(a podobných pojmoch)

doc. Ing. Jaroslav Sivák, CSc., MBA

1. Úvod

Článok sa zaoberá úvahami nad základnými pojmami bežnými v bezpečnostnej praxi. Za základné pojmy v bezpečnostnej praxi považujeme „aktíva“, „riziko“, „ohrozenie“, „zraniteľnosť“, „odolnosť“ a ďalšie.

Prečo „riskantne“ o riziku a podobných pojmoch? Existuje veľký počet najrôznejších akademických prác, ktoré sa zaoberajú definíciou týchto pojmov. Sú známe terminologické slovníky, ktoré boli odsúhlasené oponentskými radami, právne normy Slovenskej republiky tiež narábajú s týmito pojmami. A predsa sa viaceré záväzné pramene líšia. Nemalou mierou sa o definície základných pojmov v bezpečnostnom manažmente zaslúžila aj Európska únia so svojimi orgánmi. Viaceré direktívy používajú svoje vlastné definície týchto pojmov. Často sa potom tieto „európske“ pojmy implementujú do našich noriem a do slovnej zásoby najmä krízových manažérov.

„Riskantne“ teda preto, že tvrdenia, ktoré obsahuje tento článok sa nemusia páčiť mojim vzácnym akademickým kolegom, pracovníkov najmä silových rezortov, ktorí tvorili a používajú terminologické slovníky (alebo nepoužívajú) a tvoria zákony a ostatné právne normy v oblasti bezpečnosti a mnohým iným.

V snahe vyjadriť niektorú skutočnosť čo možno najoriginálnejšie, sa do slovnej zásoby bezpečnostnej komunity dostanú slová ako napr. „vektor útoku“. Určite, keď sa posnažíme, nájdeme analógiu s matematickou definíciou „vektor“. Len či to je potrebné…

Nie je dôležité, či daný pojem etymologicky, gramaticky, významovo a inak, je ten najsprávnejší. Dôležité je, aby komunita, ktorá v bezpečnostnom manažmente pôsobí si vzájomne rozumela a by sme si pod daným pojmov vedeli čo najvernejšie predstaviť to, čo autor ním chcel vyjadriť a v konečnom dôsledku to, čo popisuje.

2. Základná bezpečnostná pravda

Základnou bezpečnostnou pravdou, na ktorej sa zhodla väčšina zainteresovaných je, že RIZIKO je pravdepodobnosť (resp. miera), že HROZBA využije ZRANITEĽNOSŤ AKTÍVA a spôsobí na neho DOPAD.

Táto formulácia vyjadruje, že sa snažíme vyjadriť vhodnú interpretáciu  miery, ktorá bude čo najvernejšie popisovať, čo sa môže stať (a stane), keď premenné tohto funkcionálu¹ dosiahnu určité hodnoty. Riziko môžeme chápať ako pravdepodobnosť, alebo inú hodnotu v metrike, ktorú si zvolíme a ktorá bude korešpondovať s objektívnou realitou a dovolí nám vyslovovať súdy o hodnote – miere dopadov, ktoré nám hrozia.

Základná bezpečnostná pravda zahŕňa vonkajšie aj vnútorné podmienky vzniku bezpečnostnej udalosti. Vonkajšia podmienka je HROZBA. Vnútorná podmienka je ZRANITEĽNOSŤ. Subjektom procesu je AKTÍVUM, ktoré je vystavené HROZBE a je ZRANITEĽNÉ. Výsledkom útoku HROZBY, ktorá využila ZRANITEĽNOSŤ a pôsobí na AKTÍVUM je DOPAD. Pri podrobnejšom skúmaní procesov bezpečnostnej udalosti by sme dospeli ku ďalším pojmom, ako napr. ODOLNOSŤ.

Vychádzajme z pojmu BEZPEČNOSŤ. BEZPEČNOSŤ je cit.: “Stav spoločenského, prírodného, technického, technologického systému alebo iného systému, ktorý v konkrétnych vnútorných a vonkajších podmienkach umožňuje plnenie určených funkcií a ich rozvoj v záujme človeka a spoločnosti“². Kritická poznámka: BEZPEČNOSŤ nemôže byť stav! Je to dynamický proces, ktorého parametre sú pravdepodobnostného charakteru. Je to teda PROCES. Bezpečnosť je proces, ktorý má určité hranice minimálnej a maximálne reálne dosiahnuteľnej bezpečnosti. To znamená, že existuje nenulová tolerancia narušenia nominálneho stavu. Systém musí byť projektovaný a vyhotovený (usporiadaný) tak, aby dokázal fungovať aj pri vychýlení z tohto rovnovážneho stavu v rozsahu vyššie uvedených min a max hodnôt. Tieto faktory môžeme nazvať ako ODOLNOSŤ³.

V ďalšom texte budeme polemizovať o časti základnej bezpečnostnej pravdy o pojme RIZIKO.

3. Riziko

Keď si vypožičiame bonmot o tom, čo je to inteligencia, že je to to, čo sa meria inteligenčným kvocientom, potom riziko je to, čo určíme rizikovou analýzou.

Riziko je cit.: „Miera ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami“⁴. Ďalšia definícia cit.: „Rizikom (rozumieme) potenciál straty alebo narušenia v dôsledku kybernetického bezpečnostného incidentu vyjadrený ako kombinácia rozsahu takejto straty alebo narušenia a pravdepodobnosti výskytu kybernetického bezpečnostného incidentu“⁵. V tejto vete je merateľnou premennou iba „pravdepodobnosť výskytu…“. Ostatok je nemerateľný. Ako je potom možné stanoviť riziko v oblasti napr. kybernetickej bezpečnosti?

Existujú odvážnejšie definície, z ktorých pravdepodobne pramení aj vyššie popísané tvrdenie:

[1]

• R je riziko,
• P pravdepodobnosť (probability), že bezpečnostný incident nastane,
• C miera dopadu (consequence) (často sa myslí iba „negatívneho“).

Predstavme si príklad podľa vzťahu [1]:

Pravdepodobnosť, že lietadlo „padne“ je 1 pád na 2 až 3 milióny letov (bez rozdielu vzdialenosti)⁶. Pravdepodobnosť nehody na jeden let je teda (počítajme variant, že 2 milióny letov):

[2]

Ak by celková škoda vyčíslená v peniazoch (C) bola napr. 50 mil. peňazí (veľké lietadlo, veľa obetí, strata Goodwill leteckej spoločnosti…), potom podľa [1] by sme nemali si sadnúť do žiadneho lietadla.

Správne, vo vzťahu [1] chýba ďalší rozmer úvah a tým je čas. Pravdepodobnosť, že sa stane bezpečnostný incident musíme merať v čase, t.j. ak je pravdepodobnosť, že dôjde ku narušeniu napr. perimetra digitálneho sveta (kybernetickej bezpečnosti siete) napr. 0,5, oprávnene sa pýtame: „Za akú dobu“? Rozhodne vzťah [1] nie je ten najlepší.  O niečo lepší by bol prístup Bayesovskej štatistiky, kde je riziko definované ako očakávaná hodnota stratovej funkcie. Ešte je tu oblasť financií, kde sa často používa Value at Risk (VaR), ktorý udáva maximálnu očakávanú stratu pri danej hladine spoľahlivosti.

V teórii pravdepodobnosti sa často spoliehame na tzv. rozloženie pravdepodobnosti výskytu nejakej hodnoty. V bezpečnostných aplikáciách je lepšie použiť Poissonove rozloženia ako Gaussove, lebo procesy bezpečnosti sú zaťažené „šumom“, t.j. pôsobí väčší počet faktorov, ktoré majú tiež pravdepodobnostný charakter. 

Použime Poissonovský prístup (hľadáme pravdepodobnosť udalosti v čase):

Ak predpokladáme, že udalosť sa vyskytuje náhodne s priemernou intenzitou 𝜆 (počet udalostí za jednotku času), potom pravdepodobnosť, že udalosť sa stane práve k-krát za časový interval 𝑡, je daná Poissonovým rozdelením:

[3]

• k je počet výskytov udalosti v čase t,
• λ je priemerný počet udalostí za jednotku času,
• t je dĺžka časového intervalu.

Pomocou tohto matematického modelu a nášho príkladu, by sme vypočítali, že pravdepodobnosť, že žiadna nehoda nenastane je približne ≈0.99995 a pravdepodobnosť, že aspoň jedna nastane (doplnok do jednej) ≈0.00005.

Takýmto matematickým inštrumentáriom by sme dokázali pomerne presne predpokladať, s akou pravdepodobnosťou a za aký časový úsek sa stane bezpečnostný incident (aj koľko krát sa bude opakovať v danom časovom intervale). Zostáva otázka s akou pravdepodobnosťou v určitom časovom intervale sa táto udalosť stane. Prvý výskyt?

Ak nás zaujíma pravdepodobnosť, že udalosť sa nestane až do času t, použijeme exponenciálne rozdelenie, ktoré modeluje čas do prvej udalosti:

[4]

Ak by sa niekomu chcelo dokončiť náš príklad, potom sa dopočíta, že pravdepodobnosť, že udalosť sa stane do dvoch rokov je ≈0.632.

4. Riziko v praxi

Ukázali sme si, že existujú pomerne presné, ale tiež zložité matematické prístupy na stanovenie (výpočet) hodnoty parametru RIZIKO. Pre bežnú bezpečnostnú prax je ale tento prístup neobratný, najmä pre objekty s nižším stupňom dôležitosti. Pre objekty s vysokým rizikom (napr. objekty jadrového priemyslu) sa používajú špecifické (často utajované) metodiky.

V praxi sa dajú použiť hotové softvérové nástroje na hodnotenie rizika, ktorých je veľké množstvo. Je možné použiť aj vlastný model analýzy rizík, potom je potrebné uvážiť najmä:

1. Významnosť organizácie/systému, jej atraktívnosť pre útočníka. Je však nevyhnuté prísne zvažovať možnosť, že organizácia/systém bude použitá iba ako prvý článok útoku, resp. ako manéver na odpútanie pozornosti.
2. Stanoviť hodnoty dopadov, ktoré sú pre organizáciu prijateľné (dokáže ich pokryť svojou zdrojovou kapacitou) a neprijateľné. Je vhodné vypracovať diferencovanú štruktúru dopadov.
3. Ostatné parametre (aktíva, hrozby, zraniteľnosti) určiť podľa bezpečnostnej analýzy.
4. Stanoviť škálu posudzovania rizika (číselnú, alebo popisnú). Vypočítať, alebo určiť hodnoty rizika na tejto škále.
5. Najdôležitejším krokom je interpretácia hodnoty rizika z ktorej vyplynie hladina prijateľného rizika.
6. Stanoviť manažment rizika, ktoré je neprijateľné a je potrebné ho pokryť obrannými opatreniami.

Zistite viac na Decent Cybersecurity alebo nás kontaktuje na [email protected]

---

Poznámky

1. Funkcionál je matematický pojem – je to funkcia, ktorá má ako vstup funkciu a vracia číslo. ↩︎
2. Terminologický slovník krízového riadenia. Bezpečnostná rada Slovenskej republiky. Bratislava 2017. s.8 ↩︎
3. Tamtiež. s.24 ↩︎
4. Tamtiež. s.26 ↩︎
5. Zákon 366/2024 Z.z. o kybernetickej bezpečnosti. Zbierka zákonov Slovenskej republiky §3, písm.i) ↩︎
6. https://asn.flightsafety.org/ ↩︎