RISKANTNE O RIZIKU 2

3. mája 2025

(a podobných pojmoch)

 Doc. Ing. Jaroslav Sivák, CSc., MBA

1. Úvod

Článok je pokračovaním v úvahách o základných pojmoch používaných v kategóriách „ochrana a bezpečnosť“. Ako už bolo v prvom článku poznamenané, aj tu platí, že „riskantne“ preto, že tvrdenia, ktoré obsahuje tento článok sa nemusia páčiť akademickým pracovníkom, pracovníkom najmä silových rezortov, ktorí tvorili a používajú terminologické slovníky (alebo nepoužívajú) a tvoria zákony a ostatné právne normy v oblasti bezpečnosti a mnohým iným.


Základnou bezpečnostnou pravdou zostáva, že: RIZIKO je pravdepodobnosť (resp. miera), že HROZBA využije ZRANITEĽNOSŤ AKTÍVA a spôsobí na neho DOPAD.

2. Hrozba

Hrozba je v Terminologickom slovníku krízového riadenia vydanom Úradom vlády SR v roku 2017 na str. 11 definovaná ako cit.: „Objektívne existujúca možnosť, ktorej naplnenie je schopné spôsobiť negatívny dôsledok“. Je potrebné rozlišovať medzi „hrozbou“ a „ohrozením“. Hrozba je potenciálna kategória. Ohrozením označujeme bezprostrednú udalosť, t.j. keď sa aktuálne koná hrozba. Vo vyššie spomínanom Terminologickom slovníku na str. 24 je uvedené cit.: „Ohrozenie je aktivovaná hrozba v priestore a čase“.

Hrozby sa dajú kategorizovať podľa svojho pôvodu a delia sa spravidla na:

1.      Antropogénne hrozby - hrozby, ktorých príčina a prvotný podnet je v človeku a v sociálnej sfére.

2.      Prírodné hrozby – spôsobujú ich prejavy prírody.

3.      Technologické hrozby – spôsobujú ich technologické prvky.

4.      Kombinované hrozby (súčasné pôsobenie vyššie uvedených hrozieb).

V súčasnej terminológii sa objavil pojem hybridná hrozba, čo môžeme považovať, v určitých ohľadoch, za kombinovanú hrozbu.



Prirodzene, existuje oficiálne schválené a používané rozdelenie hrozieb a ich zdroje. Napr. ISO/IEC 27 000:20xx Information Technology – Security Techniques – Information SECURITY RISk Management, alebo materiály vydané Odborom civilnej ochrany MV SR. Požiarny zbor má ich tiež dobre kategorizované a iné.


Analýza hrozieb zahŕňa identifikáciu a ohodnotenie parametrov podľa prejavov dobre merateľných aj slabo merateľných (heuristické a expertné odhady v škále). Ohodnotenie sa vykonáva spravidla definovanou metrikou - spôsobom merania alebo inou metodikou kvantifikácie hrozby. Medzi identifikované parametre radíme: významnosť, prístupnosť hrozby k aktívu, poznateľnosť a rozpoznateľnosť hrozby.

Posúdiť významnosť hrozby znamená predikovať dopad. Vyhodnotiť ako významné by narušenie, alebo obmedzenie - zabránenie vo fungovaní systému v projektovaných parametroch, mohla hrozba znamenať. Prístupnosť pre hrozbu znamená, ako je aktívum chránené voči konkrétnej hrozbe. Poznateľnosť hrozby umožňuje vykonať konkrétne, cielené preventívne opatrenia.


Posudzovanie hrozby býva silne zaťažené parametrom, ktorý nazývame „vplyv na obyvateľstvo“. Každá z hrozieb v konečnom dôsledku môže vyvolať pocit strachu obyvateľstva. Tento faktor môže mať dopad na tzv. domino efekt, kedy racionálny (častejšie iracionálny) strach ľudí predstavuje samostatnú hrozbu. 

3. Zraniteľnosť aktíva

Terminologický slovník krízového riadenia na str. 32 uvádza k pojmu zraniteľnosť cit.: „Komplexná vlastnosť odrážajúca slabé miesta systému, jeho zníženú odolnosť proti možnému narušeniu jeho funkcie, poškodeniu alebo zničeniu“. Kategorizácia zraniteľností je identická ako u hrozieb, teda antropologické, prírodné, technologické a kombinované. 


Pri hodnotení zraniteľností je potrebné zvažovať pravdepodobný scenár útoku, stupeň ochrany, alebo odolnosti nositeľa zraniteľnosti. Poznateľnosť zraniteľnosti znamená, či o zraniteľnosti vieme, alebo je nerozoznaná, nespoznaná. Často sa stretávame aj s ignorovaním významu zraniteľnosti bagatelizovaním skutočného stavu. A to ani nehovoríme ešte o prípadoch, ktoré popísal Nassim Nicholas Taleb vo svojej knihe Čierna labuť. Ide o udalosti, ktorých pravdepodobnosť výskytu je extrémne nízka a dopad extrémne vysoký (úplný pád finančných trhov, WTC 2001 a pod.).



Mieru zraniteľnosti hodnotíme na škále (metrike) s uvážením významnosti zraniteľnosti, prístupnosti útočníka k zraniteľnosti a jej poznateľnosti. 

4. Aktívum

Aktívum je všetko to, čo si organizácia (systém, proces) cení. To, čo je pre organizáciu, systém, určitý proces dôležité, čoho poškodenie, alebo strata by znamenala odchýlenie sa od projektovaných (zamýšľaných, obvyklých) parametrov fungovania. Terminologický slovník definuje aktívum na str. 7 ako cit.: „Hodnota, ktorú je potrebné chrániť“.


Aktíva je možné rozdeliť na hmotné a nehmotné, resp. existujúce v reálnom alebo vo virtuálnom svete. Hodnotu aktíva interpretujeme ako mieru zdrojovej náročnosti (ľudia, čas, financie a iné) na náhradu aktíva, alebo jeho uvedenie do pôvodného stavu. 

Poznámka: „Uvedenie do pôvodného stavu“ je zavádzajúca fráza. Proces rekonštrukcie musí zahŕňať opatrenia, ktoré budú efektívnou odpoveďou na hrozby a zraniteľnosti, ktoré predchádzajú rekonštrukcii. Nie je teda možné obnoviť iba pôvodný stav, je potrebné vykonať opatrenia nad rámec prostej rekonštrukcie.

5. Dopad

Dopad je výsledok pôsobenia predchádzajúcich faktorov a najčastejšie sa vníma ako ujma, škoda, strata, teda v negatívnej konotácii. Pre úplné chápanie dopadu, je nevyhnutné pripustiť existenciu takých druhov dopadu, ktoré v konečnom dôsledku môžu znamenať zlepšenie. Príkladom môže byť zachytený útok na komunikačnú infraštruktúru, ktorý vyvolá pozitívne zmeny v názore kompetentných na bezpečnosť a ochranu. Poistenie nehnuteľnosti (spôsob manažovania rizika) ktorá bola zničená prírodnou katastrofou, v druhom pláne nie je negatívny dopad. Nemá sa na mysli poisťovací podvod.


Hodnotenie úrovne (veľkosti) dopadu závisí od konkrétnych podmienok a parametrov chráneného systému, organizácie, alebo procesu. Na kvantifikáciu sa zvyčajne používa pravidlo, keď sa hodnotí aké veľké zdroje a ich dostupnosť je potrebné vynaložiť, aby bolo obnovenie fungovania postihnutej štruktúry. Tento výrok v plnej miere odpovedá aj na otázku koľko stojí jeden bajt informácie. Toľko, koľko je potrebných zdrojov na jeho obnovenie, resp. získanie.



Okrem materiálnych prvkov dopadu je nevyhnutné do úvah zahrnúť aj nehmotné prvky ako napr. rôzne podoby tzv. reputačnej ujmy (strata Goodwill).

6. Riziko

Po stanovení, zmeraní alebo odhadnutí všetkých predchádzajúcich komponentov, zostáva vyčísliť, odhadnúť, stanoviť hodnotu rizika. Existuje viacero matematických modelov ako sa dopočítať ku výslednej hodnote rizika. Dôležité je však túto hodnotu správne interpretovať. Po zvážení všetkých špecifík posudzovanej organizácie, systému alebo procesu (riziková analýza), je potrebné stanoviť párové kategórie: Hodnota rizika – Významnosť dopadu.


Napr. ukradnutie určitého množstva horľaviny zo skladu predstavuje v stredne zabezpečenom sklade iba veľmi malý dopad. Riziko, že dôjde ku krádeži je však pomerne veľké. Nositeľmi takéhoto rizika sú spravidla vlastní zamestnanci (organizácie sa tomu faktu veľmi bránia). Hodnota rizika je vysoká – dopad pomerne nízky.



Riziko, že sklad horľaviny niekto podpáli je pomerne nízke (prísne opatrenia proti požiaru, pravidelne poučovaný personál, neiskriace náradie a pod.). Ak by bol tento čin dokonaný, výbuch (zhorenie) skladu predstavuje výrazne negatívny dopad. Hodnota rizika nízka – dopad vysoký. 

7. Záver

Hodnotenie rizika je extrémne zložitý proces. Použitie odporúčaní v podobe ISO postupov, alebo špecifických noriem je dobrým návodom, ale nie vyčerpávajúcou odpoveďou. Model stanovenia rizika je preto potrebné vypracovať pre každé použitie takmer jedinečným spôsobom s vysokým rešpektovaním konkrétnych podmienok, v ktorých sa nasadzuje.


Interpretácia výsledkov stanovenia rizika je kľúčová. Ďalším kľúčovým parametrom je dynamika zmien bezpečnostného prostredia. Tento parameter určuje frekvenciu opakovania procesov vykonávania analýzy rizík. 



Logickým vyústením popisovaných procesov je stanovenie spôsobu, ako bude zistené a vyčíslené riziko manažované. Na tento účel poznáme viaceré postupy od odstránenia rizika, zníženia úrovne rizika až po prenesenie rizika na iné subjekty, alebo procesy. 

The future of aviation is seen in hydrogen technologies

25. septembra 2025
At the invitation of AKI SR, Deputy Prime Minister of Slovakia for the Recovery and Resilience Plan and the use of EU funds Peter Kmec and State Secretary of the Ministry of Education, Research, Development and Youth Ján Hrinko visited TOMARK company.

Budúcnosť letectva vidia vo vodíkových technológiách

25. septembra 2025
Na pozvanie AKI SR podpredseda vlády pre plán obnovy a znalostnú ekonomiku Peter Kmec a štátny tajomník ministerstva školstva, výskumu, vývoja a mládeže Ján Hrinko navštívili firmu TOMARK.

When hackers cut through the open path: inside the 95 million euro per day crisis at Jaguar Land Rover

23. septembra 2025
The halt of global production at Jaguar Land Rover due to a cyberattack reveals an uncomfortable truth about modern industry. When hackers can paralyze assembly lines from Britain to Slovakia with just a few keyboard clicks, it testifies to a fundamental shift in industrial vulnerability.

Keď hackeri pretnú otvorenú cestu: vo vnútri krízy za 95 miliónov eur denne v Jaguar Land Rover

23. septembra 2025
Zastavenie globálnej produkcie v Jaguar Land Rover v dôsledku kybernetického útoku nám odhaľuje nepríjemnú pravdu o modernom priemysle. Keď dokážu hackeri niekoľkými kliknutiami na klávesnici paralyzovať montážne linky od Británie až po Slovensko, svedčí to o zásadnej zmene v zraniteľnosti priemyslu.

Critical Infrastructure in the Spotlight: AKI Meeting with the Administration of State Material Reserves of the Slovak Republic

12. septembra 2025
On Wednesday, September 10, 2025, an important meeting took place between the Critical Infrastructure Association of the Slovak Republic and another central state administration body in the critical infrastructure sector, namely the Administration of State Material Reserves of the Slovak Republic (SŠHR).

Kritická infraštruktúra v centre pozornosti: rokovanie AKI so Správou štátnych hmotných rezerv SR

12. septembra 2025
V stredu 10. septembra 2025 sa uskutočnilo dôležité rokovanie Asociácie kritickej infraštruktúry Slovenskej republiky s ďalším ústredným orgánom štátnej správy na úseku kritickej infraštruktúry, ktorým je Správa štátnych hmotných rezerv Slovenskej republiky (SŠHR).

Critical Infrastructure Association of the Slovak Republic negotiates about financing costs for critical subjects' resilience

27. augusta 2025
The Critical Infrastructure Association of the Slovak Republic (AKI SR) is negotiating with critical subjects and ministries about a suitable financing model for the resilience of critical subjects and the preservation of basic services. The Association is convinced that the entire burden of costs should not be borne only by critical subjects, but that the state should help finance the resilience of critical infrastructure, for example from European funds, and also support negotiations with banks on preparing advantageous loans towards developing threat analyses, security audits and subsequently projects to eliminate identified deficiencies. AKI SR will, in accordance with this proposal, initiate negotiations with the Slovak Banking Association and with the Deputy Prime Minister of the Slovak Republic for the recovery plan and knowledge economy. AKI SR is gradually concluding cooperation memorandums with ministries in accordance with the sectors that are under their responsibility according to the critical infrastructure law.

Asociácia kritickej infraštruktúry SR rokuje o financovaní nákladov na odolnosť kritických subjektov

27. augusta 2025
Asociácia kritickej infraštruktúry Slovenskej republiky (AKI SR) rokuje s kritickými subjektami a ministerstvami o vhodnom modeli financovania odolnosti kritických subjektov a zachovania základných služieb. Asociácia je presvedčená, že celé bremeno nákladov by nemali niesť len kritické subjekty, ale aby štát pomohol financovať odolnosť kritickej infraštruktúry napríklad z európskych fondov a podporil aj rokovania s bankami o príprave výhodných úverov smerom k vypracovaniu analýz hrozieb, bezpečnostných auditov a následne projektov na odstránenie zistených nedostatkov. AKI SR bude v súlade s týmto návrhom iniciovať rokovania so Slovenskou bankovou asociáciou a s podpredsedom vlády SR pre plán obnovy a znalostnú ekonomiku. AKI SR postupne uzatvára memorandá o spolupráci s ministerstvami v súlade so sektormi, ktoré sú v zmysle zákona o kritickej infraštruktúre v ich zodpovednosti.

We continue negotiations on cooperation with sectoral ministries: meeting at the Ministry of Agriculture and Rural Development of the Slovak Republic

25. augusta 2025
Representatives of the Critical Infrastructure Association of the Slovak Republic participated on August 21, 2025, in a working meeting on the issue of the Critical Infrastructure Strategy in the agriculture and rural development sector of the Slovak Republic.

Pokračujeme v rokovaniach o spolupráci so sektorovými ministerstvami: stretnutie na Ministerstve pôdohospodárstva a rozvoja vidieka SR

25. augusta 2025
Zástupcovia Asociácie kritickej infraštruktúry Slovenskej republiky sa 21. augusta 2025 zúčastnili na pracovnom stretnutí k problematike Stratégie kritickej infraštruktúry v rezorte pôdohospodárstva a rozvoja vidieka SR.