V oblasti řízení rizik platí pořád jedna stará pravda - Nikdy nemůžete dosáhnout nulového rizika.
Ve světě omezených zdrojů existují vždy kompromisy: kolik můžeme investovat tady a kolik tamhle, jak velké riziko tolerujete a kolik toho můžeme zmírnit nebo pojistit.
K zodpovězení těchto otázek je nezbytná kvantifikace rizika - odhadnout, jak pravděpodobný bude výsledek a co je ještě důležitější, jaké budou náklady; přeložení složitých reálných situací do finančních ukazatelů, které mohou umožnit racionální rozhodování, to vše je podstatné pro efektivní řízení rizik.
Organizace chápou toto paradigma. Podniky, zejména ty, v oblasti finančních služeb, jsou postaveny na základech pravidelného hodnocení a srovnávání rizik. Mluvíte-li dnes s bezpečnostními řediteli odpovědnými za rizika, všichni prohlašují: "Kybernetické riziko je jedním z našich největších problémů. Máme odborníky, kteří rozumí našim systémům i našim datům a snaží se chránit organizaci".
AUTOŘI
Abychom byli schopni plně porozumět a kvantifikovat kybernetická rizika, musíme nejdříve porozumět technickým a netechnickým aspektům kybernetických útoků.
Myslíme si, že nejčastějším mylným pohledem na kybernetická rizika a kybernetické útoky je vnímání, že tyto útoky jsou čistě technické - že, stroje napadají stroje. V praxi se útočníci silně spoléhají na chování lidí, nastavení politik a způsob řízení společnosti - lidí, kteří útočí na lidi. I dobře chráněný server je bez šance na úspěch, když čelí vytrvalému úsilí zaměstnance o prolomení jeho ochrany a následnému průniku. Často pro bezpečnostní ředitelé končí diskusi s konstatováním: "Pokud jde o kvalifikaci kybernetických rizik, jsme jako ve tmě. Nemáme jasné údaje o jeho možném výskytu. Nemůžeme ho ani správně řídit, protože ho nemůžeme změřit. A proto ani nevíme, jak správně investovat do jeho omezování".
Je zřejmé, že identifikace a kvantifikace kybernetických rizika se liší od kvantifikace "finančních" rizik (např. úvěrů, trhů apod.) a nabízí některé jedinečné výzvy - zejména nedostatek dat a rychlost, kterou budoucí útočníci objevují nové zranitelnosti a vymýšlí nové způsoby jak těchto zranitelností využít. Proto abychom byli schopni plně porozumět a kvantifikovat kybernetická rizika, musíme nejdříve porozumět technickým i netechnickým aspektům útoků.