RISKANTNE O RIZIKU 2

3. mája 2025

(a podobných pojmoch)

 Doc. Ing. Jaroslav Sivák, CSc., MBA

1. Úvod

Článok je pokračovaním v úvahách o základných pojmoch používaných v kategóriách „ochrana a bezpečnosť“. Ako už bolo v prvom článku poznamenané, aj tu platí, že „riskantne“ preto, že tvrdenia, ktoré obsahuje tento článok sa nemusia páčiť akademickým pracovníkom, pracovníkom najmä silových rezortov, ktorí tvorili a používajú terminologické slovníky (alebo nepoužívajú) a tvoria zákony a ostatné právne normy v oblasti bezpečnosti a mnohým iným.


Základnou bezpečnostnou pravdou zostáva, že: RIZIKO je pravdepodobnosť (resp. miera), že HROZBA využije ZRANITEĽNOSŤ AKTÍVA a spôsobí na neho DOPAD.

2. Hrozba

Hrozba je v Terminologickom slovníku krízového riadenia vydanom Úradom vlády SR v roku 2017 na str. 11 definovaná ako cit.: „Objektívne existujúca možnosť, ktorej naplnenie je schopné spôsobiť negatívny dôsledok“. Je potrebné rozlišovať medzi „hrozbou“ a „ohrozením“. Hrozba je potenciálna kategória. Ohrozením označujeme bezprostrednú udalosť, t.j. keď sa aktuálne koná hrozba. Vo vyššie spomínanom Terminologickom slovníku na str. 24 je uvedené cit.: „Ohrozenie je aktivovaná hrozba v priestore a čase“.

Hrozby sa dajú kategorizovať podľa svojho pôvodu a delia sa spravidla na:

1.      Antropogénne hrozby - hrozby, ktorých príčina a prvotný podnet je v človeku a v sociálnej sfére.

2.      Prírodné hrozby – spôsobujú ich prejavy prírody.

3.      Technologické hrozby – spôsobujú ich technologické prvky.

4.      Kombinované hrozby (súčasné pôsobenie vyššie uvedených hrozieb).

V súčasnej terminológii sa objavil pojem hybridná hrozba, čo môžeme považovať, v určitých ohľadoch, za kombinovanú hrozbu.



Prirodzene, existuje oficiálne schválené a používané rozdelenie hrozieb a ich zdroje. Napr. ISO/IEC 27 000:20xx Information Technology – Security Techniques – Information SECURITY RISk Management, alebo materiály vydané Odborom civilnej ochrany MV SR. Požiarny zbor má ich tiež dobre kategorizované a iné.


Analýza hrozieb zahŕňa identifikáciu a ohodnotenie parametrov podľa prejavov dobre merateľných aj slabo merateľných (heuristické a expertné odhady v škále). Ohodnotenie sa vykonáva spravidla definovanou metrikou - spôsobom merania alebo inou metodikou kvantifikácie hrozby. Medzi identifikované parametre radíme: významnosť, prístupnosť hrozby k aktívu, poznateľnosť a rozpoznateľnosť hrozby.

Posúdiť významnosť hrozby znamená predikovať dopad. Vyhodnotiť ako významné by narušenie, alebo obmedzenie - zabránenie vo fungovaní systému v projektovaných parametroch, mohla hrozba znamenať. Prístupnosť pre hrozbu znamená, ako je aktívum chránené voči konkrétnej hrozbe. Poznateľnosť hrozby umožňuje vykonať konkrétne, cielené preventívne opatrenia.


Posudzovanie hrozby býva silne zaťažené parametrom, ktorý nazývame „vplyv na obyvateľstvo“. Každá z hrozieb v konečnom dôsledku môže vyvolať pocit strachu obyvateľstva. Tento faktor môže mať dopad na tzv. domino efekt, kedy racionálny (častejšie iracionálny) strach ľudí predstavuje samostatnú hrozbu. 

3. Zraniteľnosť aktíva

Terminologický slovník krízového riadenia na str. 32 uvádza k pojmu zraniteľnosť cit.: „Komplexná vlastnosť odrážajúca slabé miesta systému, jeho zníženú odolnosť proti možnému narušeniu jeho funkcie, poškodeniu alebo zničeniu“. Kategorizácia zraniteľností je identická ako u hrozieb, teda antropologické, prírodné, technologické a kombinované. 


Pri hodnotení zraniteľností je potrebné zvažovať pravdepodobný scenár útoku, stupeň ochrany, alebo odolnosti nositeľa zraniteľnosti. Poznateľnosť zraniteľnosti znamená, či o zraniteľnosti vieme, alebo je nerozoznaná, nespoznaná. Často sa stretávame aj s ignorovaním významu zraniteľnosti bagatelizovaním skutočného stavu. A to ani nehovoríme ešte o prípadoch, ktoré popísal Nassim Nicholas Taleb vo svojej knihe Čierna labuť. Ide o udalosti, ktorých pravdepodobnosť výskytu je extrémne nízka a dopad extrémne vysoký (úplný pád finančných trhov, WTC 2001 a pod.).



Mieru zraniteľnosti hodnotíme na škále (metrike) s uvážením významnosti zraniteľnosti, prístupnosti útočníka k zraniteľnosti a jej poznateľnosti. 

4. Aktívum

Aktívum je všetko to, čo si organizácia (systém, proces) cení. To, čo je pre organizáciu, systém, určitý proces dôležité, čoho poškodenie, alebo strata by znamenala odchýlenie sa od projektovaných (zamýšľaných, obvyklých) parametrov fungovania. Terminologický slovník definuje aktívum na str. 7 ako cit.: „Hodnota, ktorú je potrebné chrániť“.


Aktíva je možné rozdeliť na hmotné a nehmotné, resp. existujúce v reálnom alebo vo virtuálnom svete. Hodnotu aktíva interpretujeme ako mieru zdrojovej náročnosti (ľudia, čas, financie a iné) na náhradu aktíva, alebo jeho uvedenie do pôvodného stavu. 

Poznámka: „Uvedenie do pôvodného stavu“ je zavádzajúca fráza. Proces rekonštrukcie musí zahŕňať opatrenia, ktoré budú efektívnou odpoveďou na hrozby a zraniteľnosti, ktoré predchádzajú rekonštrukcii. Nie je teda možné obnoviť iba pôvodný stav, je potrebné vykonať opatrenia nad rámec prostej rekonštrukcie.

5. Dopad

Dopad je výsledok pôsobenia predchádzajúcich faktorov a najčastejšie sa vníma ako ujma, škoda, strata, teda v negatívnej konotácii. Pre úplné chápanie dopadu, je nevyhnutné pripustiť existenciu takých druhov dopadu, ktoré v konečnom dôsledku môžu znamenať zlepšenie. Príkladom môže byť zachytený útok na komunikačnú infraštruktúru, ktorý vyvolá pozitívne zmeny v názore kompetentných na bezpečnosť a ochranu. Poistenie nehnuteľnosti (spôsob manažovania rizika) ktorá bola zničená prírodnou katastrofou, v druhom pláne nie je negatívny dopad. Nemá sa na mysli poisťovací podvod.


Hodnotenie úrovne (veľkosti) dopadu závisí od konkrétnych podmienok a parametrov chráneného systému, organizácie, alebo procesu. Na kvantifikáciu sa zvyčajne používa pravidlo, keď sa hodnotí aké veľké zdroje a ich dostupnosť je potrebné vynaložiť, aby bolo obnovenie fungovania postihnutej štruktúry. Tento výrok v plnej miere odpovedá aj na otázku koľko stojí jeden bajt informácie. Toľko, koľko je potrebných zdrojov na jeho obnovenie, resp. získanie.



Okrem materiálnych prvkov dopadu je nevyhnutné do úvah zahrnúť aj nehmotné prvky ako napr. rôzne podoby tzv. reputačnej ujmy (strata Goodwill).

6. Riziko

Po stanovení, zmeraní alebo odhadnutí všetkých predchádzajúcich komponentov, zostáva vyčísliť, odhadnúť, stanoviť hodnotu rizika. Existuje viacero matematických modelov ako sa dopočítať ku výslednej hodnote rizika. Dôležité je však túto hodnotu správne interpretovať. Po zvážení všetkých špecifík posudzovanej organizácie, systému alebo procesu (riziková analýza), je potrebné stanoviť párové kategórie: Hodnota rizika – Významnosť dopadu.


Napr. ukradnutie určitého množstva horľaviny zo skladu predstavuje v stredne zabezpečenom sklade iba veľmi malý dopad. Riziko, že dôjde ku krádeži je však pomerne veľké. Nositeľmi takéhoto rizika sú spravidla vlastní zamestnanci (organizácie sa tomu faktu veľmi bránia). Hodnota rizika je vysoká – dopad pomerne nízky.



Riziko, že sklad horľaviny niekto podpáli je pomerne nízke (prísne opatrenia proti požiaru, pravidelne poučovaný personál, neiskriace náradie a pod.). Ak by bol tento čin dokonaný, výbuch (zhorenie) skladu predstavuje výrazne negatívny dopad. Hodnota rizika nízka – dopad vysoký. 

7. Záver

Hodnotenie rizika je extrémne zložitý proces. Použitie odporúčaní v podobe ISO postupov, alebo špecifických noriem je dobrým návodom, ale nie vyčerpávajúcou odpoveďou. Model stanovenia rizika je preto potrebné vypracovať pre každé použitie takmer jedinečným spôsobom s vysokým rešpektovaním konkrétnych podmienok, v ktorých sa nasadzuje.


Interpretácia výsledkov stanovenia rizika je kľúčová. Ďalším kľúčovým parametrom je dynamika zmien bezpečnostného prostredia. Tento parameter určuje frekvenciu opakovania procesov vykonávania analýzy rizík. 



Logickým vyústením popisovaných procesov je stanovenie spôsobu, ako bude zistené a vyčíslené riziko manažované. Na tento účel poznáme viaceré postupy od odstránenia rizika, zníženia úrovne rizika až po prenesenie rizika na iné subjekty, alebo procesy. 

8. júla 2026
On July 17, 2026, the deadline will expire by which central state administration bodies must, for the first time, identify critical entities under Act No. 367/2024 Coll. on Critical Infrastructure. This will be the first identification process following the approval of the Strategy for the Resilience of Critical Entities, and at the same time a significant milestone in the implementation of a new system for the protection of critical infrastructure in Slovakia.
8. júla 2026
Už 17. júla 2026 uplynie lehota, do ktorej majú ústredné orgány štátnej správy po prvýkrát identifikovať kritické subjekty podľa zákona č. 367/2024 Z. z. o kritickej infraštruktúre. Pôjde o prvú identifikáciu po schválení Stratégie odolnosti kritických subjektov a zároveň o významný míľnik pri zavádzaní nového systému ochrany kritickej infraštruktúry na Slovensku.
6. júla 2026
We continue our series of expert articles dedicated to the individual sectors of critical infrastructure under Act No. 367/2024 Coll. on Critical Infrastructure. Today we take a closer look at the public administration sector. 
6. júla 2026
Pokračujeme v sérii odborných článkov, venovaných jednotlivým sektorom kritickej infraštruktúry podľa zákona č. 367/2024 Z. z. o kritickej infraštruktúre. Dnes sa pozrieme na sektor verejnej správy.
3. júla 2026
Another article in the series in which we present the essential services of critical infrastructure under Act No. 367/2024 Coll. on Critical Infrastructure. 
3. júla 2026
Ďalší článok zo série, v ktorej predstavujeme základné služby kritickej infraštruktúry podľa zákona č. 367/2024 Z. z. o kritickej infraštruktúre.
30. júna 2026
The strategic partnership between the Critical Infrastructure Association of the Slovak Republic and the Indian government organization Centre for Development of Telematics (C-DOT) has generated significant media attention in India as well. The topic of cooperation in quantum technologies, digital security, and critical infrastructure protection has appeared in several Indian media outlets and on professional platforms.
30. júna 2026
Strategické partnerstvo medzi Asociáciou kritickej infraštruktúry Slovenskej republiky a indickou vládnou organizáciou Centre for Development of Telematics (C-DOT) vyvolalo výrazný mediálny ohlas aj v Indii. Téma spolupráce v oblasti kvantových technológií, digitálnej bezpečnosti a ochrany kritickej infraštruktúry sa objavila vo viacerých indických médiách a na odborných platformách.
25. júna 2026
The Slovak Republic and the Republic of India are expanding cooperation in the field of digital security and advanced cryptographic technologies. On the occasion of the visit of the Prime Minister of the Republic of India, Narendra Modi, to Slovakia, the Critical Infrastructure Association of the Slovak Republic (AKI SR) and the Indian government organization Centre for Development of Telematics (C-DOT) signed a Memorandum of Understanding, which establishes a foundation for the joint development and implementation of quantum-safe technologies and the protection of critical infrastructure.
25. júna 2026
Slovenská republika a Indická republika rozširujú spoluprácu v oblasti digitálnej bezpečnosti a pokročilých kryptografických technológií. Asociácia kritickej infraštruktúry Slovenskej republiky (AKI SR) a indická vládna organizácia Centre for Development of Telematics (C-DOT) podpísali pri príležitosti návštevy predsedu vlády Indickej republiky Narendru Modiho na Slovensku Memorandum o porozumení, ktoré vytvára základ pre spoločný vývoj a implementáciu kvantovo bezpečných technológií a ochranu kritickej infraštruktúry.