Bezpečnosť nie je pocit, ale merateľný stav. Hoci existujú globálne a európske porovnania kyberbezpečnosti, Slovensku chýba jednotná, doma použiteľná metriku. Cieľom je vytvoriť index, ktorý ukáže úroveň odolnosti štátu, odvetví aj jednotlivých organizácií.
Prečo bezpečnosť treba merať
Medzinárodné indexy hodnotia krajiny podľa dostupných dát a pravidiel, no nerozlišujú špecifiká slovenských odvetví. Európsky rámec sa sústreďuje najmä na reguláciu, trestnoprávne požiadavky a vybrané kapacity. To je dôležité, ale nestačí na praktické plánovanie zlepšení v konkrétnych sektoroch či firmách.
Pre rozhodovanie potrebujeme čísla, nie dojmy. Manažér sa má vedieť opýtať „kde sme dnes“ a „kam sa chceme dostať“ a dostať jasnú odpoveď. Takýto pohľad umožní sledovať trendy, porovnávať sa naprieč odvetviami a cielene investovať do toho, čo prináša najväčší prínos pre odolnosť.
Odkiaľ prídu dáta a ako sa spracujú
Hlavnými zdrojmi budú anonymizované výsledky auditov, údaje zo samohodnotení, prieskumy medzi neregulovanými subjektmi a zber informácií od vzdelávacích inštitúcií. Pri prieskumoch treba minimalizovať skreslenie, preto sa pri verejnosti uprednostní telefonický zber pred výlučne online dotazníkmi. Všetky údaje sa budú spracúvať tak, aby nebolo možné identifikovať jednotlivé organizácie.
Meriť sa majú technické, organizačné aj ľudské aspekty. Patria sem napríklad zraniteľnosti a ich odstraňovanie, incidenty a čas ich odhalenia, miera súladu s pravidlami, vyspelosť procesov, certifikácie, kvalifikácia ľudí či vzťahy s tretími stranami. Subjektívne hodnotenia sa preklopia do čísel pomocou overených, semikvantitatívnych postupov.
Od čísiel k spôsobilosti a indexu
Cieľovým parametrom je spôsobilosť – schopnosť organizácie dosiahnuť požadovanú úroveň bezpečnosti a odolnosti. Rôzne atribúty na ňu vplývajú rozdielne: niektoré zvyšujú spôsobilosť s rastúcou hodnotou, iné naopak klesajú, keď pribúdajú incidenty či úniky dát. Preto sa zavedú váhy, ktoré tieto vplyvy zohľadnia a umožnia zložiť výsledok do jedného zrozumiteľného čísla.
Výstupom bude index normalizovaný na škále 0 až 100, publikovateľný pre štát, odvetvia aj podniky. Váhy sa môžu časom meniť, aby odrážali nové hrozby a priority, napríklad väčší dôraz na ľudské zdroje. Pred zverejnením prebehne odborná diskusia s komunitou, aby bol index praktický, porovnateľný a akceptovaný v praxi.
