslem, zpravidla roční očekávanou ztrátou (ALE), kterou spočítáme jako součin frekvence výskytu události (ARO) a jejího dopadu (SLE). Výsledek vypadá elegantně, působí odborně a snadno se komunikuje v korunách. Jenže právě toto číslo může vytvářet naprosto falešná očekávání. Dvě rizika se stejným ALE mohou mít zcela odlišný průběh. Jedno znamená časté menší škody, druhé vzácnou, ale drtivou katastrofu. Číslo tedy samo o sobě neříká nic o rozptylu, nejistotě ani o tom, kde se skutečně skrývá problém. Byť semikvantitativní přístup neřeší přesnost vstupů, zachovává aritmetickou konzistenci operací a to je základní předpoklad jakékoli metody, která má mít rozhodovací hodnotu. Jinými slovy, i hrubý číselný model je lepší než pseudoaritmetika spočívající v násobení ordinálních hodnot,  a to je v risk managementu víc, než se na první pohled zdá.

Kvantitativní CRQ:
elegantní křivka s tvrdým dojezdem

Kvantitativní analýza rizik (CRQ) jde ještě dál. Nepracuje s jedním číslem, ale ukazuje celé rozdělení možných ztrát – včetně „ocasů“, kde se ukrývají ty největší hrozby. Pro ty, kdo by snad zase chtěli argumentovat černými labutěmi, připomínám, že Talebův koncept je metaforický, nikoli metodický. „Black swan events“ nejsou objektem analýzy rizik, ale epistemologické reflexe nejistoty. Risk analytik má řešit to, co je měřitelné, kalibrovatelné a predikovatelné. Vše ostatní patří do krizového managementu nebo strategického plánování, nikoli do risk modelu. Pomocí simulací, percentilů a metrik typu VaR nebo ES kvantitativní přístup dokáže zobrazit, co se děje v běžných scénářích i v těch extrémních. Ano, je náročnější na data a na vysvětlení managementu, ale jen tento přístup umožňuje smysluplné porovnání variant, rozhodování o investicích a reálnou cost–benefit analýzu. Pokud ale bezmyšlenkovitě uvěříte krásným křivkám bez ohledu na kvalitu vstupů, dostanete jen sofistikovanou iluzi, ale tentokrát ne barevnou, ale matematickou.

Malý ilustrační příklad:
ransomware v praxi

Podívejme se, jak by se stejné riziko, v tomto případě ransomware, interpretovalo při použití jednotlivých přístupů:

• Kvalitativní přístup: riziko skončí v červené buňce matice. Management tak ví, že „je to průšvih“, ale nikdo netuší, jestli to znamená škodu v řádu jednotek milionů, nebo stovek milionů.
• Semikvantitativní přístup (ALE = SLE × ARO): vyjde například 2,3 milionu Kč/rok (při předpokladu, že útok proběhne jednou za 10 let a průměrná škoda jedné události je 23 milionů Kč. Číslo působí solidně, ale zakrývá fakt, že reálná škoda na incident se může pohybovat mezi 2,65 milionu Kč a 118 miliony Kč.
• Kvantitativní přístup: ukáže celou distribuci. Například, že 95 % incidentů nepřekročí 25 milionů Kč, ale 5 % může způsobit škodu přes 200 milionů Kč. A právě v těchto „ocasech“ se skrývá to, co může ohrozit samotnou existenci firmy.

Poznámka: Byť jsou uvedená čísla vzata ze skutečných bezpečnostních reportů, tak slouží pouze k ilustraci principu.

Univerzální pasti
(platí pro všechny metody)

Bez ohledu na zvolenou metodu ale existují univerzální pasti:

• Lidský faktor: nejhlasitější hlas/autorita v místnosti dokáže ohnout barvu, číslo i model.
• Garbage in, garbage out: špatné vstupy = špatné výstupy, a to u všech metod. Rozdíl je jen v tom, jak moc věrohodně ten výsledek vypadá.
• Falešná přesnost: čím sofistikovanější je metoda, tím větší je pokušení zapomenout na nejistotu a kritické ověřování vstupů.

Jak to vidí normy

Zde je nutné zdůraznit, že normy chápou pojem „semikvantitativní“ jinak, než jej používáme my a než jak jej chápe většina moderních expertů na analýzu rizik. A to je také hlavní zdroj terminologického rozporu.

NIST SP 800-30

Rozlišuje kvalitativní, semikvantitativní a kvantitativní přístupy. Semi-quant popisuje jako používání binů/škál/reprezentativních čísel, jejichž význam není přenositelný mimo daný kontext (typicky risk matice s číselníky). Prakticky tedy jde nejčastěji o práci s ordinálními škálami a jednoduchými pravidly kombinace (např. P×I).

NISTIR 8286A

Vedle matic uvádí a ilustruje kvantitativnější postupy jako tříbodové odhady s průměrem triangulárního rozdělení: EV=(O+M+P)/3, PERT (beta) průměr se zvýšenou vahou pro „most likely“: EV=(O+4M+P)/6, Monte Carlo simulace a bayesovské postupy. To je krok správným směrem, od „čísel v tabulce“ ke skutečné práci s nejistotou.

ISO 31010

ISO u semi-quant připouští číselné škály pro pravděpodobnost a dopad a jejich kombinaci vzorcem (škály mohou být lineární, logaritmické apod.). To odpovídá praxi risk matic, jen s čísly navíc. Není to ještě plný kvantitativní model, ale přechodový přístup.

EU regulace (NIS2, DORA, CER)

Regulace nepředepisují metodu, což je možná i lepší. Požadují, abyste byli schopni identifikovat, hodnotit a řídit rizika a jak to uděláte, je zcela na vás. O to důležitější je transparentně vysvětlit metodiku a její limity.

Normy vs. experti
terminologické srovnání

Normy se snaží tvářit neutrálně. Popisují různé přístupy k analýze rizik jako kdyby šlo jen o různé cesty ke stejnému cíli. Jenže v tom je skrytý problém. Nejde o různé cesty, ale o zcela odlišné světy. Zatímco odborná komunita už dávno rozlišuje mezi tím, co je pouze slovní odhad, co je aritmeticky konzistentní model a co je skutečná distribuce rizika, normy a legislativa tyto rozdíly neřeší. A právě to vytváří prostor pro nedorozumění, alibismus a metodické zmatky, které pak s klidným svědomím přežijí i audit.

Následující tabulka zachycuje, jak vnímají jednotlivé pojmy normy a jak mezinárodně uznávaní experti a cílem je upozornit na pozorování diskrepance mezi standardizační a aplikační praxí.

Zásadní problém je v tom, že normy a legislativa tyto metody prezentují jako rovnocenné, čímž vytvářejí dojem metodické plurality tam, kde by měla být jasná hierarchie přesnosti. Jinými slovy, v oficiálních dokumentech jsou si rovny barevná matice, rychlé násobení škody a plnohodnotný statistický model. A právě v tom spočívá paradox současné praxe. Norma sice nikde výslovně neříká, že musíte použít matici, ale tím, že všechny přístupy uvádí jako možné, tak de facto legitimizuje i ty metodicky chybné. Organizace pak dělá to, co považuje za soulad s normou, tj. vyplní matici, protože jinak to v daném rámci ani neumí. A když přijde audit, dostane za to razítko „OK“. Formálně správně. Odborně špatně. Nomen omen.

Kvalitativní, semikvantitativní a kvantitativní analýza rizik

Nyní ještě zbývá se zamyslet nad rozdíly mezi těmito metodami, tak jak je chápe odborná komunita. Máme zde tři přístupy k analýze rizik, tři naprosto odlišné světy. Od barevných matic pro management, přes rychlé násobení škody a četnosti až po plnohodnotné modely, které konečně ukážou i to, co se schovává v ocasech.

Tabulka krásně ukazuje, že nejde jen o to, kolik času nebo dat nad riskem strávíme, ale hlavně jakým aparátem to celé zprzníme.

Závěr

Kvalitativní matice jsou barevná iluze. Semikvantitativní přístup dává hezké číslo, ale často bez reality „ocasů“. Kvantitativní analýza jako jediná ukazuje celé rozdělení a umožní rozhodovat podle risk appetite, nákladů a přínosů. Není bezchybná, ale je nejméně zavádějící. Pokud chcete rizika skutečně řídit, potřebujete vidět víc než jen barvy nebo jedno číslo. Potřebujete vidět křivku.

Aby však nevznikla iluze opačná, totiž že samotná křivka vše vyřeší, je určitě fér dodat, že i kvantitativní přístup má své limity. Kvalita výsledku vždy závisí na vstupních datech, kalibraci a způsobu interpretace. To, jak CRQ mění rozhodovací procesy, rozpočty a přístup managementu k riziku, by mohlo být tématem příštího článku. Tento text měl jediný cíl: ukázat principy, odlišit přístupy a pojmenovat jejich metodické hranice. Diskuse o tom, jak kvantitativní modely skutečně mění řízení rizik v praxi, si zaslouží samostatný prostor. A ten dostane.

 Nahrávání ...

LITERATURA

STEVENS, S. S. On the Theory of Scales of Measurement. Science, 7. 6. 1946, roč. 103, č. 2684, s. 677–680. ISSN 0036-8075. Online. Dostupné z: https://www.science.org/doi/10.1126/science.103.2684.677. [cit. 2025-10-05].

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Guide for Conducting Risk Assessments. NIST Special Publication 800-30, Revision 1. Gaithersburg, MD: NIST, 2012. Online. Dostupné z: https://csrc.nist.gov/pubs/sp/800/30/r1/final. [cit. 2025-10-05].

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM). NISTIR 8286A. Gaithersburg, MD: NIST, 2021. DOI: 10.6028/NIST.IR.8286A. Online. Dostupné z: https://nvlpubs.nist.gov/nistpubs/ir/2021/nist.ir.8286a.pdf. [cit. 2025-10-05].

IEC; ISO. IEC 31010:2019 Risk management — Risk assessment techniques. Geneva: IEC/ISO, 2019. ISBN 978-2-8322-6989-3. Online. Dostupné z: https://webstore.iec.ch/en/publication/59809. [cit. 2025-10-05].

EVROPSKÝ PARLAMENT; RADA EU. Směrnice (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (NIS 2). Úřední věstník Evropské unie, L 333, 27. 12. 2022, s. 80–152. Online. Dostupné z: https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng. [cit. 2025-10-05].

EVROPSKÝ PARLAMENT; RADA EU. Nařízení (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru (DORA). Úřední věstník Evropské unie, L 333, 27. 12. 2022, s. 1–147. Online. Dostupné z: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554. [cit. 2025-10-05].

EVROPSKÝ PARLAMENT; RADA EU. Směrnice (EU) 2022/2557 ze dne 14. prosince 2022 o odolnosti kritických subjektů (CER). Úřední věstník Evropské unie, L 333, 27. 12. 2022, s. 167–210. Online. Dostupné z: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2557. [cit. 2025-10-05].

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Štítky: řízení informačních rizik