Závislost na risk maticích představuje vážný problém v budování kybernetické odolnosti ČR

Publikováno: 01. 04. 2025, v rubrice: Bezpečnost, autor: , zobrazeno: 253x

Nedávné studie jasně naznačují, že používání risk matic v organizacích vykazuje znaky návykového chování.

Podobně jako u psychoaktivních látek dochází již po prvním použití k aktivaci psychologických mechanismů pozitivní zpětné vazby – barevné škály, vizuální jednoduchost a okamžitá interpretace vyvolávají krátkodobý pocit kontroly a porozumění.

Tato zkušenost však může rychle přerůst ve vážnou a nezvladatelnou závislost. Vzhledem k tomu, že v současné době se s ní potýká téměř většina organizací v ČR, diskutuje se otázka, zda nevyhlásit stav ohrožení a její používání nezakázat všemi dostupnými prostředky. Problém je, že se závislostí bojuje i moc zákonodárná, výkonná i soudní. ČR se tak nachází na scestí, neboť je vážně ohroženo její fungování jako moderní, na datech založené společnosti.

V praxi pozorujeme opakované a neodůvodněné nasazování risk matic i tam, kde by bylo mnohem vhodnější uplatnit robustní kvantitativní metody. Například metody využívající podmíněnou pravděpodobnost umožňují lépe řídit nejistotu a předejít falešné jistotě, kterou matice poskytují. Při pokusu o „vysazení“ matic (např. při zavádění nástrojů jako CRQ, Bayesovské inferenční modely, Monte Carlo simulace) se objevují klasické abstinenční příznaky: neklid, dezorientace, popírání validity alternativních přístupů, halucinace, a v krajních případech i agresivní racionalizace typu „naše matice je jiná, ona funguje“.

Dle závěrů akademické obce má dlouhodobé užívání těchto matic prokazatelný degenerativní vliv na rozhodovací procesy organizace. Dochází k jevu, který lze nazvat rizikovou atrofizací – systematickému oslabování schopnosti organizace vnímat, interpretovat a řídit skutečná rizika. Závislý subjekt (např. rizikový manažer či interní auditor) si zpravidla není vědom, že místo řízení rizik provozuje jen jejich barevné třídění bez reálného dopadu na rozhodování. Statisticky lze u těchto subjektů pozorovat prudký pokles schopnosti rozlišit mezi skutečně významným rizikem a planým poplachem.

Na tomto místě je třeba zmínit i skutečnost, že se objevily různé neschválené klinické experimenty s velikostmi matic, vodítky hodnocení, barevnými škálami, kterých se zúčastnilo mnoho subjektů nejen v ČR a v blízké SR, ale prakticky po celém světě (některé subjekty se ani nedozvěděly, že experiment už dávno skončil). Ve všech případech se potvrdila nulová hypotéza, že změna parametrů risk matice, jako jsou její velikost nebo barva, neměla žádný vliv na výsledek, který byl vždy chybný. Navzdory této opakované chybovosti však již po prvním použití vzniká závislost na jejím používání – a subjekt si chybu nepřipouští. Naopak, s každým dalším použitím se falešný pocit správnosti a důvěry dále posiluje, čímž se celý nástroj stává potenciálně nebezpečným.

Prevence selhává a recidiva po pokusu o „léčbu“ je zcela běžná. Mnoho organizací, které již jednou risk matice opustily, se k nim po krátkém období nepohodlí opět vrací – často ve formě „kompromisu“ v podobě hybridních matic, které však jen maskují původní problém. Jednou z hlubších příčin je i to, že hodnocení rizik provádějí nekalibrované osoby, které postrádají dovednosti nutné pro práce s nejistotou a pravděpodobnostmi. Je nejvyšší čas přestat risk matice pouze kritizovat a začít k nim přistupovat jako k plnohodnotné závislosti – se všemi důsledky, které z toho plynou.

Doporučujeme vytvoření mezirezortního poradního sboru, který by připravil Metodiku léčby závislosti na risk maticích (MLZRM), včetně fází detoxikace, podpůrných intervencí, statistického přeučení a případného relaps managementu. Doporučujeme rovněž zahájit intenzivní spolupráci s vládním STRATCOM, který již v boji s dezinformacemi dosáhl skvělých výsledků a může nabídnout cenné know-how v oblasti psychologických operací a behaviorálního inženýrství.

Současně vyzýváme k systémové spolupráci s klíčovými institucemi v oblasti kybernetické bezpečnosti, jako jsou Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), Evropská agentura ENISA, americká CISA, jakož i tvůrci norem NIST, ISO/IEC a kurátory rámců typu NIST CSF. Tyto instituce by měly jednoznačně doporučit přechod od subjektivních kategoriálních metod k přístupům založeným na pravděpodobnostním uvažování, validaci hypotéz a kvantifikaci kybernetických rizik (CRQ).

Akademická obec by měla přestat považovat risk matice za „nevinný nástroj“. Nebezpečí je reálné. Barevná políčka matou nejen oko, ale i úsudek – a následně devastují procesní i kybernetickou odolnost organizace.

Poznámka: Někteří vědci, kteří se účastnili této double-blind studie, upozorňují na možnou souvislost mezi oblibou risk matic a určitými motivacemi managementu. Zatímco přímé důkazy chybí, nelze přehlédnout, že snaha prezentovat výsledky v co nejpříznivějším světle bývá v některých prostředích vítána. Zvláště pokud se očekávání a odpovědnost časově míjejí. Ověření této hypotézy však nejspíš přenecháme dalšímu výzkumnému týmu.

LITERATURA:

COX, L. A. Jr. (2008). What’s Wrong with Risk Matrices? Risk Analysis, 28(2), 497–512. Tato studie zkoumá matematické vlastnosti risk matic a ukazuje na jejich omezení, jako je nízké rozlišení a potenciál pro chybné rozhodování.

THOMAS, P., Bratvold, R. B., & Bickel, J. E. (2014). The Risk of Using Risk Matrices. SPE Economics & Management, 6(2), 56–66. Autoři diskutují, jak risk matice mohou vést k arbitrárním rozhodnutím a neefektivnímu řízení rizik.

HUBBARD, D. W., & Evans, D. (2010). Problems with Scoring Methods and Ordinal Scales in Risk Assessment. IBM Journal of Research and Development, 54(3), 2:1–2:10. Článek kritizuje používání ordinálních škál v risk maticích a poukazuje na jejich neschopnost přesně měřit rizika.

DUIJM, N. J. (2015). Recommendations on the Use and Design of Risk Matrices. Safety Science, 76, 21–31. Studie poskytuje doporučení pro efektivní použití a design risk matic, zdůrazňujíc jejich omezení a potenciální úskalí.

BALL, D. J., & Watt, J. (2013). Further Thoughts on the Utility of Risk Matrices. Risk Analysis, 33(11), 2068–2078. Autoři diskutují o užitečnosti risk matic a zdůrazňují potřebu pečlivého zvážení jejich použití v rozhodovacích procesech.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Závislost na risk maticích představuje vážný problém v budování kybernetické odolnosti ČR. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/zavislost-na-risk-maticich-predstavuje-vazny-problem-v-budovani-kyberneticke-odolnosti-cr/. [cit. 2025-04-30].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Jaký je váš risk appetite v oblasti řízení informačních rizik?
  2. Používáte matici rizik a mohl bych ji vidět?
  3. Enterprise risk management a agregované a kaskádové riziko
  4. Jak identifikovat primární a podpůrná aktiva a zachytit závislost mezi nimi
  5. Pokud používáte bezdrátovou myš, tak máte možná problém

Štítky: ,


K článku “Závislost na risk maticích představuje vážný problém v budování kybernetické odolnosti ČR” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Podpořte nás

Pokud se vám obsah tohoto webu líbí, můžete na jeho provoz přispět jakoukoliv částkou.

Děkujeme.