Planeta OpenAlt

Tisková zpráva Praha, 29. června 2026 – Sdružení pro internetový rozvoj (SPIR) spustilo systém POLITRAN, centrální řešení pro zadávání, správu a předávání povinných oznámení o politické reklamě. Systém pomůže zadavatelům a vydavatelům s plněním nových evropských pravidel a přispěje k tomu, aby informace o politické reklamě byly online dostupné jednotně a srozumitelně.

Zdroj

TL;DR: Nemalé množství českých organizací spadajících mezi povinné subjekty dle zákona o kybernetické bezpečnosti používá při analýze rizik doslovně převzatou metodiku z vyhlášky č. 409/2025 Sb., včetně tabulek poskytujících vzorové rozsahy dopadových a dalších hodnot. S takovým použitím zmiňované metodiky je však spojeno několik principiálních problémů.

Tento článek s pomocí Monte Carlo simulací a několika statistických mechanismů, které jsou v následujícím textu (snad laicky pochopitelně) popsané, prakticky demonstruje, za jakých podmínek dává vzorová metodika při použití výchozích tabulek smysluplný výsledek, a kdy výstupy z této metodiky degenerují na šum. Což je bohužel něco, k čemu dochází v nemalém procentu případů, a analýzy rizik založené na nezměněných tabulkách tak v některých případech nemohou dávat zcela správné výsledky, bez ohledu na validitu vstupů nebo délku času, který by byl věnován jejich zpracování.

Důvodů omezené použitelnosti neupravených tabulek – a do jisté míry i celého metodického aparátu – je několik:

• vzorová „pevná“ okna výpadků v tabulce pro hodnocení dostupnosti a pevná frekvenční pásma v tabulce pro hodnocení hrozeb neodpovídají prostředí velké množiny organizací,
• násobení pořadových čísel, které vyhláška nabízí jako výchozí mechanismus pro výpočet rizika, je principiálně nesprávná operace, která může pořadí rizik i zcela převrátit oproti realitě, a
• výsledek celé analýzy navíc závisí na převodu „rizikového skóre“ v rozsahu 1-64 na 4 úrovně rizik dle jejich akceptovatelnosti, přičemž vyhláška vůbec nestanoví, jak něco takového provést.

Pro povinné (a samozřejmě i další) organizace je tak přinejmenším nerozumné snažit se tabulky, resp. celou metodiku pro analýzu rizik z vyhlášky, aplikovat ve svých prostředích bez zvážení potřeby provedení změn. V závěru článku je proto obsažen mj. návod (a skript), s pomocí něhož může jakákoli organizace tabulky překalibrovat pro své vlastní prostředí, a také ukázka jednoduššího – a matematicky validního – dvoufaktorového přístupu k analýze, jehož použití vyhláška explicitně umožňuje a který tak může být pro řadu organizací smysluplnou náhradou vzorového metodického aparátu z vyhlášky.

Úvod

Předem se omlouvám za délku tohoto článku. Jde celkem o téměř 60 normostran textu, ale neděste se – článek nemusíte číst celý, abyste z něj získali to podstatné.

Délka je daná tím, že pro skutečně demonstrativní, polopatickou a nezpochybnitelnou ukázku slabin metodiky z vyhlášky jsem považoval za nezbytné nejprve představit, jak vlastně analýzy rizik fungují. Následně bylo představit několik (pro běžného smrtelníka komplexně vyhlížejících) statistických postupů a nástrojů, které jsem cítil potřebu popsat tak, aby si je mohl projít, pochopit a sám zhodnotit i člověk bez odborného statistického vzdělání. Teprve následně bylo na místě detailně diskutovat slabiny metodického aparátu z vyhlášky. Vše výše uvedené bohužel znamenalo potřebu značného prostoru… A i tak bylo místy nezbytné problematiku drobně zjednodušovat.

Protože je mi jasné, že článek budou číst i specialisté, jimž jsou použité statistické mechanismy i problematika analýz rizik dobře známy, hned za úvodními odstavci najdete rozcestník, díky němuž je možné nepotřebné detaily přeskočit.

Než se však k tomuto rozcestníku dostaneme, je nezbytné zdůraznit jednu myšlenku, na níž vše stojí, a jíž pokládám za axiomatickou, a to, že jakýkoli prakticky použitelný mechanismus pro vyhodnocování rizik musí poskytovat konzistentní a realistické výsledky. To znamená, že riziku, u něhož je pravděpodobná ztráta vysoká, vždy přiřadí vyšší hodnocení než riziku spojenému s výrazně nižší pravděpodobnou ztrátou. Pokud výše uvedené nějaký mechanismus nedokáže zajistit, je z principu přinejlepším jen částečně funkční, a tedy pro praktické použití potenciálně nevhodný.

Jak ale ověřit, zda je nějaký postup pro analýzu rizik funkční, aniž bychom jej dlouhodobě testovali v praxi? Odpověď je jednoduchá – s pomocí syntetických, ale prokazatelně realistických dat.

Současný akademický výzkum a odborná literatura ukazují, že velikosti ztrát spojené s realizací kybernetických rizik, relativně dobře odpovídají tzv. log-normálnímu rozdělení (to je detailněji popsáno zde) a lze tedy předpokládat, že každá prakticky použitelná metodika pro analýzu rizik by měla umět korektně pracovat se syntetickými daty, která tomuto rozdělení odpovídají. I kdybychom však aktuálním odborné literatuře z nějakého důvodu nevěřili, určitě se shodneme na tom, že každou prakticky použitelnou metodiku by mělo jít ověřit na syntetických datech, která odpovídají nějakému předpokládanému rozdělení výše ztrát. Přesně toho v článku využijeme a syntetická data, s nimiž budeme pracovat, budou generovaná na základě různých rozdělení… Nicméně jak ukážeme, většina závěrů vůbec nezávisí na tom, jaké konkrétní rozdělení pro generování dat zvolíme.

Pro úplnost považuji za vhodné ještě zdůraznit, že byť se v rámci článku zaměříme na principiálně chybnou povahu metodiky pro analýzu rizik popsanou ve vyhlášce, cílem článku rozhodně není stavět členy odborné komunity, kteří tuto metodiku využívají, do role cargo kultistů, kteří slepě aplikují koncepty, o nichž se domnívají, že „nějak přeci musí fungovat, když jsou ve vyhlášce“, ačkoli jejich principům vlastně nerozumí. A byť jsem relativně kritický vůči řadě aspektů fungování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), mým záměrem není ani osočovat tuto organizaci z hlouposti nebo záměrného šíření nesmyslných doporučení. Spíše se v tomto směru domnívám, že – jak v době psaní tohoto textu uvedl na síti LinkedIn k jinému tématu kolega Švéda, který ve jmenované organizaci působí – v NÚKIBU to „mysleli dobře, ale dopadlo to jako vždycky.“

Cílem tohoto článku je v každém případě pouze prakticky, statisticky ukázat, že provádět analýzy rizik přesně podle vzorového popisu uvedeného ve vyhlášce je pro značné procento organizací principiálně nesprávné a potenciálně nebezpečné, a že by před touto skutečností neměl nikdo v bezpečnostní komunitě strkat hlavu do písku – ani povinné organizace, a to jak na úrovni vedení, tak na úrovni bezpečnostních týmů, ani (resp. zejména) NÚKIB.

K tomu, aby byly mechanismy pro analýzu rizik z vyhlášky použitelné, by organizace:

• Měly bezpodmínečně upravit tabulky dle specifik svých prostředí – jde o něco, co vyhláška implicitně předpokládá, avšak bohužel nikde explicitně nevyžaduje (výslovně to doporučuje pouze důvodová zpráva).
• Neměly používat mechanismus násobení jednotlivých faktorů, který vyhláška nabízí a který je – jak si níže ukážeme – principiálně nesmyslný (a NÚKIB by ho tak rozhodně neměl propagovat). Namísto něj by organizace měla v případě použití kvalitativního přístupu využívat svépomocí vytvořená mapování jednotlivých rizik na rizika akceptovatelná a neakceptovatelná, a to s pomocí kalibrace tabulek na specifika svého prostředí a svůj rizikový apetit.

Rozcestník

Jak již bylo řečeno, jsem se snažil členit tak, aby v něm každý snadno našel „to své“. Doporučil bych vám tedy pokračovat na odkazu níže, který je pro vás jako první relevantní:

• Co je analýza rizik a k čemu slouží – lehký úvod do problematiky pro ty, kterým je koncept analýzy rizik v oblasti kybernetické bezpečnosti neznámý.
• Jak vyhláška hodnotí rizika – shrnutí metodiky z vyhlášky a toho, co je povinné a co volitelné.
• Statistické mechanismy použité při analýze – populární vysvětlení mechanismů Monte Carlo simulace, Kendallova τ koeficientu, konceptu efektivního počtu úrovní a dalších pojmů.
• „Drobný“ matematický a logický problém v metodice z vyhlášky – proč je násobení pořadových čísel užívané v metodice pro analýzu rizik uváděné ve vyhlášce principiálně chybné.
• Výsledky z testování praktického použití metodiky z vyhlášky – jádro článku – co konkrétně z čísel vyšlo a proč.
• Kdy tabulky z vyhlášky bez úprav fungují a kdy ne – ukázka výsledků aplikace metodiky z vyhlášky na různé modelové typy organizací a podmínky použitelnosti tabulek v reálném světě.
• Problémy nejsou vlastní jen české legislativě – rychlé porovnání metodik z vyhlášky, z ISO/IEC 27005 a ze standardu NIST SP 800-30.
• Závěr a doporučení – tři konkrétní cesty ven z aktuálního neutěšeného stavu (kalibrace, dvoufaktorová analýza, kvantifikace) včetně skriptů, které mohou organizacím pomoci provádět smysluplnější analýzy rizik.

Co je vlastně analýza rizik a proč na ní záleží

Analýza rizik je v obecné úrovni mechanismus, s pomocí něhož může organizace systematickým způsobem stanovit, co všechno se jí (případně nějakému systému) může v nějaké oblasti stát, jak je to pravděpodobné a jak velkou škodu by jí to způsobilo. Na základě toho se může následně rozhodnout, kterým aspektům bezpečnosti se bude do jaké míry věnovat.

V kontextu kybernetické bezpečnosti jde o naprosto klíčový mechanismus – právě z analýzy rizik totiž zpravidla organizace odvozují, která bezpečnostní opatření má smysl zavádět, kam směřovat dostupné lidské a finanční zdroje a která rizika je možné vědomě akceptovat. Je-li analýza rizik vadná, je tedy principiálně vadný i celý zbytek řízení bezpečnosti, který se o ni opírá, neb peníze i úsilí lidí pak míří jinam, než kam by optimálně měly.

Proto stojí bezpochyby za to věnovat pozornost tomu, zda jakýkoli metodický postup pro analýzu rizik dává smysluplné výsledky (resp. zda je vůbec dávat může).

Analýza rizik dle vyhlášky 409/2025

Prováděcí vyhláška k zákonu o kybernetické bezpečnosti pro vyšší režim povinností (oficiálně „vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností„) obsahuje v přílohách 1, 3 a 4 metodické podklady pro hodnocení aktiv a zpracování analýzy rizik v povinných organizacích.

Samotný proces, který vyhláška v § 7 a 8 a ve zmíněných přílohách předepisuje, je v obecné úrovni v zásadě „klasický“ a odpovídá mj. předchozí české regulaci (k tomuto faktu se ještě vrátíme). Organizace dle tohoto metodického postupu:

• nejprve identifikuje a ohodnotí svá primární a podpůrná aktiva z pohledu důvěrnosti, integrity a dostupnosti, např. s pomocí čtyřúrovňových stupnic z přílohy 1,
• následně k aktivům přiřadí relevantní hrozby a zranitelnosti, přičemž musí zvážit alespoň kategorie uvedené v příloze 3, a tyto hrozby a zranitelnosti ohodnotí např. s pomocí stupnic z přílohy 4, a
• nakonec pro reálně možné kombinace aktivum–hrozba–zranitelnost určí míru rizika (opět např. s pomocí stupnice z přílohy 4), kterou porovná se stanovenou hranicí akceptovatelnosti.

Byť – jak jsme již naznačili – metodické podklady a tabulky obsažené ve vyhlášce vykazují významné nedostatky, je nutno přiznat, že vyhláška explicitně nevyžaduje jejich použití. Namísto metodiky uvedené ve vyhlášce je možné využít metodiku jinou, nebo jednotlivé vzorové vstupy a tabulky modifikovat. Příloha 1 v odst. 2 výslovně uvádí, že povinná osoba „může hodnotící úrovně aktiv ve stupnici přizpůsobit svým bezpečnostním potřebám“ a může používat i odlišný počet úrovní, než jsou 4, které jsou užívané ve všech vzorových tabulkách.

Problémem však je, že „může přizpůsobit“ nutně neznamená „musí přizpůsobit“ a že jednotlivé tabulky nejsou explicitně označeny jako vzorové, ale s drobnými výjimkami působí jako přímo použitelné (a z vlastní zkušenosti mohu potvrdit, že jsou v praxi i přímo užívány). Např. tabulka č. 1 přílohy 4 může snadno působit dojmem de facto standardu říkajícího, že hrozba realizovaná „v rozpětí od 1 měsíce do 1 roku“ je z definice „Vysoká“…

V zájmu úplnosti je na místě uvést, že důvodová zpráva k vyhlášce je v tomto ohledu podstatně explicitnější než vyhláška samotná, a u přílohy 4 výslovně uvádí, že poskytovatel má při stanovení metodiky pro hodnocení rizik zvážit vhodnost nastavení jednotlivých úrovní a v případě potřeby kritéria upravit podle vlastních potřeb.

Regulátor si tedy je zjevně vědom toho, že minimálně pro některé organizace zřejmě nebude dávat metodika bez úpravy jednotlivých úrovní smysluplné výsledky. Je pak s podivem, že požadavek, který je pro smysluplnost celé analýzy rizik takto zásadní, je uveden pouze v důvodové zprávě, a nikoli ve vyhlášce samotné. Důvodová zpráva je totiž z principu pouze informativní dokument a ne každý adresát regulace ji čte. A byť profesionálové v oblasti kybernetické bezpečnosti, kteří analýzy rizik dle vyhlášky zpracovávají, by o existenci důvodové zprávy a jejím obsahu bezpochyby měli vědět, její obsah není právně závazný a ani ti, kteří tento dokument otevřou, se jeho doporučeními nemusí řídit.

Zcela stranou ponechme fakt, že v důvodové zprávě je rovněž řečeno, že jednotlivé úrovně v tabulkách „byly stanoveny na základě nejlepší praxe“ – smysluplnost tohoto tvrzení si konec konců budete moci po přečtení zbytku článku vyhodnotit sami… Pro teď se pojďme vrátit zpět k metodice.

Přestože vyhláška dle výše uvedeného de facto implicitně počítá s tím, že každá organizace popsaný vzorový metodický postup a dílčí tabulky přehodnotí a v případě potřeby uzpůsobí specifikům svého prostředí, ani důvodová zpráva nikde neuvádí jak zjistit, zda jsou úpravy potřeba, ani jak je provést…

Jak úpravy vhodně provést není snadné zodpovědět (resp. jde o komplexnější problematiku na kterou se podíváme níže), avšak že určité úpravy jsou vhodné, neřkuli nutné, by mělo být zřejmé již z následující prosté úvahy – pro určitou instituci bude nepřijatelný výpadek aktiva podporujícího regulovanou službu už v délce 1 minuty, zatímco pro jinou může být přijatelný i výpadek 24 hodin. Stejně tak vidina ztráty 100 000 Kč ročně v důsledku kybernetických rizik může být pro jednu organizaci absolutně nepřijatelná, zatímco pro jinou zcela akceptovatelná. Takto rozdílné organizace tedy z principu nemohou efektivně využívat stejné tabulky. A tedy ani ty uvedené ve vyhlášce.

Výše zmíněná absence explicitního požadavku na přepracování tabulek však vede k tomu, že spousta organizací slepě přejímá celý metodický mechanismus bez jakýchkoli úprav. Tedy nejen, že tyto organizace nijak nedoplňují katalog hrozeb (což by s pomocí vhodné metodiky pro modelování hrozeb bezpochyby udělat měly), ale přejímají v podstatě beze změn i tabulky pro hodnocení hrozeb, aktiv a všechny další vstupy. To vede k tomu, že u řady organizací nemohou dávat výstupy z analýz rizik principiálně smysl – nejde přitom o domněnku, jde o fakt, který lze relativně snadno statisticky dokázat…

Než se dostaneme k důkazům toho, že mimo velmi úzce omezené případy nedává plošné přejímání tabulek a metodiky z vyhlášky valný smysl, podíváme se prakticky na vlastní princip fungování metodiky obsažené ve vyhlášce.

Ještě před tím je však pro úplnost vhodné dodat, že výše zmíněný problematický metodický aparát není nový. Metodika pro hodnocení rizik obsažená ve vyhlášce 409/2025 Sb. je téměř doslovně převzatá z vyhlášky č. 82/2018 Sb. a stejný přístup, pokud jde o hodnocení rizik „minimálně v rozsahu“ tabulek z přílohy, s výčtem hrozeb a zranitelností přímo v textu předpisu, najdeme už v historicky první „kyberbezpečnostní“ vyhlášce č. 316/2014 Sb. Problém, který v tomto článku popisujeme, tak českou bezpečnostní komunitu a povinné organizace provází de facto od počátků regulace kybernetické bezpečnosti, tedy více než deset let.

Metodika pro analýzu rizik z vyhlášky pro vyšší režim

Koncepčně lze celý proces pro analýzu rizik, tak jak jej vyhláška popisuje, shrnout do následujících kroků.

1. Hodnocení aktiv (§ 7 + příloha 1). Organizace nejprve určí svá primární a podpůrná aktiva a ohodnotí je. Primární aktiva se hodnotí z pohledu důvěrnosti, integrity a dostupnosti, a lze tak činit s pomocí stupnic uvedených v tabulkách č. 1 až 3 přílohy 1. Každá tabulka, resp. v ní uvedená stupnice, má čtyři úrovně (Nízká, Střední, Vysoká, Kritická) a ke každé úrovni je připojen slovní popis a příklady. Za pozornost přitom stojí, že zatímco stupnice pro důvěrnost a integritu jsou popsány čistě kvalitativně (např. „aktiva nejsou veřejně přístupná, ochrana aktiv není vyžadována žádným právním předpisem“), stupnice pro dostupnost uvádí příklady konkrétních časových oken tolerovaného výpadku – Nízká úroveň odpovídá tolerovanému výpadku „například v jednotkách týdnů“, Střední například zhruba jednomu pracovnímu dni, Vysoká „například několika hodinám“ a Kritická situaci, kdy „i krátkodobá nedostupnost (v řádu několika minut) vede k vážnému ohrožení oprávněných zájmů“. Byť je u tří ze čtyř oken explicitně uvedeno slovo „například“, tabulka může budit zdání, že výše zmíněná okna jsou pro všechny povinné organizace stejná… A právě toto zdání může být, jak uvidíme, jedním z hlavních zdrojů problémů, pokud organizace tabulku přejmou bez úprav (nad rámec vypuštění slova „například“).
2. Identifikace hrozeb a zranitelností (§ 8 + příloha 3). Pro určená aktiva organizace identifikuje relevantní hrozby a zranitelnosti, přičemž musí zvážit alespoň kategorie uvedené v příloze 3 (17 zranitelností a 21 hrozeb – od nedostatečné údržby aktiv přes škodlivý kód až po zneužití cizí státní moci pro přístup k aktivům). Příloha sama uvádí, že nejde o vyčerpávající seznamy a že organizace může (čtěme „měla by“) určit další konkrétní hrozby a zranitelnosti podle svých bezpečnostních potřeb. Že dodatečnou identifikaci dalších hrozeb organizace často nedělají je samo o sobě významným problémem, ale ten v rámci tohoto článku v zájmu omezení jeho již tak značné délky pomineme (zájemcům o tuto problematiku nicméně alespoň doporučím zvážit účast na školení, které se otázce modelování hrozeb nejen pro potřeby analýzy rizik věnuje). Cílem tohoto kroku (mj.) je v každém případě po identifikaci všech relevantních hrozeb a zranitelností posoudit reálně možné kombinace aktivum–zranitelnost–hrozba, tedy identifikovat množinu uskutečnitelných realizací hrozeb, při nichž mohou tyto hrozby prostřednictvím zranitelností působit na konkrétní aktiva.
3. Ohodnocení hrozeb a zranitelností (příloha 4, tabulky č. 1 a 2). Každé hrozbě má být přiřazena jedna ze čtyř úrovní podle očekávané frekvence realizace. Při použití vzorové tabulky tedy buď úroveň Nízká (méně než jednou za 5 let), Střední (jednou za 1 rok až 5 let), Vysoká (jednou za 1 měsíc až 1 rok) nebo Kritická (častěji než jednou za měsíc). Každé zranitelnosti se přiřadí jedna ze čtyř úrovní z další tabulky, která obsahuje kvalitativní popis kombinující pravděpodobnost zneužití a stav zavedených opatření (od „zranitelnost neexistuje nebo je zneužití málo pravděpodobné“ po „zneužití zranitelnosti je velmi pravděpodobné až víceméně jisté, bezpečnostní opatření nejsou realizována“).
4. Výpočet rizika (příloha 4, odst. 1 až 3). Příloha 4 v odst. 1 uvádí, že „jednoznačné stanovení funkce pro určení rizika je nezbytnou součástí metodiky pro hodnocení rizik“, v odst. 2 pak, že hodnota rizika je nejčastěji vyjádřena jako funkce hodnoty aktiva, hrozby a zranitelnosti, a v odst. 3 explicitně uvádí, že lze použít vzorec Riziko = hodnota aktiva × hrozba × zranitelnost, „případně jinou funkci obdobného významu“. Vstupem do součinu jsou tedy úrovně 1–4 ze tří výše popsaných stupnic a výstupem tudíž číslo mezi 1 a 64.
5. Vyhodnocení rizika (příloha 4, tabulka č. 3 a odst. 6). Výsledné riziko se zařadí do jedné ze čtyř úrovní (Nízké – akceptovatelné, Střední – lze snížit méně náročnými opatřeními, Vysoké – dlouhodobě nepřípustné, Kritické – nepřípustné, nutno neprodleně řešit) a porovná se s hranicí akceptovatelnosti, kterou si organizace stanovila. Zmínku přitom zaslouží, že vyhláška nikde nestanoví, jak se má číslo 1–64 na tyto čtyři úrovně převést, a tedy kde mají/mohou ležet hranice mezi úrovněmi.

Pět výše popsaných kroků by mělo organizaci poskytovat představu o tom, jaká rizika jsou pro ni (resp. pro regulovanou službu, kterou organizace zajišťuje/poskytuje) relevantní, jak jsou významná a zda jsou akceptovatelná. Než si ukážeme, že při doslovném sledování tohoto postupu s pomocí tabulek uvedených ve vyhlášce řada organizací z principu nemůže dojít ke smysluplným výsledkům, je na místě zmínit, jaká část tohoto postupu je povinná a jaká volitelná.

Povinné je provádět hodnocení rizik (alespoň jednou ročně a při významných změnách) alespoň v rozsahu přílohy č. 4, zvážit alespoň kategorie hrozeb a zranitelností z přílohy 3 a posoudit oblasti hodnocení primárních aktiv z přílohy 1.

Volitelné – a vyhláškou výslovně připuštěné – je přizpůsobit si úrovně a jejich počet (příloha 1 odst. 2), použít „jinou funkci obdobného významu“ (příloha 4 odst. 3) a sloučit stupnice pro hodnocení hrozeb a zranitelností, pokud používaná metoda tyto dva faktory nerozlišuje (příloha 4 odst. 5). Vyhláška tedy de facto umožňuje přejít na dvoufaktorovou analýzu dopad × pravděpodobnost. Že vyhláška jiné způsoby hodnocení rizik připouští, navíc potvrzuje i § 8 odst. 3, podle nějž lze hodnocení rizik zajistit i jinak, „pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik“.

Výše uvedené možnosti úprav jsou pro zbytek článku klíčové, neb díky nim jsou návrhy smysluplnějšího přístupu k analýze rizik, které jsou popsány níže, plně v mantinelech vyhlášky.

Statistické mechanismy použité při analýze

V zájmu ověření toho, zda dává/nedává doslovné použití vstupů z vyhlášky smysl (resp. v zájmu identifikace těch situací, při nichž jejich použití bez jakékoli změny potenciálně smysl dávat může), byla provedena analýza využívající několika statistických mechanismů. A protože není žádoucí, aby byl zbytek článku srozumitelný pouze čtenářům s odborným vzděláním v oblasti statistiky, u každého použitého mechanismu nyní uvedeme krátkou „populární“ vysvětlivku.

Monte Carlo simulace a vstupní data

Začněme tím, proč se vůbec bavíme o nějakých odhadech a simulacích. Jak jsme již zmínili v úvodu, chceme-li ověřit, zda metodika z vyhlášky řadí rizika „správně“ (tedy že riziko spojené s vyšší pravděpodobnou ztrátou označí za významnější, než riziko spojené s nižší pravděpodobnou ztrátou), v ideálním světě bychom k tomu použili databázi obsahující data z desetitisíců reálných kybernetických incidentů, z nichž každý bychom využili pro namapování na konkrétní hrozbu, a u každé z nich bychom tak získali skutečnou frekvenci její realizace i rozsah způsobených škod. Následně bychom se podívali, zda metodika jednotlivé hrozby správně roztřídí dle s nimi spojeného rizika. Podobná velmi široká a zároveň veřejně přístupná databáze však reálně neexistuje. Musíme si proto pomoci jinak, a to s pomocí vygenerování syntetických dat, tedy umělé množiny rizik/realizací hrozeb, u nichž si tvar (rozdělení) frekvencí a dopadů zvolíme sami tak, aby byl realistický (nebo naopak záměrně pro tabulky co nejpříznivější – viz níže). Klíčové je, že u syntetických dat přesně známe „skutečnou“ odpověď – tedy které riziko je objektivně větší a které je objektivně menší – a můžeme tedy efektivně změřit, jak se k této odpovědi výstup z určité metodiky (pro naše potřeby té z vyhlášky) blíží.

Při využití malého počtu synteticky generovaných dat by samozřejmě mohlo porovnání dopadnout nekorektně jen z důvodu náhodné výjimky, která by se v praxi zřejmě nikdy neprojevila, a přístup k analýze rizik bychom tak potenciálně mohli označit za chybný omylem. Syntetických dat tedy potřebujeme velké množství. Z výše uvedeného důvodu byla pro ověření přístupu z vyhlášky využita tzv. Monte Carlo simulace – výpočetní postup, který místo jediného odhadu (vstupu) vygeneruje jejich velké množství, u každého spočítá výsledek, a teprve z celé množiny výsledků dělá závěry. Název tohoto přístupu odkazuje na kasina v Monte Carlu – stejně jako u rulety totiž výsledek jednoho „hodu“ statisticky nic neznamená, ale výsledky desetitisíců hodů už mají velmi dobře využitelné statistické vlastnosti. V kvantitativním řízení kybernetických rizik je Monte Carlo simulace standardní metodou, jak spojit nejistotu ve frekvenci a dopadu událostí do smysluplného rozdělení ztrát (Monte Carlo simulace využívá mj. metodika FAIR nebo pánové Hubbard a Seiersen ve známé knize How to Measure Anything in Cybersecurity Risk).

Pro potřeby naší analýzy bylo s pomocí jednoduchého skriptu vygenerováno celkem 40 000 hypotetických rizik. Tato množina představuje umělý „vzorek světa“, který je dostatečně velký na to, aby z něj získané statistiky byly stabilní a přitom výpočetně zvládnutelné. Každému prvku této množiny byly přiřazeny (resp. náhodně vylosovány z příslušného rozdělení – viz následující kapitola) tři spojité veličiny, které dohromady plně popisují riziko spojené s realizací určité hrozby, tedy vše, co potřebujeme pro výpočet skutečné očekávané ztráty i pro ohodnocení s pomocí tabulek. Těmito veličinami byly:

• roční frekvence hrozby λ – kolikrát za rok reálně (na pomyslné aktivum) působí relevantní hrozba (0,1 = jednou za deset let, 12 = každý měsíc). Tato veličina byla generována pravděpodobnostními rozděleními popsanými níže.
• podmíněná pravděpodobnost úspěšného zneužití p – pravděpodobnost, že pokud se hrozba realizuje, dojde díky existující zranitelnosti k jejímu úspěšnému naplnění. Pravděpodobnost byla reprezentovaná číslem mezi 0 a 1 a generována byla rovnoměrně z tohoto intervalu.
• dopad L – ztráta v korunách, kterou úspěšná realizace hrozby způsobí. Tato veličina byla opět generována rozděleními popsanými níže.

Na tomto místě může bystrý čtenář namítnout, že vygenerovaná rizika jsou jen hypotetická, takže s nimi nejsou spojeny žádné konkrétní hrozby. To je pravda – ale pro naše potřeby to nevadí. Nezajímá nás totiž, jaká konkrétní hrozba na jaké aktivum působí, nýbrž jakou ztrátu by mohla způsobit jakákoli hrozba dané frekvence, pravděpodobnosti a dopadu. Trojice (λ, p, L) tedy reprezentuje libovolný reálný scénář kombinující dopad na aktivum, hrozbu a zranitelnost, a právě tuto trojici jak vyhláška, tak jakákoli rozumná metodika potřebuje převést na „míru rizika“. Tím, že si výše zmíněnou trojici opakovaně „vylosujeme“, získáme tisíce takových scénářů pokrývajících celé spektrum možných situací, k nimž může realisticky docházet.

Podstatné je, že z tří výše uvedených veličin lze pro každé riziko zahrnuté do syntetických dat spočítat referenční „skutečné“ riziko, tedy očekávanou roční ztrátu ALE (Annual Loss Expectancy), získanou jako součin frekvence, pravděpodobnosti a dopadu (tedy ALE = λ × p × L). Považovat ALE za reálné riziko je samozřejmě citelné zjednodušení celé situace, ale pro konceptuální ověření validity metodiky je tento přístup plně vyhovující.

Proč je ale tato hodnota smysluplným etalonem, i když jde o „neexistující“ aktiva a hrozby? Protože ALE má jasný a všeobecně přijímaný význam – je to průměrná částka, o kterou organizace v dlouhodobém horizontu kvůli danému riziku ročně přijde. Jde o číslo, které plyne přímo a jednoznačně z definice frekvence, pravděpodobnosti a dopadu, tedy z týchž tří veličin, které do hodnocení vstupují i ve vyhlášce. Je však důležité si uvědomit, proč tento součin (na rozdíl od součinu z vyhlášky) dává smysl – všechny tři činitele jsou skutečná čísla a nikoli zástupné hodnoty na nejasně definovaných škálách. Výsledné ALE má tak jednotku „koruny za rok“ a jde o tzv. poměrovou veličinu, u níž jsou násobení a dělení matematicky korektní operace (to u hodnot z tabulek ve vyhlášce neplatí a k tomuto bodu se proto vrátíme později). Hodnota nám tedy slouží jako smysluplný objektivní opěrný bod, díky němuž víme, jaká je „doopravdy“ úroveň rizika u každého simulovaného vstupu, a můžeme měřit, jak dobře (či špatně) ho aproximuje výstup tabulek z vyhlášky.

Vygenerovaná rizika byla proto vedle určení ALE rovněž namapována na tabulky uvedené ve vyhlášce. Mapování probíhalo takto: dopadu L byla přiřazena úroveň hodnoty aktiva 1–4 (rozdělením rozsahu dopadů na čtyři pásma po řádech), frekvenci λ úroveň hrozby 1–4 podle frekvenčních pásem z tabulky č. 1 přílohy 4 (prahy 0,2; 1 a 12 událostí za rok) a pravděpodobnosti p úroveň zranitelnosti 1–4. Pro úplnost doplním, že osa dostupnosti, u níž se tolerovaný výpadek mapuje na úrovně podle oken z tabulky č. 3 přílohy 1, a kterou jsme již několikrát zmiňovali jako problematickou, mezi tyto tři losované veličiny nepatří – budeme se ji věnovat samostatně v kapitole o pevných oknech výpadku, kde budeme tolerovaný výpadek generovat zvlášť.

Tam, kde vyhláška nestanoví přesné hranice (typicky pro pravděpodobnost zneužití) a tabulky obsahují jen kvalitativní popis, byla zvolena rozumná modelová interpretace – tedy převod kvalitativního popisu na konkrétní číselné rozsahy tak, aby co nejvěrněji odpovídal slovní definici ve vyhlášce. U pravděpodobnosti zneužití p (na škále 0–1) byly tedy hranice mezi úrovněmi položeny do hodnot 0,10, 0,40 a 0,70, takže slovní popisy z vyhlášky byly namapovány následovně: „zranitelnost neexistuje nebo je její zneužití málo pravděpodobné“ → úroveň Nízká (p < 0,10); „zneužití je méně pravděpodobné“ → úroveň Střední (0,10 ≤ p < 0,40); „zneužití je pravděpodobné“ → úroveň Vysoká (0,40 ≤ p < 0,70); a „zneužití je velmi pravděpodobné až víceméně jisté“ → úroveň Kritická (p ≥ 0,70). Bylo by možné namítnout, že toto mapování je náhodné nebo naopak záměrně zvolené a proto omezuje validitu celého numerického důkazu, jak ale uvidíme níže, závěry analýzy jsou dané strukturou posuzované metodiky, nikoli výše zmíněnými rozsahy, a nezmění je ani volba zcela jiných hranic (což ostatně samostatně doložíme).

S pomocí výše uvedeného mapování byla pro každé riziko „vypočítána“ vyhláškou stanoveným způsobem (hodnota aktiva × hrozba × zranitelnost) i výše rizika dle vyhlášky, která byla následně porovnána s referenční ALE.

Shrnuto a podtrženo, pro každé ze 40 000 simulovaných rizik byla k dispozici jeho objektivní výše daná průměrnou roční ztrátou, která s ním byla spojená, a jeho hodnocení provedené podle metodiky z vyhlášky. K dispozici tedy byly dva vstupy nezbytné pro zhodnocení toho, zda metodický mechanismus z vyhlášky správně rizika seřadí (tedy zda rizika spojená s vyššími průměrnými ztrátami vyhodnotí jako významnější, než rizika spojená s nízkými ztrátami). Než se však dostaneme k tomu, jak v tomto testu metodický přístup z vyhlášky uspěl, je na místě podívat se hlouběji na jednotlivá pravděpodobnostní rozdělení použitá při tvorbě vstupních dat.

Jak byla vytvořena vstupní data aneb čtyři použitá rozdělení

Obecně lze říci, že pravděpodobnostní rozdělení je v podstatě předpis, který říká, jaké hodnoty určitá veličina nabývá a jak často. Aby výsledky nezávisely na jedné konkrétní (a – jak by mohl pozorný čtenář namítnout – potenciálně účelové) volbě rozložení použité při generování syntetických dat, byly hodnoty frekvencí λ a dopadů L generovány celkem čtyřmi různými způsoby, resp. čtyřmi pravděpodobnostními rozděleními.

Pravděpodobnost zneužití p byla, jak je uvedeno výše, ve všech případech pro jednoduchost generována rovnoměrně z intervalu 0–1.

Pro generování dat byla použita tato čtyři pravděpodobnostní rozdělení:

• Normální (Gaussovo) rozdělení je ona známá symetrická zvonová křivka. Hodnoty se v ní koncentrují kolem průměru a směrem k oběma okrajům jich stejnoměrně ubývá. Jde o rozdělení, které většina lidí intuitivně používá („typická ztráta je milion, plus minus pět set tisíc“), což je důvod, proč bylo do analýzy zařazeno. Jak si nicméně ukážeme, pro simulaci možných rizik a ztrát souvisejících s kybernetickými incidenty toto rozdělení vhodné není. Napovědět nám to může už následující prostá úvaha – je-li normální rozdělení symetrické a neomezené i směrem dolů (což je), pak formálně připouští i záporné ztráty. Tzv. „chvosty“ (pravděpodobnosti extrémních hodnot) tohoto rozdělení navíc klesají extrémně rychle – událost vzdálená pět směrodatných odchylek od průměru je v normálním světě prakticky nemožná. Ztráty způsobené kybernetickými bezpečnostními incidenty se takto ale reálně nechovají – konec konců, v extrémních případech mohou být i významně vzdálenější od průměru než oněch zmiňovaných pět směrodatných odchylek (vzpomeňme např. na odhadovanou škodu $300 milionů u společnosti Maersk po incidentu s pseudo-ransomwarem NotPetya).
• Rovnoměrné (uniformní) rozdělení přiřazuje stejnou pravděpodobnost všem hodnotám v zadaném rozsahu na lineární škále. Toto rozdělení bylo zařazeno jako další intuitivní, avšak „naivní“ volba, kterou bychom potenciálně mohl mít tendenci použít, pokud bychom např. věděli jen, že „škoda vzniklá v souvislosti s rizikem může být mezi tisícem a deseti miliony korun“. Jak uvidíme, na logaritmických škálách, na nichž rizika reálně žijí, je tato volba dokonce vzdálenější realitě než normální rozdělení, protože většinu hodnot „natlačí“ do nejvyššího řádu.
• Logaritmicko-uniformní (log-uniformní) rozdělení je rozdělení, v němž je každý „řád“ stejně pravděpodobný, tedy ztráta v řádu tisíců, desetitisíců, statisíců i milionů korun má tedy stejnou šanci výskytu. V rámci analýzy nám toto rozdělení slouží jako neutrální mechanismus pro rovnoměrné pokrytí celého možného rozsahu dopadů, přičemž nezvýhodňuje žádnou část numerické škály. Zmínku zaslouží, že toto rozdělení představuje pro tabulky z vyhlášky nejpříznivější možné vstupy, neb data jsou v něm rozprostřena přesně tak, aby všechny čtyři úrovně každé stupnice mohly být využity (což, jak si ukážeme, u jiných rozdělení ani v praxi zpravidla neplatí).
• Logaritmicko-normální (log-normální) rozdělení je, odborně řečeno, rozdělení kladné veličiny, jejíž logaritmus má normální rozdělení. To znamená, že data se v tomto rozdělení koncentrují kolem mediánu, ale mají dlouhý pravý chvost, a tedy existuje zde nezanedbatelná pravděpodobnost výskytu vzácných, ale velmi velkých hodnot. Právě tomuto rozdělení podle empirických studií přibližně odpovídají skutečné kybernetické ztráty. Analýzy reálných dat o ztrátách způsobených kybernetickými bezpečnostními incidenty (viz např. zde, zde, zde, zde apod.) shodně nacházejí silně pravostranně zešikmená, tzv. „těžkochvostá“ rozdělení závažnosti/dopadů. Je samozřejmé, že výsledky z těchto výzkumů nemusí nezbytně dokonale odpovídat realitě, neb databáze z nichž čerpají nejsou kompletní a zcela jistě v nich nebudou zastoupeny (mj.) drobné incidenty v počtech, v nichž k nim reálně dochází. Stále však jde o jedno z nejrealističtějších a nejuznávanějších rozdělení, které máme k dispozici. Dokazuje to i skutečnosti, že log-normální rozdělení je standardním parametrickým modelem jak v metodice FAIR, tak u pánů Hubbarda a Seiersena. Pro úplnost je na místě dodat, že reálné chvosty bývají dle akademických studií (viz např. zde a zde) někdy dokonce ještě „těžší“ než ty odpovídající log-normálnímu rozdělení. V praxi to tedy znamená, že pro modelování ztrát způsobených kybernetickými bezpečnostními incidenty může být log-normální rozdělení vnímané jako relativně konzervativní volba.

Jak změřit, zda výstup z metodiky pro hodnocení rizik dává smysl

Jak jsme zmínili již v úvodu, jádro celého článku stojí na jediné, ale zásadní myšlence, totiž že pokud je průměrná roční finanční ztráta (ALE) dobrým vyjádřením skutečného rizika, pak by ALE měla odpovídat i jakákoli „míra“ či „úroveň“ rizika spočtená/získaná s pomocí libovolné prakticky použitelné metodiky. Jinak řečeno, seřadíme-li rizika podle průměrné s nimi spojené roční ztráty a poté je seřadíme s pomocí libovolné metodiky (v našem případě tedy té uvedené ve vyhlášce), měla by obě pořadí být přinejmenším podobná. Čím víc se budou lišit, tím méně zkoumaná metodika z principu odpovídá realitě.

Aby bylo možné objektivně změřit, jak dalece se s pomocí metodiky z vyhlášky daří dojít k hodnocení odpovídajícímu reálně možným ztrátám, byla referenční ALE pro jednotlivá rizika porovnána s mírou rizika získanou z tabulek z vyhlášky pomocí několika statistických mechanismů a dalších konceptů, které je vhodné si krátce představit:

• Kendallovo τ (tau), nebo též Kendallův koeficient pořadové korelace (resp. specificky jde o Kendallovo τ-a), je míra shody pořadí mezi dvěma „žebříčky“. V našem případě umožňuje porovnání žebříčku/pořadí rizik seřazeného podle ALE a žebříčku/pořadí seřazeného podle metodiky z vyhlášky. Obecně koeficient nabývá hodnot od −1 do +1, přičemž hodnota +1 znamená, že oba žebříčky jsou shodné, 0 znamená, že pořadí spolu vůbec nesouvisí, a −1 říká, že obě pořadí jsou přesně opačná. Z praktického hlediska zaslouží zmínku, že τ se na našich datech počítá z podílu „souhlasných“ a „nesouhlasných“ dvojic rizik, přičemž pro každou dvojici rizik se ptáme, zda ji obě metody seřadí ve stejném směru.
  Pro vyloučení pochybností je na místě explicitně vysvětlit, co znamená, že je dvojice bude „souhlasná“, resp. seřazená ve stejném směru. Pokud vezmeme dvě rizika, A a B, u nichž ALE říká, že A je rizikovější než B, a zároveň i jejich ohodnocení metodikou z vyhlášky určí, že A je rizikovější než B, je tato dvojice seřazena souhlasně/ve stejném směru. Pokud by však ALE říkalo, že „A > B“, ale metodika z vyhlášky určila, že „A < B“, bude tato dvojice seřazena obráceně/nesouhlasně (v praxi by to znamenalo, že metodika z vyhlášky by nás u této dvojice měla tendenci směrovat k přednostnímu řešení toho rizika, které je ve skutečnosti menší).
  Krátce řečeno – pro potřeby článku platí, že čím blíže hodnotě +1 bude jakékoli porovnání, tím přesnější bude schopnost metodiky seřadit rizika správně (dle s nimi spojeného ALE/reálné průměrné ztráty). Hodnota τ = 0,77, kterou budeme v souvislosti s metodikou vyhlášky níže často zmiňovat, tedy znamená relativně silnou, ale zdaleka ne dokonalou shodu, neb při této hodnotě je zhruba každá desátá dvojice rizik seřazena obráceně.
• Podíl převrácených dvojic je intuitivní doplněk výše popsanému τ: v našem případě u náhodně vybíraných dvojic rizik stanovuje, jak často postup převzatý z vyhlášky označí za rizikovější to riziko, jehož skutečné riziko (dle ALE) je nižší. Jde tedy přímo o „četnost chyb v pořadí“.
• Jaccardův index podobnosti měří překryv dvou množin – odborně jde o velikost průniku dělenou velikostí sjednocení, což v praxi znamená, že hodnota 1 značí, že obě porovnávané množiny jsou totožné a 0, že nemají nic společného. V rámci analýzy tento index použijeme na porovnání seznamů rizik, která je dle vyhlášky nezbytné řešit (tedy těch rizik, která není možné akceptovat, neb jsou hodnocena úrovněmi „Vysoká“ nebo „Kritická“), získaných na základě různé volby „dělící linie“ akceptovatelnosti rizika na škále 1-64. Zvolení prahových hodnot na této škále je něco, co vyhláška implicitně po regulovaných subjektech požaduje (bez toho by nebylo možné převést čísla z rozsahu 1-64 na 4 kvalitativní úrovně hodnocení rizik), avšak nikde nestanoví jak se má toto stanovení provést. Níže si proto s pomocí Jaccardova indexu ukážeme, jak významně tato volba ovlivní výsledné ohodnocení rizik.
• Efektivní počet využitých úrovní je zřejmě nejméně intuitivní, ale velmi užitečný ukazatel, který budeme v textu používat. Odvozujeme jej ze Shannonovy entropie vztažené na tabulky z vyhlášky, tedy z míry toho, jak rovnoměrně jsou rizika rozdělena mezi čtyři úrovně konkrétní stupnice. Výsledné číslo (formálně 2 umocněno na entropii) tedy říká, kolik úrovní stupnice z vyhlášky by organizace reálně využila.
  V praxi by to znamenalo, že pokud by do každé ze čtyř úrovní spadnula přesně čtvrtina rizik, vyšel by efektivní počet 4,0 (tedy stupnice by byla využita plně). Pokud by se všechna rizika nahrnula do jediné úrovně, vyšlo by ≈ 1,0 a daná tabulka (resp. s ní spojená osa) by nenesla žádnou informaci (všechna rizika by byla dle dané tabulky „stejná“). Pokud by efektivní počet využitých úrovní vyšel například 2,0, znamenalo by to, že stupnice reálně funguje jen, jako kdyby měla jen dvě úrovně (dvě zbylé by v takovém případě byly prakticky nevyužity). Jde tedy o přímou míru rozlišovací schopnosti tabulky (resp. její stupnice) v konkrétním prostředí a čím nižší číslo u ní vyjde, tím méně stupnice pomůže rizika od sebe odlišit.
  Důvod, proč je tento ukazatel hodnotný, je prostý – pokud bychom chtěli využívat pro analýzu rizik metodiku z vyhlášky, určitě dává smysl, aby měla organizace možnost využít u všech tabulek jejich celý rozsah 1-4. Jak si však ukážeme, pokud si organizace tabulky neupraví dle specifik svého prostředí, pak k použití celého rozsahu zpravidla dojít nemůže.

Použití výše popsaných mechanismů nám umožní mj. získat relativně jasnou informaci o tom, jaké parametry by musela určitá organizace splňovat, aby pro ni dávalo smysl využívat nezměněné tabulky z vyhlášky, a pro které organizace by to naopak bylo zcela nesmyslné. Než se však pustíme do diskuze výstupů analýzy, je nezbytné představit jeden principiální problém, který postihuje metodiku z vyhlášky, i řadu dalších metodik pro tzv. semi-kvantitativní analýzy rizik (tedy těch, u nichž jsou pro označení jednotlivých kategorií využita čísla, nad nimiž jsou následně prováděny numerické operace)…

„Drobný“ matematický a logický problém

V teorii měření, potažmo v matematice a statistice, principiálně rozlišujeme čtyři následující typy škál (ty zavedl už v roce 1946 pan Stevens a jsou stále všeobecně využívány):

• Nominální škála, na níž prvky spadají do kategorií bez nezbytného vzájemného vztahu – např. „zvířata“ a „ovoce“.
• Ordinální/pořadová škála, na níž lze prvky seřadit dle kategorií, ale rozestupy mezi kategoriemi nejsou definované – např. 1.–10. fotbalová liga.
• Intervalová škála, na níž lze prvky seřadit do kategorií a kategorie mají stejné rozestupy, ale škála nemá „absolutní“ nulu – např. teplota ve stupních Celsia.
• Poměrová škála, která má nulu i jednotku a lze v ní smysluplně násobit a dělit – např. délka v metrech, ztráta v korunách, frekvence v událostech za rok apod.
  
  

Proč je pro nás výše uvedené podstatné?

Úrovně 1 až 4 použité ve všech tabulkách ve vyhlášce jsou převážně pořadové – říkají, že „Vysoká“ je víc než „Střední“, ale nikoli o kolik (drobnou výjimkou je pouze stupnice pro hodnocení aktiv z pohledu dostupnosti, kde jsou jednotlivým úrovním přiřazeny konkrétní časové údaje, a také explicitní frekvenční pásma ve stupnici hrozeb).

Může se zdát, že výše uvedená skutečnost nepředstavuje významnější problém, ale opak je pravdou – na pořadových škálách totiž nemá součet ani součin žádný matematický význam. Věta ve vyhlášce říkající, že „pro hodnocení rizik lze použít funkci: Riziko = hodnota aktiva × hrozba × zranitelnost, případně jinou funkci obdobného významu“, tak (s drobným cynickým přimhouřením oka) říká, že můžeme použít funkci, která má obdobný význam k logickému nesmyslu. Konec konců, zhodnoťte sami – je pravda, že Vysoká krát Nízká rovná se Střední?

Výše uvedená rovnice je samozřejmě konceptuálně správná, ale jen pokud bychom vstupy do ní získávali z poměrových škál, což vyhláška zjevně nedělá…

Na tomto místě je možné namítnout, že vyhláška sice využívá násobení, ale fakticky jen jako mechanismus pro kombinaci kvalitativních hodnot z různých škál. Problémem však je, že o násobení nenásobitelných prvků i tak jde, jak ukazuje sám odst. 3 přílohy 4, podle něhož je celkové riziko vyjádřeno jako součin tří pořadových hodnot od 1 do 4 (výsledkem je tedy „skóre“ mezi 1 a 64).

A kdykoli násobíme nenásobitelné, vznikají významné problémy, a nejde přitom jen o problémy akademické. To, že matice rizik postavené na pořadových škálách systematicky produkují chybné výstupy, je v odborné literatuře extrémně dobře zdokumentováno (viz např. zde, zde nebo zde).

Pro úplnost dodejme, že nahrazením násobení sčítáním (což sice rozhodně není „funkce obdobného významu“ k násobení, ale to ponechme stranou) bychom si nijak nepomohli. Jednak je součet na pořadové škále úplně stejně nedefinovanou operací jako součin (výrok „Vysoká plus Nízká rovná se Střední“ nedává o nic větší smysl než původní násobení), a jednak to potvrzuje i naše simulace – při porovnání výsledků řadí rizika součet jednotlivých vstupů prakticky stejně (ne)přesně jako jejich součin (Kendallovo τ vůči skutečné ALE vychází 0,78 pro součet a 0,77 pro součin). Falešný poměrový význam, který násobení předstírá (a kvůli němuž působí výsledné skóre 1–64 tak „rádoby odborně“), tedy fakticky nepřináší vůbec nic.

Skutečná cesta ven z numerického šumu v každém případě nevede přes výměnu aritmetické operace, ale přes návrat k reprezentativním skutečným hodnotám, jak ukážeme za okamžik. Pro ty, které výše zmíněná argumentace o obecné nesmyslnosti násobení nepřesvědčila, resp. pro ty, kteří cítí, že ony tabulky s frekvenčními pásmy a explicitními hodnotami dostupnosti něco změní, nicméně ještě uděláme krátké pozastavení nad touto tématikou.

Proč nedává násobení smysl, přestože kvalitativní úrovně jsou zastoupeny numerickými hodnotami

Jak jsme zmínili výše, úrovně 1–4 ve vyhlášce nejsou vždy „jen“ pořadová čísla – ve dvou případech (frekvenční pásma u hrozeb a časová okna u dostupnosti) za nimi stojí konkrétní numerické hodnoty. Je to pravda, jenže problémy se díky tomu ve skutečnosti ještě prohlubují. Jednotlivé škály vyhlášky totiž „kódují“ do stejných úrovní 1–4 zcela odlišné druhy závislostí.

V zájmu pochopení situace se podívejme, co posun o jednu úroveň znamená na každé ze tří škál vstupujících do součinu:

• Tabulka pro hodnocení hrozeb – Úroveň 1 odpovídá frekvenci do 0,2/rok, úroveň 2 pásmu 0,2–1/rok, úroveň 3 pásmu 1–12/rok a úroveň 4 frekvenci nad 12/rok. Posun o jednu úroveň tedy znamená zhruba vynásobení reálné frekvence šesti až deseti – hodnoty tedy spadají do exponenciální škály.
• Tabulka pro hodnocení dostupnosti – Okna „týdny / pracovní den / hodiny / minuty“ znamenají, že posun o jenu úroveň odpovídá zhruba vydělení tolerovaného výpadku (tentokrát cca deseti až třiceti) – použita je tedy opět exponenciální škála.
• Tabulka pro hodnocení zranitelností – Tato tabulka reprezentuje pravděpodobnost zneužití, tedy veličinu z intervalu 0 až 1 (0 % – 100 %). Posun o úroveň znamená přičtení zhruba 0,2–0,3 a škála je navíc shora ohraničená jedničkou – jde tedy o škálu zhruba lineární.

Celočíselné popisky 1–4 výše popsanou zásadní skutečnost zcela skryjí. Násobit (nebo i sčítat) holá celá čísla z takto různorodých škál je jako násobit stupně Richterovy škály stupni pH: obě škály jsou logaritmické, ale každá měří úplně jinou veličinu s jiným „krokem“, a součin tak nemá žádný fyzikální smysl. Pro ilustraci, krok z úrovně 2 na úroveň 3 znamená u hrozby desetinásobek frekvence, u zranitelnosti přičtení nějakých 25 procentních bodů pravděpodobnosti, a vzorec z vyhlášky obě tyto naprosto nesouměřitelné změny ocení úplně stejně, totiž vynásobením „rizikového skóre“ poměrem 3/2.

Smysluplný a prakticky použitelný postup, pokud už bychom chtěli úrovně kombinovat výpočtem, by bylo převést tyto úrovně zpět na reprezentativní skutečné hodnoty a teprve ty mezi sebou násobit. Co by to znamenalo v praxi?

Místo abstraktní „úrovně 3“ hrozby bychom použili typickou skutečnou hodnotu, kterou tato úroveň zastupuje (například geometrický střed jejího frekvenčního pásma, tedy ≈ 3,5 události za rok). Místo „úrovně 2“ zranitelnosti bychom použili pravděpodobnost ≈ 0,25 a místo „úrovně 4“ dopadu bychom použili reprezentativní částku v korunách (v naší simulaci vychází nejvyšší hodnotové pásmo na ≈ 3,2 mil. Kč). Kalibrovaný součin by pak byl prostým součinem těchto skutečných hodnot. Klíčové je, že protože by šlo o poměrové veličiny, ne zástupné ordinální úrovně, byl by tento postup matematicky korektní.

Jak takový převod může organizace získat pro vlastní prostředí? Potřebuje k tomu jen hrubý odhad rozsahů svých vlastních dat – tedy přibližně, v jakých částkách se pohybují její možné ztráty, jak často se v jejím prostředí hrozby reálně projevují a jak dlouhé výpadky aktiv toleruje. Z těchto odhadů se reprezentativní hodnoty (geometrické středy jednotlivých pásem) snadno dopočítají – a přesně to dělá jeden z přiložených skriptů, k němuž se vrátíme v závěru. Žádná složitá data tedy potřeba nejsou – stačí řádové odhady, které tak jako tak vznikají při běžném hodnocení aktiv.

A jak ukážeme níže s pomocí výsledků naší simulace, využívání smysluplných reprezentativních hodnot místo „standardních“ tabulek z vyhlášky povede k fakticky měřitelnému zlepšení. Pro ty, které by zajímalo, jak dalece bude rozdíl patrný je vhodné uvést, že zatímco násobení úrovní dosahuje shody pořadí se skutečným rizikem (ALE) τ = 0,77 a součet úrovní τ = 0,78, kalibrovaný součin reprezentativních hodnot dosahuje τ = 0,83, přičemž zbývající „nedokonalost“ řazení rizik je dána už jen hrubostí způsobenou použitím čtyř úrovní, a nikoli granulárnějšího rozdělení.

Aby nezůstalo jen u abstraktních konceptů, ukažme si důsledek nesmyslnosti postupu založeného na násobení „nenásobitelných“ vstupů ještě na jednom názorném příkladu tří rizik. Jak můžeme vidět, vzácné, ale katastrofické riziko může dostat podle frekvenčních pásem vyhlášky nízkou úroveň hrozby, v důsledku čehož bude mít i nízké celkové skóre, přestože je její skutečné riziko může být citelně vyšší než u rizik „skórovaných“ výše…

Riziko	Frekvence (výskytů za rok)	Pravděp. zneužití	Dopad (Kč)	Skutečná ALE (Kč/rok)	Úrovně (D, H, Z)	Skóre dle vyhlášky
A: vzácná, katastrofická	0,1	0,9	250 000 000	22 500 000	4, 1, 4	16
B: častá, drobná	20	0,9	50 000	900 000	2, 4, 4	32
C: častá, střední	15	0,5	125 000	937 500	3, 4, 3	36

Jak vidíme, ve výše uvedeném příkladu má riziko A nejvyšší skutečný průměrný dopad (22,5 mil. Kč/rok, tedy zhruba 24× více než zbylá dvě), ale nejnižší skóre (16), zatímco riziko B s ALE 900 tis. Kč/rok dostane skóre dvojnásobné (32) a aktivum C dokonce ještě vyšší (36). Metoda z vyhlášky by tak nasměrovala rozpočet na nápravná opatření přesně opačně, než by bylo namístě. (Dodejme, že dopad 250 mil. Kč u aktiva A není zvolen náhodně – odpovídá potenciálnímu zákonnému stropu pokuty pro režim vyšších povinností, a jde tedy reálně představitelný „katastrofický“ dopad.)

Zmínku zaslouží, že výše uvedený výsledek není zlomyslně zkonstruovaná kuriozita – jde o klasický problém spočívající v tzv. „inverzi rizika“ (risk inversion), kterou pořadové matice produkují systémově, což je v odborné literatuře velmi dobře dokumentováno. Jak již bylo uvedeno výše (viz diskuze o Kendallově koeficientu), v naší simulaci tato inverze u realistických dat postihovala při použití neupravené metodiky z vyhlášky zhruba každou desátou dvojici rizik.

Výsledky simulace

Nyní již snad nikdo nepochybuje o tom, že násobení pořadových čísel je principiálně – slušně řečeno – problematické. Pojďme se tedy podívat, jak velký je tento problém (i některé další) v praxi, tedy co konkrétně z provedených Monte Carlo simulací vyšlo. Připomeňme, že pro každé ze 40 000 simulovaných rizik známe jeho numericky kvantifikovanou průměrnou roční ztrátu (ALE) i jeho hodnocení dle tabulek z vyhlášky, a můžeme tedy obě hodnoty přímo porovnat.

Začneme tím, jak si metodika vede na datech generovaných různými rozděleními, a následně se podíváme na strukturální problémy, které se projevují bez ohledu na volbu rozdělení.

Výstup získaný na datech generovaných s pomocí normálního rozdělení

Varianta s normálním rozdělením byla do analýzy zařazena především v zájmu demonstrace toho, proč tento intuitivní a nejpřirozenější model není vhodné v oblasti analýzy kybernetických rizik používat. Data byla generována tak, jak by to mohl udělat „naivní praktik“ – jako vstupní parametry byla použita typická ztráta 1 milion Kč s rozptylem ±50 % a typická frekvence 0,5 události za rok s obdobným rozptylem.

První problém se projevil okamžitě – i při takto relativně úzkém rozptylu vyšla u 4,6 % vygenerovaných rizik záporná frekvence nebo záporná ztráta, tedy hodnoty, které v reálném světě nemohou existovat a které bylo nutné ze simulace vyřadit. Zmínku zaslouží, že pokud bychom se pokusili normálním rozdělením věrně napodobit skutečnou variabilitu realistických ztrát (tj. sladili jeho střední hodnotu a rozptyl s realistickým log-normálním modelem), vyšlo by záporných dokonce 47 % všech vygenerovaných hodnot, což ukazuje, že normální rozdělení nedokáže současně pokrýt typické hodnoty i mnohařádový rozptyl, který je pro ztráty z kybernetických incidentů charakteristický.

Druhý problém byl zákeřnější. Samotná shoda pořadí s pomocí Kendallova koeficientu vyšla zdánlivě relativně pozitivně (τ = 0,74, což znamená „jen“ 8 % převrácených dvojic), avšak pouze proto, že „pohled na svět“ generovaný normálním rozdělením je nerealisticky úzký.

Co tím je míněno? Protože normální rozdělení „natlačí“ prakticky všechna rizika do úzkého pásma kolem typické hodnoty, leží všechny vygenerované frekvence v rozsahu necelého jednoho řádu. Osa hrozby tak reálně využije jen ~1,5 ze 4 úrovní – téměř všechna rizika tedy spadnou do jedné ze dvou úrovní a stupnice je tak skoro „slepá“. Podobně se chová i tabulka/osa hodnoty (efektivně využité je u ní využito jen 2,7 úrovní ze 4). Hlavně je ale nezbytné zdůraznit, že v jakékoli simulaci založené na normálním rozdělení prakticky neexistují extrémní katastrofy. Pravděpodobnost ztráty větší než desetinásobek mediánu vyšla v normální variantě 0,0 %, zatímco v realistické log-normální variantě je tato pravděpodobnost 16 %. To je podstatné, neb právě tyto vzácné, avšak velké ztráty v reálném světě dle soudobé úrovně poznání dominují celkovému riziku.

Organizace, která by své dopady modelovala normálním rozdělením, by tedy nedostala jen „lehce nepřesnou“ analýzu, ale spíše analýzu slepou přesně vůči těm událostem, kvůli nimž by analýzu rizik primárně prováděla. Tento výsledek je mimochodem v plném souladu se závěry empirické literatury citované výše, podle níž jsou kybernetické ztráty silně těžkochvosté a normální model je pro ně nevhodný.

Výstup získaný na datech generovaných s pomocí rovnoměrného rozdělení

Než přejdeme k (pro vyhlášku maximálně „příznivému“) log-uniformnímu světu, zastavme se u jeho lineárního příbuzného. Uniformní/lineárně rovnoměrné rozdělení rozprostřelo dopady rovnoměrně mezi 1 tisíc a 10 milionů Kč na lineární ose.

Pro zařazení těchto dopadů do čtyř úrovní hodnoty aktiv bylo použito stejné mapování jako u všech ostatních rozdělení – tedy rozdělení rozsahu dopadů na čtyři pásma „po řádech“, jejichž hranice jsou rozmístěny logaritmicky (geometricky), nikoli lineárně. To je u veličiny, která se přirozeně pohybuje přes několik řádů, jediná rozumná volba (smysl dává odlišovat spíše „desetitisíce od milionů“ než „4,1 milionu od 4,3 milionu“) a jde zároveň o mapování konzistentní se zbytkem analýzy.

Právě v interakci s tímto logaritmickým dělením se však naivně zvolené lineárně rovnoměrné rozdělení projeví zničujícím způsobem. Protože každé vyšší řádové pásmo je z definice desetkrát širší než pásmo předchozí, padne přes 90 % všech lineárně rovnoměrných hodnot do nejvyššího řádu (jednotky milionů Kč). Na hodnotové ose tak organizace fakticky využije jen ~2,4 úrovně a na ose hrozby, kde se navíc uplatní pevná (a rovněž zhruba logaritmicky odstupňovaná) frekvenční pásma vyhlášky 0,2 / 1 / 12 událostí za rok, která vedou k efektivnímu použití pouhých ~1,5 úrovní.

Výsledkem je nejnižší shoda pořadí ze všech čtyř rozdělení (τ = 0,64 a tedy plných 12 % převrácených dvojic). Jde tedy ještě horší výsledek než u normálního rozdělení a lineárně rovnoměrná „naivní“ volba rozložení rizik by tak pro tabulky z vyhlášky byla tou nejhorší variantou. Pro naše potřeby je tento závěr poměrně hodnotný – jde o názornou ukázku toho, jak zrádné může být nepochopení logaritmické (řádové) povahy rizik, a to hned ze dvou stran – jak při volbě rozdělení vstupů, tak při volbě hranic mezi úrovněmi.

Výstup získaný na datech generovaných s pomocí log-uniformního rozdělení

Log-uniformní varianta popisuje pro „použitelnost“ tabulek z vyhlášky ten nejpříznivější možný (byť zcela nerealistický) svět. Dopady byly v rámci tohoto rozdělení rovnoměrně rozprostřeny přes čtyři řády (1 tisíc Kč až 10 milionů Kč) a frekvence přes čtyři řády (0,01 až 100 událostí za rok), takže všechny čtyři úrovně všech stupnic byly plně využity (efektivní počet úrovní 3,9–4,0 ze 4). Pokud by tedy metodika z vyhlášky měla někde fungovat dobře, bylo by to při použití tohoto rozdělení.

I v tomto nejpříznivějším (a ještě jednou zdůrazňuji, že zcela nerealistickém) případě je ale metodika přinejlepším hrubým třídicím mechanismem na rizika, a nikoli mechanismem na jejich reálné měření. Důvod je prostý: součin tří úrovní 1–4 může nabývat pouhých 16 různých hodnot, takže 40 000 rizik (a v praxi jakýkoli jiný počet) se nezbytně slije jen do 16 svislých „pruhů“. Konkrétně jde o tyto hodnoty (pro každou uvádím vždy jen jednu z možných kombinací úrovní, které k jednotlivým skórům vedou, ale například k hodnotě 4 můžeme samozřejmě dojít i v případě, že úrovně vstupů by byly 1×2×2 apod.):

• 1 = 1×1×1
• 2 = 1×1×2
• 3 = 1×1×3
• 4 = 1×1×4
• 6 = 1×2×3
• 8 = 1×2×4
• 9 = 1×3×3
• 12 = 1×3×4
• 16 = 1×4×4
• 18 = 2×3×3
• 24 = 2×3×4
• 27 = 3×3×3
• 32 = 2×4×4
• 36 = 3×3×4
• 48 = 3×4×4
• 64 = 4×4×4

Problémem je, že uvnitř každého pruhu se skutečná ALE reálně liší o několik řádů, jak ukazuje následující graf.

Celková shoda pořadí při použití log-uniformního rozdělení vyšla τ = 0,77, což znamená, že 9 % náhodně vybraných dvojic rizik metodika seřadí obráceně, než odpovídá skutečnému riziku dle ALE, a dalších 8 % dvojic prohlásí za „shodné“ (přidělí jim stejné skóre), ačkoli se jejich skutečné riziko liší.

Po převedení skóre na čtyři výstupní kategorie (tedy po seskupení jednotlivých rizik spadajících do stejných kategorií) je ono pomyslné rozmazání ještě patrnější – uvnitř každé kategorie se skutečná ALE pohybuje v rozsahu zhruba 40–190násobku (a to navíc vzato jen v poměru 90. a 10. percentilu), tedy přes zhruba dva řády. Sousední kategorie se navíc významně překrývají – riziko z nižší kategorie je ve skutečnosti rizikovější než náhodně vybrané riziko z kategorie vyšší zhruba v 7 % případů. Prakticky to znamená, že matice z vyhlášky sice (víceméně) odliší „Nízká“ rizika od „Kritických“, ale nedokáže smysluplně seřadit dvě rizika v kategorii „Vysoká“ – což je přesně ta informace, kterou potřebujeme při rozpočtování a prioritizaci nápravných opatření.

Co když dělicí linie posuneme jinam?

Na tomto místě je vhodné předejít námitce, že výše popsaná „komprese“ uvnitř kategorií je jen důsledkem toho, kam byly položeny dělicí linie mezi úrovněmi (tam, kde vyhláška uvádí jen kvalitativní popis, jsem totiž volil tyto hranice nezbytně sám). Neb mě samotného zajímal výsledek, otestoval jsem co se stane, kdybychom hranice hodnotové osy posunuli – jednou do kvartilů dat (tedy tak, aby bylo zajištěno rovnoměrné obsazení úrovní z vyhlášky), jednou výrazně nahoru a jednou dolů. Výsledek je jednoznačný a můžete se na něj podívat níže – ať dělicí linie položíme kamkoli, komprese uvnitř kategorií zůstává řádově stejná (medián poměru 90./10. percentilu uvnitř kategorií se drží kolem 140–320×) a mění se jen to, jak (ne)rovnoměrně jsou kategorie obsazené. Posuneme-li linie, fakticky jen „přelijeme“ rizika z jedné přeplněné kategorie do druhé, ale nikdy nezískáme uvnitř kategorií jemnější/lepší rozlišení. To dokládá, že problém není ve volbě hranic, ale ve struktuře metodického postupu (aneb ve snaze o rozdělení veličiny, která se pohybuje přes mnoho řádů, na čtyři hrubé kategorie).

Výstup získaný na datech generovaných s pomocí log-normálního rozdělení

Výše jsme si ukázali, že metodika z vyhlášky je při doslovném použití v ní uvedených tabulek principiálně neschopná poskytovat plně validní výsledky i v případě, kdy by možné ztráty spojené s riziky byly rozdělené log-uniformně, a tedy „nejlépe“ z pohledu těchto tabulek.

Asi tudíž nepřekvapí, že na realistických, literaturou podložených log-normálních datech (medián frekvence 0,5/rok, medián ztráty 1 milion Kč, rozptyl zhruba o řád oběma směry) není situace o nic lepší (resp. asi nepřekvapí, že situace je o něco horší). Shoda pořadí u realistických rizik klesá z τ = 0,77 na τ = 0,70, převrácených dvojic přibývá z 9 % na 12 % a komprese uvnitř kategorií zůstává na úrovni cca dvou řádů (tedy v jedné kategorii máme rizika, která mohou způsobit škodu lišící se 35 až 135×).

Důvodem zhoršení je, že log-normální data nejsou uměle rozprostřena „na míru“ stupnicím z vyhlášky. Část rizik se koncentruje kolem mediánů, takže efektivní využití úrovní klesá na ~3,4–3,5 ze 4 (oproti plným ~4,0 u log-uniformních dat) a stupnice tedy ztrácejí část své rozlišovací schopnosti. Těžký pravý chvost log-normálního rozdělení navíc produkuje více oněch vzácných, ale katastrofických kombinací (vzácná hrozba × obrovský dopad), na nichž pořadové matice systematicky selhávají přesně tak, jak jsme demonstrovali na příkladu inverze rizik výše. Jinými slovy, čím realističtější data, tím častěji se objevují přesně ty situace, v nichž metoda z vyhlášky řadí rizika obráceně.

Realistická, log-normálně generovaná data tedy metodiku z vyhlášky rozhodně nezachraňují, spíše naopak. Je přitom vhodné zopakovat, že byť log-normální model označujeme za „realistický“, i on je vůči vyhlášce ještě milosrdný, neb skutečné chvosty kybernetických ztrát mohou být dle empirických studií ještě těžší.

Pevná okna výpadku vs. tempo organizace

Dosud jsme metodice z vyhlášky, resp. jejím tabulkám, dopřávali benefit práce s dopady rizik rozprostřenými přes mnoho řádů. Rizika postihující skutečné organizace, resp. jimi zajišťované regulované služby, jsou ale v praxi mnohem stejnorodější, a tady přichází ke slovu problém avizovaný v úvodu – pevná okna výpadků.

Jak vidíme, úroveň dostupnosti aktiva určuje podle tabulky č. 3 přílohy 1 pouze to, kam jeho tolerovaný výpadek padne vůči třem vzorovým pevným prahům. V naší modelové interpretaci jde konkrétně o 15 minut (pro hodnotu „několika minut“), 8 hodin (pro hodnotu „několika hodin“) a 24 hodin (nijak překvapivě pro hodnotu „jednoho pracovního dne“), tedy o hodnoty odpovídající horním mezím úrovním Kritická, Vysoká a Střední, tak jak je popisuje vyhláška. Pásmo, které tyto prahy pokrývají, je tedy široké necelé dva řády (15 minut až 1 440 minut).

Než se podíváme na čísla, zavedeme si pro jednoduchost pojem „tempo organizace“. Pro stručnost budeme tempem organizace rozumět medián tolerovaného výpadku jejích aktiv – tedy jak rychle „musí věci běžet“ bezvýpadkově v kontextu regulované služby. Organizace s tempem v sekundách (banka provozující obchodní platformu) je tempově úplně jinde než organizace s tempem ve dnech (organizace udržující dlouhodobý archiv).

Aby bylo možné posoudit, jak osa dostupnosti funguje pro různé organizace (resp. pro potřeby různých organizací vzhledem k regulovaným službám, které tyto organizace zajišťují), bylo v simulaci měněno tempo organizace v rozsahu od 1 minuty do 30 dní a u každého tempa bylo vyhodnocováno, kolik úrovní dostupnosti by organizace s daným tempem reálně využila. Výše uvedené bylo provedeno pro různě široké rozptyly tolerovaných výpadků uvnitř organizace a tedy pro různě „pestrou“ množinu aktiv. Díky tomu můžeme odpovědět na otázku „jak heterogenní by organizace musela být, aby vůbec využila celou stupnici?“

Z výše uvedeného grafu vyplývají tři informace. Za prvé, plné rozlišení (4 úrovně) osa dostupnosti nenabídne za žádných okolností. Za druhé, abychom se vůbec přiblížili třem využitým úrovním, musí být aktiva organizace rozprostřena přes ~2–3 řády tolerovaného výpadku (σ ≈ 1,0–1,4) a současně vystředěna přesně do pásma 15 minut – 1 den. To je velmi náročná dvojitá podmínka, neb organizace by musela mít zároveň hodně různorodá aktiva (taková, kterým nevadí výpadky týdny, taková, kterým nevadí výpadky dny, taková, kterým nevadí výpadky hodiny a taková, kterým vadí i výpadky v rozsahu několika minut) a její tempo by zároveň muselo být uprostřed těchto oken. Za třetí, pro tempa mimo střed pásma (provozy vyžadující bezpodmínečnou dostupnost v reálném čase, nebo naopak archivy, u nichž jsou dlouhodobější nedostupnosti stále přijatelné) rozlišení se významně smrští bez ohledu na rozptyl – u tempa v minutách klesá k ~1,8, u tempa v řádu týdnů k ~2,0 i při velmi širokém rozptylu (σ = 1,4).

Existuje ale ještě jeden prozaičtější argument, proč stupnice z vyhlášky z principu nemůže efektivně fungovat, a to, že krajní pásma jsou otevřená. Úroveň Kritická zahrnuje vše pod několik (v našem případě 15) minut a úroveň Nízká vše nad jeden pracovní den – obě úrovně tedy naplní jen aktiva ležící mimo pásmo oken. To je na první pohled na tabulku jasné, co jasné není je důsledek otevřených krajních pásem – i organizace, jejíž aktiva by byla ideálně rovnoměrně rozprostřena přes celé pásmo 15 minut – 1 den, využije efektivně jen ~1,7 úrovně. Rizika se totiž rozdělí pouze mezi dvě vnitřní pásma (Vysoká: 15 min – 8 h; Střední: 8 h – 1 den), která jsou navíc nestejně široká (~1,5 řádu vs. ~0,5 řádu), takže je ani ideální pokrytí nezaplní rovnoměrně. Plné čtyři úrovně osa nabídne teprve tehdy, když aktiva pásmo na obě strany přetečou (přesah o 50 % → ~3,5 úrovně, dvojnásobek → ~3,7). Stupnice je tedy „naprojektovaná“ tak, že dvě ze čtyř jejích úrovní se naplní pouze u organizací, jejichž tempo do pásma vůbec nespadá.

Výše uvedené přitom není dáno zvolenými prahy – aby nešlo namítnout, že popsaná interpretace oken (15 min / 8 h / 1 den) je účelová, byla celá simulace opakována pro tři různé sady prahů. Voleny byly tak, aby si každá zachovala zhruba stejně široké okno jako vyhláška (tedy přibližně dva řády tolerovaného výpadku), ale byla posunutá, jako by ji regulátor nastavoval pro jiný typ „typické“ organizace. Zjednodušeně si lze představit, že již zmiňovaná sada 15 min / 8 h / 1 den by mohla být zamýšlena pro běžnou kancelářskou organizaci (a je zároveň nejvěrnější dikci vyhlášky), sada 1 h / 1 den / 1 týden by pak mohla být určena pro tempově pomalejší či archivně zaměřené organizace s tolerancemi v řádu hodin až týdnů, a sada 5 min / 1 h / 8 h by naopak mohla být určena pro rychlejší organizace citlivé na latenci. Tyto tři sady tak nepředstavují žádnou konkrétní instituci – záměrně ohraničují celé pásmo voleb, které by rozumný analytik nebo regulátor mohl při výkladu záměrně neurčité dikce vyhlášky („několik minut“, „několik hodin“, „jeden pracovní den“, „jednotky týdnů“) učinit.

Možná překvapí, že výsledek je napříč všemi třemi sadami stejný – žádná z nich nedosáhne plného rozlišení a každá funguje (a to jen částečně) pouze pro organizaci, jejíž tempo náhodou padne přesně na její „vrchol“. I tam přitom dosáhne nanejvýš ~3 z efektivních 4 úrovní a mimo tento úzký vrchol rychle klesá pod hranici použitelnosti. Volba konkrétních prahů tedy jen posune, kde (vždy neúplný) vrchol leží, ale na podstatě věci nic nemění. Měnit ani nemůže, protože – stejně jako případu výše diskutovaných neduhů metodiky z vyhlášky – i zde jde o důsledek struktury metodiky. Čtyři pořadové úrovně se dvěma otevřenými krajními pásmy principiálně nedokáží efektivně rozlišit aktiva jedné organizace, jejíž tempo se typicky vejde do jednoho až dvou řádů, ať dělicí prahy položíme kamkoli.

Předpoklad, že se tempa aktiv jedné organizace typicky vejdou do jednoho až dvou řádů, přitom není svévolný. Plyne z toho, že organizace (tím spíše v rámci regulované služby) zpravidla zajišťuje úzce vymezenou sadu vzájemně provázaných služeb sdílejících tutéž infrastrukturu, tytéž lidi a tatáž provozní očekávání, a tedy i podobné požadavky na dobu zotavení. Banka řeší transakce v sekundách až minutách, nemocnice klinické systémy v minutách až hodinách, archiv data v týdnech apod. Málokterá organizace ale současně provozuje aktivum s tolerancí výpadku maximálně tří sekund i aktivum s tolerancí tří týdnů a ještě méně organizací pak bude obě tato aktiva využívat pro podporu regulované služby. Provázanost aktiv navíc tempo ještě stahuje k sobě – je-li koncová služba potřeba do hodiny, musí být do hodiny (či dříve) dostupné i systémy, na nichž závisí, takže se tolerance napříč závislostním řetězcem srovnávají. Ani tam, kde organizace skutečně pokrývá široké spektrum tolerancí výpadků u různých aktiv (typicky např. nemocnice), jsme si ukázali, že to k naplnění stupnice nestačí. Rozptyl přes jeden až dva řády tak není odhad „od oka“, ale rozumný horní odhad pro převážnou většinu reálných organizací, ostatně i kdyby byl u některé organizace širší, předchozí graf ukazuje, že plného rozlišení by stejně nedosáhla bez současného vystředění doprostřed pásma.

Pro názornost ukažme smrštění rozlišení na třech konkrétních profilech. U organizace potřebující fungovat v reálném čase (řízení významného OT / obchodování, tempo ≈ 2 min) spadne většina aktiv do úrovně Kritická, u běžné kancelářské či IT služby (tempo ≈ 4 h) většina do úrovně Vysoká a u „archivní“ organizace (tempo ≈ 2 týdny) většina do úrovně Nízká. V každém z těchto profilů neupravená stupnice z vyhlášky něco rozliší, ale ne vždy efektivně v celé šíři svého rozsahu…

Důsledek výše uvedeného je přímočarý – čím nižší je efektivní rozlišení určité osy/tabulky, tím méně informace tato osa do výsledného součinu vnáší – a o pořadí rizik pak rozhodují převážně osy zbývající. V tomto případě by tedy v součinu hodnota aktiva (dle dostupnosti) × hrozba × zranitelnost byly vždy podstatnější hodnoty hrozby a zranitelnosti, bez ohledu na to, jak důležitá by ve skutečnosti dostupnost pro danou organizaci byla. Nejde přitom o to, že by osa nabývala výhradně jediné hodnoty – jak je vidět z grafu výše, i nejvíce „stažené“ organizace zpravidla zasáhnou dvě sousední úrovně a naše pojetí „běžné IT organizace“ dokonce všechny čtyři (byť velmi nerovnoměrně). Problém je v tom, že převážná většina rizik se nahrne do jedné dominantní úrovně a zbytek převážně jen do jedné či dvou sousedních, takže osa reálně rozliší sotva ~1–2 efektivní úrovně ze čtyř.

Tento jev budeme ve zbytku článku označovat jako saturaci stupnice – stupnice sice formálně používá více úrovní, ale prakticky téměř nerozlišuje. V krajním případě (např. u jaderné elektrárny, kde obecně nejsou přijatelné významnější výpadky a pracuje se tak s ~1,0 efektivní úrovní) se osa skutečně blíží konstantě a součin se tak de facto redukuje jen na hrozba × zranitelnost. A jak jsme zmínili výše, i v mírnějších případech osa přispívá jen okrajově a ohodnocení rizika určují hlavně ostatní faktory. Přesně toto je mechanismus, díky němuž okna výpadků, která nejsou nastavena tak, aby odpovídala prostředí konkrétní organizace, vnáší do analýzy rizik šum.

Neb jsme zde možná až zbytečně detailně a dlouze (do hlavy mi v souvislosti s tím skáče americké přísloví o nesmyslnosti bití již zesnulého koně) diskutovali omezenou využitelnost výhradně u tabulky pro hodnocení dostupnosti, zmínku zaslouží, že úplně stejný „saturační mechanismus“ samozřejmě může postihnout i osu hrozby s jejími pevnými frekvenčními pásmy. Dává to smysl – malý poskytovatel cloudové služby, na jehož infrastrukturu útočníci míří prakticky nepřetržitě s pomocí automatizovaných nástrojů, neb je široce dostupná online, bude mít převahu hrozeb v úrovni Kritická, zatímco organizace bez jediného systému dostupného z internetu, a na níž relevantní hrozby útočí v důsledku toho zacílí zdánlivě jen výjimečně, bude mít převahu hrozeb v úrovni Nízká. V obou případech osa hrozby pochopitelně ztrácí podstatnou část své rozlišovací schopnosti…

Problematická číselná volba, kterou vyhláška nestanoví

Po použití vzorce „riziko = hodnota × hrozba × zranitelnost“ je třeba provést jednu technickou volbu, pro níž vyhláška neuvádí žádný detail, ačkoli se ukazuje, že na ní výsledek analýzy rizik závisí víc než na lecčem jiném. Touto volbou je jak převést součin 1–64 na čtyři výsledné úrovně rizika. Vyhláška žádné hranice mezi výslednými kategoriemi nestanoví a říká jen, že výsledek se má zařadit do jedné ze čtyř úrovní, ale nikoli kde mezi hodnotami 1 a 64 leží pomyslné dělicí čáry.

V rámci provedených simulací proto byly otestované i tři následující, principiálně stejně obhajitelné způsoby dělení:

• Kvantilové – hranice položené tak, aby byly výsledné kategorie zhruba rovnoměrně obsazené (prahy 4, 12, 36 – vzpomeňme, že rizikové skóre se sice pohybuje v rozsahu 1-64, ale reálně může skóre dosáhnout jen 16 hodnot z tohoto rozsahu).
• Rovnoměrné – rozsah skóre rozdělený na čtyři stejně široké intervaly (prahy 16, 32, 48).
• Geometrické – prahy rostoucí geometricky, odrážející logaritmickou povahu skóre (prahy 6, 18, 40).

Výsledek je, řekněme, lehce nešťastný – podle toho, který z těchto tří způsobů zvolíme, označí metodika za „Vysoké + Kritické“ (a tedy určené k povinnému řešení) mezi 13 % a 44 % všech rizik. Rozdílný přístup k převodu numerického skóre na kvalitativní vyjádření tedy způsobí více než trojnásobný rozdíl, aniž by se na hodnocení jediného aktiva, hrozby či zranitelnosti cokoli změnilo. Libovolné dva z výše uvedených způsobů se navíc neshodnou na zařazení 24–76 % rizik a u 15–31 % rizik se přímo rozcházejí v tom, zda riziko padne za hranici „přijatelné ↔ nutno řešit“.

Jinými slovy, dvě zcela identické organizace se zcela stejnými riziky při poctivém a doslovném plnění vyhlášky mohou dojít k podstatně odlišným plánům zvládání rizik, jen proto, že si zvolily jiné (vyhláškou nestanovené a zcela opodstatnitelné) pravidlo pro převod skóre na kategorie. A to určitě není žádoucí…

Že nejde o pouhé kosmetické přerovnání rizik mezi kategoriemi, ale o reálně odlišné výstupy, ukazuje možná ještě lépe Jaccardův index popsaný výše.

Porovnáme-li jím množiny rizik, které jednotlivé způsoby dělení označí za neakceptovatelná (úrovně Vysoká + Kritická), vychází jejich vzájemná podobnost mezi třemi zkoumanými způsoby kategorizace v průměru pouhých 0,46. Nejhůře přitom dopadá porovnání dvojice kvantilový a rovnoměrný způsob (0,29), nejlépe pak kvantilový a geometrický způsob (0,67).

Převedeno do pochopitelnější podoby – ony dvě zcela identické, hypotetické organizace zmiňované výše se v případě, kdy budou využívat jiný mechanismus pro převod numerických skórů na kategorie, shodnou v průměru jen zhruba na polovině (a v nejhorším případě dokonce na necelé třetině) rizik, která je podle výsledku analýzy nutné řešit. Zbytek neakceptovatelných rizik se mezi nimi bude rozcházet.

Pro mechanismus, jehož celým smyslem je dát organizaci jednoznačnou prioritizaci rizik, u nichž je nezbytné aplikovat nápravná opatření (a dát auditorovi – i tomu přicházejícímu od regulátora – vodítko, zda řízení rizik funguje efektivně), jde o výsledek v podstatě diskvalifikující.

Principiální slabina práce s časovými okny

Na závěr přehledu neduhů metodiky z vyhlášky zaslouží zmínku ještě jedna drobnost vztažená k výše diskutovaným časovým oknům, s nimiž pracuje tabulka pro hodnocení dostupnosti aktiv, a to, kolik informace jedno časové okno nezbytně zahodí. Časové okno z principu zachytí jediný práh (tolerovaný výpadek), ale neřekne nám vůbec nic o tom, jak ztráta nad tímto prahem roste. Tento problém samozřejmě není vlastní pouze metodice z vyhlášky, ale postihuje jakoukoli metodiku, která považuje délku tolerovatelného výpadku aktiva za jediný indikátor hodnoty aktiva v oblasti dostupnosti.

Aby bylo možné prakticky ukázat, proč je výše uvedený přístup problematický, představme si dvě aktiva se stejným tolerovaným výpadkem 4 hodiny, a tedy se stejnou úrovní dostupnosti dle vyhlášky. U prvního aktiva roste ztráta po dosažení této doby lineárně s délkou výpadku (25 000 Kč za hodinu), u druhého naskočí po překročení prahu jednorázová smluvní či regulatorní pokuta ve výši 1 200 000 Kč. Je zjevné, že jediný výpadek v délce 5 hodin by měl pro organizaci výrazně rozdílné dopady (u druhého aktiva mnohonásobně vyšší), zatímco velmi dlouhý výpadek (např. týdenní) by byl naopak dražší u prvního aktiva, přestože z pohledu vyhlášky by bylo (za předpokladu identických zbylých vstupů) s oběma aktivy spojeno absolutně stejné riziko.

Jak by se v případě výše uvedených aktiv lišila skutečná roční očekávaná ztráta? Při realistickém, log-normálním rozdělení délek výpadků (konkrétně medián výpadku 2 hodiny, rozptyl ~0,6 řádu, frekvence 2 výpadky za rok) vychází ALE prvního aktiva ≈ 148 tis. Kč/rok a druhého ≈ 737 tis. Kč/rok, tedy zhruba pětinásobný rozdíl. Jediné časové okno, do něhož by obě aktiva a s nimi spojená rizika padla, tento rozdíl nedokáže zachytit, protože „nevidí“ tvar ztrátové křivky nad prahem.

Je v praxi možné smysluplně použít tabulky z vyhlášky bez jakýchkoli úprav?

Spojíme-li všechny výše uvedené poznatky dohromady, můžeme říci, že výchozí tabulky jsou bez překalibrování využitelné (a to pouze jako nástroj pro hrubé třídění rizik) jen tehdy, platí-li současně všechny následující podmínky:

• tolerované výpadky aktiv organizace spadají do pásma 15 minut až 1 den a rozprostření aktiv je dostatečné (přes ~2–3 řády), aby zaplnilo alespoň tři související úrovně dostupnosti,
• očekávaná frekvence realizace hrozeb spadá do pásma 0,2–12 událostí za rok (jinak osa hrozby saturuje podobně jako osa dostupnosti),
• velikosti možných dopadů jsou zhruba rovnoměrně rozprostřeny mezi hodnotové úrovně (po řádech), nikoli stlačené do jedné či dvou úrovní, a
• organizace si pevně zvolí jedno pravidlo pro převod součinu na kategorie, zdokumentuje jej a výsledek používá výhradně k odlišení rizik spadajících do jednotlivých kategorií (tedy odlišení Nízkého rizika od Kritického), a rizika ve stejné kategorii považuje za neseřazená.

Jaká organizace ale výše uvedená omezení splňuje? Neb každá organizace je jiná, samozřejmě není možné na tuto otázku jednoznačně odpovědět, aby však bylo možné alespoň částečně odhadnout, jaké reálné organizace by uvedené podmínky splňovat potenciálně mohly, byla provedena simulace pěti typů organizací/hypotetických povinných osob různé velikosti a sektoru. Podotýkám, že jde pouze o ilustrativní příklady/profily, kdy „banka“ nebo „nemocnice“ slouží jen jako snadno pochopitelná nálepka pro určitou kombinaci tempa, frekvence hrozeb a velikosti dopadů. Níže uvedené tedy prosím nevnímejte jako tvrzení o tom, jak přesně vypadá jakákoli konkrétní instituce, nebo potvrzení toho, že pro organizaci určitého typu jsou tabulky z vyhlášky bezpodmínečně vyhovující bez dodatečných úprav.

Resp., neb simulace byla zaměřena pouze na tabulku/osu dostupnosti (a okrajově na hrozby), protože právě tato tabulka je ve vyhlášce ukotvena v pevných číslech, můžeme stejně usuzovat pouze na to, zda by pro určitou organizaci byla vyhovující v nezměněné podobě tato tabulka.
Každý organizační profil byl simulován tak, že jeho tempo (připomeňme, že tímto termínem je myšlen medián tolerovaného výpadku), frekvence hrozeb a dopady byly generovány log-normálními rozděleními s parametry obecně odpovídajícími danému typu organizace (např. banka: tempo v jednotkách minut, dopady v desítkách milionů Kč, úřad: tempo ve dnech, dopady v jednotkách milionů Kč apod.). Log-normální bylo zvoleno proto, že – jak jsme diskutovali výše – nejlépe odpovídá realitě.

Pro každý profil je níže uvedená jeho dominantní úroveň dostupnosti (tedy úroveň, do níž „spadne“ nejvíce aktiv), efektivní počet využitých úrovní dostupnosti a hrozby a shoda výstupu se skutečnou ALE (τ):

Typ organizace	Dominantní úroveň dostupnosti	Efekt. úrovně dostupnost / hrozba	τ vs. ALE	Použitelnost tabulek
Velká banka / platební služby	Kritická	1,9 / 3,3	0,67	Částečná, nutná kalibrace
Středně velká nemocnice	Vysoká	3,7 / 3,3	0,70	Použitelné pro hrubé třídění
Malý poskytovatel cloudové služby	Vysoká	1,9 / 2,2	0,67	Částečná, nutná kalibrace
Velký provozovatel energetické soustavy (OT)	Kritická	1,0 / 3,6	0,70	Nutná úprava (osa dostupnosti zcela saturuje)
Malý obecní úřad / veřejná správa	Nízká	2,5 / 3,0	0,70	Použitelné pro hrubé třídění

Jednotlivé typy organizací zaslouží alespoň krátké vysvětlení:

• Velký provozovatel energetické soustavy (OT) reprezentuje organizaci, jejíž tempo je v sub-sekundách až minutách – z povahy energetické soustavy je pro takovou organizaci i vteřinový výpadek potenciálně vysoce významný, a téměř všechna rizika spojená s výpadky tak spadnou do úrovně Kritická (efektivně 1,0 úrovně, tedy osa dopadů na dostupnost fakticky nenese žádnou informaci). Okno s „podlahou“ v minutách totiž nerozliší výpadek ochranného mechanismu SIS, který musí reagovat v desítkách milisekund, od výpadku dohledového HMI s tolerancí výpadku 5 minut. Lehce ironické tedy je, že ačkoli vyhláška v § 27 průmyslová a řídicí aktiva výslovně reguluje, její vlastní výchozí stupnice pro hodnocení dostupnosti je pro ně zcela slepá.
• Malý poskytovatel cloudové/digitální služby reprezentuje organizaci se stejnorodým tempem v desítkách minut, která prakticky nepřetržitě musí řešit nápor automatizovaných útoků na dostupnost. Saturuje zde osa dostupnosti i osa hrozby (1,9 a 2,2 úrovně) a o výsledném riziku pak rozhoduje téměř výhradně hodnocení zranitelnosti. Bez úpravy stupnic nedává použití tabulek z vyhlášky smysl.
• Velká banka / platební služby: tempa velmi nesourodá (od sub-sekundového platebního systému po archivaci), medián v jednotkách minut ale stáhne většinu aktiv do úrovně Kritická. Hlavní potíží je, že v rámci téže úrovně dostupnosti se finanční dopady liší o řády, což okno nerozliší. I zde by byla pro efektivní použití nutná kalibrace tabulek.
• Středně velká nemocnice: díky své povaze přirozeně pokrývá široké spektrum – od systémů pro monitoring životních funkcí na JIP (minuty), přes klinické IT a OT systémy (hodiny), administrativní systémy (dny) až po archivní systémy (týdny). Osa dostupnosti využije ~3,7 úrovně a pásmo oken vhodně „prostřihne“. Výchozí tabulky z vyhlášky by zde tedy byly použitelné jako hrubé třídění i bez kalibrace.
• Malý obecní úřad: převážně administrativa a pro ni využívané systémy s tolerancí výpadků v řádu dnů a většina aktiv proto spadne do úrovně Nízká, ojedinělá aktiva s vysokými nároky na dostupnost (přístup k registrům, krizová komunikace) pak budou spadat do úrovně Vysoká či Kritická. Osa dostupnosti využije ~2,5 úrovně a poslouží tedy jako potenciálně rozumný hrubý třídicí mechanismus. Vedle „nemocnice“ uvedené výše jde tak o druhý z profilů, kde tabulky fungují nejlépe (byť zde by jim již pomohla významnější kalibrace).

Sečteno a podtrženo, podmínky pro alespoň částečně smysluplné použití nezměněných tabulek budou splňovat zpravidla středně velké, sektorově různorodé organizace se středním tempem. Pro časté případy mimo toto pásmo („real-time“ systémy a průmyslové řídicí mechanismy, služby citlivé na latenci, a naopak pomalé dávkové/archivní/back-office provozy) výchozí stupnice saturují a výstup je téměř konstantní nebo pořadově nekonzistentní.

Problémy nejsou jen česká specialita, aneb standardy ISO/IEC 27005 a NIST SP 800-30

Aby nevznikl dojem, že metodický aparát z české legislativy je jediným, který je hodný kritiky, byly stejné analýze popsané výše (stejná log-normální data, stejný etalon ALE) podrobeny i metodické přístupy ze dvou nejcitovanějších mezinárodních standardů pokrývajících problematiku řízení rizik v kybernetické bezpečnosti, a to z ISO/IEC 27005:2022 a NIST SP 800-30 Rev. 1. Pojďme se tedy podívat, jak si vedou tyto dvě alternativní metodiky.

Vzorový, čistě kvalitativní přístup z přílohy A normy ISO/IEC 27005 není možné jednoduše posoudit, neb žádná ze vzorových tabulek neobsahuje numerické hodnoty, o které by bylo možné se smysluplně opřít bez potřeby kalibrace pro konkrétní prostředí. Co však analýze podrobit můžeme, jsou vzorové tabulky u kvantitativního hodnocení, u nichž ISO doporučuje použít tzv. antilog přístup, při němž frekvenci i dopad vyjadřuje na logaritmické škále (úrovně odpovídají mocninám deseti, např. dopad 10² / 10³ / … / 10⁶ Kč, frekvence od ~1× za 10 let po ~1× za hodinu) a výsledné riziko získává součtem těchto logaritmicky odvozených úrovní. To je zásadní rozdíl oproti vyhlášce – součet logaritmů totiž odpovídá součinu skutečných hodnot (10³ × 10⁴ = 10⁷, tedy 3 + 4 = 7 na log-škále), takže ač navenek i ISO „jen sčítá úrovně“, ve skutečnosti provádí matematicky korektní násobení poměrových veličin. Přesně to je princip, který jsme jako „kalibrovaný součin“ zmiňovali výše.

Výsledek analýzy potvrzuje, že tento přístup je jednoznačně smysluplnější – na identických log-normálních datech dosáhl „antilog přístup“ dle ISO shody pořadí τ = 0,82 s pouhými 2,8 % převrácených dvojic, což je zdaleka nejlepší výsledek ze všech zkoumaných metod a výrazně lepší než vyhláška (τ = 0,70, 12 % převrácených dvojic). Jediná slabina doslovně převzatého přístupu z ISO normy byl vyšší podíl „nerozlišených“ dvojic (22 %), což ale není strukturální problém metodiky, jen důsledek hrubšího dělení do menšího počtu úrovní, který by bylo možné snadno eliminovat doplněním granulárnějších hodnot do frekvenčních a dopadových tabulek.

NIST SP 800-30 obsahuje vzorovou metodiku v přílohách G-I, přičemž příloha G obsahuje stupnici pro hodnocení pravděpodobnosti, příloha H stupnici pro hodnocení dopadu a příloha I obě veličiny kombinuje do výsledné úrovně rizika maticí I-2 o rozměrech 5x5. Na identických datech, na nichž byly ověřované oba zbylé přístupy, dosáhla tato metodika τ = 0,73 a jen 4 % převrácených dvojic. To však za cenu plných 31 % dvojic nerozlišených (matice má jen pět možných výstupních úrovní, takže u třetiny dvojic rizik prostě nedokáže rozlišit, které je vyšší). Dalo by se tedy říci, že přístup dle NIST chybuje v pořadí jen zřídka, ale je v posuzování jen velmi hrubý.

Závěr z tohoto srovnání je dvojí:

• Za prvé, slepé přejímání vzorových ordinálních tabulek je problematické bez ohledu na to, zda mají zdrojové materiály v záhlaví logo NÚKIB, NIST, nebo jakéhokoli jiného subjektu.
• Za druhé, jednoduchý a přesto matematicky validní přístup k hodnocení rizik existuje a je dokonce součástí jednoho z nejznámějších standardů v této oblasti. Zmínku přitom zaslouží, že přístup doporučovaný v ISO 27005 založený na využívání logaritmických škál nedává lepší výstupy než metodika z vyhlášky jen obecně, ale i pro v podstatě všechny naše modelové organizace popisované výše. U banky se při použití přístupu z ISO normy τ zvedlo z 0,67 na 0,77, u nemocnice z 0,69 na 0,82, u cloudu z 0,67 na 0,81 a u úřadu z 0,70 na 0,82. Jedinou výjimkou, která zůstala beze změny, byl OT profil (0,70 → 0,70), u něhož je osa dostupnosti v případě obou metodik irelevantní, protože o riziku rozhodují pouze frekvence a dopad. Shrnuto a podtrženo, logaritmické škály dávají podstatně přesnější výsledky než pevné ordinální tabulky a jejich obecné upřednostnění by tedy bylo namístě.

Závěr

Problematika efektivní a smysluplné analýzy rizik v kybernetické bezpečnosti rozhodně není jednoduchá, a nemá smysl tvářit se, že je tomu naopak. Jakákoli „jednoduše vypadající“ a „triviálně aplikovatelná“ metodika musí mít z principu významné nedostatky, což bohužel platí i u metodiky z vyhlášky.

Jak je demonstrováno výše, pro velké množství organizací z principu nemůže analýza rizik založená na beze změn převzatých tabulkách z vyhlášky dávat plně smysluplné výsledky, neb tyto tabulky nejsou (a z podstaty věci nemohou být) „nakalibrované“ na specifika konkrétních institucí, tedy na jejich velikost, hodnotu jejich aktiv, tempo jejich provozu, pro ně relevantní frekvence hrozeb ani jejich rizikový apetit. K tomu se navíc přidává matematicky neplatné násobení pořadových čísel, které může pořadí rizik i zcela převrátit, a navíc závislost výsledku na číselné volbě „akceptovatelného rizikového skóre“, pro níž vyhláška nestanoví žádné doporučení.

Pomineme-li principiálně nerozumný přístup k „násobení nenásobitelného“, dává v praxi doslovné přebírání celé metodiky včetně tabulek valnější smysl jen pro středně velké, sektorově různorodé organizace se středním tempem provozu, které navíc mají dopady realizací hrozeb rozprostřené přes více řádů a frekvence hrozeb v pásmu zhruba 0,2–12 událostí za rok. Pro jakékoli jiné organizace dává použití neupraveného metodického aparátu z vyhlášky výstupy, které jsou pro jejich prostředí jen velmi omezeně platné.

Proč je to problém? Protože tabulky z vyhlášky pro své analýzy rizik beze změny přebírá řada regulovaných organizací, tedy řada organizací, které jsou pro stát a pro občanskou společnost vysoce významné. Tyto organizace díky tomu již na úrovni základního mechanismu pro řízení kybernetické bezpečnosti musí (prokazatelně, jak je ukázáno výše) mnohdy dospívat k nevalidním závěrům. A řídit kybernetickou bezpečnost na základě nevalidních vstupů má asi stejný význam jako řídit na základě nevalidních vstupů cokoli jiného…

Co by tedy bylo vhodné provést, aby se situace zlepšila? Pojďme se nejprve podívat na to, co by mohl udělat regulátor.

Krátkodobě by se NÚKIB měl určitě zamyslet nad tím, zda by neměl z pozice regulátora u každé regulované organizace, která si tabulky neupravila, požadovat explicitní numerický důkaz o tom, že doslovně převzaté tabulky jsou pro její prostředí validní. Možná argumentace tím, že tabulky jsou (jen) vzorové, by byla lichá. Buď jsou tabulky jen vzorem, který je nutné upravit, a pak by regulátor měl jejich vhodnou úpravu kontrolovat (a absenci úpravy vytýkat), nebo si regulátor stojí za tím, že jsou tabulky obecně použitelné. V takovém případě by pak ale měl NÚKIB odborné komunitě představit smysluplnou argumentaci podloženou něčím, co numericky vyvrátí závěry výše uvedené analýzy. Třetí možnost, tedy že „tabulky sice nejsou použitelné pro všechny, ale nikdo nekontroluje, zda u těch regulovaných subjektů, které je používají, dávají smysl“, zjevně není obhajitelná, byť představuje častou soudobou praxi.

Ve střednědobém horizontu by pak bylo bezpochyby vhodné upravit metodiku ve vyhlášce tak, aby byla alespoň koncepčně smysluplná – tedy aby neobsahovala matematicky nevalidní „násobení nenásobitelného“ (a místo něj např. doporučovala onen výše diskutovaný „antilog přístup“ po vzoru ISO 27005) a aby místo zdánlivě univerzálních pevných tabulek nabízela buď tabulky výslovně označené jako výchozí, s vynucenou kalibrací, nebo rovnou metodu, jak si kalibrované tabulky odvodit. Konkrétně by mohla:

• U dostupnosti a u hrozeb nahradit dnešní úzká pevná okna buď širším, logaritmicky rozloženým výchozím rozsahem (orientačně: Kritická < 1 min, Vysoká 1 min – 1 h, Střední 1 h – 1 den, Nízká > 1 den), nebo – lépe – přímo pokynem „hranice úrovní položte do 25., 50. a 75. percentilu tolerovaných výpadků vlastních aktiv“ (a „hranice úrovní položte do 25., 50. a 75. percentilu očekávané frekvence realizace hrozeb“). Tím by se zajistilo, že stupnice budou pro každou organizaci nést maximum informace, místo aby pro značné procento z nich saturovaly.
• U důvěrnosti a integrity je situace jiná a je třeba si ji přiznat: tyto dvě dimenze nemají přirozenou číselnou osu, na jejíž percentily by šlo hranice posadit, takže je nelze kalibrovat stejně jako dostupnost či frekvenci. Nejčistším řešením by tedy bylo vyjádřit i jejich dopad v penězích – odhadnout, kolik by organizaci stálo vyzrazení (důvěrnost) nebo neoprávněná změna (integrita) daného aktiva – a zařadit je tak na tutéž peněžní osu dopadu jako dostupnost, díky čemuž by byly percentily nakalibrovány úplně stejně (což je obecně žádoucí). Tím by se tři oddělené stupnice C/I/A fakticky transformovaly do jediné konzistentní osy „dopad v Kč" (což mimochodem přesně odpovídá dvoufaktorovému i kvantitativnímu přístupu uvedenému v následujících doporučeních pro regulované organizace).

Zde je možné namítnout, že žádná kvalitativní analýza rizik z principu nebude dávat přesné výsledky, ani pokud by došlo k výše uvedeným změnám tabulek spojených s jejich povinnou kalibrací. Do jisté míry je to pravda, sám si však stojím za tím, že dobře zpracovaná kvalitativní analýza, v níž jsou explicitně popsány důvody pro volbu jednotlivých kvalitativních hodnocení, poskytuje přinejmenším dobrý podklad pro diskuzi a oponenturu rozhodování v oblasti kybernetické bezpečnosti, a je rozhodně lepší než nic. Podstatné však je, že analýza musí být dobře zpracovaná – tedy že jednotlivé kvalitativní stupně musí mít relevanci pro danou organizaci a její prostředí.

V této souvislosti je na místě zmínit, že v tuzemské bezpečnostní komunitě aktuálně probíhá záslužná snaha některých kolegů – např. Michala Hanuse a Miroslava Čermáka – o osvětu v oblasti smysluplného řízení rizik, zaměřená na prosazování plně kvantitativních analýz. S některými východisky kolegů se plně ztotožňuji – kvantitativní přístup je bezpochyby nejčistším řešením analýzy rizik a tento článek je toho ostatně sám ilustrací (všechny „rozsudky“ nad tabulkami z vyhlášky jsme vynesli právě s pomocí kvantitativního etalonu). Současně si ale, jak jsem již zmínil, nemyslím, že by použití čistě kvalitativních analýz bylo nezbytně špatné a nesmyslné. Kvalitativní přístup k hodnocení rizik je bezpochyby sub-optimální, nicméně vhodnými úpravami jej lze dostat alespoň do stavu, kdy může fungovat jako „hrubý třídič“ na rizika…

V souvislosti s tím zaslouží zmínit, že organizacím, které se mezi kvantitativním a kvalitativním přístupem nemohou aktuálně rozhodovat prostě proto, že na efektivní kvantifikaci rizik nemají lidi ani peníze, a jednoduchý kvalitativní přístup je tak pro ně jedinou reálnou možností, bych proto doporučil postupovat některou z cest popsaných níže (zralejším či personálně „bohatším“ organizacím bych pak rozhodně doporučil zvážit přechod na plně kvantitativní přístup).

Cesta první, efektivní, ale drobně náročnější: vše předělejte dle specifik vaší organizace

Vyhláška to, připomeňme, explicitně umožňuje (příloha 1 odst. 2, příloha 4 odst. 3). Postup je přitom přímočarý:

• Sepište si svá aktiva a pro každé z nich odhadněte tolerovaný výpadek, možný dopad realizace hrozeb v korunách a očekávanou frekvenci relevantních hrozeb (hrubé odhady stačí – pracujeme s řády).
• Hranice úrovní každé stupnice položte do geometrických kvartilů vašich vlastních dat (tedy do 25., 50. a 75. percentilu) – pokud budou vaše data i v budoucnu konzistentní se vzorkem užitým pro kalibraci, zaručíte tím, že všechny čtyři úrovně budou reálně využity a stupnice ponesou maximum informace.
• Zdokumentujte zvolené hranice i pravidlo převodu na výsledné kategorie ve své metodice hodnocení rizik (tu vyhláška v § 8 tak jako tak požaduje) a aktiva ve stejné kategorii považujte za neseřazená.

S tímto postupem pomůže skript kalibrace_tabulek.py, který je možné stáhnout zde a CSV šablona pro data o aktivech, která je k dispozici zde.

Výše zmíněný skript načte CSV s aktivy, které je mu možné předat jako parametr (pro každé aktivum je potřeba doplnit jen název, tolerovaný výpadek v hodinách, průměrný dopad realizace hrozby v Kč a frekvence hrozeb za rok), a následně ukáže, kolik úrovní výchozích tabulek vyhlášky konkrétní prostředí reálně využívá (a zda tedy dává smysl je v nezměněné podobě používat), a navrhne kalibrované hranice včetně reprezentativních hodnot jednotlivých pásem. Pokud skript spustíte bez parametru/bez vstupního CSV, vypíše vzorový výstup pro hypotetickou organizaci.

Kromě vyhodnocení tabulek z vyhlášky a návrhu nových, upravených mezí skript zároveň vypíše reprezentativní hodnoty každého pásma (geometrické středy), s nimiž lze případně provést onen výše diskutovaný matematicky korektní kalibrovaný součin, namísto násobení zástupných ordinálních hodnot.

Že data získaná s pomocí výše uvedeného skriptu dávají smysluplnější vstupy než nekalibrované tabulky z vyhlášky demonstrují příklady tří simulovaných modelových typů organizací – malého úřadu, středně velké nemocnice a velké banky (parametry odpovídají profilům popsaným výše, byť vstupní hodnoty byly zvoleny drobně rozdílně: úřad má tempo ve dnech a dopady v jednotkách milionů Kč, nemocnice tempo v hodinách a dopady v jednotkách až desítkách milionů, banka tempo v minutách a dopady v desítkách milionů Kč). Kalibrace hranic zvedla efektivní využití všech stupnic na plné 4 úrovně a shodu výstupu se skutečným rizikem z τ = 0,46–0,60 na τ = 0,76–0,77. Pro ilustraci, jak rozdílné kalibrované tabulky pro různé typy organizací vycházejí je vhodné uvést následující tabulky (hodnoty jsou zaokrouhlené výstupy simulace).

Stupnice dostupnosti (tolerovaný výpadek)	Kritická	Vysoká	Střední	Nízká
Malý úřad	< 14 h	14–48 h	48 h – 7 dní	> 7 dní
Nemocnice	< 30 min	30 min – 4 h	4–30 h	> 30 h
Velká banka	< 18 s	18 s – 2 min	2–13 min	> 13 min

Stupnice dopadu (hodnota aktiva)	Nízká	Střední	Vysoká	Kritická
Malý úřad	< 250 tis. Kč	0,25–1 mil. Kč	1–4 mil. Kč	> 4 mil. Kč
Nemocnice	< 0,4 mil. Kč	0,4–2 mil. Kč	2–10 mil. Kč	> 10 mil. Kč
Velká banka	< 2 mil. Kč	2–12 mil. Kč	12–77 mil. Kč	> 77 mil. Kč

Stupnice hrozby (frekvence/rok)	Nízká	Střední	Vysoká	Kritická
Malý úřad	< 0,3	0,3–0,8	0,8–2	> 2
Nemocnice	< 0,3	0,3–1	1–3	> 3
Velká banka	< 0,9	0,9–3	3–10	> 10

Povšimněte si, že „Kritická“ dostupnost znamená pro úřad výpadek pod 14 hodin, zatímco pro banku výpadek pod 18 sekund, a že „Kritický“ dopad je pro úřad zhruba dvacetinou „Kritického“ dopadu banky. Přesně tohle je informace, kterou jednotná tabulka z vyhlášky z principu nemůže nést.

Cesta druhá – extrémně jednoduchá, snadno pochopitelná a vysvětlitelná: situaci si zjednodušte zahrnutím zranitelností do hodnocení hrozeb

Zranitelnost v kontextu řízení rizik z podstaty koreluje buď s pravděpodobností úspěšné realizace hrozby (považujeme-li zranitelnost za faktor, který realizaci hrozby usnadňuje), nebo s jejím dopadem (považujeme-li ji za faktor ovlivňující rozsah postižení aktiva). Dvoufaktorová analýza typu dopad × pravděpodobnost je tedy konceptuálně plně validní a vyhláška ji v odst. 5 přílohy 4 i explicitně připouští (počítá přitom se sloučením stupnic pro hodnocení hrozeb a zranitelností). Postup využití tohoto faktu pro zpracování smysluplnější analýzy rizik je velmi jednoduchý:

• Pro každé riziko (kombinaci aktivum–hrozba) odhadněte dopad v korunách a očekávanou frekvenci realizace za rok, již po zohlednění zranitelností a zavedených opatření.
• Stanovte si rizikový apetit jako částku v Kč/rok, kterou jste u jednotlivého rizika ochotni nést.
• Riziko následně určete s pomocí výpočtu dopad × frekvence (zde jde o korektní násobení poměrových veličin, jehož výsledkem je orientační ALE).
• Rizika přesahující apetit následně řešte, rizika pod apetitem akceptujte.

Tento postup automatizuje druhý skript dvoufaktorova_analyza.py, který je dostupný zde (a šablona k němu dostupná zde). Ten vedle automatického vyhodnocení rizik poskytuje i některé další výstupy.

Pokud budete tedy pro reporting směrem k vedení nebo pro potřeby auditu regulátora potřebovat i vizuální rizikovou matici, je možné ji vygenerovat z kvartilů vlastních dat ve formátu 4×4, které vám skript automaticky vypíše. Pozor ale na barevné rozlišení. Klasické rizikové matice bez rozmyslu barví buňky podle úhlopříčky (levý dolní roh „zelený“, pravý horní „červený“), nicméně to je důsledek jednoho z problematických bodů, který jsme kritizovali výše – úhlopříčka předpokládá, že posun o úroveň znamená na obou osách totéž, což neplatí. Správné je obarvit každou buňku podle toho, zda orientační ALE v jejím středu překračuje váš rizikový apetit, nebo ne (např. červeně = nad apetitem, nutno řešit; zeleně = pod apetitem, akceptovatelné). Hranice mezi „zelenou“ a „červenou“ pak obecně nekopíruje úhlopříčku.

Navíc oproti výše zmíněnému postupu skript provádí ještě závěrečnou kontrolu, u kolika rizik se zjednodušená matice shoduje s přesným výpočtem. „Přesným výpočtem“ je míněno přímé spočtení ALE = frekvence × dopad pro každé jednotlivé riziko z jeho skutečných čísel (nikoli z reprezentativních hodnot pásem). Kvalitativní riziková matice totiž každé riziko zařadí do buňky a použije reprezentativní hodnotu pásma, takže se může od přesného výpočtu drobně lišit. Skript proto na rizika, u nichž by matice a přesný výpočet daly odlišný verdikt, výslovně upozorní – a pro prioritizaci uvnitř téže buňky vždy doporučuje použít přesné ALE, nikoli polohu v matici.

Cesta třetí, optimální: přejděte na čísla

Pokud má vaše organizace vyšší úroveň bezpečnostní vyspělosti, dostatek ambice, dat i lidí, pak je, jak již bylo řečeno, nejčistším řešením nahradit ordinální matice plně kvantitativním modelem. Tedy Monte Carlo simulacemi nad log-normálními vstupy a křivkou překročení ztrát, jak je popisují metodika FAIR či Hubbard se Seiersenem.

Zmínku zaslouží, že žádná z tří výše uvedených možností není odchylkou od vyhlášky – naopak, byla by to přesně ta kalibrace, kterou vyhláška z principu tiše předpokládá, jen ji bohužel nevynucuje. Jak je v každém případě demonstrováno výše, výchozí tabulky by měly být pro organizace, které je chtějí využít, maximálně výchozím bodem vyžadujícím z jejich strany úpravu, nikoli hotovým vstupem do analýzy…

Jak vybrat domácí meteostanici v roce 2026. Porovnání tří cest: hotová stanice, hotová s možností napojení na Home Assistant a vlastní DIY na ESP32 s čidly SHT40 a BME280. Poradím, jak vybrat radiační štít (koupený i 3D tištěný) a kam meteostanici správně umístit.

📖 Přečíst celý článek →

Aktualizace článku

• 27.6.
• 22.11. Přidáno krátké info o cross-origin a cross-site požadavcích

Zjistil jsem, že skoro v každém článku a přednášce některý z těch termínů používám a než abych to pokaždé vysvětloval (a navíc pokaždé jinak zjednodušeně), tak jsem se rozhodl z toho udělat tenhle článek, na který budu moci odkazovat. Skoro celý by se dal vyjádřit i následujícím obrázkem:

Do tajů URL a všech jeho částí nebudeme zabíhat, to bychom tu byli ještě přiští století. Vysvětlíme si jen to co je v nadpisu, protože na základě toho browser stanovuje určité hranice.

Představte si nějaké to jednoduché URL, třeba:

https://www.example.com/foo/bar

Doména

Tohle je možná spíš jen pro opáčko, ale bude se nám to hodit později. Doména v URL výše je www.example.com a má několik úrovní:

• Top-level doména (TLD) je com
• Doména druhé úrovně (2LD) je example.com
• Třetí úrovně (3LD) je www.example.com
• A tak dále

Místo domény může být i IP adresa, ale pro jednoduchost zůstaneme u domén.

Registrovatelná doména

Registrovatelná doména je ta část domény, kterou si můžete zaregistrovat nebo pronajmout ať už od registrátora domén nebo od jiného subjektu, který poskytuje např. blogy na subdoménách. Odhlédhneme-li od nějakého dalšího delegování, tak všechny subdomény pod tou registrovatelnou, včetně ní, patří stejné organizaci.

Dalo by se také říci, že registrovatelná doména je to, co píšete do registračního formuláře. Když chcete mít web na www.michalspacek.cz, tak si taky registrujete jen michalspacek.cz. Ovšem ne vždy se registrovatelná doména rovná doméně druhé úrovně.

To je případ třeba Velké Británie, kde si univerzity a další akademické instituce mohou registrovat domény, které shodně končí na ac.uk (ac jako academia) a liší se až doménou třetí úrovně. Příkladem budiž dvě rivalské univerzity Oxford (ox.ac.uk) a Cambridge (cam.ac.uk). Další časté koncovky jsou co.uk (pro komerční subjekty) a net.uk (poskytovatelé připojení k Internetu), celkem jich je skoro 20.

Stejné je to i v mnoha jiných zemích, často jsou k vidění např. subdomény ….gov.něco pro různé vládní organizace. Podobně to platí i pro domény různých úložišť, jako třeba ….s3.amazonaws.com pro službu Amazon S3 nebo domény jako ….blogspot.com pro gůglovo Blogger.

Registrovatelným doménám se někdy hovorově říká i „naked domain“, „base domain“, „root domain“ nebo třeba „apex domain“. Tyto výrazy se snad nikdy nepřekládají do češtiny, protože pod některými těmi výrazy by si mnozí jistě představili něco zcela jiného.

Registrovatelná doména je definována v URL standardu.

Efektivní top-level doména (eTLD) a eTLD+1

Efektivní top-level doména, zkráceně eTLD, je doména o úroveň výše než registrovatelná doména. eTLD je doména, pod kterou se registrují další domény, které obvykle mají různé vlastníky. Často se eTLD rovná samotné TLD, ale v mnoha případech tomu tak není. Pohledem na doménu není bohužel možné jednoduše algoritmicky ani regulárním výrazem zjistit její efektivní top-level nebo registrovatelnou doménu, ale existuje seznam eTLD, do nějž se můžeme (strojově) podívat, viz dále.

Efektivní top-level doména plus jedna neboli eTLD+1, je pak to samé jako registrovatelná doména.

eTLD nemůže být registrovatelná, jinými slovy: registrovatelná doména z eTLD je nic.

Public suffix list (PSL)

PSL je seznam efektivních top-level domén, eTLD, akorát tady jim říkají „public suffix“, protože jsou to v podstatě přípony veřejně přímo registrovatelných domén. Soubor je dostupný z webu publicsuffix.org (přímý link) a aktualizuje se pomocí „pull requestů“ na GitHubu.

Část kódu, která se snaží najít eTLD třeba pro www.foo.blogspot.com.au, se do toho seznamu musí podívat a odzadu zjistit jestli:

• Je au „public suffix“? Je, podobně jako jiné národní domény (ccTLD).
• Je com.au „public suffix“? Je.
• Je blogspot.com.au „public suffix“? Taky je.
• Je foo.blogspot.com.au „public suffix“? Ne, není.
• Je www.foo.blogspot.com.au „public suffix“? Taky ne.

Výsledkem tedy je, že efektivní TLD (eTLD) je blogspot.com.au, registrovatelná doména a zároveň eTLD+1 je foo.blogspot.com.au.

Ve skutečnosti je to trochu složitější, protože v seznamu se vyskytují i záznamy s * a !, jako např. *.ck ([cokoliv].ck je eTLD) a !www.ck (… kromě www.ck), ale to pro jednoduchost vynecháme.

Je také potřeba projít celou doménu, nestačí se zastavit na prvním „ne“, protože by se klidně mohlo stát, že se na „public suffix“ narazí až někde později: eTLD domény soubory.s3.amazonaws.com je s3.amazonaws.com, protože stejně jako com, tak i s3.amazonaws.com je „public suffix“, ale jen amazonaws.com není.

Prohlížeče používají public suffix list nejčastěji k omezení cookies, aby nešly nastavit s platností pro všechny domény s příponou .co.uk apod. Firefox seznam používá i ke zvýraznění domén v adresním řádku.

Public suffix list používají i certifikační autority při vydávání tzv. wildcard certifikátů pro HTTPS, nesmí totiž vydat certifikát pro např. *.co.uk. Můžete ho použít i vy, třeba k varování vašich uživatelů ve smyslu „tohle asi nechcete dělat s touto doménou“, ideálně ale k ničemu dalšímu. Knihovny existují pro spoustu jazyků, osobně mám zkušenost s knihovnou PHP Domain Parser, která umí použít i lokálně cachovaný seznam.

Origin

Pojmem origin se označuje ta část URL, která obsahuje protokol (přesněji schéma), doménu a port.

Všimněte si, že origin nekončí lomítkem, tím už naopak začíná cesta (path) /foo.

Same origin

Pojmem same-origin policy označujeme několik různých omezení, která dovolují dvou věcem nějak dohromady fungovat jen a pouze pokud mají „same origin“ vztah, zjednodušeně řečeno pokud mají stejné originy.

Same-origin policy se používá i např. k omezení JavaScriptu běžícího v iframe (typicky třeba jako součást nějaké reklamy), aby nemohl krást, pardon, číst z rodičovského dokumentu např. pomocí window.parent.document.getElementById('username'), pokud ten iframe a rodičovský dokument nemají stejný origin. V takovém případě to nelze ani obráceně, rodičovský dokument nemůže přistupovat k obsahu iframe (např. pomocí document.getElementById('iframe').contentWindow.document.getElementById('username')).

✔️

• https://example.com/foo a https://example.com/bar jsou „same origin“
• https://foo.bar.baz.test/foo a https://foo.bar.baz.test/bar jsou „same origin“, na doméně nezáleží, může to být .com i .cokoliv, jen musí být v obou případech stejná

❌

• https://example.com/foo a https://www.example.com/bar nejsou „same origin“ (example.com a www.example.com není stejná doména)
• https://example.com/foo a http://example.com/bar nejsou „same origin“ (https a http nejsou stejné protokoly)
• https://example.com:4431/foo a https://example.com:4432/bar nejsou „same origin“ (mají rozdílné porty)

Další informace o originu i same originu podané o něco formálnějším jazykem se dozvíte v HTML specifikaci.

Site

Pojmem „site“ se často obecně až skoro hovorově označuje celý web, stránky, server, nebo tak něco. Pokud se ovšem ponoříme do trochu striktnějších vod, tak site znamená podmnožinu URL, do které patří protokol (schéma) a registrovatelná doména.

Same site

Dvě URL nebo dva originy jsou „same site“, pokud se rovnají jejich sites, tedy když mají stejné protokoly (schéma) a registrovatelné domény. Na rozdíl od same originu, v tomto případě nezáleží na portu ani na celé doméně.

✔️

• https://example.com/foo a https://example.com/bar jsou „same site“ (i „same origin“), jejich site je https a example.com
• https://example.com/foo a https://foo.bar.example.com/bar jsou „same site“ (ale ne „same origin“), site je shodně https a example.com
• https://www.example.com/foo a https://foo.bar.example.com/bar jsou „same site“, site obou je https a example.com
• https://www.cam.ac.uk/ a https://www.cambridgestudents.cam.ac.uk/ jsou „same site“, jejich site je https a cam.ac.uk

❌

• https://example.com/foo a http://example.com/bar mají různé protokoly a tak nejsou „same site“ přestože jejich registrovatelná doména je stejná
• https://www.ox.ac.uk/ a https://www.cam.ac.uk/ nejsou „same site“, mají různé registrovatelné domény ox.ac.uk a cam.ac.uk
• https://example.com/ a https://example.net/ nejsou „same site“, mají různé registrovatelné domény example.com a example.net
• https://example.com./ a https://example.com/ nejsou „same site“, mají různé registrovatelné domény example.com. a example.com, ta tečka na konci je podstatná

„Same site“ kontroly používá např. browser pro omezení cookies, které v požadavku buď odešle, nebo ne, podle toho, zda jste na odkaz kliknuli na stejném site jako je site cílové adresy, dle nastavení cookie atributu SameSite.

Pojmy site i same site jsou detailněji popsány v HTML specifikaci. Za zmínku stojí snad i to, že existuje „same site“ porovnávání bez schématu (schemelessly same site), při němž se porovnávají jen registrovatelné domény. To se kdysi používalo pro cookies, ale pak se přešlo na „schemeful same site“ porovnávání, ve kterém schéma také hraje roli, a kterému dnes říkáme prostě jen „same site“.

Cross-origin a cross-site požadavky

Požadavkům, které vznikly na jednom originu, ale načítají něco z jiného originu, říkáme „cross-origin“ požadavky, je to v podstatě opak „same originu“.

Podobně „cross-site“ požadavky, opak „same site“, vznikly na jednom site, ale načítají něco z jiného site. Jen bacha na to, že někde, např. v názvech útoků jako Cross-Site Scripting (XSS) nebo Cross-Site Request Forgery (CSRF), se „site“ používá v tom obecném významu, ne ve výše uvedeném významu „schéma + registrovatelná doména“.

Raději same origin

Koncept site a public suffixů a jejich seznamu tedy vyžaduje nějakou manuální práci, aby co nejvíce odpovídal aktuální realitě, a trochu tak připomíná toho jednoho borce z Nebrasky. Pokud byste psali nějakou specifikaci, tak je vhodnější použít spíš origin a same origin, jinak se definice site může lišit browser od browseru, protože každý z nich může používat jinou verzi PSL.

Ten sice spravuje Mozilla, tvůrce Firefoxu, takže ty „velké“ prohlížeče i ty „menší“ na nich postavené budou asi v pohodě, ale i tak je dobré zvážit to, jestli chcete bezpečnost vašeho díla založit na tom, jestli někdo přidá řádek do nějakýho souboru a jestli si ten soubor někdo jiný včas stáhne. Nechcete.

Použití „same site“ také zvyšuje atraktivitu subdomén pro útočníky. Převzetí subdomén („subdomain takeover“) je reálný útok, kterým útočníci mohou obejít různá omezení používající „same site“ porovnávání. K tomu všemu jim může stačit i jen zapomenutá subdoména, která se na nic nepoužívá.

Raději tedy same origin.

Open-source repozitář se stovkou IoT projektů na ESP32, ESP8266 a Raspberry Pi Pico v MicroPythonu. Chytré zavlažování, RFID zámek, detekce plynu, WiFi robot a meteostanice - s kódem i zapojením. Aktualizace: interaktivní přehled projektu. Vyberte si desku a zaměření projektu a automaticky se vám zobrazí shodující se projekty.

📖 Přečíst celý článek →

Zveme Vás na dvacátý první ročník konference OpenAlt.

Konference OpenAlt se snaží o poskytnutí platformy pro lidi se zájmem o vývoj a využití svobodného a otevřeného softwaru, hardwaru a licencí.

Termín konference se letos plánuje na tradiční první listopadový víkend na půdě Fakulty informačních technologií VUT v Brně, která již poskytla zázemí pro mnohé ročníky konference.

Uvítáme jak laiky, kteří teprve svět otevřeného software začínají objevovat, tak i zkušené odborníky a budeme rádi, podělíte-li se o vaše znalosti, zkušenosti a názory s ostatními návštěvníky.
Téma, které chcete prezentovat lze zaregistrovat prostřednictvím online formuláře do 4. října 2026.

Témata konference:

• Otevřený a svobodný software: Otevřené operační systémy, webové technologie, databáze, virtualizace, kontejnery.
• IoT a Hnutí tvůrců: DIY projekty, coworking, hackathony, 3D tisk, Arduino, ESP32, Raspberry Pi.
• Vzdělávání: Alternativní směry, online vzdělávání, respektující přístup, OpenScience.
• Bezpečnost a soukromí: Šifrování, sledování, zálohování dat, monitoring, audit, hacking.
• Otevřená společnost, komunity a data: Otevřená data, licence, Big Data, OpenStreetMap, svobodné umění.
• OpenMobility: FairPhone, postmarketOS, Ubuntu Phone, SailfishOS, Plasma Mobile.
• Další témata: Vše, co spadá do zaměření spolku OpenAlt.​

Konferenci i letos plánujeme přenášet živě za pomocí serveru VHSky.cz a YouTube a posléze poskytneme záznamy.

Pro realizaci konference také hledáme dobrovolníky, ať už pro pomoc s organizací před uskutečněním konference, tak i na místě. V případě zájmu nám napište e-mail na info@openalt.cz.

Těšíme se na Vaši účast.

---

We invite you to the 21st annual OpenAlt Conference.

The OpenAlt Conference aims to provide a platform for people interested in the development and use of free and open-source software, hardware, and licenses.

This year’s conference is planned for the traditional first weekend of November at the Faculty of Information Technology of Brno University of Technology (FIT BUT), which has hosted many previous editions of the conference.

We welcome both newcomers who are just beginning to discover the world of open-source software and experienced professionals. We would be delighted if you shared your knowledge, experience, and opinions with other attendees.

You can submit your presentation topic through the online registration form until October 4, 2026.

Conference Topics

• Free and Open-Source Software – Open operating systems, web technologies, databases, virtualization, and containers.
• IoT and the Maker Movement – DIY projects, coworking, hackathons, 3D printing, Arduino, ESP32, and Raspberry Pi.
• Education – Alternative approaches, online learning, respectful education, and Open Science.
• Security and Privacy – Encryption, surveillance, data backup, monitoring, auditing, and hacking.
• Open Society, Communities, and Data – Open data, licensing, Big Data, OpenStreetMap, and free culture.
• Open Mobility – FairPhone, postmarketOS, Ubuntu Phone, SailfishOS, and Plasma Mobile.
• Other Topics – Anything that falls within the scope and interests of the OpenAlt association.

As in previous years, we plan to live-stream the conference via VHSky.cz and YouTube and make recordings available afterwards.

We are also looking for volunteers to help with conference preparation and on-site organization. If you are interested, please contact us at info@openalt.cz.

We look forward to seeing you at OpenAlt!

(více…)

Existujú články, ktoré si človek prečíta raz a ide ďalej. A potom sú také, ku ktorým sa pravidelne vracia. Pre mňa je jedným z nich The 37signals Guide to Making Decisions od Jasona Frieda, ktorý publikoval na X. Nie preto, že by obsahoval nejaký revolučný manažérsky framework. Práve naopak. Jeho sila spočíva v jednoduchosti.

Článok obsahuje 38 otázok, ktoré si v 37signals kladú pri rozhodovaní. Nie sú to pravidlá ani checklist, ktorý treba bezhlavo odškrtávať. Sú to otázky, ktoré pomáhajú pozrieť sa na problém z iného uhla. Napríklad: Prečo sa vlastne rozhodujeme práve teraz? Čo sa stane, ak sa nerozhodneme? Dá sa toto veľké rozhodnutie rozdeliť na tri menšie? Je toto rozhodnutie vratné? Čo by sme si o ňom mysleli o rok?

Keď som článok dočítal, napadla mi jedna myšlienka. Väčšina ľudí sa k nemu pravdepodobne už nikdy nevráti. Nie preto, že by nebol dobrý, ale preto, že v momente, keď potrebujeme urobiť dôležité rozhodnutie, si málokto otvorí uloženú záložku a začne čítať 38 otázok. A pritom práve vtedy by sa hodili najviac.

Výsledkom je Decision Framework Skill (nielen) pre Claude. Nevypisuje všetkých 38 otázok naraz. Naopak, najskôr sa snaží pochopiť kontext rozhodnutia a potom vyberá iba tie otázky, ktoré dávajú zmysel. Pri jednoduchom rozhodnutí možno položí tri alebo štyri. Pri strategickom ich môže byť viac. Na konci zhrnie argumenty, upozorní na riziká, pomenúva predpoklady a až potom navrhne smer.

Pri návrhu som sa snažil zachovať filozofiu 37signals. Skill nerozhoduje za používateľa a nesnaží sa vytvoriť ilúziu, že AI vie lepšie, čo je správne. Jeho úlohou je zvýšiť kvalitu ľudského rozhodovania. Ak používate Claude pravidelne, pravdepodobne viete, že odpovedať vie veľmi dobre. Mňa však zaujímalo, či dokáže byť rovnako dobrý aj v kladení otázok.

Kvalitné rozhodnutia často nezačínajú lepšími odpoveďami, ale lepšími otázkami.

Skill automaticky komunikuje v jazyku, v ktorom s Claude hovoríte. Ak používate slovenčinu, otázky aj zhrnutie budú po slovensky. Ak angličtinu, zostane pri angličtine. Celý framework je navyše navrhnutý tak, aby sa dal jednoducho rozšíriť alebo prispôsobiť vlastnému štýlu rozhodovania.

Ak vás pôvodný článok zaujal rovnako ako mňa, odporúčam prečítať si ho celý. A ak používate Claude, môžete si vyskúšať aj moju implementáciu vo forme otvoreného Claude Skillu.

 

Od 1. května do 15. června 2026 probíhal druhý ročník Měsíce vědy na Wikipedii, který společně připravily Wikimedia Česká republika, Univerzita Karlova a Fyzikální ústav Akademie věd ČR. Do výzvy se zapojilo 78 účastnic a účastníků, kteří upravili nebo rozšířili 584 hesel, z nichž 365 vzniklo zcela nově, a nahráli 70 fotografií. Společně tak pomohli zpřístupnit ověřené informace o vědě a výzkumu milionům lidí, kteří Wikipedii využívají jako první zastávku při hledání informací. 

Věda mění svět. Wikipedie ji zpřístupňuje lidem 

Věda ovlivňuje náš každodenní život, ale mnoho důležitých poznatků zůstává ukrytých v odborných publikacích a akademických databázích. Právě proto Wikimedia Česká republika pořádá Měsíc vědy na Wikipedii. Jeho cílem je zpřístupňovat ověřené informace široké veřejnosti a převádět odborné poznatky do podoby, která je srozumitelná a dostupná všem.

“Výzva zároveň pomáhá doplňovat chybějící obsah na české Wikipedii. Účastnice a účastníci vytvářejí nové články o vědeckých tématech, výzkumu, vědkyních a vědcích, rozšiřují stávající hesla a doplňují kvalitní zdroje. Měsíc vědy tak propojuje svět výzkumu s veřejností a pomáhá dostávat kvalitní informace k milionům lidí, kteří Wikipedii využívají při studiu, práci i každodenním hledání informací,” říká Klára Joklová, výkonná ředitelka spolku Wikimedia Česká republika. 

584 nových nebo rozšířených hesel, 78 zapojených lidí

Letos se do výzvy zapojilo 78 účastnic a účastníků.

Společně:

• upravili nebo rozšířili 584 hesel,
• vytvořili 365 nových článků,
• nahráli 70 fotografií a videí.

Za těmito čísly jsou desítky hodin práce s odbornými zdroji, vědeckými publikacemi i archivními materiály. Účastníci a účastnice vyhledávali informace, ověřovali fakta, doplňovali reference a převáděli odborné poznatky do encyklopedické podoby, která je srozumitelná široké veřejnosti. Každý nový nebo rozšířený článek tak pomáhá zpřístupňovat vědecké poznání tisícům lidí, kteří na Wikipedii hledají první informace o vědě, výzkumu a jejich dopadech na společnost.

O významu Wikipedie pro zpřístupňování vědeckých poznatků debatovaly během Měsíce vědy také Klára Joklová a Milada Moudrá v podcastu Dobro skladem. Věnovaly se mimo jiné tomu, jakou roli hraje Wikipedie v době rozmachu umělé inteligence a proč je důležité, aby kvalitní a ověřené informace zůstávaly veřejně dostupné. Jako příklad zazněl i nově vzniklý článek o fyzikovi Allanu Línkovi, konstruktérovi prvního samočinného počítače v Československu. Právě podobné příběhy ukazují, jak může Wikipedie pomáhat uchovávat a zpřístupňovat znalosti pro další generace. 

Den, kdy se na Wikipedii psala věda

Vrcholem letošního Měsíce vědy na Wikipedii byl hlavní editaton, který se uskutečnil 14. května v historické knihovně Fyzikálního ústavu Akademie věd ČR na pracovišti Cukrovarnická. Akce ukázala, jak může spolupráce mezi Wikimedia Česká republika a vědeckými institucemi přispívat k lepší dostupnosti ověřených informací. Právě propojení odborného prostředí s komunitou dobrovolných editorů a editorek pomáhá dostávat vědecké poznatky, fotografie i další obsah k široké veřejnosti prostřednictvím Wikipedie.

„Spolupráce s Wikimedia Česká republika představuje pro výzkumné instituce příležitost, jak s relativně malým úsilím oslovit velmi široké publikum. Když se podaří kvalitní fotografie nebo odborný obsah dostat do správných článků na Wikipedii, jejich dopad může být překvapivě velký. Jen fotografie z Fyzikálního ústavu použité ve wikipedických článcích si během jediného měsíce zobrazily desetitisíce čtenářů a čtenářek. Nejde přitom primárně o propagaci instituce, ale o to, aby články o vědeckých tématech byly kvalitnější, srozumitelnější a lépe ilustrovaly to, o čem pojednávají,“ říká Míla Moudrá z Fyzikálního ústavu Akademie věd ČR.

Po úvodním slovu a krátkém představení principů Wikipedie se účastníci a účastnice pustili do psaní a rozšiřování článků. V jedné místnosti se potkali zkušení wikipedisté a wikipedistky, studenti a studentky, lidé z akademického prostředí i úplní nováčci, kteří si editaci vyzkoušeli vůbec poprvé. Po celou dobu jim byli k dispozici lektoři a lektorky, kteří pomáhali s prací se zdroji, citacemi, autorskými právy i technickými aspekty editování.

Editaton ale nebyl jen o samotném psaní článků. Ještě před zahájením editační části si účastníci mohli vybrat ze dvou doprovodných programů. První skupina se vydala na komentovanou prohlídku památkově chráněného areálu Fyzikálního ústavu, jehož budovy vznikly ve stylu art deco. Druhá skupina nahlédla přímo do laboratoří, kde se dozvěděla více o vývoji fotovoltaických panelů, jejich výrobě i budoucnosti solární energetiky. Díky ukázkám křemíkových krystalů i hotových článků mohli účastníci propojit témata, o nichž následně psali, s reálným vědeckým výzkumem.

Měsíc vědy nebyl jen o jednom editatonu

Měsíc vědy na Wikipedii se letos neomezil pouze na hlavní editaton ve Fyzikálním ústavu. Program nabídl řadu dalších akcí, které propojovaly Wikimedia projekty s akademickým prostředím, otevřenou vědou i vzděláváním.

Důležitou součástí programu byl webinář Open Science a projekty Wikimedia – kde začít?, který představil možnosti zapojení univerzit a výzkumných institucí do otevřeného sdílení znalostí. Účastníci a účastnice se seznámili s příklady dobré praxe z českého i zahraničního prostředí a diskutovali o tom, jak mohou Wikimedia projekty pomáhat naplňovat principy otevřené vědy.

Na Fyzikálním ústavu Akademie věd ČR proběhl také interní seminář pro zaměstnance a zaměstnankyně zaměřený na využívání Wikipedie a dalších projektů Wikimedia ve vědecké komunikaci. Ukázal, že spolupráce mezi výzkumnými institucemi a Wikimedia komunitou nemusí končit jednorázovou akcí, ale může se stát součástí dlouhodobého zpřístupňování vědeckých poznatků veřejnosti.

Do Měsíce vědy se zapojili také studenti a studentky Fakulty architektury ČVUT, kteří v rámci editatonu Historické stavby jdou na Wiki převáděli své seminární práce do podoby encyklopedických článků. Vznikly tak nové texty propojující architekturu, historii i technické obory a zároveň si účastníci a účastnice osvojili práci se zdroji, citacemi a principy otevřeného sdílení informací.

Wikimedia Česká republika se navíc vůbec poprvé představila na Veletrhu vědy v Letňanech jako součást expozice Fyzikálního ústavu AV ČR. Návštěvníci a návštěvnice si mohli vyzkoušet znalostní kvízy, dozvědět se více o fungování Wikipedie a zjistit, jak se mohou sami zapojit do tvorby svobodných znalostí. Závěr výzvy pak patřil online editatonu Dopiš svůj vědecký článek, který pomohl účastníkům a účastnicím dokončit rozpracované texty a připravit je k publikaci.

Měsíc vědy končí, věda na Wikipedii pokračuje

Součástí letošního ročníku byla také soutěž pro editorky a editory, kteří během výzvy vytvářeli nebo rozšiřovali články a nahrávali fotografie s vědeckou tematikou. O ceny do soutěže se postarali partneři projektu – Fyzikální ústav Akademie věd ČR, populárně-naučný podcast Zjisti víc a vydavatelství RF Hobby. V těchto dnech porota vyhodnocuje jednotlivé příspěvky a vybírá nejzajímavější články i fotografie. Výsledky budou zveřejněny v následujících týdnech.

Letošní ročník ukázal, že když se propojí vědecké instituce, univerzity a komunita dobrovolných editorů a editorek, mohou během několika týdnů vzniknout stovky nových zdrojů poznání dostupných zdarma pro každého. Každá editace přitom pomáhá zpřístupňovat vědecké poznání dalším lidem. A právě to je smyslem Wikipedie i Měsíce vědy na Wikipedii. 

Každá firma začína ako punk. Žiadne smernice. Žiadne schvaľovacie kolečká. Žiadny dokument „ako u nás robíme veci". Rozhodnutia padajú pri káve. Klient niečo potrebuje = niekto to spraví. Niečo horí = všetci hasia. Kto je najbližšie, ten to rieši.

A funguje to.

To je na tom to najlepšie a zároveň najnebezpečnejšie. Ono to naozaj funguje. Niekedy roky.

Až do dňa, keď prestane. A ten deň nepríde s fanfárami. Príde potichu, cez zabudnutú faktúru, strateného klienta a nového člověka, ktorý sa po mesiaci stále pýta, ako sa tu vlastne čo robí.

Prečo punk na začiatku vyhráva

Nie je to náhoda ani nedbalosť. Punk na začiatku vyhráva, lebo je to racionálna stratégia.

Písal som o tom v článku Firma je ako výstup na horu, že firmy nevznikajú z dokumentov. Vznikajú z energie a príležitosti. Na začiatku je energia, nie definície. A presne tak je to správne.

Malý tím má zdieľaný kontext. Všetci vedia všetko, lebo všetci sedia v jednej miestnosti, či už fyzicky alebo mentálne. Informácia sa šíri rýchlosťou rozhovoru. Dôvera nahrádza kontrolu. A rýchlosť je v tejto fáze otázka prežitia.

Zaviesť procesy v tíme piatich ľudí je ako postaviť semafory na poľnej ceste. Nie je to zrelosť. Je to predčasná optimalizácia.

Trh sa nepýta, či máte org chart. Pýta sa, či mu viete dodať.

Takže, ak máte do desať ľudí a fungujete na punk, tak nie ste nezrelí. Ste presne tam, kde máte byť.

Otázka nie je, či je punk zlý. Otázka je, kedy prestane stačiť.

Dá sa to úplne bez procesov?

Poviem to na rovinu, lebo túto otázku dostávam často: nie.

Ale nie z dôvodu, ktorý čakáte.

Aj „nemáme procesy" je proces. Len ho nikto nenapísal, nikto ho neschválil a každý si ho vykladá po svojom. Faktúry sa vystavujú „nejako". Noví ľudia sa zaúčajú „nejako". Klientske požiadavky sa odovzdávajú „nejako".

To „nejako" je váš proces. Existuje. Len je neviditeľný, nekonzistentný a závislý od toho, kto má práve dobrý deň.

Proces totiž nie je byrokracia. Proces je rozhodnutie, ktoré ste urobili raz, zapísali a už ho nemusíte robiť znova. Každé ráno, v každej situácii, s každým novým člověkom.

Punk is dead

Nie je to o dátume. Je to o signáloch. A tie signály majú prekvapivo presnú veľkosť firmy.

Okolo 10–15 ľudí padne prvá vec medzi stoličky, nie na konkrétne miesto. Klient čakal odpoveď, každý si myslel, že ju posiela ten druhý. Nič vážne. Zatiaľ.

Okolo 15–25 ľudí sa rovnaká chyba stane tretíkrát. A tu pozor, lebo tretíkrát je magické číslo. Raz je náhoda. Dvakrát je smola. Trikrát je chýbajúci proces.

Okolo 25–40 ľudí prestáva fungovať „spýtaj sa Petra". Peter má v hlave fakturáciu, prístupy, históriu klientov a dôvody, prečo sa veci robia tak, ako sa robia. Peter je váš najväčší risk. Nie preto, že je zlý. Ale preto, že je jediný.

Nad 40 ľudí to začne cítiť zákazník. A to je bod, za ktorým punk prestáva byť šarmantný a začína byť drahý.

Ak ste čítali CEO ako tri energie, tento moment spoznávate. Je to presne ten bod, kde Hero musí začať púšťať volant a zapínať Architekta. Punk je energia Hero fázy - rýchla, intuitívna, na hrane. Procesy sú práca Architekta. A founder, ktorý tento prepínač nenájde, sa stane brzdou vlastnej firmy.

Štyri signály, ktoré sa oplatí sledovať bez ohľadu na veľkosť: rovnaká chyba sa opakuje, kritická znalosť žije v jednej hlave, nový človek sa po mesiaci stále stráca v základných veciach, a zákazník si všimol chaos. Ktorýkoľvek z nich znamená, že na tom mieste má vzniknúť proces. Nie všade. Presne tam.

Ktoré oddelenia prichádzajú na rad prvé

Toto je poradie, ktoré odporúčam a nie je náhodné. Ide podľa toho, kde neprocesnosť bolí najviac a najskôr.

1. Money. Vždy peniaze.

Fakturácia, cash flow, schvaľovanie výdavkov. Toto je prvé, vždy a bez výnimky.

Lebo zabudnutá faktúra nie je prevádzkový problém. Je to existenčný problém. Firma neumiera na zlý produkt tak často, ako umiera na to, že jej nedošli peniaze, ktoré jej patrili. A štát sa nepýta, či ste punk - daňové termíny platia aj pre garáž.

Toto je oblasť, kde proces nepotrebujete, keď sa niečo pokazí. Potrebujete ho predtým.

2. Odovzdávka medzi predajom a delivery

Klasika, ktorú zažila každá rastúca firma: obchodník sľúbi, dodávka sa diví.

Kým predáva founder a dodáva ten istý founder, problém neexistuje. V momente, keď predáva niekto iný než dodáva, vzniká medzera. A v tej medzere sa strácajú očakávania, termíny a marže.

Jednoduchý odovzdávací protokol, čo sme sľúbili, dokedy, za koľko, s akými výnimkami vám ušetrí viac vzťahov s klientmi než akýkoľvek CRM systém.

3. Onboarding nových ľudí

V momente, keď naberáte aspoň jedného člověka mesačne, onboarding prestáva byť „posaď sa vedľa Zuzky a pozeraj".

Nie preto, že by Zuzka bola zlá učiteľka. Ale preto, že každý nový člověk dostane inú verziu firmy = podľa toho, vedľa koho si sadol. Po roku máte desať ľudí a desať rôznych predstáv o tom, ako sa tu robia veci.

Onboarding je mimochodom najlacnejší proces, aký kedy zavediete. Stačí zdieľaný dokument: prístupy, nástroje, kto čo rieši, prvý týždeň krok za krokom. Dve hodiny práce. Návratnosť pri prvom nástupe.

4. Zákaznícka podpora

V punkovej fáze odpovedá klientom ten, kto má čas. Funguje to, kým je klientov málo a všetci ich poznáte po mene.

Prestane to fungovať v momente, keď prvý klient napíše druhýkrát, lebo na prvý mail nikto neodpovedal. Prvý ticket, ktorý spadol pod stôl, nie je vidieť zvnútra. Zvonku je vidieť dokonale.

5. Vývoj a release

Ak staviate produkt: moment, keď piatkový deploy položil produkciu a nikto nevedel, čo presne sa nasadilo, je moment, keď potrebujete release proces. Ideálne ste ho potrebovali deň predtým.

Čo môže ostať punk najdlhšie

A teraz druhá strana, lebo toto nie je oslava procesov. Sú miesta vo firme, kde punk nie je len prípustný, ale je nutný.

Marketingové experimenty. Product discovery. Hľadanie nových trhov. Brainstormingy. Interné rituály a kultúra. Všade tam, kde hľadáte niečo nové, proces škodí. Lebo proces je optimalizácia známeho. A objavovanie nie je známe.

Tu je princíp, ktorý to celé drží pokope:

Procesy patria tam, kde sa veci opakujú. Punk patrí tam, kde sa veci objavujú.

Fakturácia sa opakuje = proces. Hľadanie nového segmentu sa neopakuje = punk. Onboarding sa opakuje = proces. Vymýšľanie kampane = punk.

Firmy, ktoré to nepochopia, majú buď chaos všade, alebo cintorín kreativity.

Pozor na druhý extrém: procesné divadlo

Lebo existuje aj opačná choroba. A je rovnako drahá. V článku o troch energiách CEO som napísal vetu, ktorá sem presne sedí: Architekt, ktorý všetko zprocesní, zabije dynamiku.

Firma, ktorá sa zľakne vlastného rastu, začne procesovať všetko. Schvaľovacie kolečko na nákup kávy. Trojstupňový proces na zmenu textu na webe. Meeting o tom, kedy bude meeting.

Spoznáte to podľa troch vecí: existuje proces, ktorý nikto nevie vysvetliť prečo. Schválenie trvá dlhšie než samotná práca. A ľudia začnú hovoriť „to nie je moja kompetencia" - veta, ktorá v punkovej fáze neexistovala.

Proces má slúžiť ľuďom. Keď ľudia začnú slúžiť procesom, niekde ste odbočili nesprávne.

Preto platí ešte jedno pravidlo, na ktoré sa zabúda: procesy treba aj rušiť. Každý proces niečo stojí: čas, energiu, kus slobody. Raz za rok si prejdite všetky a pri každom sa spýtajte: ktorú bolesť tento proces rieši? Ak si nikto nespomenie, zrušte ho. Bez sentimentu.

Takže...

Punk nie je fáza, z ktorej treba vyrásť. Je to energia, ktorú treba chrániť tým, že ju nasadíte tam, kde má zmysel.

Proces nezavádzajte preto, že „už sme na to dosť veľkí". To je kostým dospelosti, nie dospelosť. Ako som písal pri výstupe na horu - zrelosť neprichádza plánovaním. Prichádza uvedomením. A tu to platí rovnako: proces zavádzajte ako odpoveď na opakovanú bolesť, nie ako dôkaz dospelosti.

Tretíkrát rovnaká chyba? Proces. Znalosť v jednej hlave? Proces. Zákazník cíti chaos? Proces. Všade inde nechajte punk žiť.

A poradie si pamätajte: najprv peniaze, potom odovzdávky, potom ľudia, potom zákazník, potom release. Nie preto, že je to dogma. Ale preto, že presne v tomto poradí to firmy bolí.

Otázka na záver

Dve otázky, vlastne. Každá ukazuje na opačný koniec problému.

Ktorá chyba sa u vás tento rok stala už tretíkrát? Tam má vzniknúť váš ďalší proces.

A ktorý proces u vás existuje tak dlho, že už nikto nevie prečo? Ten je kandidát na zrušenie.

Ak na prvú otázku odpoviete „neviem", nemáte málo procesov. Máte málo pozornosti. A to je teda horšie.

Pokud vás někdy napadlo, co je za letadlo, které právě přelétá nad vaším domem, pravděpodobně jste sáhli po některé z mobilních aplikací typu FlightRadar24. Projekt ESP32 Plane Radar ale přináší zajímavější řešení – vlastní stolní radar postavený na ESP32, který v reálném čase zobrazuje letadla ...

📖 Přečíst celý článek →

NASA má na GitHubu veřejný repozitář s více než stovkou STL modelů, které si zdarma stáhnete a vytisknete na vlastní 3D tiskárně – od rakety Saturn V přes rover Curiosity až po asteroidy a mlhoviny. Všechny soubory jsou public domain, takže se o licence starat nemusíte. V článku ukážu, co všechno repozitář obsahuje, jak modely stáhnout a na co si dát při tisku pozor.

📖 Přečíst celý článek →

Chtěl bych vám představit hru Brännball. Máte-li rádi baseball nebo softball, jsem si jistý, že se vám bude líbit. Tvrdím, že tomu propadnou i lidé těmito sporty nepolíbení. Pokud už jste někdy zkoušeli, tak jste jistě narazili na to, že počítání bodů je trochu komplikovanější, tak jsem si spíchl jednoduchou pomůcku pro rozhodčí.

Úvod

Jsem malý a slabý. Snažím se držet v kondici, ale jako dítě jsem byl oproti vrstevníkům v nevýhodě. Na vesnici lze hrát fotbal a ten mi nikdy nešel, navíc mi to prostředí nesedí. Později jsem se našel v rekreačním softballu (oddílů tenkrát nebylo mnoho a když, tak daleko ve městě, hromadnou dopravou obtížně až nemožně dostupné). Ernest Hemingway měl údajně prohlásit, že baseball jsou nejrychlejší šachy na světě. To bylo něco pro mě, mrštnost a chytrost, kde tělesná výška nehrála takovou roli. S oblibou dávám k dobru už otřepanou historku, že pořádně jsem se naučil házet až na vysoké škole (technického zaměření), kde jsem si softball zapsal na tělocvik. Na základce jsem házel krikeťákem naprosto příšerně, neměl jsem sílu a techniku nikdo neučil.

Srdce mě pořád táhne k softballu. Na čtrnáctidenních táborech lze děti naučit základům hry, ale jedná se o složitá pravidla a motoricky náročné pohyby. Nehledě na množství potřebného vybavení i hráčů.

Až mi někdo doporučil hru Brännball.

Brännball

Nejdříve jsem to trochu nafoukaně přehlížel, protože se hraje s tenisákem, a že to nemůže být zdaleka tak dobré. Jenže děti, se kterými jsem chtěl hrát softball, byly na plnohodnotnou hru ještě příliš malé a navíc jsem ani neměl vybavení pro všechny. Začal jsem tedy Brännball trochu studovat.

Zásadní je, že si to ze softballu bere strategický pohyb po hřišti a celkovou zábavnost, na druhou stranu odebírá složité a otravné záležitosti. Směny ohraničuje časový limit, žádné outy, na odpal je v podstatě nekonečně pokusů, na metu se dostane každý, i nezkušený hráč. Vůbec se neřeší nadhoz (softball taky samozřejmě podporuje variantu odpalu ze stativu). Tenisák je levnější a bezpečnější než tvrdý softballový míč. Pálka je prkno (skoro zadarmo, minimální práce s úpravou), navíc odpal něčím placatým je snažší než něčím kulatým

Pravidla mi na první pohled nedávala úplně smysl (asi zejména protože jsem se příliš upínal na svoje znalosti softballu), ale nakonec jsem si vystačil s těmito třemi instruktážními nahrávkami:

Brännball na školskom ihrisku

Netradiční sportovní hry - BRÄNNBALL - Pravidla

Netradiční sportovní hry - BRÄNNBALL - Potřebné vybavení

Pak jsme si to jednou zahráli a všechno mi docvaklo.

Mám opakovaně vyzkoušené, že i s úplnými nováčky lze během 90 minutovém bloku natrénovat techniku házení, chytání i odpalu, vysvětlit pravidla a stihnout sehrát dvě směny. Jedinou nevýhodou mi přijde víc práce s počítám bodů. Nově na to mám aplikaci, viz níže. Po metách se typicky pohybuje víc hráčů než v softballu, takže bez rozlišováků si to nedokážu představit. I tak se hodí, abyste na hru nebyli jediným rozhodčím.

Označení hřiště

Nejpracnější na přípravě je vytyčení hřiště. Osvědčily se mi kužely a paracordy v signálních barvách. O provázky občas někdo zavadí a posune je. Chci si proto na 3D tiskárně vyrobit několik připínáčků, které se používají k přichycení lukostřeleckých terčů, snadno se zabodnou do země a nebude nic nebezpečně vyčuhovat. V plánu mám dokoupit obruč k přesnějšímu vytyčení stanoviště brännera.

Aplikace pro rozhodčí

Jak jsem již zmiňoval, počítání bodů je komplikované. Bod můžete získat za oběh, za přešlap brännera, za chycení míčku i za spálení hráče, který není bezpečně na metě (tím není výčet kompletní). Po každé spáleném míči jsem si dřív čárkoval na papíru do připravených chlívečků, ale mnohdy to pomotal.

Až jsem se hecnul a vyrobil jednoduchou aplikaci pro rozhodčí Brännballu. Respektive je to prostá webová stránka, takže nemusíte nic instalovat, jen otevřete na telefonu. Ovládání by mělo být intuitivní.

Zdrojový kód jsem dal dohromady s pomocí AI, k dispozici na GitHubu. Zatím jsem testoval jen na iPhone. Dejte vědět jak a jestli vám funguje i na Androidu.

ESP32, S2, S3, C3, C6, H2, C5, P4 i chystaný S31 – který čip vybrat pro váš projekt? Srovnávací tabulka periferií, rozhodovací strom podle use-case, přehled softwarových platforem a tipy, kde koupit vývojové desky v Česku.

📖 Přečíst celý článek →

Kdyby zítra z vesmíru zmizely všechny satelity, jako první by si lidé všimli, že nefunguje navigace a bankovní systémy. Velmi rychle by to však zasáhlo i další infrastrukturu, a proto je rozvoj vesmírného průmyslu naprosto klíčový. Aktuálně k němu se svou družicí přispívají i studenti z VUT. Na první pohled je to jen malá kostka o hraně deset centimetrů. Ve skutečnosti ale jde o první český satelit navržený a sestrojený výhradně studenty, který na palubě rakety Falcon 9 už brzy zamíří na oběžnou dráhu. Za úspěchem vesmírné mise KOSTKA stojí studentský tým YSpace pod vedením Šimona Slobody. 🛰️🪐🚀

Jak fungují družice na oběžné dráze? Co všechno musí přežít během startu rakety i pobytu ve vesmíru? Proč jsou kosmické technologie důležité pro náš každodenní život? A bude jednou vesmír přeplněný?

Timeline epizody:

1:02 – Jak fungují satelity a proč je potřebujeme
2:47 – Co by se stalo, kdyby všechny družice přestaly fungovat
5:45 – Vesmírný odpad a budoucnost oběžné dráhy
7:25 – První studentský satelit KOSTKA
14:02 – Tvůrčí tým YSpace a vývoj satelitu
16:12 – Spolupráce s ESA a budoucnost projekt
20:40 – Start rakety a první signál
23:17 Proč investovat do vesmíru

Letadla, rádio, vysílačky nebo třeba satelity – to vše zachytíte pomocí levného RTL-SDR dongle za pár stovek korun. V tomto praktickém tutoriálu ukážu, jak jej rozjedete na Ubuntu/Debian Linuxu krok za krokem. Žádné složité závislosti, jen terminál a pár příkazů.​ Přidám i návod na Windows. Aktualizace: přidán i interaktivní průvodce - co poslouchat a řešení chyb.

📖 Přečíst celý článek →

Už mám za sebou stovky hodin s 3D tiskárnami a 3D tiskem - a člověk se pořád učí. V tomto článku dostanete odpověď na váš problém týkající se 3D tisku. A navíc teď s intuitivním průvodcem začátečníka v 3D tisku.

📖 Přečíst celý článek →

Při rozsáhlém dronovém útoku na Moskvu v noci na 18. června 2026 zasáhl požár ropnou rafinerii v jihovýchodní části města. Amatérská čidla zapojená do sítě sensor.community zachytila u zdroje extrémní nárůst koncentrace pevných částic - hodnoty PM10 vyskočily z klidové noční úrovně na špičky přesahující 1000 µg/m³.

📖 Přečíst celý článek →

Telefon se přes USB-C nenabíjí, monitor nejde nebo je SSD pomalý? Vysvětlení problematiky USB-C srozumitelně – PD, CC vodiče, e-marker – plus interaktivní detektiv, který najde viníka a poradí, co s tím.

📖 Přečíst celý článek →

Ve společnosti v poslední době rezonuje zákaz sociálních sítí dětem a mladistvým. V některých zemích ho už zavádějí, u nás se o tomto kroku vážně diskutuje. Souhlasím s tím, že mainstreamové sociální sítě opravdu nejsou vhodné prostředí pro děti, ale nedokážu se ubránit dojmu, že jsme ten problém uchopili za špatný konec.

Společnost Commodore, kdysi slavný výrobce počítačů jako Commodore 64 či Amiga, která vloni prošla znovuzrozením poté, co se skupině kolem Christiana Simpsona podařilo obstarat všechna práva na tuto značku (ale nikoliv třeba právě na Amigu a související hardware), představila na dnešní poměry poněkud zvláštní mobilní telefon, který se chystá v následujících měsících uvést na trh.

Jedná se o tlačítkový flipový telefon Commodore Callback 8020, který má dokonce po vzoru přístrojů z 90. let externí anténu, nicméně uvnitř se nachází hardware odpovídající chytrému telefonu na výkonově spíše spodní straně současné nabídky. Použité SoC MediaTek Helio G81 má dvě výkonná a šest úsporných jader, operační paměť má mít kapacitu 4 GB a flashové úložiště pojme včetně operačního systému 64 GB dat.

A právě na úrovni operačního systému to začíná být zajímavé. Tím je Sailfish OS od finské společnosti Jolla, nicméně  speciálně upravený tak, aby telefon uživateli bral co nejméně jeho volného času. Na úrovni systému jsou tak ve výchozím stavu blokovány například sociální sítě (s výjimkou komunikátoru WhatsApp), kromě položek v obchodě Commostore, který bude spravovat přímo Commodore, nepůjde přímo z telefonu instalovat žádné aplikace a ve výchozím stavu má být dokonce zablokován dotyk na vnitřním displeji.

Vnější displej pak podle všeho nebude vůbec standardní LCD, oficiální materiály jej popisují jako "VFD-style", nicméně je možné, že půjde o nějakou variantu LED zobrazovadla nebo jednoduchého OLED. Většinu notifikací má obstarat řada barevných LED pod tímto displejem, jejichž cílem je, aby uživatel poznal, co se děje a přístroj nemusel primárně vůbec otevírat. 

Co se konektivity týká, údajně záměrně bylo vynecháno 5G, telefon bude schopen fungovat pouze ve starších sítích, nicméně jelikož v USA to znamená prakticky pouze 4G/LTE, protože starší sítě tam již byly plošně vypnuty, není zcela jasné, bude-li telefon 2G a 3G sítě podporovat. WiFi, Bluetooth a GPS podporovány jsou.

Cena přístroje je v předprodeji dle varianty (lišící se prakticky jen barvou) mezi cca 10300 a 13300 Kč (web automaticky přepočítá do korun), kdo předobjedná do konce měsíce, ten může získat slevu až 100 USD (ta již přepočítána není).

Zdroje:

• Flip-Phone - Commodore
• Commodore-tiedote

Na sociálních sítích to zatím tento počin poměrně drsně schytává i od uživatel/blogů, které mají slovo Commodore v názvu, tedy od skalních fanoušků. Po stolním počítači Commodore 64 Ultimate se očekávalo, že se firma vydá cestou předělání nějakého dalšího modelu do moderní podoby, předražený mobil pro důchodce (parafráze tweetu jednoho z fanoušků) nečekal nikdo. 

Zveme Vás na červnový sraz spolku OpenAlt, tentokrát se potkáme na spřátelené konferenci DevConf.cz.

Naše spolkové srazy jsou volně přístupné a otevřené všem zájemcům nejen o otevřené technologie.

Sraz se bude konat v pátek 19. 6. 2026 během obědové pauzy (tedy cca v 11:40) na konferenci DevConf.cz na Fakultě informačních technologí VUT v Brně na adrese Božetěchova 1/2. Setkáme se v okolí fontány s kačenkama na „náměstí“, v případě nepříznivého počasí pak u hlavního vchodu na fakultu.

Upozornění – na konferenci DevConf.cz je potřeba se zdarma registrovat!

Pokud se ztratíte, nebojte a volejte +420 910 117 377, nebo pište na konferenčním Telegramu.

Zobrazit větší mapu

---

We invite you to the June meetup of the OpenAlt association; this time we will meet at our friendly DevConf.cz conference.

Our association meetings are freely accessible and open to all interested not only in open technologies, we invite you to the meeting of the OpenAlt association this time too.

The meetup will take place on Friday, June 19, 2026, during the lunch break (approx. at 11:40 AM) at the DevConf.cz conference at the Faculty of Information Technology, Brno University of Technology (FIT BUT) at the address Božetěchova 1/2. We will meet around the fountain with the ducks at the „square“; in case of bad weather, we will meet at the main entrance to the faculty.

Please note: Free registration is required for the DevConf.cz conference!

If you get lost, don’t worry and call +420 910 117 377, or write to us on the conference Telegram.

Zobrazit větší mapu

Firma rastie. Z piatich ľudí je pätnásť. Z pätnástich tridsať. Founder už nestíha hovoriť s každým. Rozhodnutia sa hromadia. Veci, ktoré sa kedysi vyriešili pri káve, teraz úplne nemajú svoje miesto.

Niekto musí začať viesť ľudí. A tu nastane moment, ktorý zažila každá rastúca firma - len málokto o ňom hovorí nahlas: vo firme často nie je nikto, kto by vedenie ľudí niekedy profesne robil.

Founder je odborník, ktorý založil firmu okolo svojho remesla. Prví zamestnanci sú odborníci, ktorých nabral pre ich zručnosti. Nikto z nich neviedol tím. Nikto z nich nebol nikdy vedený dobre - takže nemajú ani vzor.

A tak sa urobí to jediné, čo sa zdá logické: povýši sa najlepší z nich. Stretnutie. Dobrá správa. Úsmev. Podanie ruky. „Verím ti. Zvládneš to."

A potom každý odíde na svoje miesto a rieši ďalšiu vec. Nový team leader odchádza s vyšším platom, novým titulom a pocitom hrdosti. Žiadny plán. Žiadny mentor. Žiadna príprava. Len očakávanie, že to nejako vyjde.

Väčšinou nevyjde.

A tu je tá nepríjemná pravda, ktorú si vedenie firmy málokedy prizná: keď nový manažér zlyhá, nie je to jeho zlyhanie. Je to vaše.

Najlepší odborník nie je automaticky najlepší manažér

Je to logická paca, do ktorej padá takmer každá firma. A padá do nej z dobrých úmyslov.

Máte najlepšieho developera. Najlepšieho obchodníka. Najlepšieho projekťáka. Je spoľahlivý, dodáva, kolegovia sa na neho obracajú. Chcete ho oceniť. Chcete ho udržať. A jediný nástroj, ktorý máte, je povýšenie.

Tak ho povýšite.

Lenže vedenie ľudí nie je pokračovanie odbornej práce. Je to iná profesia. S inými zručnosťami, inými metrikami úspechu a inou psychológiou.

Byť výborný v práci znamená, že viete veci robiť. Byť výborný manažér znamená, že viete vytvoriť podmienky, aby veci robili iní. To prvé ste trénovali roky. To druhé ste netrénovali ani deň.

A firma to vie. Len sa tvári, že nevie.

Sedliacky rozum funguje. Chvíľu...

Treba povedať jednu vec na rovinu: niektorí noví manažéri to zo začiatku zvládajú prekvapivo dobre.

Bez tréningu, bez mentora, bez príručky. Fungujú na sedliacky rozum a na jednu jednoduchú otázku, ktorú si kladú v každej situácii:

„Ako by som chcel, aby sa môj šéf zachoval, keby som bol na ich mieste ja?"

A je to silná otázka. Keď niekto v tíme urobí chybu - spomenie si, ako sa cítil, keď chybu urobil on, a čo vtedy potreboval počuť. Keď treba rozdeliť nepopulárnu úlohu - rozdelí ju tak, ako by ju chcel dostať sám. Keď má niekto slabší týždeň nechá ho dýchať, lebo vie, aké to je.

Empatia a zdravý úsudok dokážu nahradiť veľa chýbajúceho tréningu. A tím to cíti nový šéf je férový, ľudský, jeden z nich.

Lenže sedliacky rozum má strop.

Funguje, kým sú situácie podobné tým, ktoré človek sám zažil. Prestane fungovať, keď príde niečo, čo nikdy nezažil: konflikt dvoch seniorov, ktorí majú obaja čiastočne pravdu. Človek v tíme, ktorý dlhodobo nepodáva výkon, ale ľudsky je skvelý. Moment, keď treba povedať nie vlastnému bývalému parťákovi. Hodnotiace rozhovory, kde sa rozhoduje o platoch ľudí, s ktorými včera sedel pri obede.

Na toto „ako by som to chcel ja" nestačí. Lebo tu už nejde o to, čo by chcel jednotlivec - ide o to, čo potrebuje tím, firma a niekedy aj ten člověk sám, hoci to v tej chvíli nechce počuť.

A presne v tomto bode sa láme rozdiel medzi manažérom, ktorý dostal podporu, a manažérom, ktorého firma nechala napospas.

Prvých 90 dní: tichý rozpad

Toto sa deje v hlave nového team leadera a žiadny dashboard to nezachytí.

Prvé dva týždne ide na autopilota. Robí to, čo vie = odborné veci. Skáče do úloh. Opravuje za ostatných. Je rýchlejší než ktokoľvek v tíme, tak prečo delegovať. Vyzerá to ako výkon. V skutočnosti je to symptóm.

Po mesiaci prídu prvé one-on-one stretnutia. Nevie, čo sa na nich pýtať. Tak sa rozpráva o úlohách.

Po dvoch mesiacoch sa objaví prvý konflikt v tíme. Odloží ho. Nikto ho nenaučil, ako sa do konfliktu pustiť, tak čaká, že sa vyrieši sám. Nevyrieši.

Po troch mesiacoch sedí večer nad laptopom a v hlave má otázku, ktorú nikdy nevysloví nahlas:

Spravil som chybu, že som na to kývol?

Medzitým dvaja seniori z jeho tímu aktualizujú životopisy. Nie preto, že majú zlého šéfa. Ale preto, že nemajú žiadneho.

Koľko to firmu reálne stojí

Stredný manažment je vrstva s najväčším dosahom vo firme. CEO ovplyvňuje priamo pár ľudí. C-level pár desiatok. Ale stredný manažment? Ten sa dotýka každého jedného člověka v organizácii. Každý deň.

Keď táto vrstva nefunguje, deje sa toto:

Vízia zhora sa nedostane dole. Môžete mať najlepšiu stratégiu na svete - ak ju stredný manažment nevie preložiť do každodennej práce, neexistuje. Energia tímov klesá. Ľudia nepracujú pre firmy, pracujú pre šéfov. Zlý šéf = odchod. Žiadny šéf = odchod. Najlepší ľudia odchádzajú prví. Lebo majú kam. A odnesú si know-how, do ktorého ste roky investovali. A nakoniec: nový manažér, ktorého ste nepripravili, po roku trápenia odíde tiež. Konkurencia ho rada zoberie a doplní mu vzdelanie, ktoré ste mu mali dať vy.

Zaplatili ste za jeho rast. Úrok zinkasuje niekto iný.

Čo s tým: tri veci, ktoré zmenia všetko

Toto nie je o ďalšom HR procese. Sú to tri rozhodnutia, ktoré musí urobiť vedenie firmy. Nikto iný ich urobiť nemôže.

1. Úprimný rozhovor pred povýšením - nie po ňom

Skôr než niekomu ponúknete manažérsku rolu, položte mu otázku, ktorú takmer nikto nepoloží:

„Chceš naozaj viesť ľudí? Alebo chceš vyšší plat a uznanie?"

Toto nie je rečnícka otázka. Je to diagnostika. Lebo veľká časť ľudí na manažérsku pozíciu kýva nie preto, že chcú viesť, ale preto, že je to jediná cesta hore, ktorú im firma ukázala.

A potom mu povedzte pravdu o tom, čo ho čaká. Že prestane robiť to, v čom je dnes najlepší. Že prvý rok bude neistý. Že úspech sa už nebude merať jeho výkonom, ale výkonom iných. Že to bude občas osamelé.

Ak po tomto rozhovore zaváha, tak to nie je zlý signál. To je úprimný signál. A úprimnosť na začiatku je lacnejšia než sklamanie po roku.

2. Testovacia perióda - otvorene a bez hanby

Pri internom povýšení nastavte dohodu, ktorá sa povie nahlas:

„Dávame si šesť mesiacov. Budeme sa pravidelne stretávať. Po šiestich mesiacoch si spoločne vyhodnotíme, či táto rola sedí tebe a či sedíš ty jej. A ak nie, je to v poriadku."

Šesť mesiacov, lebo prvé tri sú adrenalín a chaos. Skutočný obraz sa ukáže až potom.

Počas tejto periódy nový manažér potrebuje tri veci: mentora (ideálne skúseného manažéra mimo jeho priamej línie), pravidelný check-in so svojím nadriadeným - nie o výsledkoch tímu, ale o ňom samom a základný tréning vedenia ľudí. Delegovanie, spätná väzba, konflikty, one-on-one. Nie jednodňový workshop a ticho. Kontinuálne.

A ak je vaša firma v štádiu, keď interného mentora nemá, lebo nikto vo firme ľudí nikdy neviedol, nájdite ho vonku. Externý mentor, skúsený líder z inej firmy, peer skupina manažérov. Nie je hanba nemať skúsenosť vo firme. Hanba je tváriť sa, že to nevadí.

Toto nie je rozmaznávanie. Toto je ochrana investície. Do nového CRM systému dáte desaťtisíce eur a mesiace implementácie. Do nového manažéra, ktorý ovplyvní desiatky ľudí, dáte podanie ruky.

3. Plán B ako cesta späť bez straty tváre

A teraz tá najdôležitejšia časť. Tá, ktorú takmer žiadna firma nemá.

Čo sa stane, keď to po šiestich mesiacoch nefunguje?

Vo väčšine firiem: nič. Manažér zostáva na pozícii, kde sa trápi, lebo vrátiť sa späť by znamenalo zlyhanie. Pred tímom. Pred firmou. Pred sebou. Tak sa trápi ďalej. Rok. Dva. A firma sa trápi s ním.

Inteligentná firma má plán B postavený od začiatku: návrat na odbornú pozíciu nie je degradácia. Je to korekcia.

Aby to fungovalo, musia platiť tri podmienky. Musí to byť dohodnuté vopred a už pri povýšení sa povie, že návrat je legitímna možnosť, nie núdzový východ. Musí to byť komunikované bez stigmy, že „zistili sme spoločne, že jeho najväčšia hodnota je v expertíze" je pravda, nie eufemizmus. A nesmie to byť finančný trest, ak sa človek vráti na expertnú rolu, ktorú robí výborne, jeho plat má zodpovedať jeho hodnote, nie jeho titulu.

Firma, ktorá má plán B, získa niečo nečakané: ľudia sa prestanú báť skúsiť manažérsku rolu. Lebo neúspech neznamená koniec. A zároveň sa prestanú báť priznať, že im nesedí. Obe veci šetria roky trápenia.

Expertná dráha: rast bez vedenia ľudí

A tu prichádza myšlienka:

Nie každý, kto chce vo firme rásť, musí viesť ľudí.

Väčšina firiem má jediný kariérny rebrík - a na jeho vrchole je manažment. Chceš viac peňazí? Manažuj. Chceš status? Manažuj. Chceš, aby ťa brali vážne? Manažuj.

A tak sa na manažérske pozície tlačia ľudia, ktorí viesť nechcú a často ani nevedia, len preto, že firma im nedala inú cestu hore.

Riešenie je druhý rebrík. Expertná dráha.

Senior expert. Principal. Architekt. Názov je jedno. Podstata je toto: člověk, ktorý je výnimočný vo svojom remesle, môže rásť do hĺbky namiesto do šírky. Rieši najťažšie problémy. Mentoruje ostatných. Nastavuje štandardy. Reprezentuje firmu odborne navonok.

A teraz kľúčová podmienka, bez ktorej je to len divadlo:

Expert na vrchole expertnej dráhy musí mať rovnaký, alebo vyšší plat a status ako team leader.

Ak je expertná dráha platovo aj statusovo druhá liga, nikto jej neuverí. Ľudia nie sú hlúpi. Vidia, koho firma pozýva na strategické porady, koho dáva na pódium, koho plat rastie. Ak sú to vždy len manažéri, expertná dráha je dekorácia.

Ale ak firma myslí expertnú dráhu vážne, stane sa niečo pozoruhodné. Najlepší odborníci zostávajú odborníkmi a sú v tom stále lepší. Manažérmi sa stávajú ľudia, ktorí viesť skutočne chcú. A tlak „musím manažovať, lebo inak nezarobím" zmizne.

Zrazu máte manažérov z presvedčenia. Nie z nutnosti.

Takže...

Stredný manažment je miesto, kde sa vo firme láme najviac vecí. A skoro nikto sa oň nestará, lebo nie je dosť vysoko na strategické porady a nie je dosť nízko na to, aby ho bolo vidieť v operatíve.

Je presne uprostred. A presne uprostred sa rozhoduje, či vaša vízia dôjde k ľuďom, alebo zomrie po ceste.

Nabudúce, keď budete povyšovať najlepšieho člověka, neposielajte mu len gratuláciu. Položte mu úprimnú otázku, či to naozaj chce. Dajte mu testovaciu periódu, mentora a podporu. Postavte mu plán B, aby návrat nebol hanba. A popri tom postavte expertnú dráhu, aby tí, ktorí viesť nechcú, nemuseli.

Lebo povýšenie nie je odmena. Odmena je, keď človek rastie v role, ktorá mu sedí.

Otázka na záver

Koľko ľudí vo vašej firme dnes manažuje preto, že to chceli a koľko preto, že to bola jediná cesta hore?

A keby ste im dnes ponúkli expertnú dráhu s rovnakým platom a statusom - koľkí by sa vrátili k remeslu?

Ak vás tá predstava znervózňuje, práve ste našli tému na najbližšiu poradu vedenia.

Tisková zpráva Praha, 16. června 2026 – Předsedou výkonné rady Sdružení pro internetový rozvoj (SPIR) byl již poosmé zvolen Michal Hanák ze společnosti MAFRA. Posty místopředsedů budou pro funkční období 2026/2027 opět zastávat Michal Feix za Seznam.cz a Martin Picek ze společnosti WPP Media Czech Republic. Staronové vedení SPIR zvolila výkonná rada vzešlá z květnové valné hromady.

Zdroj

Dlouholetý přispěvatel do Fedory z ČR Miro Hrončok vyhrál volby do Fedora Council a tím obhájil své místo na další volební období. Získal 953 hlasů od 171 voličů. Další dva kandidáti z Česka - Tomáš Hrčka a Vít Smolík - neuspěli. Kromě voleb do Fedora Councilu se konaly volby také do technické komise FESCo a do komunitní Mindshare, ani do jedné ale nekandidoval nikdo z Česka.

Před několika málo dny byl představen nový systém založený na BSD. Myšlenkově navazuje na projekt stejného jména, který existoval před zhruba deseti lety, a dále ravynOS. Všechny tři tyto systém mají (či měly) za cíl je spojit prvky Darwinu (open-source části macOS) a FreeBSD do jednoho operačního systému, který by výhledově byl do jisté míry kompatibilní s macOS.

Jako init systém zde slouží posledí open-source verze launchd, který je použit i v macOS, najdeme zde i vrstvu zprostředkovávající Mach IPC bus, na němž je založena značná část funkcionality jak původního NeXT/OpenStepu, tak macOS.

Vývojářský tým je prozatím dvoučlenný, přičemž živého developera a vedoucího projektu v jedné osobě, jímž je Joe Maloney, doplňuje developerský AI asistent Claude. Soudě dle historie commitů na GitHubu je jejich role rovnocenná a není to nijak skrýváno. Releasy jsou vydávány automaticky po každém push do hlavní větve kódu a to jak ve formě obrazu disku s funkčním systémem pro virtualizaci, tak coby ISO po instalaci na reálný hardware. Celý projekt je šířen pod dvoubodovou BSD licencí s tím, že komponenty, které mají licenci jinou, mají tuto zachovánu.

Zdroje:

• NextBSD — the BSD of the 21st century
• nextbsd-redux/nextbsd

Asi budu muset změnit svůj přístup k věci. Dneska už nikdo bez AI nevyvíjí nic ani tam, kde vývoj bylo prostě jen hobby a lidi to dělali proto, že je to bavilo. Takových projektů bude už jen a jen přibývat, Claude a podobné agenty jsou totiž brány něco jako lepší editor pro kód, ne jako "vždyť to naprogramoval někdo jiný", jak je se svým boomerským mindsetem chápu já.

Co kdyby existoval jednoduchý test, kterým by bylo možné zjistit, jestli nová regulace Internetu zachovává ty jeho části, které máte nejraději?

Chápeme to; opravdu tomu rozumíme. Zákonodárci napříč světem se správně zaměřují na regulaci mocných ziskových platforem, aby mírnili negativní efekty připisované sociálním médiím a dalším online hrozbám. Při tvorbě takových zákonů nicméně dochází k tomu, že některé jejich návrhy neúmyslně vytváří nová rizika pro projekty, jakým je například Wikipedie. V Nadaci Wikimedia (Wikimedia Foundation), neziskové organizaci, která provozuje Wikipedii a další platformy Wikimedia, jsme zjistili, že když navržený zákon poškozuje Wikipedii, v mnoha případech pravděpodobně poškozuje i jiné komunitně spravované webové stránky, otevřené zdroje nebo digitální infrastrukturu.

Proto jsme vytvořili Wikipedia Test: nástroj veřejné politiky a výzvu k akci, které pomůžou zajistit, aby regulátoři zvážili, jak mohou nové zákony negativně dopadnout na online komunity a platformy, které poskytují služby a informace ve veřejném zájmu.

Wikipedia Test nabízí jako svůj základní předpoklad tuto jednoduchou myšlenku:

Před schválením nové regulace by se měli zákonodárci sami sebe zeptat, jestli jimi navrhovaný zákon usnadňuje, nebo znesnadňuje čtení, přispívání a/nebo důvěru k projektům, jako je Wikipedie.

Když v kontextu tohoto textu říkáme „Wikipedie“, bereme ji jako model pro ty nejlepší části Internetu. Wikipedie může sloužit jako zástupkyně pro ty online projekty, které jsou otevřené, respektují soukromí a umožňují lidem po celém světě sdílet znalosti, podporují vzdělání, rozvoj a občanskou participaci.

Patří sem například: Projekt Gutenberg, který volně zpřístupňuje vzdělávací a kulturní zdroje; FixMyStreet a jeho fóra pro veřejné nahlašování, skrze něž mohou občané svým zástupcům sdělovat své obavy; Global Voices a jejich platformu pro občanskou žurnalistiku, která zesiluje příběhy, které jsou jinak bez povšimnutí velkých médií, a množství repozitářů pro sdílení dat a zdrojových kódů a digitálních veřejných statků, které pomáhají výzkumníkům rozvinout naše porozumění a akceschopnost ohledně veřejného zdraví, změny klimatu a Cílů udržitelného rozvoje OSN.

Ve zkratce, Wikipedia Test je připomenutím: Pokud regulace selhává při zohlednění různých druhů platforem a služeb, které existují online, výsledkem mohou být zákony, které nezáměrně poškozují ta místa, která poskytují skutečnou alternativu ke komerčnímu webu.

Wikipedia Test je víc než jen pojistka: je to způsob, jak prosazovat pozitivní vizi pro Internet. Naší vizí je digitální ekosystém, ve kterém „má každý snadný přístup k mnohojazyčným digitálním statkům podporovaným prosperující sférou volných děl a svobodně licencovaného obsahu.“ Abychom se k této vizi dostali, musí zákonodárci podporovat online projekty, ve kterých různé komunity mohou tvořit a spravovat platformy pro sdílení znalostí ve svém vlastním jazyce a kulturním kontextu. Wikipedia Test pomáhá určit, jestli je návrh v souladu s touto budoucností — nebo jestli ji podkopává.

Jak uvidíte dále, tento nástroj představuje stručnou, snadno použitelnou metodiku, která pomůže zákonodárcům, regulátorům a obhájcům veřejného zájmu pokládat ty správné otázky. Právě tyto úvahy určují, zda zákon či regulace chrání znalosti a informace, které patří všem online – tedy digitální veřejné statky –, nebo je, což je znepokojivé, ohrožuje.

Stejně jako všechno v ekosystému Wikimedia je i Wikipedia Test k dispozici k volnému přístupu a k volnému sdílení. Lidé a organizace věnující se advokační činnosti uvnitř i vně hnutí Wikimedia mohou používat Wikipedia Test k podnícení lepších diskuzí se zákonodárci. Regulátoři ho mohou používat k brzkému odhalení možných varovných signálů během vypracovávání návrhu. A to nejlepší, nejde o prosté hodnocení souladu typu „prošel-neprošel“: jde o pozvánku ke kritičtějšímu myšlení, ke kladení si lepších otázek a k dialogu s těmi, pro které je také důležité, aby byl Internet tím nejlepším, jakým může být.

Pokud jste na pochybách, kontaktujte Globální advokační tým Nadace Wikimedia. Jsme zde pro to, abychom pomáhali vyhodnotit dopady navržených pravidel a zákonů a pracovali společně na tom, abychom zajistili lepší výsledek pro všechny.

V neposlední řadě bychom od vás rádi dostali zpětnou vazbu. Jste tvůrce politik, který hledá jednodušší cestu složitými digitálními otázkami? Jste obhájce, který chce zahrnout Wikipedia Test do své vlastní práce? Dejte nám vědět na globaladvocacy@wikimedia.org.

Skrze spolupráci můžeme zajistit, aby Internet zůstal prostorem, kde mohou být znalosti tvořeny a sdíleny kýmkoli, v jakémkoli jazyce, kdekoliv na světě.

Wikipedia Test

[Svoboda vyjadřování] Mohou navrhovaná pravidla zvýšit právní rizika nebo náklady provozování komunitních projektů veřejného zájmu, jakým je Wikipedie?

Komunitně vedená moderace na platformách, jako je Wikipedie, Reddit nebo OpenStreetMap závisí na ochraně provozovatelů těchto služeb, která chrání weby a uživatele před právní odpovědností za obsah tvořený uživateli. Nejznámějším příkladem je Článek 230 amerického Zákona o slušnosti v komunikaci (Communications Decency Act, CDA). Oslabení této ochrany by mohlo vynutit centralizovanou moderaci, což by podkopalo crowdsourcované modely. Návrhy na změnu Článku 230 jsou časté — dokonce jsme (Nadace Wikimedia — pozn. překl.) o tomto tématu napsali trojdílnou sérii blogových článků. Electronic Frontier Foundation také vysvětluje, proč je toto téma pro Wikipedii důležité.

[Přístup k informacím] Mohou navrhovaná pravidla ztížit přístup nebo sdílení informací, včetně děl, která jsou svobodně licencovaná, chráněná autorským právem nebo už jsou volnými díly?

Dobrým příkladem pravidel podporujících přístup ke svobodně licencovaným informacím je Doporučení UNESCO o otevřené vědě. To podněcuje vlády, aby reformovaly zákony o autorských právech a nakládání s daty tak, aby umožnily otevřený přístup, využití volných děl a spolupráci k rozvoji vědeckého výzkumu. Jde o silný základ pro právní rámce, které podporují spolutvorbu a občanskou vědu. Mezinárodní federace knihovnických asociací a institucí (IFLA) ho ocenila za posílení rolí knihoven při zajišťování rovného přístupu k informacím. V případě správné implementace zajišťuje, že veřejné financování plyne do veřejných znalostí — ne do obsahu s placeným přístupem.

[Soukromí a bezpečnost] Mohou navrhovaná pravidla potenciálně ohrozit soukromí uživatelů požadavkem na sběr citlivých identifikačních údajů, jako je věk, skutečné jméno nebo kontaktní údaje dobrovolných přispěvatelů a čtenářů Wikipedie?

Britský Zákon o bezpečnosti online (Online Safety Act, OSA) a australské Požadavky na základní bezpečnost online (Basic Online Safety Expectations, BOSE) jsou příklady zákonů, které ohrožují soukromí uživatelů požadavkem na webové stránky, aby sbíraly údaje jako věk nebo skutečná jména svých návštěvníků. Sběr, zpracování a uchovávání takových citlivých údajů zvyšuje riziko různých újem na soukromí včetně krádeží identity, sledování a obtěžování. Novináři informovali, jak by tento sběr dat mohl podkopat závazek Wikipedie k anonymitě a soukromí a potenciálně odradit jak čtenáře, tak dobrovolné přispěvatele od používání nebo přispívání do Wikipedie.

[Svoboda vyjadřování] Mohou navrhovaná pravidla vést k možnému sledování a odradit lidi od čtení nebo editace Wikipedie?

Elektronické masové sledování jako to, které bylo prováděno programem „Upstream“ Národní bezpečnostní agentury USA (NSA), bylo právně napadeno v mnoha zemích. Jde o jeden z mnoha způsobů sledování, které může snížit svobodu vyjadřování vyvoláním u lidí obav z přispívání do diskuzí o určitých tématech — a to i u encyklopedií jakou je Wikipedie.

[Soukromí a bezpečnost] Mohou navrhovaná pravidla zvýšit riziko pro lidi při přístupu, editaci a sdílení obsahu Wikipedie umožněním vládě sbírat identifikační údaje o dobrovolných přispěvatelích nebo čtenářích, které by mohlo vést k zastrašování nebo jiným následkům?

Úmluva OSN proti kybernetické kriminalitě je mezinárodní smlouva, která, pokud by byla široce přijata, by mohla být použita represivními vládami mimo své území proti politickým oponentům, disidentům a ostatním, kteří oponují autoritářskému vládnutí — včetně přispěvatelů do Wikipedie. Freedom House také vysvětluje, jak tato smlouva může bezpečnostním složkám usnadnit získávání elektronických záznamů a dat soukromých společností, čímž podkopává lidská práva lidí žijících mimo jurisdikci těchto bezpečnostních složek.

[Svoboda vyjadřování] Mohou navrhovaná pravidla omezit možnosti dobrovolných přispěvatelů spravovat obsah a pravidla Wikipedie?

Chilský zákon z roku 2021 by mohl vážně ohrozit komunitně spravované modely správy platforem. Nerozlišující přístup tohoto zákona by zavedl povinnost moderace obsahu navržené pro komerční platformy, včetně preventivního znepřístupňování obsahu. To by vážně podkopalo autonomii dobrovolných přispěvatelů při tvorbě obsahu a pravidel. Argentické Centrum pro studium svobody vyjadřování a přístupu k informacím (CELE) popsalo, jak taková regulace zvýšila riziko ohrožení základních práv, omezení účasti a poškození spolupráce na takových webech — jakým je Wikipedie.

[Přístup k informacím] Mohou navrhovaná pravidla omezit volné proudění informací přes hranice s potenciálem omezit přístup k Wikipedii a jejímu obsahu?

V letech 2017–2020 blokovala turecká vláda přístup k Wikipedii v zemi a odepřela tak více než 80 milionům lidí možnost číst a přispívat do tak základního zdroje informací, který zbytek světa používá. Svoboda vyjadřování a přístup ke spolehlivým informacím umožňuje lidem dělat lepší rozhodnutí, umožňuje jim být více propojeni a umožňuje jim budovat si udržitelné způsoby obživy. Toto porušení lidských práv bylo nakonec odmítnuto tureckým ústavním soudem, který rozhodl, že přístup k encyklopedii musí být obnoven. Od té doby se turecká Wikipedie, která zaznamenává více než 150 milionů návštěv za měsíc, rozrostla o více než 474 000 článků.

Pamatujte: Ceníme si vaší zpětné vazby, takže se neváhejte obrátit na Globální advokační tým Nadace Wikimedia s jakýmikoli otázkami, myšlenkami a návrhy, které k Wikipedia Testu máte.

Společně můžeme prosazovat a chránit ty nejlepší části Internetu!

Tento článek původně vyšel na blogu Nadace Wikimedia a je dostupný za podmínek licence Creative Commons Uveďte původ-Zachovejte licenci 4.0 Mezinárodní. Z angličtiny přeložil Václav Zouzalík.

Naklikejte, co tisknete a co má díl vydržet. Průvodce vám doporučí materiál, nastavení a jen ty rady, které se týkají vašeho dílu.

📖 Přečíst celý článek →

Nie podľa toho, aký bol víkend.
Ten môže byť skvelý - zážitky, kamaráti, rodina, vypnutá hlava.

Ale podľa toho, či sa teším na pondelok.

Nie eufória.
Skôr ten pocit, že idem späť robiť niečo, čo dáva zmysel.

Že mám pred sebou veci, ktoré chcem posunúť.
Že mám tím, s ktorým to chcem ťahať.
Že to nie je len “ďalší týždeň”, ale ďalší krok.

Mal som aj obdobia, keď nedeľa znamenala len odpočítavanie.
A úprimne – to je celkom dobrý signál, že niečo nie je nastavené správne.

Pre mňa dnes platí jednoduchá vec:
Ak sa dlhodobo netešíš na pondelok, problém nie je v pondelku.

Před týdnem skončil Robotický den 2026, který se tentokrát konal ve Vysočanech v areálu Pragovky.

Měli jsme obavy ohledně celodenního parkování, ale nakonec se díky stavbám v přilehlém okolí neplacené místo našlo. Oficiální víkendové parkování dle platebního automatu bylo za 5 Kč/hod.

Raději jsme v sobotu přijeli o něco dříve, a díky tomu jsme [...]