(a podobné koncepty)

doc. Ing. Jaroslav Sivák, CSc., MBA

1. Úvod

Tento článok sa zaoberá úvahami o základných pojmoch bežných v bezpečnostnej praxi. Za základné pojmy v bezpečnostnej praxi považujeme "aktíva", "riziko", "hrozbu", "zraniteľnosť", "odolnosť" a ďalšie.

Prečo "riskovať" v súvislosti s rizikom a podobnými pojmami? Existuje veľké množstvo rôznych odborných prác, ktoré sa zaoberajú definíciou týchto pojmov. Známe sú terminologické slovníky, ktoré boli schválené oponentskými radami, a s týmito pojmami pracujú aj právne normy Slovenskej republiky. A predsa sa viaceré záväzné pramene líšia. K vymedzeniu základných pojmov v oblasti bezpečnostného manažmentu významne prispela aj Európska únia so svojimi orgánmi. Viaceré smernice používajú vlastné definície týchto pojmov. Tieto "európske" pojmy sa potom často implementujú do našich noriem a do slovníka najmä krízových manažérov.

"Riskantné" preto, lebo tvrdenia obsiahnuté v tomto článku sa nemusia páčiť mojim cteným akademickým kolegom, pracovníkom najmä silových rezortov, ktorí vytvorili a používajú (alebo nepoužívajú) terminologické slovníky a tvoria zákony a iné právne normy v oblasti bezpečnosti, a mnohým ďalším.

V snahe čo najoriginálnejšie vyjadriť určitú skutočnosť sa do slovníka bezpečnostnej komunity dostávajú slová ako "vektor útoku". Určite, ak sa budeme snažiť, môžeme nájsť analógiu s matematickou definíciou pojmu "vektor". Ale je to potrebné...

Nie je dôležité, či je daný pojem etymologicky, gramaticky, sémanticky a inak najsprávnejší. Dôležité je, aby si komunita, ktorá pracuje v oblasti riadenia bezpečnosti, rozumela a aby sme si pod daným pojmom vedeli čo najvernejšie predstaviť, čo ním chcel autor vyjadriť a čo v konečnom dôsledku opisuje.

2. Základná bezpečnostná pravda

Základnou bezpečnostnou pravdou, na ktorej sa zhoduje väčšina zainteresovaných strán, je, že RIZIKO je pravdepodobnosť (alebo miera), že HROZBA zneužije Zraniteľnosť aktíva a spôsobí naň ÚRAZ.

Táto formulácia vyjadruje, že sa snažíme vyjadriť vhodnú interpretáciu miery, ktorá čo najvernejšie popíše, čo sa môže stať (a stane), keď sa premenné tohto funkcionálu¹ dosiahnu určité hodnoty. Riziko môžeme chápať ako pravdepodobnosť alebo inú hodnotu v metrike, ktorú si zvolíme a ktorá bude zodpovedať objektívnej realite a umožní nám usudzovať o hodnote - rozsahu dopadov, ktoré nám hrozia.

Základná bezpečnostná pravda zahŕňa vonkajšie aj vnútorné podmienky vzniku bezpečnostnej udalosti. Vonkajšou podmienkou je HROZBA. Vnútornou podmienkou je VULNERABILITA. Subjektom procesu je ASSET, ktorý je vystavený THREAT (hrozbe) a je VULNERABLE (zraniteľný). Výsledkom útoku THREAT, ktorý využíva VULNERABILITY a ovplyvňuje ASSET, je IMPACT. Pri podrobnejšom skúmaní procesov bezpečnostných udalostí by sme prišli k ďalším pojmom, ako je napríklad ODOLNOSŤ.

Začnime od konceptu BEZPEČNOSTI. BEZPEČNOSŤ je, citujem: "Stav spoločenského, prírodného, technického, technologického alebo iného systému, ktorý v konkrétnych vnútorných a vonkajších podmienkach umožňuje plnenie stanovených funkcií a ich rozvoj v záujme človeka a spoločnosti"². Kritická poznámka: BEZPEČNOSŤ nemôže byť stav! Je to dynamický proces, ktorého parametre majú pravdepodobnostný charakter. Je to teda PROCES. Bezpečnosť je proces, ktorý má určité hranice minimálnej a maximálnej reálne dosiahnuteľnej bezpečnosti. To znamená, že existuje nenulová tolerancia narušenia nominálneho stavu. Systém musí byť navrhnutý a skonštruovaný (usporiadaný) tak, aby mohol fungovať aj pri odchýlke od tohto rovnovážneho stavu v rozsahu uvedených minimálnych a maximálnych hodnôt. Tieto faktory možno označiť ako ODOLNOSŤ³.

V nasledujúcom texte budeme diskutovať o časti základnej bezpečnostnej pravdy týkajúcej sa pojmu RIZIKO.

3. Riziko

Ak si požičiame bonmot o tom, čo je inteligencia, že je to to, čo sa meria inteligenčným kvocientom, potom riziko je to, čo sa určuje analýzou rizika.

Riziko je, citujem: "Miera ohrozenia vyjadrená pravdepodobnosťou výskytu nežiaduceho javu a jeho následkov"⁴. Ďalšia definícia, cit: "Pod rizikom (rozumieme) potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu"⁵. V tejto vete je merateľnou veličinou len "pravdepodobnosť výskytu...". Zvyšok je nemerateľný. Ako je teda možné určiť riziko napríklad v oblasti kybernetickej bezpečnosti?

Existujú aj odvážnejšie definície, ktoré pravdepodobne tiež vedú k vyššie opísanému tvrdeniu:

[1]

• R je riziko,
• P je pravdepodobnosť výskytu bezpečnostného incidentu,
• C je miera vplyvu (často sa myslí len "negatívny").

Predstavme si príklad podľa vzťahu [1]:

Pravdepodobnosť, že lietadlo "spadne", je 1 pád na 2 až 3 milióny letov (bez ohľadu na vzdialenosť).⁶. Pravdepodobnosť nehody na jeden let je teda (vypočítajme variant, že 2 milióny letov):

[2]

Ak by celková škoda vyčíslená v peniazoch(C) bola napríklad 50 miliónov v mene (veľké lietadlo, veľa obetí, strata goodwillu leteckej spoločnosti...), potom by sme podľa [1] nemali sedieť v žiadnom lietadle.

Správne, vo vzťahu [1] chýba ďalší rozmer úvah, a to čas. Pravdepodobnosť, že dôjde k bezpečnostnému incidentu, sa musí merať v čase, t. j. ak je pravdepodobnosť, že dôjde k narušeniu napr. perimetra digitálneho sveta (kybernetickej bezpečnosti siete), napr. 0,5, oprávnene sa pýtame: "Za aké obdobie?" Rozhodne vzťah [1] nie je najlepší. O niečo lepším prístupom by bola Bayesovská štatistika, kde je riziko definované ako očakávaná hodnota stratovej funkcie. Potom je tu oblasť financií, kde sa často používa Value at Risk (VaR), ktorá udáva maximálnu očakávanú stratu pri danej úrovni spoľahlivosti.

V teórii pravdepodobnosti sa často opierame o tzv. rozdelenie pravdepodobnosti výskytu hodnoty. V bezpečnostných aplikáciách je vhodnejšie používať skôr Poissonovo ako Gaussovo rozdelenie, pretože bezpečnostné procesy sú zaťažené "šumom", t. j. v hre je väčší počet faktorov, ktoré majú tiež pravdepodobnostný charakter.

Použime Poissonov prístup (hľadáme pravdepodobnosť udalosti v čase):

Ak predpokladáme, že udalosť sa vyskytuje náhodne s priemernou intenzitou λ (počet udalostí za jednotku času), potom pravdepodobnosť, že sa udalosť vyskytne presne k-krát počas časového intervalu t, je daná Poissonovým rozdelením:

[3]

• k je počet výskytov udalosti v čase t,
• λ je priemerný počet udalostí za jednotku času,
• t je dĺžka časového intervalu.

Na základe tohto matematického modelu a nášho príkladu by sme vypočítali, že pravdepodobnosť, že nenastane žiadna nehoda, je približne ≈0,99995 a pravdepodobnosť, že nastane aspoň jedna (doplnok k jednej) ≈0,00005.

Pomocou takýchto matematických nástrojov by sme mohli pomerne presne predpovedať, s akou pravdepodobnosťou a v akom časovom období sa vyskytne bezpečnostný incident (a koľkokrát sa v danom časovom intervale zopakuje). Otázkou zostáva, s akou pravdepodobnosťou v určitom časovom intervale táto udalosť nastane. Prvý výskyt?

Ak nás zaujíma pravdepodobnosť, že udalosť nastane až v čase t, použijeme exponenciálne rozdelenie, ktoré modeluje čas do prvej udalosti:

[4]

Ak by niekto chcel doplniť náš príklad, vypočítal by, že pravdepodobnosť, že udalosť nastane do dvoch rokov, je ≈0,632.

4. Riziko v praxi

Ukázali sme, že existujú pomerne presné, ale aj zložité matematické prístupy k stanoveniu (výpočtu) hodnoty parametra RISK. Pre bežnú bezpečnostnú prax je však tento prístup nevhodný, najmä pre objekty s nižším stupňom dôležitosti. Pre objekty s vysokým rizikom (napr. objekty jadrového priemyslu) sa používajú špecifické (často utajované) metodiky.

V praxi sa môžu používať hotové softvérové nástroje na hodnotenie rizík, ktorých je veľa. Je možné použiť aj vlastný model analýzy rizík, potom je potrebné zvážiť najmä:

• a) Význam organizácie/systému, jeho atraktivita pre útočníka. Je však potrebné prísne zvážiť možnosť, že organizácia/systém bude použitá len ako prvý článok útoku alebo ako manéver na odvrátenie pozornosti.
• b) Stanovte hodnoty vplyvov, ktoré sú pre organizáciu prijateľné (môže ich pokryť kapacitou svojich zdrojov) a neprijateľné. Je vhodné vytvoriť diferencovanú štruktúru vplyvov.
• c) Určiť ďalšie parametre (aktíva, hrozby, zraniteľnosti) podľa bezpečnostnej analýzy.
• d) Stanovte stupnicu na hodnotenie rizika (číselnú alebo opisnú). Vypočítajte alebo určte hodnoty rizika na tejto stupnici.
• e) Najdôležitejším krokom je interpretácia hodnoty rizika, z ktorej vyplynie úroveň prijateľného rizika.
• f) Zaviesť riadenie rizík pre riziká, ktoré sú neprijateľné a musia byť pokryté obrannými opatreniami.

Viac informácií o kybernetickej bezpečnosti nájdete na Decent Cybersecurity alebo nás neváhajte kontaktovať na adrese [email protected]

Poznámky

1. Funkcionál je matematický pojem - je to funkcia, ktorá na vstupe prijíma funkciu a vracia číslo. ︎
2. Terminologický slovník krízového riadenia. Bezpečnostná rada Slovenskej republiky. Bratislava 2017. s.8 ︎
3. Tamže, s.24 ︎
4. Tamže, s.26 ︎
5. Zákon 366/2024 Z. z. o kybernetickej bezpečnosti. Zbierka zákonov Slovenskej republiky §3, písm. i) ︎
6. https://asn.flightsafety.org/ ︎