Tlak na zvyšování kybernetické bezpečnosti veřejných i soukromých subjektů je celosvětovou záležitostí, čemuž odpovídajíi vysoké vynakládané výdaje. Přitom není dostatečně zohledňována ekonomická stránka, tj. zda výdaje kybernetické bezpečnosti jsou adekvátní zjištěným rizikům a zda jsou správně alokovány (použity na vhodná bezpečnostní opatření). Problém nedostatečného zohledňování ekonomických aspektů kybernetické bezpečnosti existuje na úrovni států, velkých korporacíi malých a středních firem.
ekonomika kybernetické bezpečnosti návratnost investice do bezpečnosti náklady spojené s kybernetickými útoky výnosy ze zajištění kybernetické bezpečnosti
Důležitost kybernetické odolnosti pro podniky se jeví jako něco zcela samozřejmého, ale kupodivu je tomuto tématu věnována v odborné literatuře menší pozornost. Resp. setkáváme se s různými výhrůžkami, co se podnikům stane, když nebudou něco dodržovat (GDPR, ZKB, nyní NIS2), nebo ujištěními, jak nás EU ochrání prostřednictvím různých proklamativních právních aktů (např. před „zlou“ AI, která nás bude sledovat či nějak diskriminovat). To všechno je ale podnikům platné „jak mrtvému zimník“ v situaci, kdy se na ně řítí skutečné kybernetické hrozby včetně ransomwaru, phishingových útoků, zneužití BYOD (Bring Your Own Device) a IoT (Internet věcí), útoků na technologické řídicí systémy (ICS, SCADA, PLC, DCS, BMS1) a dalších sofistikovaných metod kybernetického útoku, mj. i s využitím možností AI.
Problém vzniká v okamžiku, kdy se sice řekne, že je třeba zajistit kybernetickou bezpečnost podniku, ale nedlouho poté se zjistí, že na to nejsou peníze. Nejen na tolik doporučené vybudování ISMS (Information Security Management System), ale ani na zajištění kybernetické bezpečnosti v podstatně menším měřítku, tj. na úrovni základních opatření, ať již na základě provedení vlastní analýzy rizik, nebo jejím „opsáním“. Často se lze pak setkat s řešením typu „chytrá Horákyně“, kdy jsou provedena opatření jen na papíru. A tolik doporučované vybudování ISMS odradí většinu malých a středních podniků jako něco, co je složité, možná i zbytečné, a hlavně to bude stát hodně peněz bez pozitivního vlivu na hospodářský výsledek. Obvyklá reakce podniků, které nejsou součástí kritické infrastruktury, není jim povinnost vybudovat zabezpečený IS uložena nějakým předpisem nebo se v minulosti ošklivě „nespálily“, je po seznámení s normou ISO/IEC 27001 nebo ZKB (jakási „česká varianta 27001“) značně negativní. Dostáváme se do absurdní situace, kdy tušíme, že bychom měli něco učinit, někdy i víme co a jak, ale neumíme projekt zvýšení bezpečnosti podniku poměřit jakýmkoli ekonomickým pohledem (kritériem). O to složitější je pak prosazování „zbytečného utrácení“ u vrcholového managementu.
Neexistují žádné ukazatele, které by popisovaly ekonomickou stránku kyberbezpečnosti. Předpisy, normy a metodiky neřeší, jak postupovat ekonomicky a časově nejefektivněji. Řeší se pouze obsahová stránka kybernetické bezpečnosti – cíle, nástroje a opatření pro dosahování kyberbezpečnosti, případně metriky pro hodnocení bezpečnostní zralosti organizace a jejího IS. Podobně to uvádí např. Brangetto. [1]
V žádných právních předpisech (v ČR zákon o kybernetické bezpečnosti), normách (řada ISO 27000) nebo metodikách (COBIT, ITIL apod.) není řešena nákladová stránka kybernetické bezpečnosti, hodnocení ekonomických přínosů vynaložených nákladů, a tedy i efektivnosti zajišťování kybernetické bezpečnosti. Principem dosavadního přístupu je předpoklad, že dosažení stavu kybernetické bezpečnosti je zájmem společnosti, států a jednotlivých subjektů, tudíž dochází k alokaci prostředků, pokud jsou k dispozici, bez uplatnění metod ekonomické analýzy, vícekriteriálního rozhodování a jiných objektivních postupů. Převažuje přístup „kolik si můžeme dovolit dát na kyberbezpečnost, tolik utratíme“. Existuje řada variant, jak k posouzení ekonomické efektivnosti budování zabezpečeného IS podniku přistoupit – nelze ovšem jednoznačně konstatovat, který z nich je nejlepší, protože problém efektivní alokace prostředků je opravdu složitý.
Procentuální část IT rozpočtu: Podniky často určují rozpočet na IT bezpečnost jako procentuální podíl z celkového IT rozpočtu. Tento podíl se může lišit v závislosti na odvětví, velikosti společnosti, geografické poloze a na specifických bezpečnostních potřebách. Běžným pravidlem může být vynaložení 3–7 % celkového IT rozpočtu na bezpečnostní opatření, ale tato čísla se mohou výrazně lišit a někdy mohou být i vyšší, zejména v odvětvích s vysokým rizikem nebo v případě podniků, které již zažily bezpečnostní incidenty. Rozpočtování IT bezpečnosti se může také měnit v reakci na současné trendy v kybernetické bezpečnosti. S růstem sofistikovaných kybernetických útoků, jako je ransomware, musí podniky zvýšit své investice především do preventivních a detekčních technologií.
Rizikově založený přístup: Mnoho podniků přistupuje k rozpočtování IT bezpečnosti na základě hodnocení rizik. Tento přístup zahrnuje analýzu potenciálních hrozeb a zranitelností a investování do bezpečnostních opatření, která přímo řeší identifikovaná rizika. Např. podniky s vysokým objemem citlivých zákaznických dat by měly investovat více do zabezpečení dat a ochrany soukromí. V sofistikovanějších případech se při návrhu bezpečnostních opatření používá pravidlo, které stanovuje, že náklady vynaložené na snížení rizika musejí být přiměřené hodnotě chráněných aktiv, případně hodnotě škod vzniklých dopadem hrozby, resp. výši nákladů na uvedení do původního stavu. S tímto pravidlem souvisí stanovení referenční úrovně rizika, pod kterou se riziko prohlásí za zbytkové a nepodnikají se žádná protiopatření. [2] Předpokládá se, že platí závislost, podle které existuje optimální, vyvážený stav mezi náklady na snížení rizika a jeho výší, resp. škodou, kterou může hrozba způsobit. [3]
Požadavky regulační a compliance: Podniky v regulovaných odvětvích, jako jsou finance, zdravotnictví nebo energetika, mohou být nuceny vynaložit významnější část svého rozpočtu na IT bezpečnost, aby splnily přísné regulační a compliance standardy. Tyto požadavky nicméně zvyšují výdajovou stránku a opět chybí nějaké kritérium pro posouzení ekonomické efektivnosti. Jinými slovy – udělat se to musí, ať to stojí, co to stojí. Takže při absenci kritérií a jejich zapojení do variantního a vícekriteriálního rozhodování jsme vlastně zase na začátku.
Kritéria pro hodnocení ekonomiky kybernetické bezpečnosti
Z výše uvedeného vyplývá, že bychom potřebovali mít dostatečné teoretické zázemí, vybudovanou metodologii a definovaná vhodná kritéria pro zohledňování ekonomických aspektů kybernetické bezpečnosti. Problém je v tom, že obor či oblast výzkumu nazvaná „Ekonomika kybernetické bezpečnosti“ prakticky neexistuje.
Ekonomika kybernetické bezpečnosti by se měla zabývat tím, zda organizace dostatečně investuje do zabezpečení svých aktiv a zda je finanční rozpočet určený na kybernetickou bezpečnost formulován účelně a efektivně. Přestože došlo k mírnému nárůstu teoretického výzkumu této v oblasti, je třeba se intenzivně věnovat důkladné analýze a pochopení struktury investic do adekvátní úrovně bezpečnosti reagujících na fakt, že kybernetická kriminalita a firemní špionáž se neustále vyvíjejí a jsou pro firmy stále větším problémem. V oblasti vědy a výzkumu je této problematice oproti problematice vlastní bezpečnosti IS/IT věnována malá pozornost. V ČR byly publikovány příspěvky zabývající se sice metrikami, jde však o metriky související s užíváním IS [4, 5], případně pak s bezpečností IT/IS bez ekonomického rozměru. [6]
Jednou z prvních významnějších zahraničních publikací na toto téma je článek Gordona a Loeba [7], kde se rovněž uvádí, že výzkum v oblasti bezpečnosti IS/IT se zaměřil především na technické aspekty ochrany informací v počítačovém systému, zatímco bylo vykonáno velmi málo práce, která se zabývá ekonomickými aspekty informační bezpečnosti. Zejména s ohledem na množství prostředků, které organizace v současné době věnují na zabezpečení informací, je přitom nezbytný koncepční rámec, který pomůže odvodit optimální úroveň výdajů na informační bezpečnost. V článku se uvádí, že optimální částka vydaná na zabezpečení informací, obvykle nepřesáhne 37 % očekávané ztráty vyplývající z narušení bezpečnosti. Autoři sami nicméně v článku konstatují, že jde o teoreticky odvozenou hodnotu bez ověření na datech z praxe, a navrhují, aby budoucí výzkum empiricky posoudil, zda toto odpovídá skutečnosti. Zatím se to nikomu nepodařilo a jak autor zjistil „na vlastní kůži“, je to způsobeno naprostým nedostatkem informací o tom, kolik skutečně která konkrétní firma vydává na bezpečnostní opatření.
Na práci Gordona a Loeba navazují Bojanc a Jerman-Blazic. [8] Zaměřili se na investiční aspekty do kybernetické bezpečnosti, přičemž se věnovali zejména použití standardních ekonomických metrik (ROI, NVP a IRR) pro hodnocení investic a indexu návratnosti.
Je zřejmé, že potřebujeme nějakou jinou, specializovanou metriku. Za ni je dnes považována ROSI (Return on Security Investment), což je adaptace tradičního Return on Investment (ROI). Ekonomická metrika pro měření efektivity investic do kybernetické bezpečnosti ROSI se snaží kvantifikovat finanční přínosy z investic do bezpečnostních technologií a politik ve vztahu k nákladům na jejich implementaci a údržbu.
Tato metrika je však rovněž obtížně kvantifikovatelná, protože mnoho přínosů z bezpečnostních investic je preventivních nebo nehmotných (jako je ochrana pověsti firmy). Výpočet také vyžaduje, aby podnik dokázal odhadnout pravděpodobnost a dopad potenciálních bezpečnostních incidentů. To sice může být komplikované, nicméně v případě dobře provedené analýzy rizik se nejedná o nesplnitelný úkol. Při výpočtu ROSI totiž potřebujeme řešit:
- odhadování pravděpodobnosti incidentů a jejich potenciálního dopadu,
- určení hodnoty nehmotných aktiv, jako je důvěra zákazníků nebo značka firmy,
- aktualizace odhadů v reakci na měnící se hrozby a bezpečnostní krajinu.
V současnosti můžeme rozdělit podniky na dvě skupiny: ty, které používají ROSI, a ty, které netuší nic o jeho existenci nebo jej odmítly jako složitý či spekulativní. Navzdory tomu se ROSI stává stále populárnější metrikou pro zdůvodnění investic do kybernetické bezpečnosti v podnikovém prostředí, protože organizace usilují o to, aby byly schopny ekonomicky odůvodnit své bezpečnostní strategie.
Autor z vlastní praxe ví, že klíčovým aspektem je analýza rizik, která musí mít všechny náležitosti. Pak máme všechny předpoklady pro úspěšné stanovení kvalitního odhadu ROSI pro konkrétní investice v oblasti bezpečnosti.
Náklady spojené s kybernetickými útoky
Výše bylo uvedeno, že jednou z cest rozpočtování nákladů na zajištění kybernetické bezpečnosti je stanovení přímých a nepřímých ztrát z útoků – finančních i nefinančních.
Přímé finanční ztráty jsou ty, které lze přímo kvantifikovat a které jsou bezprostředním důsledkem kybernetického útoku. Patří sem např. výkupné za ransomware, náklady na obnovu systému a zajištění kontinuity činností, pokuty a jiné sankce včetně právních nákladů, přímé finanční ztráty z důvodu zastavení výroby a/nebo obchodních operací.
Nepřímé finanční ztráty jsou ty, které nemusejí být okamžitě zřejmé nebo kvantifikovatelné, ale mají dlouhodobý dopad na podnikání. Patří sem např. reputační škody (poškození pověsti), ztráta důvěry stávajících zákazníků, narušení dodavatelského řetězce ovlivňující obchodní partnery, snížení tržní hodnoty akcií či obchodních podílů.
Samostatnou skupinou pak jsou dlouhodobé investice do zlepšení bezpečnostních opatření, aby se zabránilo budoucím útokům, a provozní náklady. Sem patří rovněž náklady na poradenské služby – analýzu rizik, bezpečnostní audit a hodnocení zranitelností, školení a vzdělávání zaměstnanců, plány reakce na incidenty a zajištění business continuity.
Přímé a nepřímé výnosy
Otázkou je, zda můžeme identifikovat výnosy nebo „pouze“ ušetřené náklady díky investici do kybernetické bezpečnosti. Pokud by v důsledku zvýšení kybernetické bezpečnosti a případně jeho vyjádření prostřednictvím všeobecně uznávané certifikace došlo ke zvýšení reputace podniku, jeho podílu na trhu, získání nových zákazníků apod., jakož i k lepšímu souladu s právními a regulačními požadavky, pak lze kvantifikovat i přímé výnosy. Příkladem může být zvýšení klasifikace datového centra Tier.
Pojištění jako doporučená strategie snížení rizika
Jednou z doporučovaných strategií pro řešení rizik je pojištění. [3] Výzkum v oblasti strategie řízení rizik, která kombinuje investice do zabezpečení proti kybernetickému riziku, provedli Mazzoccoli a Naldi. [9] V článku se zkoumá, kdy tyto investice přispívají ke snížení pojistného, s cílem posoudit, zda mohou vést ke snížení celkových nákladů na bezpečnost. Optimální investice pro tuto smíšenou strategii je kombinována ze tří pojistných smluv, které pokrývají všechny ztráty (celkové krytí), ztráty pod limitem maximálního závazku (částečné krytí) a ztráty nad limitem, ale pod maximálním závazkem (částečné krytí s odečtením). Autoři docházejí k závěru, že pokud by potenciální ztráta byla extrémně nízká nebo zranitelnost velmi vysoká, vyplatí se spoléhat pouze na pojištění. Obecně je však vhodné investice do kybernetické bezpečnosti kombinovat s investicemi do pojištění tak, aby se snížily náklady na pojištění.
Závěr
Jak vyplývá z výše uvedeného, existuje vysoká společenská potřeba řešení úkolů ekonomické efektivnosti kybernetické bezpečnosti. Z výzkumu Kellyho [10] plyne, že globální ekonomický trh s kybernetickou bezpečností může do konce roku 2020 vzrůst až na 177 mld. USD. Naopak podle společnosti Gartner se předpokládá, že celosvětový trh informační bezpečnosti dosáhne v roce 2022 výše 170,4 mld. USD. [11] To ale jsou minimální rozdíly a obrovská čísla. Vzhledem k tomu, že kybernetické útoky stojí podniky více než 500 mld. USD ročně, stojí manažeři před zásadní otázkou: Kolik je třeba investovat do oblasti kybernetické bezpečnosti, aby zabezpečení bylo dostačující? A jejich šéfové před otázkou druhou: Nevynakládáme peníze zbytečně?
Investice do kybernetické bezpečnosti jsou nezbytnou součástí podnikové strategie, která chrání nejen technologickou infrastrukturu, ale i korporátní reputaci a finanční zdraví. Vyvážený přístup, který zahrnuje jak technologická řešení, tak vzdělávání zaměstnanců a strategické plánování, je klíčový pro efektivní ochranu před stále se vyvíjejícími kybernetickými hrozbami.
Lze se nicméně obávat, že rozpočty na užitečné činnosti, jako je zvyšování kybernetické bezpečnosti podniků, budou utráceny za – dle názoru autora – výdaje zbytečné, vynucované současnými společensko-politickými aktivistickými tlaky. Dnešní zeleně-levicovou politikou EU je vyžadováno vykazování aktivit ESG2, kvůli němuž si podniky najímají drahé (a většinou zbytečné) „specialisty“, či dokonce zakládají nové útvary, přičemž ty stejné peníze často chybějí na zajištění pokrytí všech bezpečnostních rolí požadovaných podle ZKB. Je pravdou, že některé aspekty ESG mají smysl, např. investice do energeticky účinnějších serverů, datových center a jiného IT hardwaru, neboť snižují spotřebu elektrické energie, a to včetně přechodu do cloudu nebo používání virtualizovaných serverů. Pro tyto aspekty ale nepotřebujeme stále více bující agendu ESG, ale stačí nám zdravý podnikatelský rozum.
Vytváření robustní kybernetické odolnosti vyžaduje kontinuální úsilí a investice. Jednostranný přístup některých podniků, které se soustředí výhradně na jednu momentálně „módní“ oblast (např. dříve GDPR, nyní ESG) na úkor ostatních důležitých oblastí (např. kybernetická bezpečnost), může být rizikový. Autorovi připomíná dnešní povinnost vykazovat ESG velmi podobné výkaznictví před rokem 1989 spočívající v hlášení, kolik dobrovolných brigád občan absolvoval a zda byl v prvomájovém průvodu. Přitom ve skutečnosti některé společnosti mohou používat ESG proklamace pro zlepšení svého obrazu (tzv. greenwashing), aniž by podnikly skutečné kroky k dosažení těchto pochybných cílů.
Investice do IT bezpečnosti by neměly být považovány pouze za náklad, ale za klíčovou součást strategie pro ochranu podnikových aktiv, udržení důvěry zákazníků a dodržování regulačních požadavků. Rozhodnutí o tom, kolik investovat, by mělo být založeno na pečlivé analýze a přizpůsobeno specifickým potřebám a okolnostem každého podniku.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Poznámky pod čarou:
- ICS (Industrial Control Systém), SCADA (Supervisory Control and Data Acquisition), PLC (Programmable Logic Controllers), DCS (Distributed Control Systems)1 ICS (Industrial Control Systém), SCADA (Supervisory Control and Data Acquisition), PLC (Programmable Logic Controllers), DCS (Distributed Control Systems)a BMS (Building Management System)
- ESG znamená Environmental, Social, and Governance oblasti, které se2 ESG znamená Environmental, Social, and Governance oblasti, které sev současné době používají k hodnocení dopadu činnosti podniku na společnosta životní prostředí a jeho tzv. celkové udržitelné chování.
Použité zdroje:
[ 1 ] BRANGETTO, Pascal a Mari KERT-SAINT AUBYN, 2015. Economic aspects of national cyber security strategies. Project Report. Tallinn: NATO Cooperative Cyber Defence Centre of Excellence, pp. 24.
[ 2 ] SMEJKAL, Vladimír, Tomáš SOKOL a Jindřich KODL, 2019. Bezpečnost informačních systémů podle zákona o kybernetické bezpečnosti. Plzeň: Aleš Čeněk.
[ 3 ] SMEJKAL, Vladimír a Karel RAIS, 2013. Řízení rizik ve firmách a jiných organizacích. 4., aktualizované a rozšířené vydání. Praha: GRADA
[ 4 ] UČEŇ, Pavel et al., 2001. Metriky v informatice: Jak objektivně zjistit přínosy informačního systému. První vydání Praha: Grada Publishing.
[ 5 ] MOLNÁR, Zdeněk, 2000. Efektivnost informačních systémů. 1. vyd. Praha: Grada.
[ 6 ] NOVÁK, Luděk, 2008. Měření účinnosti bezpečnostních opatření. Data Security Management, 2, s. 18–21.
[ 7 ] GORDON, Lawrence a Martin LOEB, 2002. The economics of information security investment. ACM Transactions on Information and System Security (TISSEC). 5(4), 438-457. DOI: 10.1145/581271.581274. ISSN 1094-9224.
[ 8 ] BOJANC, Rok and Borka JERMAN-BLAZIC, 2008. Standard Approach for Quantification of the ICT Security Investment for Cybercrime Prevention. Second International Conference on the Digital Society, Sainte Luce, 2008, pp. 7–14. DOI: 10.1109/ICDS.2008.37.
[ 9 ] MAZZOCCOLI, Alessandro a Maurizio NALDI, 2019. Robustness of Optimal Investment Decisions in Mixed Insurance/Investment Cyber Risk Management. Risk Analysis. 40(3), 550-564. DOI: 10.1111/risa.13416. ISSN 0272-4332.
[ 10 ] KELLY, Douglas, 2017. The Economics of Cybersecurity. In: ICMLG 2017 5th International Conference on Management Leadership and Governance. Dayton, USA: Academic Conferences and publishing, s. 522–528.
[ 11 ] VARONIS, 2021. 134 Cybersecurity Statistics and Trends for 2021