Útoky z tohoto roku ukázaly, že AI asistenti představují úplně nový typ rizika. Techniky, které byly dříve využívané ve phishingu, fungují celkem spolehlivě i zde: skrytý text, neviditelné části dokumentu, obsah posunutý mimo viditelnou…
V rámci subverze, kterážto byla popsána v minulém díle, se stále častěji využívá i umělá inteligence ke generování věrohodně působících interních dokumentů. Ty pak později jako náhodně uniknou, po nedávném hackerském útoku se objeví na…
Vlastníci firem, členové představenstva i manažeři nesou odpovědnost za dodržování právních předpisů v oblasti kybernetické bezpečnosti. Tato odpovědnost zahrnuje nejen implementaci technických opatření, ale i řízení rizik a dodržování…
European Cybersecurity Skills Framework, zkr. ECSF od ENISA působí na první pohled jako sympatický pokus dát do pořádku chaos v pojmech a rolích v kybernetické bezpečnosti. Uvádí dvanáct základních rolí s jasnými popisy odpovědností, což…
V tomto kurzu se seznámíte s mezinárodními standardy, best practice a nejmodernějšími přístupy k řízení informačních rizik, společně projdeme všemi fázemi řízení informačních rizik, dozvíte se jak rizika identifikovat, kvantifikovat a s…
V prostředí řízení bezpečnostních incidentů se často zaměňují pojmy incident response plan, playbook a runbook. Přestože se tyto dokumenty vzájemně doplňují, liší se svým účelem, úrovní řízení i mírou detailu. Cílem článku je vyjasnit, jak…
Sbírky a spontánní iniciativy na podporu obětí války jsou lidsky pochopitelné. V okamžiku, kdy sledujeme destrukci a utrpení, je přirozené chtít pomoci. Jenže sbírky na munici či zbraně a zejména pak titulky typu „Češi sbírají na raketu,…
Ransomware představuje jednu z nejzávažnějších hrozeb současného kyberprostoru. Jeho dopad dalece přesahuje rámec běžného provozního narušení a zasahuje samotnou existenci organizací. V tomto článku analyzujeme průběh ransomwarových útoků,…
Můžete si vybrat. Rudě zářící pole risk matice, jedno číslo vyjadřující roční ztrátu v korunách anebo smyslné ladné křivky slibující vědeckou přesnost. Asi už tušíte, že je řeč o kvalitativním, semikvantitativním a kvantitativním přístupu…
Obrana 21. století se nevede jen tanky, letouny a raketovými systémy, ale i v kyberprostoru, prostřednictvím dronů, umělé inteligence a informační války. Jenže právě v těchto oblastech má ČR dlouhodobý deficit a závislost na zahraničních…
Během léta se riskařilo a kvantovalo jak v Bruselu, tak i na Slovensku. A trochu nečekaně vznikl revoluční metodický/podpůrný materiál právě na východ od nás. Během horkých letních dní vzniklo v okruhu států EU hned několik materiálů…
Když přijde řeč na praktický výpočet rizika bez chytrých pomůcek, všichni logicky sahají po známém vzorci: R = likelihood × impact. Jenže v pojmu „likelihood“ může být zakopaný pes. Jedni oním pojmem myslí klasickou pravděpodobnost, druzí…
O problematickém postavení CISO v hierarchii organizace jsem naposledy psal zde. Otázka je, zda se od té doby něco změnilo? Nic zásadního, ale k určitým změnám přesto došlo, dochází a bude i nadále na této pozici docházet. Role CISO se v…
Bezpečnostní firmy a média se v posledních měsících předhánějí, kdo silněji varuje před „novými“ technikami zvanými ClickFix a FileFix. Ale když se na ně podíváme blíže, zjistíme, že tyto útoky jsou jen další variací dávno známých sociálně…
Matice rizik patří k nejrozšířenějším nástrojům v oblasti řízení rizik. Nabízejí jednoduchou formu vizualizace rizik podle dvou dimenzí – dopadu a pravděpodobnosti. Právě tato srozumitelnost stojí za jejich popularitou u managementu i…
Většina mezinárodních certifikací v oblasti kybernetické bezpečnosti pochází z USA, což odráží dlouhodobou dominanci amerických organizací v této oblasti. Nicméně, tyto certifikace jsou uznávané globálně a často slouží jako standardy v…
Cílem této knihy je seznámit čtenáře s problematikou řízení informačních rizik. Posloupnost kapitol v této knize v zásadě kopíruje proces řízení informačních rizik. Po přečtení této knihy byste měli být schopni proces řízení informačních…
Kniha kvantitativní analýza kybernetických rizik přináší detailní návod jak kvantifikovat kybernetická rizika. Dozvíte se, jak stanovit hodnotu dopadu, pravděpodobnost hrozby a spočítat výsledné riziko v korunách. Budete tak schopni svému…
Kniha „Jak proměnit kyberbezpečnost v konkurenční výhodu, aneb Za hranicemi best practice a proč CEO selhávají“ nabízí zcela nový pohled na kybernetickou bezpečnost jako na strategický nástroj pro růst a udržení konkurenčního postavení. O…
Organizace působící ve vysoce regulovaném prostředí patří mezi nejlépe zabezpečené instituce vůbec. Mají zavedená veškerá doporučená opatření, často v režimu „best in breed“. Pravidelně procházejí audity, podléhají detailnímu dohledu…
Černá labuť, šedý nosorožec, černý slon, černá medůza, bílá labuť jsou metaforická označení, která nám pomáhají lépe pochopit různé typy rizik a jejich dynamiku. Každé uvedené zvíře přináší nový úhel pohledu na to, jak může riziko…
Před pár lety jsem zde otevřel otázku, zda má v oblasti informační a kybernetické bezpečnosti smysl se zabývat pojmem „inherentní riziko“. Dnes říkám naprosto otevřeně: „Nemá.“ Ano, vím, že se to mnoha expertům opět nebude líbit. Budou…
Evropská unie se snaží budovat strategickou autonomii, tedy schopnost činit klíčová rozhodnutí nezávisle na vnějších mocnostech. Ať ale sáhnete kamkoli, téměř vše běží na základech, které nemáme zcela pod kontrolou, což představuje…
Kybernetické útoky na organizace v České republice jsou stále častějším jevem. Přesto jsou informace, které se dostávají do médií, často povrchní, nesystematické a postrádají jakýkoliv praktický význam pro odbornou veřejnost i potenciální…
V minulém dílu našeho seriálu jsem uvedl koncept černé labutě a pár příkladů. Nyní se pojďme zamyslet nad tím, jak se na černé labutě připravit. Nechme se volně inspirovat dílem Nassima Nicholase Taleba, a především jeho myšlenkou…
Formou překladu zahraničního názorového článku What the Great Hanoi Rat Massacre of 1902 and Modern Risk Practices Have in Common vám přinášíme pohled „Z Nového světa“ od Tony Martin-Vegue. Doufáme, že vám tento článek promluví z duše…
Je pozoruhodné, jak rozdílně lidé přistupují k riziku v práci a v osobním životě. Tento zásadní kontrast patrný optikou behaviorální ekonomie je možná klíčem k pochopení, proč jsou risk matice ve firmách tak oblíbené, a proč se jich…
Křivka tolerovaného rizika (Risk Tolerance Curve, RTC) ukazuje, co ještě firma a její management „ustojí“, tj. jaké celkové škody vstřebá (např. v rámci provozních nákladů), na jaké má naspořeno (např. v rámci treasury managementu) a na…
Jestliže už víme, v jaké dimenzi nejistoty se pohybujeme, můžeme určit, co je třeba udělat pro redukci těchto nejistot. V případě dokonalé nejistoty však nejistotu redukovat nemůžeme. Namísto toho musíme vytvářet systémy, které jsou odolné…