Klasické číselné prístupy k analýze rizík už nestačia. Aleš Špidla, riaditeľ Centra rozvoja informačných kompetencií (CRIK) na CEVRO Univerzite a expert na kybernetickú bezpečnosť v rozhovore predstavuje novú doktrínu hodnotenia rizík, ktorá kladie dôraz skôr na kvalitatívne ukazovatele a kontext. Ako môže tento prístup pomôcť lepšie predvídať dopad komplexných hrozieb a podporiť strategické rozhodovanie?

Spoznajte inovatívne spôsoby, vďaka ktorým sa môžete pripraviť na dynamický svet kybernetických rizík – príďte si vypočuť diskusiu k téme na Jesennú ITAPA 2025.

Aj názov vášho vystúpenia napovedá, že klasické prístupy k analýze rizík už nestačia. Aký je najväčší problém „čísel a pravdepodobností“ v dnešnom svete kybernetických hrozieb?
Všetko sa vyvíja, a tak je z času na čas nevyhnutné prehodnotiť prístupy, a to aj k analýze rizík, a zistiť, či ešte vyhovujú. V takom dynamicky sa vyvíjajúcom odbore, akým je kybernetická a informačná bezpečnosť, to platí o to viac. Osobne by som však kvalitatívnu analýzu ako takú nezavrhoval. Na úrovni mentálneho cvičenia typu „máme problém a aký kritický môže byť“ má svoje čaro. Niektorí manažéri majú radi stručné reporty. Je jasné, že ku kvantitatívnej analýze nakoniec príde, ale aby boli ochotní do nej investovať, tak ich najprv musíte trochu vystrašiť.

Zvyknete hovoriť, že kybernetická bezpečnosť nie je otázkou zákonov, ale pudu sebazáchovy. Ako tento postoj mení spôsob, akým by organizácie mali pristupovať k rizikám?
Pud sebazáchovy je v podstate podvedomá analýza rizík. Každý človek analyzuje a riadi riziká. Keď prechádza cez frekventovanú cestu, tak to chce prežiť. A tak podvedome hodnotí riziko, že ho blížiace sa auto s oveľa väčšou kinetickou energiou môže zahubiť. Alebo napríklad pri varení riadite riziká od obarenia sa vriacou vodou až po riziko, že to jedlo nebude manželovi chutiť. Manžel potom analyzuje a riadi riziká, ktoré vyplývajú z toho, že vám to povie. Ak má vyvinutý pud sebazáchovy, tak to neurobí. V podstate možno povedať, že riadenie firmy je len o riadení rizík. A o pude sebazáchovy.

Nová doktrína rizík kladie dôraz na kvalitatívny pohľad a kontext. Ako môže tento prístup v praxi pomôcť firmám či inštitúciám, ktoré nemajú rozsiahle tímy expertov, resp. trpia nedostatkom odborníkov na kybernetickú bezpečnosť?
Hovorím tomu „obrat od bezhlavého nakupovania škatúľ k efektívnym investíciám do kyberbezpečnosti“. Ono stačilo na chodníku zakričať „Sieeeeem“ a všetci začali kupovať Siemy (SIEM – Security Information and Event Management je monitorovací a auditný nástroj na manažment bezpečnostných informácií a udalostí – pozn. red.) za dotácie a vybalili ich zo škatúľ až vtedy, keď prišla kontrola čerpania dotácií. Takže investícia do analýzy rizík môže priniesť úsporu pri investovaní do opatrení kybernetickej a informačnej bezpečnosti. Teda zabezpečiť ich efektivitu a primeranosť. Chrániť korunovú hodnotu opatrením za milión je rovnako bláznivé ako naopak.

Ak by ste mali dať jednu radu organizáciám, ktoré sa touto problematikou ešte takmer nezaoberali – čo by mali urobiť ako prvé?
Prestaňte sa klamať, že sa vás kybernetická a informačná bezpečnosť netýka. Ona totiž chráni vašu existenciu, váš biznis.

Aj vy (resp. organizácia, pre ktorú pracujete) ste sa už ocitli pod hackerským útokom. Ako ste to prežívali a ako vás táto skúsenosť ovplyvnila? A čo sa v tomto smere chystáte povedať účastníkom konferencie?
Dôležité je byť pripravený. Ono to raz príde, a tak je potrebné mať plán, ako sa z tej šlamastiky dostať. Nie je nič horšie, ako keď začnete behať okolo stola a kričať „čo budeme robiiiiiiiť !??!“. Mňa osobne táto skúsenosť ovplyvnila v tom smere, že môžem zdieľať na vlastnej koži zažité skúsenosti a varovať pred chybami, ktorých sme sa dopustili.

Aleš Špidla sa na konferencii Jesenná ITAPA 2025 predstaví v paneli Zmena doktríny rizík.

Jesenná ITAPA 2025, 25. až 27. november 2025 v Bratislave. Registrovať sa môžete TU.