RISKANTNE O RIZIKU 2

3. mája 2025

(a podobných pojmoch)

Doc. Ing. Jaroslav Sivák, CSc., MBA

1. Úvod

Článok je pokračovaním v úvahách o základných pojmoch používaných v kategóriách „ochrana a bezpečnosť“. Ako už bolo v prvom článku poznamenané, aj tu platí, že „riskantne“ preto, že tvrdenia, ktoré obsahuje tento článok sa nemusia páčiť akademickým pracovníkom, pracovníkom najmä silových rezortov, ktorí tvorili a používajú terminologické slovníky (alebo nepoužívajú) a tvoria zákony a ostatné právne normy v oblasti bezpečnosti a mnohým iným.

Základnou bezpečnostnou pravdou zostáva, že: RIZIKO je pravdepodobnosť (resp. miera), že HROZBA využije ZRANITEĽNOSŤ AKTÍVA a spôsobí na neho DOPAD.

2. Hrozba

Hrozba je v Terminologickom slovníku krízového riadenia vydanom Úradom vlády SR v roku 2017 na str. 11 definovaná ako cit.: „Objektívne existujúca možnosť, ktorej naplnenie je schopné spôsobiť negatívny dôsledok“. Je potrebné rozlišovať medzi „hrozbou“ a „ohrozením“. Hrozba je potenciálna kategória. Ohrozením označujeme bezprostrednú udalosť, t.j. keď sa aktuálne koná hrozba. Vo vyššie spomínanom Terminologickom slovníku na str. 24 je uvedené cit.: „Ohrozenie je aktivovaná hrozba v priestore a čase“.

Hrozby sa dajú kategorizovať podľa svojho pôvodu a delia sa spravidla na:

1. Antropogénne hrozby - hrozby, ktorých príčina a prvotný podnet je v človeku a v sociálnej sfére.

2. Prírodné hrozby – spôsobujú ich prejavy prírody.

3. Technologické hrozby – spôsobujú ich technologické prvky.

4. Kombinované hrozby (súčasné pôsobenie vyššie uvedených hrozieb).

V súčasnej terminológii sa objavil pojem hybridná hrozba, čo môžeme považovať, v určitých ohľadoch, za kombinovanú hrozbu.

Prirodzene, existuje oficiálne schválené a používané rozdelenie hrozieb a ich zdroje. Napr. ISO/IEC 27 000:20xx Information Technology – Security Techniques – Information SECURITY RISk Management, alebo materiály vydané Odborom civilnej ochrany MV SR. Požiarny zbor má ich tiež dobre kategorizované a iné.

Analýza hrozieb zahŕňa identifikáciu a ohodnotenie parametrov podľa prejavov dobre merateľných aj slabo merateľných (heuristické a expertné odhady v škále). Ohodnotenie sa vykonáva spravidla definovanou metrikou - spôsobom merania alebo inou metodikou kvantifikácie hrozby. Medzi identifikované parametre radíme: významnosť, prístupnosť hrozby k aktívu, poznateľnosť a rozpoznateľnosť hrozby.

Posúdiť významnosť hrozby znamená predikovať dopad. Vyhodnotiť ako významné by narušenie, alebo obmedzenie - zabránenie vo fungovaní systému v projektovaných parametroch, mohla hrozba znamenať. Prístupnosť pre hrozbu znamená, ako je aktívum chránené voči konkrétnej hrozbe. Poznateľnosť hrozby umožňuje vykonať konkrétne, cielené preventívne opatrenia.

Posudzovanie hrozby býva silne zaťažené parametrom, ktorý nazývame „vplyv na obyvateľstvo“. Každá z hrozieb v konečnom dôsledku môže vyvolať pocit strachu obyvateľstva. Tento faktor môže mať dopad na tzv. domino efekt, kedy racionálny (častejšie iracionálny) strach ľudí predstavuje samostatnú hrozbu.

3. Zraniteľnosť aktíva

Terminologický slovník krízového riadenia na str. 32 uvádza k pojmu zraniteľnosť cit.: „Komplexná vlastnosť odrážajúca slabé miesta systému, jeho zníženú odolnosť proti možnému narušeniu jeho funkcie, poškodeniu alebo zničeniu“. Kategorizácia zraniteľností je identická ako u hrozieb, teda antropologické, prírodné, technologické a kombinované.

Pri hodnotení zraniteľností je potrebné zvažovať pravdepodobný scenár útoku, stupeň ochrany, alebo odolnosti nositeľa zraniteľnosti. Poznateľnosť zraniteľnosti znamená, či o zraniteľnosti vieme, alebo je nerozoznaná, nespoznaná. Často sa stretávame aj s ignorovaním významu zraniteľnosti bagatelizovaním skutočného stavu. A to ani nehovoríme ešte o prípadoch, ktoré popísal Nassim Nicholas Taleb vo svojej knihe Čierna labuť. Ide o udalosti, ktorých pravdepodobnosť výskytu je extrémne nízka a dopad extrémne vysoký (úplný pád finančných trhov, WTC 2001 a pod.).

Mieru zraniteľnosti hodnotíme na škále (metrike) s uvážením významnosti zraniteľnosti, prístupnosti útočníka k zraniteľnosti a jej poznateľnosti.

4. Aktívum

Aktívum je všetko to, čo si organizácia (systém, proces) cení. To, čo je pre organizáciu, systém, určitý proces dôležité, čoho poškodenie, alebo strata by znamenala odchýlenie sa od projektovaných (zamýšľaných, obvyklých) parametrov fungovania. Terminologický slovník definuje aktívum na str. 7 ako cit.: „Hodnota, ktorú je potrebné chrániť“.

Aktíva je možné rozdeliť na hmotné a nehmotné, resp. existujúce v reálnom alebo vo virtuálnom svete. Hodnotu aktíva interpretujeme ako mieru zdrojovej náročnosti (ľudia, čas, financie a iné) na náhradu aktíva, alebo jeho uvedenie do pôvodného stavu.

Poznámka: „Uvedenie do pôvodného stavu“ je zavádzajúca fráza. Proces rekonštrukcie musí zahŕňať opatrenia, ktoré budú efektívnou odpoveďou na hrozby a zraniteľnosti, ktoré predchádzajú rekonštrukcii. Nie je teda možné obnoviť iba pôvodný stav, je potrebné vykonať opatrenia nad rámec prostej rekonštrukcie.

5. Dopad

Dopad je výsledok pôsobenia predchádzajúcich faktorov a najčastejšie sa vníma ako ujma, škoda, strata, teda v negatívnej konotácii. Pre úplné chápanie dopadu, je nevyhnutné pripustiť existenciu takých druhov dopadu, ktoré v konečnom dôsledku môžu znamenať zlepšenie. Príkladom môže byť zachytený útok na komunikačnú infraštruktúru, ktorý vyvolá pozitívne zmeny v názore kompetentných na bezpečnosť a ochranu. Poistenie nehnuteľnosti (spôsob manažovania rizika) ktorá bola zničená prírodnou katastrofou, v druhom pláne nie je negatívny dopad. Nemá sa na mysli poisťovací podvod.

Hodnotenie úrovne (veľkosti) dopadu závisí od konkrétnych podmienok a parametrov chráneného systému, organizácie, alebo procesu. Na kvantifikáciu sa zvyčajne používa pravidlo, keď sa hodnotí aké veľké zdroje a ich dostupnosť je potrebné vynaložiť, aby bolo obnovenie fungovania postihnutej štruktúry. Tento výrok v plnej miere odpovedá aj na otázku koľko stojí jeden bajt informácie. Toľko, koľko je potrebných zdrojov na jeho obnovenie, resp. získanie.

Okrem materiálnych prvkov dopadu je nevyhnutné do úvah zahrnúť aj nehmotné prvky ako napr. rôzne podoby tzv. reputačnej ujmy (strata Goodwill).

6. Riziko

Po stanovení, zmeraní alebo odhadnutí všetkých predchádzajúcich komponentov, zostáva vyčísliť, odhadnúť, stanoviť hodnotu rizika. Existuje viacero matematických modelov ako sa dopočítať ku výslednej hodnote rizika. Dôležité je však túto hodnotu správne interpretovať. Po zvážení všetkých špecifík posudzovanej organizácie, systému alebo procesu (riziková analýza), je potrebné stanoviť párové kategórie: Hodnota rizika – Významnosť dopadu.

Napr. ukradnutie určitého množstva horľaviny zo skladu predstavuje v stredne zabezpečenom sklade iba veľmi malý dopad. Riziko, že dôjde ku krádeži je však pomerne veľké. Nositeľmi takéhoto rizika sú spravidla vlastní zamestnanci (organizácie sa tomu faktu veľmi bránia). Hodnota rizika je vysoká – dopad pomerne nízky.

Riziko, že sklad horľaviny niekto podpáli je pomerne nízke (prísne opatrenia proti požiaru, pravidelne poučovaný personál, neiskriace náradie a pod.). Ak by bol tento čin dokonaný, výbuch (zhorenie) skladu predstavuje výrazne negatívny dopad. Hodnota rizika nízka – dopad vysoký.

7. Záver

Hodnotenie rizika je extrémne zložitý proces. Použitie odporúčaní v podobe ISO postupov, alebo špecifických noriem je dobrým návodom, ale nie vyčerpávajúcou odpoveďou. Model stanovenia rizika je preto potrebné vypracovať pre každé použitie takmer jedinečným spôsobom s vysokým rešpektovaním konkrétnych podmienok, v ktorých sa nasadzuje.

Interpretácia výsledkov stanovenia rizika je kľúčová. Ďalším kľúčovým parametrom je dynamika zmien bezpečnostného prostredia. Tento parameter určuje frekvenciu opakovania procesov vykonávania analýzy rizík.

Logickým vyústením popisovaných procesov je stanovenie spôsobu, ako bude zistené a vyčíslené riziko manažované. Na tento účel poznáme viaceré postupy od odstránenia rizika, zníženia úrovne rizika až po prenesenie rizika na iné subjekty, alebo procesy.

< Starší príspevok

Novší príspevok >

When the Lights Go Out: Blackout as a Test of Modern Society's Resilience

8. apríla 2026

A large-scale power outage is no longer a hypothetical scenario. Recent months have brought a series of incidents showing that the stability of Europe's electricity systems is exposed to a combination of threats on a scale we have not previously encountered. The discussion of blackouts is therefore shifting from technical circles into the broader strategic framework of critical infrastructure protection.

Keď zhasne svetlo: blackout ako test odolnosti modernej spoločnosti

8. apríla 2026

Rozsiahly výpadok elektriny prestáva byť hypotetickým scenárom. Posledné mesiace priniesli sériu incidentov, ktoré ukazujú, že stabilita elektrizačných sústav v Európe je vystavená kombinácii hrozieb, akú sme v takomto rozsahu doteraz nepoznali. Diskusia o blackoute sa tak presúva z technických kruhov do širšieho strategického rámca ochrany kritickej infraštruktúry.

Artificial Intelligence and Critical Infrastructure: When a Tool Becomes a Threat

3. apríla 2026

Artificial intelligence is changing the rules of the game in critical infrastructure protection. It is no longer merely an aid in defence — it is also becoming a weapon in the hands of attackers. The question is no longer whether AI will enter the critical infrastructure environment, but how quickly we can prepare for this change.

Umelá inteligencia a kritická infraštruktúra: keď sa nástroj stane hrozbou

3. apríla 2026

Umelá inteligencia mení pravidlá hry v ochrane kritickej infraštruktúry. Už nie je len pomocníkom pri obrane, stáva sa aj zbraňou v rukách útočníkov. Otázka už neznie, či sa AI dostane do prostredia kritickej infraštruktúry, ale ako rýchlo sa na túto zmenu dokážeme pripraviť.

Predstavujeme sektory kritickej infraštruktúry: Doprava

2. apríla 2026

Oblasť kritickej infraštruktúry v Slovenskej republike upravuje zákon č. 367/2024 Z. z. o kritickej infraštruktúre a o zmene a doplnení noektorých zákonov, ktorý definuje jednotlivé sektory, podsektory a základné služby nevyhnutné pre fungovanie štátu.

Introducing Critical Infrastructure Sectors: Transport

2. apríla 2026

The area of critical infrastructure in the Slovak Republic is regulated by Act No. 367/2024 Coll. on Critical Infrastructure and on Amendments and Supplements to Certain Acts, which defines individual sectors, subsectors, and essential services necessary for the functioning of the state.

Ambassador of India and the Diplomatic Sector Support Partnership in Critical Infrastructure and Quantum Technologies

30. marca 2026

The Critical Infrastructure Association of the Slovak Republic has entered into negotiations on international cooperation with the Republic of India in the field of critical infrastructure protection and the development of post-quantum cryptography. This step reflects the growing importance of technological security and the need to prepare for the advent of quantum technologies, which will fundamentally impact current cryptographic standards. In this context, a significant meeting took place at the Embassy of the Republic of India in Slovakia, attended by H.E. Apoorva Srivastava, Ambassador of the Republic of India to the Slovak Republic, Rastislav Chovanec, State Secretary of the Ministry of Foreign and European Affairs of the Slovak Republic, and Tibor Straka, President of The Critical Infrastructure Association of the Slovak Republic. The delegation also included the Chairman of its Supervisory Board and a representative of member company Decent Cybersecurity s. r. o., Matej Michalko. The discussion focused primarily on opportunities for the development of bilateral cooperation in the areas of critical infrastructure, cybersecurity, and the implementation of post-quantum cryptographic solutions. India is among the countries that systematically invest in the development of cryptography and quantum technologies. This is evidenced by its strategic initiative, the National Quantum Mission, which aims to build a comprehensive national quantum technology ecosystem. It is precisely in this area that The Critical Infrastructure Association of the Slovak Republic sees significant potential for cooperation and the involvement of Slovak technology entities. One such entity is Decent Cybersecurity s. r. o., a company with a long-standing focus on research and implementation of solutions for critical infrastructure, defence systems, and telecommunications networks. The company specialises primarily in the practical implementation of new cryptographic algorithms into modern hardware and software architectures, which makes it well-suited for participation in international post-quantum security projects. From the perspective of the Slovak Republic, cooperation with India represents a significant opportunity for the development of technological diplomacy and the strengthening of strategic partnerships. As one of the fastest-growing digital economies in the world, India plans extensive investments in quantum research and technological infrastructure. The involvement of Slovak companies in these initiatives could substantially support the export of innovative solutions and strengthen technological ties between the two countries. The aim of this initiative is to establish a stable technological partnership between Slovak and Indian institutions, overseen by The Critical Infrastructure Association of the Slovak Republic. An important role is also played by the diplomatic support of the Ministry of Foreign and European Affairs of the Slovak Republic, which can significantly facilitate the establishment of contacts with relevant partners in India. This initiative also fits within the broader context of strengthening technological relations between the European Union and India. Slovakia's active involvement in this process could contribute to reinforcing its position within the European technology ecosystem and increasing its international competitiveness. At the meeting, both sides expressed a clear interest in developing mutual cooperation and identified significant potential for future joint projects. The partners agreed that the combination of expert capacities, technological innovation, and diplomatic support creates a solid foundation for a long-term strategic partnership that can deliver tangible results in the areas of security, innovative development, and economic cooperation. Both sides will continue their expert-level communication, aimed at building a stable platform for a long-term and functional partnership between India and Slovakia in the fields of critical infrastructure and post-quantum cryptography.

Veľvyslankyňa Indie a rezort diplomacie podporujú partnerstvo v oblasti kritickej infraštruktúry a kvantových technológií

30. marca 2026

Asociácia kritickej infraštruktúry Slovenskej republiky vstúpila do rokovaní o medzinárodnej spolupráci s Indickou republikou v oblasti ochrany kritickej infraštruktúry a rozvoja postkvantovej kryptografie. Tento krok reflektuje rastúci význam technologickej bezpečnosti a potrebu pripraviť sa na nástup kvantových technológií, ktoré zásadne ovplyvnia súčasné kryptografické štandardy. V tejto súvislosti sa na pôde Veľvyslanectva Indickej republiky na Slovensku uskutočnilo významné stretnutie za účasti J.E. Apoorva Srivastava, veľvyslankyne Indickej republiky v Slovenskej republike, štátneho tajomníka Ministerstva zahraničných vecí a európskych záležitostí Slovenskej republiky Rastislava Chovanca a prezidenta Asociácie kritickej infraštruktúry Slovenskej republiky Tibora Straku . Súčasťou delegácie AKI SR bol aj predseda jej dozornej rady a zástupca členskej spoločnosti Decent Cybersecurity s. r. o. Matej Michalko. Diskusia sa zamerala najmä na možnosti rozvoja bilaterálnej spolupráce v oblasti kritickej infraštruktúry, kybernetickej bezpečnosti a implementácie postkvantových kryptografických riešení. India patrí medzi krajiny, ktoré systematicky investujú do rozvoja kryptografie a kvantových technológií. Dôkazom je aj jej strategická iniciatíva National Quantum Mission, ktorej cieľom je vybudovať komplexný národný ekosystém kvantových technológií. Práve v tejto oblasti vidí AKI SR významný priestor pre spoluprácu a zapojenie slovenských technologických subjektov. Jedným z nich je spoločnosť Decent Cybersecurity s. r. o. , ktorá sa dlhodobo venuje výskumu a implementácii riešení pre kritickú infraštruktúru, obranné systémy a telekomunikačné siete. Spoločnosť sa špecializuje najmä na praktickú implementáciu nových kryptografických algoritmov do moderných hardvérových a softvérových architektúr, čo ju predurčuje na zapojenie do medzinárodných projektov v oblasti postkvantovej bezpečnosti. Z pohľadu Slovenskej republiky predstavuje spolupráca s Indiou významnú príležitosť pre rozvoj technologickej diplomacie a posilnenie strategických partnerstiev. India ako jedna z najrýchlejšie rastúcich digitálnych ekonomík sveta plánuje rozsiahle investície do kvantového výskumu a technologickej infraštruktúry. Zapojenie slovenských spoločností do týchto iniciatív by mohlo výrazne podporiť export inovatívnych riešení a posilniť technologické väzby medzi oboma krajinami. Cieľom iniciatívy je vytvorenie stabilného technologického partnerstva medzi slovenskými a indickými inštitúciami, ktoré bude zastrešovať Asociácia kritickej infraštruktúry Slovenskej republiky. Dôležitú úlohu pritom zohráva aj diplomatická podpora Ministerstva zahraničných vecí a európskych záležitostí SR, ktorá môže výrazne napomôcť pri nadväzovaní kontaktov s relevantnými partnermi v Indii. Táto iniciatíva zároveň zapadá do širšieho kontextu posilňovania technologických vzťahov medzi Európskou úniou a Indiou. Aktívne zapojenie Slovenska do tohto procesu by mohlo prispieť k posilneniu jeho pozície v rámci európskeho technologického ekosystému a zvýšiť jeho medzinárodnú konkurencieschopnosť. Na stretnutí obe strany vyjadrili jasný záujem o rozvoj vzájomnej spolupráce a identifikovali významný potenciál pre budúce spoločné projekty. Partneri sa zhodli, že prepojenie odborných kapacít, technologických inovácií a diplomatickej podpory vytvára pevný základ pre dlhodobé strategické partnerstvo, ktoré môže priniesť konkrétne výsledky v oblasti bezpečnosti, inovatívneho rozvoja a ekonomickej spolupráce. Obe strany budú pokračovať v odbornej komunikácii, smerujúcej k vybudovaniu stabilnej platformy pre dlhodobé a funkčné partnerstvo Indie a Slovenska v oblasti kritickej infraštruktúry a postkvantovej kryptografie.

Critical Infrastructure and GPS: It’s Not Just About Navigation

25. marca 2026

For most people, GPS (Global Positioning System) is synonymous with car or smartphone navigation. It helps us find our way, avoid traffic jams, and discover new places. However, very few realise that the Global Positioning System provides precise time and location data upon which the functioning of modern society depends.

Kritická infraštruktúra a GPS: nejde len o navigáciu