Planeta OpenAlt

Václav Zouzalík – nový koordinátor Wikidat

08.
července
Wikimedia ČR

Od července 2026 posiluje tým Wikimedia Česká republika nový koordinátor programu Wikidata/TechVáclav Zouzalík. Do spolku přichází po několika letech práce jako Ruby vývojář, zároveň je ale dlouholetým členem komunity a aktivním přispěvatelem do projektů Wikimedia.

Czeva, CC BY-SA 4.0, via Wikimedia Commons

Václav se zajímá o jazyky a je aktivním esperantistou. V Brně založil pravidelné setkávání pro lidi učící se česky, které funguje nepřetržitě už od roku 2017. Pravidelně se účastní mezinárodních esperantských akcí i setkání polyglotů a několikrát se věnoval také dobrovolnické práci s mládeží.

S projekty Wikimedia je spojen téměř dvě desetiletí. Na Wikipedii začal přispívat už v roce 2007 a postupně si vyzkoušel téměř všechny Wikimedia projekty. Nejaktivnější je na české a esperantské Wikipedii a na Wikidatech, přispívá ale také na anglickou, německou a slovenskou Wikipedii nebo do českých Wikizdrojů.

Od mládí tíhnu k hnutí svobodného softwaru a hodnoty Wikimedia s ním podle mě přirozeně souzní. Otevřené sdílení znalostí dává lidem možnost stavět na práci ostatních a společně vytvářet něco, co má dlouhodobý přínos pro celou společnost,“ říká Václav.

Jako koordinátor programu Wikidata/Tech se bude věnovat podpoře komunity kolem Wikidat, rozvoji technických aktivit spolku a spolupráci s partnery, kteří chtějí využívat strukturovaná otevřená data. Wikidata jsou přitom jedním z nejrychleji se rozvíjejících projektů Wikimedia a tvoří důležitou infrastrukturu nejen pro Wikipedii, ale i pro řadu dalších otevřených databází a aplikací.

Věříme, že Václavovy zkušenosti z vývoje softwaru, dlouholeté působení v hnutí i nadšení pro otevřené technologie pomohou dále rozvíjet program Wikidata/Tech i celou českou komunitu.

Těšíme se, že ho můžeme přivítat v našem týmu.

Digitální mlha - Ep#08 - USA brzdí AI. Čína přidává plyn. Začíná nový technologický závod?

06.
července
Jan Kopriva

Se začátkem měsíce tu máme novou epizodu podcastu Digitální Mlha, který připravuje CZECH CYBER TV ve spolupráci s Nettles Consulting. Najít jí můžete již nyní na YouTube a Spotify a podíváme se v ní na zásahy do distribuce nejvýkonnějších AI modelů ze strany USA, kauzu FortiBleed, pokračující útoky ruských skupin na uživatele Signalu, exploit usbliter8 nebo plánovaný zákaz sociálních sítí pro děti ve Velké Británii…

Rekordní vedra

05.
července
Jiří Eischmann
Stejně jako většina Evropy i my v Brně jsme minulý týden zažili rekordní vlnu veder. Pro dům, který jsme dostavili před čtyřmi lety, to byla zajímavá zatěžkávací zkouška. Jak v ní obstál?

Jak jsem rozjel automatické větrání okna v Home Assistantu

05.
července
Michal Špondr

V hale už pár let bojuju se vzdušnou vlhkostí. Při posledních úpravách na baráku, kdy jsem instaloval venkovní žaluzie (jak ty se teď v těch vedrech hodí!) jsme nechal vyměnit i okno ze starých luxfer za normální s výklopným otevíráním pomocí motorů. Chtěl jsem to totiž automatizovat přes Home Assistant: když vlhkost vyleze nad určitou mez, otevři okno, vyvětrej a pak ho zase zavři. Znělo to jako práce na deset minut. Nakonec to nebylo zas tak jednoduché, takže sepíši své poznámky a snad se z toho internetové vyhledávače (a AI boti) poučí.

Co znamená origin, site, eTLD, eTLD+1, public suffix a PSL?

30.
června
Michal Špaček

Aktualizace článku

  • 1.7. Přidání ffektivní top-level domény gov.cz a subdomén do příkladů
  • 30.6. Příklad hledání eTLD nyní používá doménu www.schools.vic.gov.au, protože doména blogspot.com.au byla z PSL odstraněna na konci roku 2024
  • 22.11. Přidáno krátké info o cross-origin a cross-site požadavcích

Zjistil jsem, že skoro v každém článku a přednášce některý z těch termínů používám a než abych to pokaždé vysvětloval (a navíc pokaždé jinak zjednodušeně), tak jsem se rozhodl z toho udělat tenhle článek, na který budu moci odkazovat. Skoro celý by se dal vyjádřit i následujícím obrázkem:

Adresa https://www.cam.ac.uk a vyjádření TLD, eTLD, eTLD+1, Site, Origin

Obrázek sice řekne víc než tisíc slov, ale tenhle článek jich má dva tisíce deset

Do tajů URL a všech jeho částí nebudeme zabíhat, to bychom tu byli ještě přiští století. Vysvětlíme si jen to co je v nadpisu, protože na základě toho browser stanovuje určité hranice.

Představte si nějaké to jednoduché URL, třeba:

https://www.example.com/foo/bar

Doména

Tohle je možná spíš jen pro opáčko, ale bude se nám to hodit později. Doména v URL výše je www.example.com a má několik úrovní:

  • Top-level doména (TLD) je com
  • Doména druhé úrovně (2LD) je example.com
  • Třetí úrovně (3LD) je www.example.com
  • A tak dále

Místo domény může být i IP adresa, ale pro jednoduchost zůstaneme u domén.

Registrovatelná doména

Registrovatelná doména je ta část domény, kterou si můžete zaregistrovat nebo pronajmout ať už od registrátora domén nebo od jiného subjektu, který poskytuje např. blogy na subdoménách. Odhlédhneme-li od nějakého dalšího delegování, tak všechny subdomény pod tou registrovatelnou, včetně ní, patří stejné organizaci.

Dalo by se také říci, že registrovatelná doména je to, co píšete do registračního formuláře. Když chcete mít web na www.michalspacek.cz, tak si taky registrujete jen michalspacek.cz. Ovšem ne vždy se registrovatelná doména rovná doméně druhé úrovně.

To je případ třeba Velké Británie, kde si univerzity a další akademické instituce mohou registrovat domény, které shodně končí na ac.uk (ac jako academia) a liší se až doménou třetí úrovně. Příkladem budiž dvě rivalské univerzity Oxford (ox.ac.uk) a Cambridge (cam.ac.uk). Další časté koncovky jsou co.uk (pro komerční subjekty) a net.uk (poskytovatelé připojení k Internetu), celkem jich je skoro 20.

Stejné je to i v mnoha jiných zemích, často jsou k vidění např. subdomény ….gov.něco (….gov.cz v ČR) pro různé vládní organizace. Podobně to platí i pro domény různých úložišť, jako třeba ….s3.amazonaws.com pro službu Amazon S3 nebo domény jako ….blogspot.com pro gůglovo Blogger.

Doména Registrovatelná doména
example.com example.com
www.example.com example.com
foo.bar.example.com example.com
ox.ac.uk ox.ac.uk
www.ox.ac.uk ox.ac.uk
talks.ox.ac.uk ox.ac.uk
blogs.law.ox.ac.uk ox.ac.uk
portal.gov.cz portal.gov.cz
drozd.mzv.gov.cz mzv.gov.cz
my.foo.s3.amazonaws.com foo.s3.amazonaws.com
foo.blogspot.com foo.blogspot.com
www.foo.blogspot.com foo.blogspot.com

Registrovatelným doménám se někdy hovorově říká i „naked domain“, „base domain“, „root domain“ nebo třeba „apex domain“. Tyto výrazy se snad nikdy nepřekládají do češtiny, protože pod některými těmi výrazy by si mnozí jistě představili něco zcela jiného.

Registrovatelná doména je definována v URL standardu.

Efektivní top-level doména (eTLD) a eTLD+1

Efektivní top-level doména, zkráceně eTLD, je doména o úroveň výše než registrovatelná doména. eTLD je doména, pod kterou se registrují další domény, které obvykle mají různé vlastníky. Často se eTLD rovná samotné TLD, ale v mnoha případech tomu tak není. Pohledem na doménu není bohužel možné jednoduše algoritmicky ani regulárním výrazem zjistit její efektivní top-level nebo registrovatelnou doménu, ale existuje seznam eTLD, do nějž se můžeme (strojově) podívat, viz dále.

Efektivní top-level doména plus jedna neboli eTLD+1, je pak to samé jako registrovatelná doména.

Doména eTLD
example.com com
www.example.com com
foo.bar.example.com com
ox.ac.uk ac.uk
www.ox.ac.uk ac.uk
talks.ox.ac.uk ac.uk
blogs.law.ox.ac.uk ac.uk
portal.gov.cz gov.cz
drozd.mzv.gov.cz gov.cz
foo.blogspot.com blogspot.com
www.foo.blogspot.com blogspot.com

eTLD nemůže být registrovatelná, jinými slovy: registrovatelná doména z eTLD je nic.

Public suffix list (PSL)

PSL je seznam efektivních top-level domén, eTLD, akorát tady jim říkají „public suffix“, protože jsou to v podstatě přípony veřejně přímo registrovatelných domén. Soubor je dostupný z webu publicsuffix.org (přímý link) a aktualizuje se pomocí „pull requestů“ na GitHubu.

Část kódu, která se snaží najít eTLD třeba pro australskou doménu www.schools.vic.gov.au, se do toho seznamu musí podívat a odzadu zjistit jestli:

  • Je au „public suffix“? Je, podobně jako jiné národní domény (ccTLD).
  • Je gov.au „public suffix“? Je.
  • Je vic.gov.au „public suffix“? Taky je.
  • Je schools.vic.gov.au „public suffix“? Ne, není.
  • Je www.schools.vic.gov.au „public suffix“? Taky ne.

Výsledkem tedy je, že efektivní TLD (eTLD) je vic.gov.au, registrovatelná doména a zároveň eTLD+1 je schools.vic.gov.au.

Ve skutečnosti je to trochu složitější, protože v seznamu se vyskytují i záznamy s * a !, jako např. *.ck ([cokoliv].ck je eTLD) a !www.ck (… kromě www.ck), ale to pro jednoduchost vynecháme.

Je také potřeba projít celou doménu, nestačí se zastavit na prvním „ne“, protože by se klidně mohlo stát, že se na „public suffix“ narazí až někde později: eTLD domény soubory.s3.amazonaws.com je s3.amazonaws.com, protože stejně jako com, tak i s3.amazonaws.com je „public suffix“, ale jen amazonaws.com není.

Prohlížeče používají public suffix list nejčastěji k omezení cookies, aby nešly nastavit s platností pro všechny domény s příponou .co.uk apod. Firefox seznam používá i ke zvýraznění domén v adresním řádku.

URL řádek s adresou https://www.cambridgestudents.cam.ac.uk ve Firefoxu 119, eTLD+1 je zvýrazněna

Zvýraznění eTLD+1 ve Firefoxu 119

URL řádek s adresou https://www.cambridgestudents.cam.ac.uk v Chrome 119, eTLD+1 bez zvýraznění

Pro srovnání stejná doména v Chrome 119

Public suffix list používají i certifikační autority při vydávání tzv. wildcard certifikátů pro HTTPS, nesmí totiž vydat certifikát pro např. *.co.uk. Můžete ho použít i vy, třeba k varování vašich uživatelů ve smyslu „tohle asi nechcete dělat s touto doménou“, ideálně ale k ničemu dalšímu. Knihovny existují pro spoustu jazyků, osobně mám zkušenost s knihovnou PHP Domain Parser, která umí použít i lokálně cachovaný seznam.

Origin

Pojmem origin se označuje ta část URL, která obsahuje protokol (přesněji schéma), doménu a port.

URL Origin
https://www.example.com/foo https://www.example.com
https://www.example.com:303/foo https://www.example.com:303

Všimněte si, že origin nekončí lomítkem, tím už naopak začíná cesta (path) /foo.

Same origin

Pojmem same-origin policy označujeme několik různých omezení, která dovolují dvou věcem nějak dohromady fungovat jen a pouze pokud mají „same origin“ vztah, zjednodušeně řečeno pokud mají stejné originy.

Same-origin policy se používá i např. k omezení JavaScriptu běžícího v iframe (typicky třeba jako součást nějaké reklamy), aby nemohl krást, pardon, číst z rodičovského dokumentu např. pomocí window.parent.document.getElementById('username'), pokud ten iframe a rodičovský dokument nemají stejný origin. V takovém případě to nelze ani obráceně, rodičovský dokument nemůže přistupovat k obsahu iframe (např. pomocí document.getElementById('iframe').contentWindow.document.getElementById('username')).

✔️

  • https://example.com/foo a https://example.com/bar jsou „same origin“
  • https://foo.bar.baz.test/foo a https://foo.bar.baz.test/bar jsou „same origin“, na doméně nezáleží, může to být .com i .cokoliv, jen musí být v obou případech stejná

  • https://example.com/foo a https://www.example.com/bar nejsou „same origin“ (example.com a www.example.com není stejná doména)
  • https://example.com/foo a http://example.com/bar nejsou „same origin“ (https a http nejsou stejné protokoly)
  • https://example.com:4431/foo a https://example.com:4432/bar nejsou „same origin“ (mají rozdílné porty)

Další informace o originusame originu podané o něco formálnějším jazykem se dozvíte v HTML specifikaci.

Site

Pojmem „site“ se často obecně až skoro hovorově označuje celý web, stránky, server, nebo tak něco. Pokud se ovšem ponoříme do trochu striktnějších vod, tak site znamená podmnožinu URL, do které patří protokol (schéma) a registrovatelná doména.

URL Site
https://www.example.com/foo/bar https a example.com
https://neco.nek.de.example.com/ https a example.com
http://www.ox.ac.uk/ http a ox.ac.uk
https://staff.admin.ox.ac.uk/ https a ox.ac.uk
https://www.cam.ac.uk/ https a cam.ac.uk
https://my.foo.s3.amazonaws.com/ https a foo.s3.amazonaws.com
https://foo.blogspot.com.au/ https a foo.blogspot.com.au
https://www.foo.blogspot.com.au/ https a foo.blogspot.com.au

Same site

Dvě URL nebo dva originy jsou „same site“, pokud se rovnají jejich sites, tedy když mají stejné protokoly (schéma) a registrovatelné domény. Na rozdíl od same originu, v tomto případě nezáleží na portu ani na celé doméně.

✔️

  • https://example.com/foo a https://example.com/bar jsou „same site“ (i „same origin“), jejich site je httpsexample.com
  • https://example.com/foo a https://foo.bar.example.com/bar jsou „same site“ (ale ne „same origin“), site je shodně httpsexample.com
  • https://www.example.com/foo a https://foo.bar.example.com/bar jsou „same site“, site obou je httpsexample.com
  • https://www.cam.ac.uk/ a https://www.cambridgestudents.cam.ac.uk/ jsou „same site“, jejich site je httpscam.ac.uk

  • https://example.com/foo a http://example.com/bar mají různé protokoly a tak nejsou „same site“ přestože jejich registrovatelná doména je stejná
  • https://www.ox.ac.uk/ a https://www.cam.ac.uk/ nejsou „same site“, mají různé registrovatelné domény ox.ac.ukcam.ac.uk
  • https://example.com/ a https://example.net/ nejsou „same site“, mají různé registrovatelné domény example.comexample.net
  • https://example.com./ a https://example.com/ nejsou „same site“, mají různé registrovatelné domény example.com. a example.com, ta tečka na konci je podstatná

„Same site“ kontroly používá např. browser pro omezení cookies, které v požadavku buď odešle, nebo ne, podle toho, zda jste na odkaz kliknuli na stejném site jako je site cílové adresy, dle nastavení cookie atributu SameSite.

Pojmy sitesame site jsou detailněji popsány v HTML specifikaci. Za zmínku stojí snad i to, že existuje „same site“ porovnávání bez schématu (schemelessly same site), při němž se porovnávají jen registrovatelné domény. To se kdysi používalo pro cookies, ale pak se přešlo na „schemeful same site“ porovnávání, ve kterém schéma také hraje roli, a kterému dnes říkáme prostě jen „same site“.

Cross-origin a cross-site požadavky

Požadavkům, které vznikly na jednom originu, ale načítají něco z jiného originu, říkáme „cross-origin“ požadavky, je to v podstatě opak „same originu“.

Podobně „cross-site“ požadavky, opak „same site“, vznikly na jednom site, ale načítají něco z jiného site. Jen bacha na to, že někde, např. v názvech útoků jako Cross-Site Scripting (XSS) nebo Cross-Site Request Forgery (CSRF), se „site“ používá v tom obecném významu, ne ve výše uvedeném významu „schéma + registrovatelná doména“.

Raději same origin

Koncept site a public suffixů a jejich seznamu tedy vyžaduje nějakou manuální práci, aby co nejvíce odpovídal aktuální realitě, a trochu tak připomíná toho jednoho borce z Nebrasky. Pokud byste psali nějakou specifikaci, tak je vhodnější použít spíš origin a same origin, jinak se definice site může lišit browser od browseru, protože každý z nich může používat jinou verzi PSL.

Ten sice spravuje Mozilla, tvůrce Firefoxu, takže ty „velké“ prohlížeče i ty „menší“ na nich postavené budou asi v pohodě, ale i tak je dobré zvážit to, jestli chcete bezpečnost vašeho díla založit na tom, jestli někdo přidá řádek do nějakýho souboru a jestli si ten soubor někdo jiný včas stáhne. Nechcete.

Použití „same site“ také zvyšuje atraktivitu subdomén pro útočníky. Převzetí subdomén („subdomain takeover“) je reálný útok, kterým útočníci mohou obejít různá omezení používající „same site“ porovnávání. K tomu všemu jim může stačit i jen zapomenutá subdoména, která se na nic nepoužívá.

Raději tedy same origin.

Nový hamík na světě!!!

29.
června
ok1mhk

 

 

Dne 23.6. 2026  se synovi Martinovi podařilo na ČTÚ složit zkoušky HAREC!!!

   Jak příhodné, den před mým svátkem ( 24.6. svatý Jan ) Rozšířil tedy naše řady a přispěl k tomu, že se hamradio jako takové jen tak nevzdá. 

  Je nutno zmínit, že se to Martinovi napoprvé nepodařilo. Poprvé byl na zkouškách vloni v září  v Praze se synovcem Lukášem, který tenkrát zkoušky HAREC úspěšně složil.  Martin sice lízal cílovou pásku, ale na ČTÚ musí žadatel splnit minimální hranici bodového hodnocení.

 Dne 23.6. jsme si znovu  udělali výlet do Prahy.


 

 Na ČTÚ se ke zkoušce ve13:00 hod  Martin dostavil se svým kamarádem Michalem Asterem   (vpravo).




 

    Michal se přihlásil na zkoušky Novice. Bohužel, i jemu to poprvé uteklo o jediný bod, ale pevně věřím, že napodruhé to má taky v kapse. Mimochodem vloni se poněkud upravovaly testové otázky a když jsem někdy Martinovi koukal přes rameno, asi bych měl co dělat, dnes zkoušky - testy HAREC udělat.  Zejména kmitočty, segmenty  bych zpaměti určitě nedal dohromady, dostala by mě i hláskovací abeceda.  Vážení kolegové – žádný Neruda, ale NORBERT!!!!!  I v anglické hláskovací abecedě bych pohořel, zažité Mexico vás připraví na zkouškách o cenné body, správně je totiž MAJK…

   Jak už jsem kdysi avízoval, byla pro Martina u mě „ v úschově“ volací značka OK1MK, kterou jsem sice párkrát použil, ale většinou jsem do spojení vnesl zmatek, neboť všichni mě znají jako OK1MHK. ČTÚ poměrně promtně vydává povolení – průkaz HAREC dostávají žadatelé ihned na místě po úspěšném složení písemné zkoušky. Listina je  v pěkných průhledných deskách. Harec v růžových a Novice v modrých. Ani převod mojí CALL OK1MK na syna nebyl problém, tady velké poděkování na adresu ČTÚ. Bylo to bezproblémové a rychlé. Oprávnění mu přišlo dnes, 29.06.  Stejně dobře a rychle funguje  elektronická  komunikace při prodlužování koncese. Pokud je nějaká nesrovnalost a člověk uvede telefonní kontakt, pracovníci se ozvou a dají se domluvit podrobnosti. Potěší i finanční „sleva“ při čistě elektronickém podávání žádostí.  Prostě palec nahoru.     Na druhé straně můj synovec Lukáš K. dodnes CALL nemá. Nejspíš nějaká chyba, prý se mu z ČTÚ dlouho neozvali a pak už díky školním povinnostem neměl čas CALL řešit. Takže stále je bez volací značky a ani vlastně nevíme o jakou žádal….SRI.

    Nemohu nevzpomenout na moje zkoušky v roce 1995 tenkrát třídy D. Vlastně díky Radkovi OK1JRK toho času na vojenské základní službě. Volal mě asi 5 dnů před termínem. Tak jsem se do toho „obul“ a na zkoušky dostavil.  Komise, která tehdy navštívila Plzeň se mě ptala i „ústně“  chtěli tenkrát vědět, zda mohu vysílat do antény, která má PSV 2  a jestli vyzáří nějaký výkon. V tomto jsem měl základy z CB pásma a i další otázka z šíření VLF mě tenkrát taky nezaskočila. Vzpomínám si taky, že v té době nebyla žádná databáze volacích znaků, ale jeden člen komise měl obyčejný zápisník, kde byly všechny rozdané  značky zapsány.

   No ale k Martinovi – OK1MK. Po zářijovém neúspěchu na ČTÚ ho čekala maturitní zkouška, kterou mimochodem úspěšně završil s vyznamenáním na SPŠE v Klatovech. A tedy dal zkoušce na ČTÚ čas až po maturitě.  Je pravda že od malička ho bavila elektronika obecně, svůj zájem vyhranil robotice. Možná ho v budoucnu zaujme FT8 provoz, který jde nastavit  -  roboticky Hi . Že to neuznávají někteří HAMs víme, nicméně bych rád uvedl, že digitální  FT8 provoz lze obsluhovat i normálně manuálně a stejně tak i jiný digitální provoz jde automatizovat. A věřím, že se možná brzy dočkáme toho, že i SSB ( FM ) provoz bude možno pomocí AI provozovat automaticky. Otázkou je, zda by to někoho bavilo…..

   Nesmím zapomenout poděkovat Václavovi OK1VRF, který  každý rok organizovat závody mládeže a Martin se několika dalšími dětmi párkrát zúčastnil. Některé recenze z PD mládeže lze nalézt na blogu a byly to opravdu pěkné akce.. I to určitě přispělo k tomu, že se syn Martin měl představu, o co se jedná a jak vypadá radioamatérská soutěž a vlastní provoz. A že se z něj stal taky HAM.  Slova Václava OK1VRF, že je třeba vychovat další radioamatérskou generaci se vyplnila.   Díky taktéž patří dnes již zesnulému Františkovi OK1IBB, který pro PD mládeže vždy za radioklum OK1KNF ochotně poskytnul kóty Úlíkov nebo Koráb.  Měl by určitě radost z nového přírůstku.

   Také bych rád při této příležitosti uvedl, že jsem sice přišel o volací znak OK1MK, ale uvolnil se jiný, pro mě zajímavější volací znak OK1JK. O ten jsem na ČTÚ požádal a v souladu s podmínkami mi byl přidělen. Původní majitel si na ČTÚ déle jak 5 let nepožádal o prodloužení. Podle všech indicií totiž amatérské rádio vyměnil za freediving a aktivně se věnuje potápění po celém světě.

   I nadále ale budu  používat svojí původní volačku OK1MHK, OK1JK je moje druhá CALL a bude spíš  pro zvláštní příležitosti. Stále se chystám na EME, mám vše připravené, ale stále nezbývá čas. Jsou jiné priority.  Člověk je  v jenom kole. Datum 23.6 2026 beru jako zajímavý milník, gratuluji synovi a jsem  pyšný, že je v rodině další radioamatér. Už proto, že jednou všechny ty moje krámy snad neskončí někde na smetišti.   Nezbývá než doufat, že se občas Martin OK1MK na rádiu ozve, nebo jinak využije přednosti a hlavně radosti , které mu hamradio může dát.

Co nosím v batohu (2026)

29.
června
Jakub Cabal

Co je v mém batohu, možná dnes nikoho nezajímá, ale dřív byly takové blogové příspěvky populární. Dnes je venku hrozné vedro a nikam se nechystám, takže je ideální chvíle si prohrabat batoh a podívat se, co všechno v něm nosím.

co-nosim-v-batohu

Nejprve se ovšem podíváme na samotný batoh. Za posledních 15 let jich vystřídal několik a ten současný je rozhodně nejlepší. Konkrétně jde o turistický batoh NH 500 Escape 23 l značky Quechua z Decathlonu. Má 3 přihrádky (z toho jednu na notebook), 14 kapes a vejde se do něj opravdu hodně. Nosím ho téměř každý všední den již několik let a zatím skvěle drží.

Tady je souhrnný seznam toho, co lze v mém batohu běžně najít:

  • Framework Laptop 13
  • WD_BLACK SN7100 NVMe M.2 SSD v rámečku UGREEN
  • myš Logitech M650 M Graphite
  • sluchátka Sony WH-CH520
  • sluchátka Samsung Galaxy Buds Pro (záložní)
  • AlzaPower Metal USB-C Dock Station 6v1 with 8K
  • powerbanka Samsung 20 000mAh USB-C (EB-P5300XJEGEU)
  • Samsung Duo Plus flashdisk (USB-C + USB-A, kapacita 64 GB)
  • 2x firemní USB flashdisk (kapacita 16 GB na kus)
  • nabíječka AlzaPower G610CCA Fast Charge 67W
  • kabel USB-C 2.0 100W 2 m (primárně k nabíječce)
  • kabel USB-C 2.0 to USB-A (občas se ještě hodí)
  • kabel USB-C 3.2 Gen2x2 (pro připojení SSD disku)
  • krátký síťový kabel (RJ45)
  • dva šroubováky
  • propiska
  • kapky Hylo-Comod (10 ml) pro zvlhčení očí
  • tablety Brufen

Pojďme si teď ještě pár z těchto věcí okomentovat a začneme u notebooku. Framework Laptop 13 je můj pracovní počítač. Mám ho rád zejména pro jeho úhlopříčku 13 palců a skvělý displej. Obecně nechápu, jak někdo může dobrovolně tahat větší notebooky.

Sluchátka tu mám hned dvě. Samsung Galaxy Buds Pro jsem dostal jako dárek k novému telefonu. Dřív jsem je používal často, ale ukázalo se, že in-ear sluchátka mi nesedí, tak už jen plní roli zálohy. Hlavní sluchátka jsou Sony WH-CH520. Na hlavě sedí perfektně a současně rozumně slyším okolí, což je z důvodu bezpečnosti dobré. Tyto sluchátka mají také kvalitní mikrofon. Když mám nějaký call a zvuk z mé strany není ideální, tyto sluchátka vždy problém vyřeší.

WD_BLACK SN7100 NVMe M.2 SSD v rámečku UGREEN mám jako rychlé úložiště pro snadný a rychlý přenos většího množství dat. Nabíječku AlzaPower G610CCA Fast Charge 67W jsem koupil, když jsem nabíječku od notebooku někde zapomněl. Nyní plní roli hlavní cestovní univerzální nabíječky, ale nedávno jsem zjistil, že nestíhá nabíjet současně telefon a notebook.

Malou myš Logitech M650 M Graphite mám už delší dobu. Je skvělá na cesty, ale od doby, co mám Framework se skvělým touchpadem, ji již tolik nepoužívám. Dřív jsem pořizoval hodně věcí od Samsungu, z té doby je také USB-C powerbanka s kapacitou 20 000mAh a funguje dobře i po 4 letech.

AlzaPower Metal USB-C Dock Station mám pro vzácné případy, kdy potřebuji připojit více zařízení nebo ethernet kabel. Mnohem častěji ho ovšem půjčuji majitelům MacBooku, kteří se potřebují připojit k projektoru přes HDMI.

Obecně bych si chtěl udělat pořádek v USB kabelech a pořídit nějaké, co zvládnou rychlost přenosu alespoň 10 Gbps. Drtivá většina z nich je jen USB 2.0. Mám jich spoustu, ale je mi to líto vyhazovat.

A co nosíte v batohu vy? Máte nějakou oblíbenou vychytávku, bez které se neobejdete? Nebo byste mi doporučili lepší USB-C nabíječku či kvalitnější kabeláž? Pojďme diskutovat na sociální síti Mastodon…


Líbil se ti tento text a chceš mě podpořit? Kup mi Kofolu! Díky.

Nová pravidla pro politickou reklamu v praxi: SPIR spustil systém POLITRAN

Tisková zpráva Praha, 29. června 2026 – Sdružení pro internetový rozvoj (SPIR) spustilo systém POLITRAN, centrální řešení pro zadávání, správu a předávání povinných oznámení o politické reklamě. Systém pomůže zadavatelům a vydavatelům s plněním nových evropských pravidel a přispěje k tomu, aby informace o politické reklamě byly online dostupné jednotně a srozumitelně.

Zdroj

Wiki Loves Film 2026 propojí filmové fanoušky z Česka, Polska i Uzbekistánu

29.
června
Wikimedia ČR

Ve středu 1. července 2026 začíná mezinárodní výzva Wiki Loves Film, která spojuje filmové fanoušky z wiki komunity s filmovými tvůrci, festivaly a kiny. Cílem výzvy je rozšířit obsah Wikipedie zkvalitněním článků nebo jejich vytvářením.

Wiki Loves Film potrvá v Česku od 1. července do 31. srpna 2026, v jednotlivých zemích se může délka soutěže lišit. Od roku 2025 je výzva mezinárodní a zahrnuje všechny země střední a východní Evropy . Účastníci tak mohou články psát ve své jazykové verzi Wikipedie nebo na Wikipedii anglické. „Wikipedie může být smělou konkurencí filmových databází, mimo jiné pro svůj globální charakter. Jakmile existuje článek v jednom jazyce, lze jej poměrně snadno převést i do dalších jazyků,“ říká Pavel Bednařík, iniciátor výzvy ze spolku Wikimedia ČR.

„Je skvělé, že jsme jako Wikimedia Česká republika spustili výzvu a soutěž, která přesahuje hranice naší země. Loňský ročník ukázal, že zájemců o zapojení i filmových fanoušků je napříč zeměmi střední a východní Evropy mnoho. Těší nás, že je jejich práce na Wikipedii i Wikimedia Commons vidět,“ dodává Klára Joklová, výkonná ředitelka Wikimedia ČR.

Součástí výzvy jsou také tematické akce. Mezi ty patří například přednáška a workshop na Letní filmové škole, online editaton (editační maraton) věnovaný uzbecké kinematografii nebo editaton na festivalu Tauron Nowe Horyzonty v polské Vratislavi. V loňském roce účastníci v rámci výzvy napsali 404 nových článků v 7 jazykových verzích Wikipedie a nahráli 448 obrázků pod svobodnou licencí Creative Commons.

Zájemci o zapojení se mohou registrovat v tomto formuláři, případně se zúčastnit některé z akcí, které jsou připraveny na Letní filmové škole nebo festivalu Taurus Nowe Horyzonty ve Vratislavi, případně online. Veškeré informace jsou k dispozici na stránce film.wikimedia.cz

Kontakty pro média

Hynek Kaplan – PR, média
+420 605 039 405
hynek.kaplan@wikimedia.cz

Pavel Bednařík – odborný garant
+420 605 844 090
pavel.bednarik@wikimedia.cz

Proč značné procento analýz rizik zpracovaných v kontextu zákona o kybernetické bezpečnosti nedává (a ani nemůže dávat) smysluplné výsledky?

28.
června
Jan Kopriva
TL;DR: Nemalé množství českých organizací spadajících mezi povinné subjekty dle zákona o kybernetické bezpečnosti používá při analýze rizik doslovně převzatou metodiku z vyhlášky č. 409/2025 Sb., včetně tabulek poskytujících vzorové rozsahy dopadových a dalších hodnot. S takovým použitím zmiňované metodiky je však spojeno několik principiálních problémů.

Tento článek s pomocí Monte Carlo simulací a několika statistických mechanismů, které jsou v následujícím textu (snad laicky pochopitelně) popsané, prakticky demonstruje, za jakých podmínek dává vzorová metodika při použití výchozích tabulek smysluplný výsledek, a kdy výstupy z této metodiky degenerují na šum. Což je bohužel něco, k čemu dochází v nemalém procentu případů, a analýzy rizik založené na nezměněných tabulkách tak v některých případech nemohou dávat zcela správné výsledky, bez ohledu na validitu vstupů nebo délku času, který by byl věnován jejich zpracování.

Důvodů omezené použitelnosti neupravených tabulek – a do jisté míry i celého metodického aparátu – je několik:

  • vzorová „pevná“ okna výpadků v tabulce pro hodnocení dostupnosti a pevná frekvenční pásma v tabulce pro hodnocení hrozeb neodpovídají prostředí velké množiny organizací,
  • násobení pořadových čísel, které vyhláška nabízí jako výchozí mechanismus pro výpočet rizika, je principiálně nesprávná operace, která může pořadí rizik i zcela převrátit oproti realitě, a
  • výsledek celé analýzy navíc závisí na převodu „rizikového skóre“ v rozsahu 1-64 na 4 úrovně rizik dle jejich akceptovatelnosti, přičemž vyhláška vůbec nestanoví, jak něco takového provést.

Pro povinné (a samozřejmě i další) organizace je tak přinejmenším nerozumné snažit se tabulky, resp. celou metodiku pro analýzu rizik z vyhlášky, aplikovat ve svých prostředích bez zvážení potřeby provedení změn. V závěru článku je proto obsažen mj. návod (a skript), s pomocí něhož může jakákoli organizace tabulky překalibrovat pro své vlastní prostředí, a také ukázka jednoduššího – a matematicky validního – dvoufaktorového přístupu k analýze, jehož použití vyhláška explicitně umožňuje a který tak může být pro řadu organizací smysluplnou náhradou vzorového metodického aparátu z vyhlášky.

Úvod

Předem se omlouvám za délku tohoto článku. Jde celkem o téměř 60 normostran textu, ale neděste se – článek nemusíte číst celý, abyste z něj získali to podstatné.

Délka je daná tím, že pro skutečně demonstrativní, polopatickou a nezpochybnitelnou ukázku slabin metodiky z vyhlášky jsem považoval za nezbytné nejprve představit, jak vlastně analýzy rizik fungují. Následně bylo představit několik (pro běžného smrtelníka komplexně vyhlížejících) statistických postupů a nástrojů, které jsem cítil potřebu popsat tak, aby si je mohl projít, pochopit a sám zhodnotit i člověk bez odborného statistického vzdělání. Teprve následně bylo na místě detailně diskutovat slabiny metodického aparátu z vyhlášky. Vše výše uvedené bohužel znamenalo potřebu značného prostoru… A i tak bylo místy nezbytné problematiku drobně zjednodušovat.

Protože je mi jasné, že článek budou číst i specialisté, jimž jsou použité statistické mechanismy i problematika analýz rizik dobře známy, hned za úvodními odstavci najdete rozcestník, díky němuž je možné nepotřebné detaily přeskočit.

Než se však k tomuto rozcestníku dostaneme, je nezbytné zdůraznit jednu myšlenku, na níž vše stojí, a jíž pokládám za axiomatickou, a to, že jakýkoli prakticky použitelný mechanismus pro vyhodnocování rizik musí poskytovat konzistentní a realistické výsledky. To znamená, že riziku, u něhož je pravděpodobná ztráta vysoká, vždy přiřadí vyšší hodnocení než riziku spojenému s výrazně nižší pravděpodobnou ztrátou. Pokud výše uvedené nějaký mechanismus nedokáže zajistit, je z principu přinejlepším jen částečně funkční, a tedy pro praktické použití potenciálně nevhodný.

Jak ale ověřit, zda je nějaký postup pro analýzu rizik funkční, aniž bychom jej dlouhodobě testovali v praxi? Odpověď je jednoduchá – s pomocí syntetických, ale prokazatelně realistických dat.

Současný akademický výzkum a odborná literatura ukazují, že velikosti ztrát spojené s realizací kybernetických rizik, relativně dobře odpovídají tzv. log-normálnímu rozdělení (to je detailněji popsáno zde) a lze tedy předpokládat, že každá prakticky použitelná metodika pro analýzu rizik by měla umět korektně pracovat se syntetickými daty, která tomuto rozdělení odpovídají. I kdybychom však aktuálním odborné literatuře z nějakého důvodu nevěřili, určitě se shodneme na tom, že každou prakticky použitelnou metodiku by mělo jít ověřit na syntetických datech, která odpovídají nějakému předpokládanému rozdělení výše ztrát. Přesně toho v článku využijeme a syntetická data, s nimiž budeme pracovat, budou generovaná na základě různých rozdělení… Nicméně jak ukážeme, většina závěrů vůbec nezávisí na tom, jaké konkrétní rozdělení pro generování dat zvolíme.

Pro úplnost považuji za vhodné ještě zdůraznit, že byť se v rámci článku zaměříme na principiálně chybnou povahu metodiky pro analýzu rizik popsanou ve vyhlášce, cílem článku rozhodně není stavět členy odborné komunity, kteří tuto metodiku využívají, do role cargo kultistů, kteří slepě aplikují koncepty, o nichž se domnívají, že „nějak přeci musí fungovat, když jsou ve vyhlášce“, ačkoli jejich principům vlastně nerozumí. A byť jsem relativně kritický vůči řadě aspektů fungování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), mým záměrem není ani osočovat tuto organizaci z hlouposti nebo záměrného šíření nesmyslných doporučení. Spíše se v tomto směru domnívám, že – jak v době psaní tohoto textu uvedl na síti LinkedIn k jinému tématu kolega Švéda, který ve jmenované organizaci působí – v NÚKIBU to „mysleli dobře, ale dopadlo to jako vždycky.“

LinkedIn

Cílem tohoto článku je v každém případě pouze prakticky, statisticky ukázat, že provádět analýzy rizik přesně podle vzorového popisu uvedeného ve vyhlášce je pro značné procento organizací principiálně nesprávné a potenciálně nebezpečné, a že by před touto skutečností neměl nikdo v bezpečnostní komunitě strkat hlavu do písku – ani povinné organizace, a to jak na úrovni vedení, tak na úrovni bezpečnostních týmů, ani (resp. zejména) NÚKIB.

K tomu, aby byly mechanismy pro analýzu rizik z vyhlášky použitelné, by organizace:

  • Měly bezpodmínečně upravit tabulky dle specifik svých prostředí – jde o něco, co vyhláška implicitně předpokládá, avšak bohužel nikde explicitně nevyžaduje (výslovně to doporučuje pouze důvodová zpráva).
  • Neměly používat mechanismus násobení jednotlivých faktorů, který vyhláška nabízí a který je – jak si níže ukážeme – principiálně nesmyslný (a NÚKIB by ho tak rozhodně neměl propagovat). Namísto něj by organizace měla v případě použití kvalitativního přístupu využívat svépomocí vytvořená mapování jednotlivých rizik na rizika akceptovatelná a neakceptovatelná, a to s pomocí kalibrace tabulek na specifika svého prostředí a svůj rizikový apetit.

Rozcestník

Jak již bylo řečeno, článek jsem se snažil členit tak, aby v něm každý snadno našel „to své“. Doporučil bych vám tedy pokračovat na odkazu níže, který je pro vás jako první relevantní:

Co je vlastně analýza rizik a proč na ní záleží

Analýza rizik je v obecné úrovni mechanismus, s pomocí něhož může organizace systematickým způsobem stanovit, co všechno se jí (případně nějakému systému) může v nějaké oblasti stát, jak je to pravděpodobné a jak velkou škodu by jí to způsobilo. Na základě toho se může následně rozhodnout, kterým aspektům bezpečnosti se bude do jaké míry věnovat.

V kontextu kybernetické bezpečnosti jde o naprosto klíčový mechanismus – právě z analýzy rizik totiž zpravidla organizace odvozují, která bezpečnostní opatření má smysl zavádět, kam směřovat dostupné lidské a finanční zdroje a která rizika je možné vědomě akceptovat. Je-li analýza rizik vadná, je tedy principiálně vadný i celý zbytek řízení bezpečnosti, který se o ni opírá, neb peníze i úsilí lidí pak míří jinam, než kam by optimálně měly.

Proto stojí bezpochyby za to věnovat pozornost tomu, zda jakýkoli metodický postup pro analýzu rizik dává smysluplné výsledky (resp. zda je vůbec dávat může).

Analýza rizik dle vyhlášky 409/2025

Prováděcí vyhláška k zákonu o kybernetické bezpečnosti pro vyšší režim povinností (oficiálně „vyhláška č. 409/2025 Sb., o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností„) obsahuje v přílohách 1, 3 a 4 metodické podklady pro hodnocení aktiv a zpracování analýzy rizik v povinných organizacích.

Samotný proces, který vyhláška v § 7 a 8 a ve zmíněných přílohách předepisuje, je v obecné úrovni v zásadě „klasický“ a odpovídá mj. předchozí české regulaci (k tomuto faktu se ještě vrátíme). Organizace dle tohoto metodického postupu:

  • nejprve identifikuje a ohodnotí svá primární a podpůrná aktiva z pohledu důvěrnosti, integrity a dostupnosti, např. s pomocí čtyřúrovňových stupnic z přílohy 1,
  • následně k aktivům přiřadí relevantní hrozby a zranitelnosti, přičemž musí zvážit alespoň kategorie uvedené v příloze 3, a tyto hrozby a zranitelnosti ohodnotí např. s pomocí stupnic z přílohy 4, a
  • nakonec pro reálně možné kombinace aktivum–hrozba–zranitelnost určí míru rizika (opět např. s pomocí stupnice z přílohy 4), kterou porovná se stanovenou hranicí akceptovatelnosti.

Byť – jak jsme již naznačili – metodické podklady a tabulky obsažené ve vyhlášce vykazují významné nedostatky, je nutno přiznat, že vyhláška explicitně nevyžaduje jejich použití. Namísto metodiky uvedené ve vyhlášce je možné využít metodiku jinou, nebo jednotlivé vzorové vstupy a tabulky modifikovat. Příloha 1 v odst. 2 výslovně uvádí, že povinná osoba „může hodnotící úrovně aktiv ve stupnici přizpůsobit svým bezpečnostním potřebám“ a může používat i odlišný počet úrovní, než jsou 4, které jsou užívané ve všech vzorových tabulkách.

Problémem však je, že „může přizpůsobit“ nutně neznamená „musí přizpůsobit“ a že jednotlivé tabulky nejsou explicitně označeny jako vzorové, ale s drobnými výjimkami působí jako přímo použitelné (a z vlastní zkušenosti mohu potvrdit, že jsou v praxi i přímo užívány). Např. tabulka č. 1 přílohy 4 může snadno působit dojmem de facto standardu říkajícího, že hrozba realizovaná „v rozpětí od 1 měsíce do 1 roku“ je z definice „Vysoká“…

Tabulka č. 1 z přílohy č. 4 vyhlášky 409/2025
Tabulka č. 1 z přílohy č. 4 vyhlášky 409/2025 Sb.

V zájmu úplnosti je na místě uvést, že důvodová zpráva k vyhlášce je v tomto ohledu podstatně explicitnější než vyhláška samotná, a u přílohy 4 výslovně uvádí, že poskytovatel má při stanovení metodiky pro hodnocení rizik zvážit vhodnost nastavení jednotlivých úrovní a v případě potřeby kritéria upravit podle vlastních potřeb.

Regulátor si tedy je zjevně vědom toho, že minimálně pro některé organizace zřejmě nebude dávat metodika bez úpravy jednotlivých úrovní smysluplné výsledky. Je pak s podivem, že požadavek, který je pro smysluplnost celé analýzy rizik takto zásadní, je uveden pouze v důvodové zprávě, a nikoli ve vyhlášce samotné. Důvodová zpráva je totiž z principu pouze informativní dokument a ne každý adresát regulace ji čte. A byť profesionálové v oblasti kybernetické bezpečnosti, kteří analýzy rizik dle vyhlášky zpracovávají, by o existenci důvodové zprávy a jejím obsahu bezpochyby měli vědět, její obsah není právně závazný a ani ti, kteří tento dokument otevřou, se jeho doporučeními nemusí řídit.

Zcela stranou ponechme fakt, že v důvodové zprávě je rovněž řečeno, že jednotlivé úrovně v tabulkách „byly stanoveny na základě nejlepší praxe“ – smysluplnost tohoto tvrzení si konec konců budete moci po přečtení zbytku článku vyhodnotit sami… Pro teď se pojďme vrátit zpět k metodice.

Přestože vyhláška dle výše uvedeného de facto implicitně počítá s tím, že každá organizace popsaný vzorový metodický postup a dílčí tabulky přehodnotí a v případě potřeby uzpůsobí specifikům svého prostředí, ani důvodová zpráva nikde neuvádí jak zjistit, zda jsou úpravy potřeba, ani jak je provést…

Jak úpravy vhodně provést není snadné zodpovědět (resp. jde o komplexnější problematiku na kterou se podíváme níže), avšak že určité úpravy jsou vhodné, neřkuli nutné, by mělo být zřejmé již z následující prosté úvahy – pro určitou instituci bude nepřijatelný výpadek aktiva podporujícího regulovanou službu už v délce 1 minuty, zatímco pro jinou může být přijatelný i výpadek 24 hodin. Stejně tak vidina ztráty 100 000 Kč ročně v důsledku kybernetických rizik může být pro jednu organizaci absolutně nepřijatelná, zatímco pro jinou zcela akceptovatelná. Takto rozdílné organizace tedy z principu nemohou efektivně využívat stejné tabulky. A tedy ani ty uvedené ve vyhlášce.

Výše zmíněná absence explicitního požadavku na přepracování tabulek však vede k tomu, že spousta organizací slepě přejímá celý metodický mechanismus bez jakýchkoli úprav. Tedy nejen, že tyto organizace nijak nedoplňují katalog hrozeb (což by s pomocí vhodné metodiky pro modelování hrozeb bezpochyby udělat měly), ale přejímají v podstatě beze změn i tabulky pro hodnocení hrozeb, aktiv a všechny další vstupy. To vede k tomu, že u řady organizací nemohou dávat výstupy z analýz rizik principiálně smysl – nejde přitom o domněnku, jde o fakt, který lze relativně snadno statisticky dokázat…

Než se dostaneme k důkazům toho, že mimo velmi úzce omezené případy nedává plošné přejímání tabulek a metodiky z vyhlášky valný smysl, podíváme se prakticky na vlastní princip fungování metodiky obsažené ve vyhlášce.

Ještě před tím je však pro úplnost vhodné dodat, že výše zmíněný problematický metodický aparát není nový. Metodika pro hodnocení rizik obsažená ve vyhlášce 409/2025 Sb. je téměř doslovně převzatá z vyhlášky č. 82/2018 Sb. a stejný přístup, pokud jde o hodnocení rizik „minimálně v rozsahu“ tabulek z přílohy, s výčtem hrozeb a zranitelností přímo v textu předpisu, najdeme už v historicky první „kyberbezpečnostní“ vyhlášce č. 316/2014 Sb. Problém, který v tomto článku popisujeme, tak českou bezpečnostní komunitu a povinné organizace provází de facto od počátků regulace kybernetické bezpečnosti, tedy více než deset let.

Metodika pro analýzu rizik z vyhlášky pro vyšší režim

Koncepčně lze celý proces pro analýzu rizik, tak jak jej vyhláška popisuje, shrnout do následujících kroků.

  1. Hodnocení aktiv (§ 7 + příloha 1). Organizace nejprve určí svá primární a podpůrná aktiva a ohodnotí je. Primární aktiva se hodnotí z pohledu důvěrnosti, integrity a dostupnosti, a lze tak činit s pomocí stupnic uvedených v tabulkách č. 1 až 3 přílohy 1. Každá tabulka, resp. v ní uvedená stupnice, má čtyři úrovně (Nízká, Střední, Vysoká, Kritická) a ke každé úrovni je připojen slovní popis a příklady. Za pozornost přitom stojí, že zatímco stupnice pro důvěrnost a integritu jsou popsány čistě kvalitativně (např. „aktiva nejsou veřejně přístupná, ochrana aktiv není vyžadována žádným právním předpisem“), stupnice pro dostupnost uvádí příklady konkrétních časových oken tolerovaného výpadku – Nízká úroveň odpovídá tolerovanému výpadku „například v jednotkách týdnů“, Střední například zhruba jednomu pracovnímu dni, Vysoká „například několika hodinám“ a Kritická situaci, kdy „i krátkodobá nedostupnost (v řádu několika minut) vede k vážnému ohrožení oprávněných zájmů“. Byť je u tří ze čtyř oken explicitně uvedeno slovo „například“, tabulka může budit zdání, že výše zmíněná okna jsou pro všechny povinné organizace stejná… A právě toto zdání může být, jak uvidíme, jedním z hlavních zdrojů problémů, pokud organizace tabulku přejmou bez úprav (nad rámec vypuštění slova „například“).
  2. Identifikace hrozeb a zranitelností (§ 8 + příloha 3). Pro určená aktiva organizace identifikuje relevantní hrozby a zranitelnosti, přičemž musí zvážit alespoň kategorie uvedené v příloze 3 (17 zranitelností a 21 hrozeb – od nedostatečné údržby aktiv přes škodlivý kód až po zneužití cizí státní moci pro přístup k aktivům). Příloha sama uvádí, že nejde o vyčerpávající seznamy a že organizace může (čtěme „měla by“) určit další konkrétní hrozby a zranitelnosti podle svých bezpečnostních potřeb. Že dodatečnou identifikaci dalších hrozeb organizace často nedělají je samo o sobě významným problémem, ale ten v rámci tohoto článku v zájmu omezení jeho již tak značné délky pomineme (zájemcům o tuto problematiku nicméně alespoň doporučím zvážit účast na školení, které se otázce modelování hrozeb nejen pro potřeby analýzy rizik věnuje). Cílem tohoto kroku (mj.) je v každém případě po identifikaci všech relevantních hrozeb a zranitelností posoudit reálně možné kombinace aktivum–zranitelnost–hrozba, tedy identifikovat množinu uskutečnitelných realizací hrozeb, při nichž mohou tyto hrozby prostřednictvím zranitelností působit na konkrétní aktiva.
  3. Ohodnocení hrozeb a zranitelností (příloha 4, tabulky č. 1 a 2). Každé hrozbě má být přiřazena jedna ze čtyř úrovní podle očekávané frekvence realizace. Při použití vzorové tabulky tedy buď úroveň Nízká (méně než jednou za 5 let), Střední (jednou za 1 rok až 5 let), Vysoká (jednou za 1 měsíc až 1 rok) nebo Kritická (častěji než jednou za měsíc). Každé zranitelnosti se přiřadí jedna ze čtyř úrovní z další tabulky, která obsahuje kvalitativní popis kombinující pravděpodobnost zneužití a stav zavedených opatření (od „zranitelnost neexistuje nebo je zneužití málo pravděpodobné“ po „zneužití zranitelnosti je velmi pravděpodobné až víceméně jisté, bezpečnostní opatření nejsou realizována“).
  4. Výpočet rizika (příloha 4, odst. 1 až 3). Příloha 4 v odst. 1 uvádí, že „jednoznačné stanovení funkce pro určení rizika je nezbytnou součástí metodiky pro hodnocení rizik“, v odst. 2 pak, že hodnota rizika je nejčastěji vyjádřena jako funkce hodnoty aktiva, hrozby a zranitelnosti, a v odst. 3 explicitně uvádí, že lze použít vzorec Riziko = hodnota aktiva × hrozba × zranitelnost, „případně jinou funkci obdobného významu“. Vstupem do součinu jsou tedy úrovně 1–4 ze tří výše popsaných stupnic a výstupem tudíž číslo mezi 1 a 64.
  5. Vyhodnocení rizika (příloha 4, tabulka č. 3 a odst. 6). Výsledné riziko se zařadí do jedné ze čtyř úrovní (Nízké – akceptovatelné, Střední – lze snížit méně náročnými opatřeními, Vysoké – dlouhodobě nepřípustné, Kritické – nepřípustné, nutno neprodleně řešit) a porovná se s hranicí akceptovatelnosti, kterou si organizace stanovila. Zmínku přitom zaslouží, že vyhláška nikde nestanoví, jak se má číslo 1–64 na tyto čtyři úrovně převést, a tedy kde mají/mohou ležet hranice mezi úrovněmi.

Pět výše popsaných kroků by mělo organizaci poskytovat představu o tom, jaká rizika jsou pro ni (resp. pro regulovanou službu, kterou organizace zajišťuje/poskytuje) relevantní, jak jsou významná a zda jsou akceptovatelná. Než si ukážeme, že při doslovném sledování tohoto postupu s pomocí tabulek uvedených ve vyhlášce řada organizací z principu nemůže dojít ke smysluplným výsledkům, je na místě zmínit, jaká část tohoto postupu je povinná a jaká volitelná.

Povinné je provádět hodnocení rizik (alespoň jednou ročně a při významných změnách) alespoň v rozsahu přílohy č. 4, zvážit alespoň kategorie hrozeb a zranitelností z přílohy 3 a posoudit oblasti hodnocení primárních aktiv z přílohy 1.

Volitelné – a vyhláškou výslovně připuštěné – je přizpůsobit si úrovně a jejich počet (příloha 1 odst. 2), použít „jinou funkci obdobného významu“ (příloha 4 odst. 3) a sloučit stupnice pro hodnocení hrozeb a zranitelností, pokud používaná metoda tyto dva faktory nerozlišuje (příloha 4 odst. 5). Vyhláška tedy de facto umožňuje přejít na dvoufaktorovou analýzu dopad × pravděpodobnost. Že vyhláška jiné způsoby hodnocení rizik připouští, navíc potvrzuje i § 8 odst. 3, podle nějž lze hodnocení rizik zajistit i jinak, „pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik“.

Výše uvedené možnosti úprav jsou pro zbytek článku klíčové, neb díky nim jsou návrhy smysluplnějšího přístupu k analýze rizik, které jsou popsány níže, plně v mantinelech vyhlášky.

Statistické mechanismy použité při analýze

V zájmu ověření toho, zda dává/nedává doslovné použití vstupů z vyhlášky smysl (resp. v zájmu identifikace těch situací, při nichž jejich použití bez jakékoli změny potenciálně smysl dávat může), byla provedena analýza využívající několika statistických mechanismů. A protože není žádoucí, aby byl zbytek článku srozumitelný pouze čtenářům s odborným vzděláním v oblasti statistiky, u každého použitého mechanismu nyní uvedeme krátkou „populární“ vysvětlivku.

Monte Carlo simulace a vstupní data

Začněme tím, proč se vůbec bavíme o nějakých odhadech a simulacích. Jak jsme již zmínili v úvodu, chceme-li ověřit, zda metodika z vyhlášky řadí rizika „správně“ (tedy že riziko spojené s vyšší pravděpodobnou ztrátou označí za významnější, než riziko spojené s nižší pravděpodobnou ztrátou), v ideálním světě bychom k tomu použili databázi obsahující data z desetitisíců reálných kybernetických incidentů, z nichž každý bychom využili pro namapování na konkrétní hrozbu, a u každé z nich bychom tak získali skutečnou frekvenci její realizace i rozsah způsobených škod. Následně bychom se podívali, zda metodika jednotlivé hrozby správně roztřídí dle s nimi spojeného rizika. Podobná velmi široká a zároveň veřejně přístupná databáze však reálně neexistuje. Musíme si proto pomoci jinak, a to s pomocí vygenerování syntetických dat, tedy umělé množiny rizik/realizací hrozeb, u nichž si tvar (rozdělení) frekvencí a dopadů zvolíme sami tak, aby byl realistický (nebo naopak záměrně pro tabulky co nejpříznivější – viz níže). Klíčové je, že u syntetických dat přesně známe „skutečnou“ odpověď – tedy které riziko je objektivně větší a které je objektivně menší – a můžeme tedy efektivně změřit, jak se k této odpovědi výstup z určité metodiky (pro naše potřeby té z vyhlášky) blíží.

Při využití malého počtu synteticky generovaných dat by samozřejmě mohlo porovnání dopadnout nekorektně jen z důvodu náhodné výjimky, která by se v praxi zřejmě nikdy neprojevila, a přístup k analýze rizik bychom tak potenciálně mohli označit za chybný omylem. Syntetických dat tedy potřebujeme velké množství. Z výše uvedeného důvodu byla pro ověření přístupu z vyhlášky využita tzv. Monte Carlo simulace – výpočetní postup, který místo jediného odhadu (vstupu) vygeneruje jejich velké množství, u každého spočítá výsledek, a teprve z celé množiny výsledků dělá závěry. Název tohoto přístupu odkazuje na kasina v Monte Carlu – stejně jako u rulety totiž výsledek jednoho „hodu“ statisticky nic neznamená, ale výsledky desetitisíců hodů už mají velmi dobře využitelné statistické vlastnosti. V kvantitativním řízení kybernetických rizik je Monte Carlo simulace standardní metodou, jak spojit nejistotu ve frekvenci a dopadu událostí do smysluplného rozdělení ztrát (Monte Carlo simulace využívá mj. metodika FAIR nebo pánové Hubbard a Seiersen ve známé knize How to Measure Anything in Cybersecurity Risk).

Pro potřeby naší analýzy bylo s pomocí jednoduchého skriptu vygenerováno celkem 40 000 hypotetických rizik. Tato množina představuje umělý „vzorek světa“, který je dostatečně velký na to, aby z něj získané statistiky byly stabilní a přitom výpočetně zvládnutelné. Každému prvku této množiny byly přiřazeny (resp. náhodně vylosovány z příslušného rozdělení – viz následující kapitola) tři spojité veličiny, které dohromady plně popisují riziko spojené s realizací určité hrozby, tedy vše, co potřebujeme pro výpočet skutečné očekávané ztráty i pro ohodnocení s pomocí tabulek. Těmito veličinami byly:

  • roční frekvence hrozby λ – kolikrát za rok reálně (na pomyslné aktivum) působí relevantní hrozba (0,1 = jednou za deset let, 12 = každý měsíc). Tato veličina byla generována pravděpodobnostními rozděleními popsanými níže.
  • podmíněná pravděpodobnost úspěšného zneužití p – pravděpodobnost, že pokud se hrozba realizuje, dojde díky existující zranitelnosti k jejímu úspěšnému naplnění. Pravděpodobnost byla reprezentovaná číslem mezi 0 a 1 a generována byla rovnoměrně z tohoto intervalu.
  • dopad L – ztráta v korunách, kterou úspěšná realizace hrozby způsobí. Tato veličina byla opět generována rozděleními popsanými níže.

Na tomto místě může bystrý čtenář namítnout, že vygenerovaná rizika jsou jen hypotetická, takže s nimi nejsou spojeny žádné konkrétní hrozby. To je pravda – ale pro naše potřeby to nevadí. Nezajímá nás totiž, jaká konkrétní hrozba na jaké aktivum působí, nýbrž jakou ztrátu by mohla způsobit jakákoli hrozba dané frekvence, pravděpodobnosti a dopadu. Trojice (λ, p, L) tedy reprezentuje libovolný reálný scénář kombinující dopad na aktivum, hrozbu a zranitelnost, a právě tuto trojici jak vyhláška, tak jakákoli rozumná metodika potřebuje převést na „míru rizika“. Tím, že si výše zmíněnou trojici opakovaně „vylosujeme“, získáme tisíce takových scénářů pokrývajících celé spektrum možných situací, k nimž může realisticky docházet.

Podstatné je, že z tří výše uvedených veličin lze pro každé riziko zahrnuté do syntetických dat spočítat referenční „skutečné“ riziko, tedy očekávanou roční ztrátu ALE (Annual Loss Expectancy), získanou jako součin frekvence, pravděpodobnosti a dopadu (tedy ALE = λ × p × L). Považovat ALE za reálné riziko je samozřejmě citelné zjednodušení celé situace, ale pro konceptuální ověření validity metodiky je tento přístup plně vyhovující.

Proč je ale tato hodnota smysluplným etalonem, i když jde o „neexistující“ aktiva a hrozby? Protože ALE má jasný a všeobecně přijímaný význam – je to průměrná částka, o kterou organizace v dlouhodobém horizontu kvůli danému riziku ročně přijde. Jde o číslo, které plyne přímo a jednoznačně z definice frekvence, pravděpodobnosti a dopadu, tedy z týchž tří veličin, které do hodnocení vstupují i ve vyhlášce. Je však důležité si uvědomit, proč tento součin (na rozdíl od součinu z vyhlášky) dává smysl – všechny tři činitele jsou skutečná čísla a nikoli zástupné hodnoty na nejasně definovaných škálách. Výsledné ALE má tak jednotku „koruny za rok“ a jde o tzv. poměrovou veličinu, u níž jsou násobení a dělení matematicky korektní operace (to u hodnot z tabulek ve vyhlášce neplatí a k tomuto bodu se proto vrátíme později). Hodnota nám tedy slouží jako smysluplný objektivní opěrný bod, díky němuž víme, jaká je „doopravdy“ úroveň rizika u každého simulovaného vstupu, a můžeme měřit, jak dobře (či špatně) ho aproximuje výstup tabulek z vyhlášky.

Vygenerovaná rizika byla proto vedle určení ALE rovněž namapována na tabulky uvedené ve vyhlášce. Mapování probíhalo takto: dopadu L byla přiřazena úroveň hodnoty aktiva 1–4 (rozdělením rozsahu dopadů na čtyři pásma po řádech), frekvenci λ úroveň hrozby 1–4 podle frekvenčních pásem z tabulky č. 1 přílohy 4 (prahy 0,2, 1 a 12 událostí za rok) a pravděpodobnosti p úroveň zranitelnosti 1–4. Pro úplnost doplním, že osa dostupnosti, u níž se tolerovaný výpadek mapuje na úrovně podle oken z tabulky č. 3 přílohy 1, a kterou jsme již několikrát zmiňovali jako problematickou, mezi tyto tři losované veličiny nepatří – budeme se ji věnovat samostatně v kapitole o pevných oknech výpadku, kde budeme tolerovaný výpadek generovat zvlášť.

Tam, kde vyhláška nestanoví přesné hranice (typicky pro pravděpodobnost zneužití) a tabulky obsahují jen kvalitativní popis, byla zvolena rozumná modelová interpretace – tedy převod kvalitativního popisu na konkrétní číselné rozsahy tak, aby co nejvěrněji odpovídal slovní definici ve vyhlášce. U pravděpodobnosti zneužití p (na škále 0–1) byly tedy hranice mezi úrovněmi položeny do hodnot 0,10, 0,40 a 0,70, takže slovní popisy z vyhlášky byly namapovány následovně: „zranitelnost neexistuje nebo je její zneužití málo pravděpodobné“ → úroveň Nízká (p < 0,10), „zneužití je méně pravděpodobné“ → úroveň Střední (0,10 ≤ p < 0,40), „zneužití je pravděpodobné“ → úroveň Vysoká (0,40 ≤ p < 0,70) a „zneužití je velmi pravděpodobné až víceméně jisté“ → úroveň Kritická (p ≥ 0,70). Bylo by možné namítnout, že toto mapování je náhodné nebo naopak záměrně zvolené a proto omezuje validitu celého numerického důkazu, jak ale uvidíme níže, závěry analýzy jsou dané strukturou posuzované metodiky, nikoli výše zmíněnými rozsahy, a nezmění je ani volba zcela jiných hranic (což ostatně samostatně doložíme).

S pomocí výše uvedeného mapování byla pro každé riziko „vypočítána“ vyhláškou stanoveným způsobem (hodnota aktiva × hrozba × zranitelnost) i výše rizika dle vyhlášky, která byla následně porovnána s referenční ALE.

Shrnuto a podtrženo, pro každé ze 40 000 simulovaných rizik byla k dispozici jeho objektivní výše daná průměrnou roční ztrátou, která s ním byla spojená, a jeho hodnocení provedené podle metodiky z vyhlášky. K dispozici tedy byly dva vstupy nezbytné pro zhodnocení toho, zda metodický mechanismus z vyhlášky správně rizika seřadí (tedy zda rizika spojená s vyššími průměrnými ztrátami vyhodnotí jako významnější, než rizika spojená s nízkými ztrátami). Než se však dostaneme k tomu, jak v tomto testu metodický přístup z vyhlášky uspěl, je na místě podívat se hlouběji na jednotlivá pravděpodobnostní rozdělení použitá při tvorbě vstupních dat.

Jak byla vytvořena vstupní data aneb čtyři použitá rozdělení

Obecně lze říci, že pravděpodobnostní rozdělení je v podstatě předpis, který říká, jaké hodnoty určitá veličina nabývá a jak často. Aby výsledky nezávisely na jedné konkrétní (a – jak by mohl pozorný čtenář namítnout – potenciálně účelové) volbě rozložení použité při generování syntetických dat, byly hodnoty frekvencí λ a dopadů L generovány celkem čtyřmi různými způsoby, resp. čtyřmi pravděpodobnostními rozděleními.

Pravděpodobnost zneužití p byla, jak je uvedeno výše, ve všech případech pro jednoduchost generována rovnoměrně z intervalu 0–1.

Pro generování dat byla použita tato čtyři pravděpodobnostní rozdělení:

  • Normální (Gaussovo) rozdělení je ona známá symetrická zvonová křivka. Hodnoty se v ní koncentrují kolem průměru a směrem k oběma okrajům jich stejnoměrně ubývá. Jde o rozdělení, které většina lidí intuitivně používá („typická ztráta je milion, plus minus pět set tisíc“), což je důvod, proč bylo do analýzy zařazeno. Jak si nicméně ukážeme, pro simulaci možných rizik a ztrát souvisejících s kybernetickými incidenty toto rozdělení vhodné není. Napovědět nám to může už následující prostá úvaha – je-li normální rozdělení symetrické a neomezené i směrem dolů (což je), pak formálně připouští i záporné ztráty. Tzv. „chvosty“ (pravděpodobnosti extrémních hodnot) tohoto rozdělení navíc klesají extrémně rychle – událost vzdálená pět směrodatných odchylek od průměru je v normálním světě prakticky nemožná. Ztráty způsobené kybernetickými bezpečnostními incidenty se takto ale reálně nechovají – konec konců, v extrémních případech mohou být i významně vzdálenější od průměru než oněch zmiňovaných pět směrodatných odchylek (vzpomeňme např. na odhadovanou škodu $300 milionů u společnosti Maersk po incidentu s pseudo-ransomwarem NotPetya).
  • Rovnoměrné (uniformní) rozdělení přiřazuje stejnou pravděpodobnost všem hodnotám v zadaném rozsahu na lineární škále. Toto rozdělení bylo zařazeno jako další intuitivní, avšak „naivní“ volba, kterou bychom potenciálně mohl mít tendenci použít, pokud bychom např. věděli jen, že „škoda vzniklá v souvislosti s rizikem může být mezi tisícem a deseti miliony korun“. Jak uvidíme, na logaritmických škálách, na nichž rizika reálně žijí, je tato volba dokonce vzdálenější realitě než normální rozdělení, protože většinu hodnot „natlačí“ do nejvyššího řádu.
  • Logaritmicko-uniformní (log-uniformní) rozdělení je rozdělení, v němž je každý „řád“ stejně pravděpodobný, tedy ztráta v řádu tisíců, desetitisíců, statisíců i milionů korun má tedy stejnou šanci výskytu. V rámci analýzy nám toto rozdělení slouží jako neutrální mechanismus pro rovnoměrné pokrytí celého možného rozsahu dopadů, přičemž nezvýhodňuje žádnou část numerické škály. Zmínku zaslouží, že toto rozdělení představuje pro tabulky z vyhlášky nejpříznivější možné vstupy, neb data jsou v něm rozprostřena přesně tak, aby všechny čtyři úrovně každé stupnice mohly být využity (což, jak si ukážeme, u jiných rozdělení ani v praxi zpravidla neplatí).
  • Logaritmicko-normální (log-normální) rozdělení je, odborně řečeno, rozdělení kladné veličiny, jejíž logaritmus má normální rozdělení. To znamená, že data se v tomto rozdělení koncentrují kolem mediánu, ale mají dlouhý pravý chvost, a tedy existuje zde nezanedbatelná pravděpodobnost výskytu vzácných, ale velmi velkých hodnot. Právě tomuto rozdělení podle empirických studií přibližně odpovídají skutečné kybernetické ztráty. Analýzy reálných dat o ztrátách způsobených kybernetickými bezpečnostními incidenty (viz např. zde, zde, zde, zde apod.) shodně nacházejí silně pravostranně zešikmená, tzv. „těžkochvostá“ rozdělení závažnosti/dopadů. Je samozřejmé, že výsledky z těchto výzkumů nemusí nezbytně dokonale odpovídat realitě, neb databáze z nichž čerpají nejsou kompletní a zcela jistě v nich nebudou zastoupeny (mj.) drobné incidenty v počtech, v nichž k nim reálně dochází. Stále však jde o jedno z nejrealističtějších a nejuznávanějších rozdělení, které máme k dispozici. Dokazuje to i skutečnosti, že log-normální rozdělení je standardním parametrickým modelem jak v metodice FAIR, tak u pánů Hubbarda a Seiersena. Pro úplnost je na místě dodat, že reálné chvosty bývají dle akademických studií (viz např. zde a zde) někdy dokonce ještě „těžší“ než ty odpovídající log-normálnímu rozdělení. V praxi to tedy znamená, že pro modelování ztrát způsobených kybernetickými bezpečnostními incidenty může být log-normální rozdělení vnímané jako relativně konzervativní volba.

Jak změřit, zda výstup z metodiky pro hodnocení rizik dává smysl

Jak jsme zmínili již v úvodu, jádro celého článku stojí na jediné, ale zásadní myšlence, totiž že pokud je průměrná roční finanční ztráta (ALE) dobrým vyjádřením skutečného rizika, pak by ALE měla odpovídat i jakákoli „míra“ či „úroveň“ rizika spočtená/získaná s pomocí libovolné prakticky použitelné metodiky. Jinak řečeno, seřadíme-li rizika podle průměrné s nimi spojené roční ztráty a poté je seřadíme s pomocí libovolné metodiky (v našem případě tedy té uvedené ve vyhlášce), měla by obě pořadí být přinejmenším podobná. Čím víc se budou lišit, tím méně zkoumaná metodika z principu odpovídá realitě.

Aby bylo možné objektivně změřit, jak dalece se s pomocí metodiky z vyhlášky daří dojít k hodnocení odpovídajícímu reálně možným ztrátám, byla referenční ALE pro jednotlivá rizika porovnána s mírou rizika získanou z tabulek z vyhlášky pomocí několika statistických mechanismů a dalších konceptů, které je vhodné si krátce představit:

  • Kendallovo τ (tau), nebo též Kendallův koeficient pořadové korelace (resp. specificky jde o Kendallovo τ-a), je míra shody pořadí mezi dvěma „žebříčky“. V našem případě umožňuje porovnání žebříčku/pořadí rizik seřazeného podle ALE a žebříčku/pořadí seřazeného podle metodiky z vyhlášky. Obecně koeficient nabývá hodnot od −1 do +1, přičemž hodnota +1 znamená, že oba žebříčky jsou shodné, 0 znamená, že pořadí spolu vůbec nesouvisí, a −1 říká, že obě pořadí jsou přesně opačná. Z praktického hlediska zaslouží zmínku, že τ se na našich datech počítá z podílu „souhlasných“ a „nesouhlasných“ dvojic rizik, přičemž pro každou dvojici rizik se ptáme, zda ji obě metody seřadí ve stejném směru.
    Pro vyloučení pochybností je na místě explicitně vysvětlit, co znamená, že je dvojice bude „souhlasná“, resp. seřazená ve stejném směru. Pokud vezmeme dvě rizika, A a B, u nichž ALE říká, že A je rizikovější než B, a zároveň i jejich ohodnocení metodikou z vyhlášky určí, že A je rizikovější než B, je tato dvojice seřazena souhlasně/ve stejném směru. Pokud by však ALE říkalo, že „A > B“, ale metodika z vyhlášky určila, že „A < B“, bude tato dvojice seřazena obráceně/nesouhlasně (v praxi by to znamenalo, že metodika z vyhlášky by nás u této dvojice měla tendenci směrovat k přednostnímu řešení toho rizika, které je ve skutečnosti menší).
    Krátce řečeno – pro potřeby článku platí, že čím blíže hodnotě +1 bude jakékoli porovnání, tím přesnější bude schopnost metodiky seřadit rizika správně (dle s nimi spojeného ALE/reálné průměrné ztráty). Hodnota τ = 0,77, kterou budeme v souvislosti s metodikou vyhlášky níže často zmiňovat, tedy znamená relativně silnou, ale zdaleka ne dokonalou shodu, neb při této hodnotě je zhruba každá desátá dvojice rizik seřazena obráceně.
  • Podíl převrácených dvojic je intuitivní doplněk výše popsanému τ: v našem případě u náhodně vybíraných dvojic rizik stanovuje, jak často postup převzatý z vyhlášky označí za rizikovější to riziko, jehož skutečné riziko (dle ALE) je nižší. Jde tedy přímo o „četnost chyb v pořadí“.
  • Jaccardův index podobnosti měří překryv dvou množin – odborně jde o velikost průniku dělenou velikostí sjednocení, což v praxi znamená, že hodnota 1 značí, že obě porovnávané množiny jsou totožné a 0, že nemají nic společného. V rámci analýzy tento index použijeme na porovnání seznamů rizik, která je dle vyhlášky nezbytné řešit (tedy těch rizik, která není možné akceptovat, neb jsou hodnocena úrovněmi „Vysoká“ nebo „Kritická“), získaných na základě různé volby „dělící linie“ akceptovatelnosti rizika na škále 1-64. Zvolení prahových hodnot na této škále je něco, co vyhláška implicitně po regulovaných subjektech požaduje (bez toho by nebylo možné převést čísla z rozsahu 1-64 na 4 kvalitativní úrovně hodnocení rizik), avšak nikde nestanoví jak se má toto stanovení provést. Níže si proto s pomocí Jaccardova indexu ukážeme, jak významně tato volba ovlivní výsledné ohodnocení rizik.
  • Efektivní počet využitých úrovní je zřejmě nejméně intuitivní, ale velmi užitečný ukazatel, který budeme v textu používat. Odvozujeme jej ze Shannonovy entropie vztažené na tabulky z vyhlášky, tedy z míry toho, jak rovnoměrně jsou rizika rozdělena mezi čtyři úrovně konkrétní stupnice. Výsledné číslo (formálně 2 umocněno na entropii) tedy říká, kolik úrovní stupnice z vyhlášky by organizace reálně využila.
    V praxi by to znamenalo, že pokud by do každé ze čtyř úrovní spadnula přesně čtvrtina rizik, vyšel by efektivní počet 4,0 (tedy stupnice by byla využita plně). Pokud by se všechna rizika nahrnula do jediné úrovně, vyšlo by ≈ 1,0 a daná tabulka (resp. s ní spojená osa) by nenesla žádnou informaci (všechna rizika by byla dle dané tabulky „stejná“). Pokud by efektivní počet využitých úrovní vyšel například 2,0, znamenalo by to, že stupnice reálně funguje jen, jako kdyby měla jen dvě úrovně (dvě zbylé by v takovém případě byly prakticky nevyužity). Jde tedy o přímou míru rozlišovací schopnosti tabulky (resp. její stupnice) v konkrétním prostředí a čím nižší číslo u ní vyjde, tím méně stupnice pomůže rizika od sebe odlišit.
    Důvod, proč je tento ukazatel hodnotný, je prostý – pokud bychom chtěli využívat pro analýzu rizik metodiku z vyhlášky, určitě dává smysl, aby měla organizace možnost využít u všech tabulek jejich celý rozsah 1-4. Jak si však ukážeme, pokud si organizace tabulky neupraví dle specifik svého prostředí, pak k použití celého rozsahu zpravidla dojít nemůže.

Použití výše popsaných mechanismů nám umožní mj. získat relativně jasnou informaci o tom, jaké parametry by musela určitá organizace splňovat, aby pro ni dávalo smysl využívat nezměněné tabulky z vyhlášky, a pro které organizace by to naopak bylo zcela nesmyslné. Než se však pustíme do diskuze výstupů analýzy, je nezbytné představit jeden principiální problém, který postihuje metodiku z vyhlášky, i řadu dalších metodik pro tzv. semi-kvantitativní analýzy rizik (tedy těch, u nichž jsou pro označení jednotlivých kategorií využita čísla, nad nimiž jsou následně prováděny numerické operace)…

„Drobný“ matematický a logický problém

V teorii měření, potažmo v matematice a statistice, principiálně rozlišujeme čtyři následující typy škál (ty zavedl už v roce 1946 pan Stevens a jsou stále všeobecně využívány):

  • Nominální škála, na níž prvky spadají do kategorií bez nezbytného vzájemného vztahu – např. „zvířata“ a „ovoce“.
  • Ordinální/pořadová škála, na níž lze prvky seřadit dle kategorií, ale rozestupy mezi kategoriemi nejsou definované – např. 1.–10. fotbalová liga.
  • Intervalová škála, na níž lze prvky seřadit do kategorií a kategorie mají stejné rozestupy, ale škála nemá „absolutní“ nulu – např. teplota ve stupních Celsia.
  • Poměrová škála, která má nulu i jednotku a lze v ní smysluplně násobit a dělit – např. délka v metrech, ztráta v korunách, frekvence v událostech za rok apod.

Proč je pro nás výše uvedené podstatné?

Úrovně 1 až 4 použité ve všech tabulkách ve vyhlášce jsou převážně pořadové – říkají, že „Vysoká“ je víc než „Střední“, ale nikoli o kolik (drobnou výjimkou je pouze stupnice pro hodnocení aktiv z pohledu dostupnosti, kde jsou jednotlivým úrovním přiřazeny konkrétní časové údaje, a také explicitní frekvenční pásma ve stupnici hrozeb).

Může se zdát, že výše uvedená skutečnost nepředstavuje významnější problém, ale opak je pravdou – na pořadových škálách totiž nemá součet ani součin žádný matematický význam. Věta ve vyhlášce říkající, že „pro hodnocení rizik lze použít funkci: Riziko = hodnota aktiva × hrozba × zranitelnost, případně jinou funkci obdobného významu“, tak (s drobným cynickým přimhouřením oka) říká, že můžeme použít funkci, která má obdobný význam k logickému nesmyslu. Konec konců, zhodnoťte sami – je pravda, že Vysoká krát Nízká rovná se Střední?

Výše uvedená rovnice je samozřejmě konceptuálně správná, ale jen pokud bychom vstupy do ní získávali z poměrových škál, což vyhláška zjevně nedělá…

Na tomto místě je možné namítnout, že vyhláška sice využívá násobení, ale fakticky jen jako mechanismus pro kombinaci kvalitativních hodnot z různých škál. Problémem však je, že o násobení nenásobitelných prvků i tak jde, jak ukazuje sám odst. 3 přílohy 4, podle něhož je celkové riziko vyjádřeno jako součin tří pořadových hodnot od 1 do 4 (výsledkem je tedy „skóre“ mezi 1 a 64).

A kdykoli násobíme nenásobitelné, vznikají významné problémy, a nejde přitom jen o problémy akademické. To, že matice rizik postavené na pořadových škálách systematicky produkují chybné výstupy, je v odborné literatuře extrémně dobře zdokumentováno (viz např. zde, zde nebo zde).

Pro úplnost dodejme, že nahrazením násobení sčítáním (což sice rozhodně není „funkce obdobného významu“ k násobení, ale to ponechme stranou) bychom si nijak nepomohli. Jednak je součet na pořadové škále úplně stejně nedefinovanou operací jako součin (výrok „Vysoká plus Nízká rovná se Střední“ nedává o nic větší smysl než původní násobení), a jednak to potvrzuje i naše simulace – při porovnání výsledků řadí rizika součet jednotlivých vstupů prakticky stejně (ne)přesně jako jejich součin (Kendallovo τ vůči skutečné ALE vychází 0,78 pro součet a 0,77 pro součin). Falešný poměrový význam, který násobení předstírá (a kvůli němuž působí výsledné skóre 1–64 tak „rádoby odborně“), tedy fakticky nepřináší vůbec nic.

Skutečná cesta ven z numerického šumu v každém případě nevede přes výměnu aritmetické operace, ale přes návrat k reprezentativním skutečným hodnotám, jak ukážeme za okamžik. Pro ty, které výše zmíněná argumentace o obecné nesmyslnosti násobení nepřesvědčila, resp. pro ty, kteří cítí, že ony tabulky s frekvenčními pásmy a explicitními hodnotami dostupnosti něco změní, nicméně ještě uděláme krátké pozastavení nad touto tématikou.

Proč nedává násobení smysl, přestože kvalitativní úrovně jsou zastoupeny numerickými hodnotami

Jak jsme zmínili výše, úrovně 1–4 ve vyhlášce nejsou vždy „jen“ pořadová čísla – ve dvou případech (frekvenční pásma u hrozeb a časová okna u dostupnosti) za nimi stojí konkrétní numerické hodnoty. Je to pravda, jenže problémy se díky tomu ve skutečnosti ještě prohlubují. Jednotlivé škály vyhlášky totiž „kódují“ do stejných úrovní 1–4 zcela odlišné druhy závislostí.

V zájmu pochopení situace se podívejme, co posun o jednu úroveň znamená na každé ze tří škál vstupujících do součinu:

  • Tabulka pro hodnocení hrozeb – Úroveň 1 odpovídá frekvenci do 0,2/rok, úroveň 2 pásmu 0,2–1/rok, úroveň 3 pásmu 1–12/rok a úroveň 4 frekvenci nad 12/rok. Posun o jednu úroveň tedy znamená zhruba vynásobení reálné frekvence šesti až deseti – hodnoty tedy spadají do exponenciální škály.
  • Tabulka pro hodnocení dostupnosti – Okna „týdny / pracovní den / hodiny / minuty“ znamenají, že posun o jenu úroveň odpovídá zhruba vydělení tolerovaného výpadku (tentokrát cca deseti až třiceti) – použita je tedy opět exponenciální škála.
  • Tabulka pro hodnocení zranitelností – Tato tabulka reprezentuje pravděpodobnost zneužití, tedy veličinu z intervalu 0 až 1 (0 % – 100 %). Posun o úroveň znamená přičtení zhruba 0,2–0,3 a škála je navíc shora ohraničená jedničkou – jde tedy o škálu zhruba lineární.
Co reprezentuje úroveň 1–4 na jednotlivých škálách vyhlášky.
Co reprezentuje úroveň 1–4 na jednotlivých škálách vyhlášky. Hrozba i dostupnost jsou (lehce pokřivenou) přímkou na logaritmické ose (krok mezi úrovněmi je tedy násobkem skutečné hodnoty), zatímco zranitelnost je přímkou na ose lineární (krok je přičtením konstanty a strop je definován na úrovni 1). Tři uvedené škály tedy měří v navzájem nesouměřitelných jednotkách.

Celočíselné popisky 1–4 výše popsanou zásadní skutečnost zcela skryjí. Násobit (nebo i sčítat) holá celá čísla z takto různorodých škál je jako násobit stupně Richterovy škály stupni pH: obě škály jsou logaritmické, ale každá měří úplně jinou veličinu s jiným „krokem“, a součin tak nemá žádný fyzikální smysl. Pro ilustraci, krok z úrovně 2 na úroveň 3 znamená u hrozby desetinásobek frekvence, u zranitelnosti přičtení nějakých 25 procentních bodů pravděpodobnosti, a vzorec z vyhlášky obě tyto naprosto nesouměřitelné změny ocení úplně stejně, totiž vynásobením „rizikového skóre“ poměrem 3/2.

Smysluplný a prakticky použitelný postup, pokud už bychom chtěli úrovně kombinovat výpočtem, by bylo převést tyto úrovně zpět na reprezentativní skutečné hodnoty a teprve ty mezi sebou násobit. Co by to znamenalo v praxi?

Místo abstraktní „úrovně 3“ hrozby bychom použili typickou skutečnou hodnotu, kterou tato úroveň zastupuje (například geometrický průměr mezí jejího frekvenčního pásma, tedy ≈ 3,5 události za rok). Místo „úrovně 2“ zranitelnosti bychom použili pravděpodobnost ≈ 0,25 a místo „úrovně 4“ dopadu bychom použili reprezentativní částku v korunách (v naší simulaci vychází nejvyšší hodnotové pásmo na ≈ 3,2 mil. Kč). Kalibrovaný součin by pak byl prostým součinem těchto skutečných hodnot. Klíčové je, že protože by šlo o poměrové veličiny, ne zástupné ordinální úrovně, byl by tento postup matematicky korektní.

Jak takový převod může organizace získat pro vlastní prostředí? Potřebuje k tomu jen hrubý odhad rozsahů svých vlastních dat – tedy přibližně, v jakých částkách se pohybují její možné ztráty, jak často se v jejím prostředí hrozby reálně projevují a jak dlouhé výpadky aktiv toleruje. Z těchto odhadů se reprezentativní hodnoty (geometrické průměry mezí jednotlivých pásem) snadno dopočítají – a přesně to dělá jeden z přiložených skriptů, k němuž se vrátíme v závěru. Žádná složitá data tedy potřeba nejsou – stačí řádové odhady, které tak jako tak vznikají při běžném hodnocení aktiv.

A jak ukážeme níže s pomocí výsledků naší simulace, využívání smysluplných reprezentativních hodnot místo „standardních“ tabulek z vyhlášky povede k fakticky měřitelnému zlepšení. Pro ty, které by zajímalo, jak dalece bude rozdíl patrný je vhodné uvést, že zatímco násobení úrovní dosahuje shody pořadí se skutečným rizikem (ALE) τ = 0,77 a součet úrovní τ = 0,78, kalibrovaný součin reprezentativních hodnot dosahuje τ = 0,83, přičemž zbývající „nedokonalost“ řazení rizik je dána už jen hrubostí způsobenou použitím čtyř úrovní, a nikoli granulárnějšího rozdělení.

Shoda pořadí se skutečnou ALE pro tři zkoumané možnosti kombinace týchž úrovní
Shoda pořadí se skutečnou ALE pro tři zkoumané možnosti kombinace týchž úrovní (log-uniformní vstupy). Násobení navržené ve vyhlášce není o nic lepší než prostý součet a obě operace dávají významně méně smysluplné výstupy než když organizace provede jednoduchou kalibraci a využije pro určení výše rizika skutečné reprezentativní hodnoty.

Aby nezůstalo jen u abstraktních konceptů, ukažme si důsledek nesmyslnosti postupu založeného na násobení „nenásobitelných“ vstupů ještě na jednom názorném příkladu tří rizik. Jak můžeme vidět, vzácné, ale katastrofické riziko může dostat podle frekvenčních pásem vyhlášky nízkou úroveň hrozby, v důsledku čehož bude mít i nízké celkové skóre, přestože je její skutečné riziko může být citelně vyšší než u rizik „skórovaných“ výše…

Riziko Frekvence (výskytů za rok) Pravděp. zneužití Dopad (Kč) Skutečná ALE (Kč/rok) Úrovně (D, H, Z) Skóre dle vyhlášky
A: vzácné, katastrofické 0,1 0,9 250 000 000 22 500 000 4, 1, 4 16
B: časté, drobné 20 0,9 50 000 900 000 2, 4, 4 32
C: časté, střední 15 0,5 125 000 937 500 3, 4, 3 36

Jak vidíme, ve výše uvedeném příkladu má riziko A nejvyšší skutečný průměrný dopad (22,5 mil. Kč/rok, tedy zhruba 24× více než zbylá dvě), ale nejnižší skóre (16), zatímco riziko B s ALE 900 tis. Kč/rok dostane skóre dvojnásobné (32) a aktivum C dokonce ještě vyšší (36). Metoda z vyhlášky by tak nasměrovala rozpočet na nápravná opatření přesně opačně, než by bylo namístě. (Dodejme, že dopad 250 mil. Kč u aktiva A není zvolen náhodně – odpovídá potenciálnímu zákonnému stropu pokuty pro režim vyšších povinností, a jde tedy reálně představitelný „katastrofický“ dopad.)

Zmínku zaslouží, že výše uvedený výsledek není zlomyslně zkonstruovaná kuriozita – jde o klasický problém spočívající v tzv. „inverzi rizika“ (risk inversion), kterou pořadové matice produkují systémově, což je v odborné literatuře velmi dobře dokumentováno. Jak již bylo uvedeno výše (viz diskuze o Kendallově koeficientu), v naší simulaci tato inverze u realistických dat postihovala při použití neupravené metodiky z vyhlášky zhruba každou desátou dvojici rizik.

Výsledky simulace

Nyní již snad nikdo nepochybuje o tom, že násobení pořadových čísel je principiálně – slušně řečeno – problematické. Pojďme se tedy podívat, jak velký je tento problém (i některé další) v praxi, tedy co konkrétně z provedených Monte Carlo simulací vyšlo. Připomeňme, že pro každé ze 40 000 simulovaných rizik známe jeho numericky kvantifikovanou průměrnou roční ztrátu (ALE) i jeho hodnocení dle tabulek z vyhlášky, a můžeme tedy obě hodnoty přímo porovnat.

Začneme tím, jak si metodika vede na datech generovaných různými rozděleními, a následně se podíváme na strukturální problémy, které se projevují bez ohledu na volbu rozdělení.

Výstup získaný na datech generovaných s pomocí normálního rozdělení

Varianta s normálním rozdělením byla do analýzy zařazena především v zájmu demonstrace toho, proč tento intuitivní a nejpřirozenější model není vhodné v oblasti analýzy kybernetických rizik používat. Data byla generována tak, jak by to mohl udělat „naivní praktik“ – jako vstupní parametry byla použita typická ztráta 1 milion Kč s rozpětím ±50 % a typická frekvence 0,5 události za rok s obdobným rozpětím.

První problém se projevil okamžitě – i při takto relativně úzkém rozpětí vyšla u 4,6 % vygenerovaných rizik záporná frekvence nebo záporná ztráta, tedy hodnoty, které v reálném světě nemohou existovat a které bylo nutné ze simulace vyřadit. Zmínku zaslouží, že pokud bychom se pokusili normálním rozdělením věrně napodobit skutečnou variabilitu realistických ztrát (tj. sladili jeho střední hodnotu a rozptyl s realistickým log-normálním modelem), vyšlo by záporných dokonce 47 % všech vygenerovaných hodnot, což ukazuje, že normální rozdělení nedokáže současně pokrýt typické hodnoty i mnohařádové rozpětí, které je pro ztráty z kybernetických incidentů charakteristické.

Druhý problém byl zákeřnější. Samotná shoda pořadí s pomocí Kendallova koeficientu vyšla zdánlivě relativně pozitivně (τ = 0,74, což znamená „jen“ 8 % převrácených dvojic), avšak pouze proto, že „pohled na svět“ generovaný normálním rozdělením je nerealisticky úzký.

Co tím je míněno? Protože normální rozdělení „natlačí“ prakticky všechna rizika do úzkého pásma kolem typické hodnoty, leží všechny vygenerované frekvence v rozsahu necelého jednoho řádu. Osa hrozby tak reálně využije jen ~1,5 ze 4 úrovní – téměř všechna rizika tedy spadnou do jedné ze dvou úrovní a stupnice je tak skoro „slepá“. Podobně se chová i tabulka/osa hodnoty (efektivně využité je u ní využito jen 2,7 úrovní ze 4). Hlavně je ale nezbytné zdůraznit, že v jakékoli simulaci založené na normálním rozdělení prakticky neexistují extrémní katastrofy. Pravděpodobnost ztráty větší než desetinásobek mediánu vyšla v normální variantě 0,0 %, zatímco v realistické log-normální variantě je tato pravděpodobnost 16 %. To je podstatné, neb právě tyto vzácné, avšak velké ztráty v reálném světě dle soudobé úrovně poznání dominují celkovému riziku.

Organizace, která by své dopady modelovala normálním rozdělením, by tedy nedostala jen „lehce nepřesnou“ analýzu, ale spíše analýzu slepou přesně vůči těm událostem, kvůli nimž by analýzu rizik primárně prováděla. Tento výsledek je mimochodem v plném souladu se závěry empirické literatury citované výše, podle níž jsou kybernetické ztráty silně těžkochvosté a normální model je pro ně nevhodný.

Normální a log-normální rozdělení dopadů se stejnou typickou hodnotou
Normální a log-normální rozdělení dopadů se stejnou typickou hodnotou. Již při pohledu na lineární osu je z rozdílného tvaru křivek zjevné, že hodnoty z obou rozdělení se významně rozchází, jak moc pak explicitně ukazuje logaritmická osa (vpravo), na níž je dobře vidět, že normální model nepokrývá ani rozsah řádů, ani těžký pravý chvost, v němž se skrývají ztráty, které v reálném světě riziko do značné míry determinují.

Výstup získaný na datech generovaných s pomocí rovnoměrného rozdělení

Než přejdeme k (pro vyhlášku maximálně „příznivému“) log-uniformnímu světu, zastavme se u jeho lineárního příbuzného. Uniformní/lineárně rovnoměrné rozdělení rozprostřelo dopady rovnoměrně mezi 1 tisíc a 10 milionů Kč na lineární ose.

Pro zařazení těchto dopadů do čtyř úrovní hodnoty aktiv bylo použito stejné mapování jako u všech ostatních rozdělení – tedy rozdělení rozsahu dopadů na čtyři pásma „po řádech“, jejichž hranice jsou rozmístěny logaritmicky (geometricky), nikoli lineárně. To je u veličiny, která se přirozeně pohybuje přes několik řádů, jediná rozumná volba (smysl dává odlišovat spíše „desetitisíce od milionů“ než „4,1 milionu od 4,3 milionu“) a jde zároveň o mapování konzistentní se zbytkem analýzy.

Právě v interakci s tímto logaritmickým dělením se však naivně zvolené lineárně rovnoměrné rozdělení projeví zničujícím způsobem. Protože každé vyšší řádové pásmo je z definice desetkrát širší než pásmo předchozí, padne přes 90 % všech lineárně rovnoměrných hodnot do nejvyššího řádu (jednotky milionů Kč). Na hodnotové ose tak organizace fakticky využije jen ~2,4 úrovně a na ose hrozby, kde se navíc uplatní pevná (a rovněž zhruba logaritmicky odstupňovaná) frekvenční pásma vyhlášky 0,2 / 1 / 12 událostí za rok, která vedou k efektivnímu použití pouhých ~1,5 úrovní.

Výsledkem je nejnižší shoda pořadí ze všech čtyř rozdělení (τ = 0,64 a tedy plných 12 % převrácených dvojic). Jde tedy ještě horší výsledek než u normálního rozdělení a lineárně rovnoměrná „naivní“ volba rozložení rizik by tak pro tabulky z vyhlášky byla tou nejhorší variantou. Pro naše potřeby je tento závěr poměrně hodnotný – jde o názornou ukázku toho, jak zrádné může být nepochopení logaritmické (řádové) povahy rizik, a to hned ze dvou stran – jak při volbě rozdělení vstupů, tak při volbě hranic mezi úrovněmi.

Výstup získaný na datech generovaných s pomocí log-uniformního rozdělení

Log-uniformní varianta popisuje pro „použitelnost“ tabulek z vyhlášky ten nejpříznivější možný (byť zcela nerealistický) svět. Dopady byly v rámci tohoto rozdělení rovnoměrně rozprostřeny přes čtyři řády (1 tisíc Kč až 10 milionů Kč) a frekvence přes čtyři řády (0,01 až 100 událostí za rok), takže všechny čtyři úrovně všech stupnic byly plně využity (efektivní počet úrovní 3,9–4,0 ze 4). Pokud by tedy metodika z vyhlášky měla někde fungovat dobře, bylo by to při použití tohoto rozdělení.

I v tomto nejpříznivějším (a ještě jednou zdůrazňuji, že zcela nerealistickém) případě je ale metodika přinejlepším hrubým třídicím mechanismem na rizika, a nikoli mechanismem na jejich reálné měření. Důvod je prostý: součin tří úrovní 1–4 může nabývat pouhých 16 různých hodnot, takže 40 000 rizik (a v praxi jakýkoli jiný počet) se nezbytně slije jen do 16 svislých „pruhů“. Konkrétně jde o tyto hodnoty (pro každou uvádím vždy jen jednu z možných kombinací úrovní, které k jednotlivým skórům vedou, ale například k hodnotě 4 můžeme samozřejmě dojít i v případě, že úrovně vstupů by byly 1×2×2 apod.):

  • 1 = 1×1×1
  • 2 = 1×1×2
  • 3 = 1×1×3
  • 4 = 1×1×4
  • 6 = 1×2×3
  • 8 = 1×2×4
  • 9 = 1×3×3
  • 12 = 1×3×4
  • 16 = 1×4×4
  • 18 = 2×3×3
  • 24 = 2×3×4
  • 27 = 3×3×3
  • 32 = 2×4×4
  • 36 = 3×3×4
  • 48 = 3×4×4
  • 64 = 4×4×4

Problémem je, že uvnitř každého pruhu se skutečná ALE reálně liší o několik řádů, jak ukazuje následující graf.

Celková shoda pořadí při použití log-uniformního rozdělení vyšla τ = 0,77, což znamená, že 9 % náhodně vybraných dvojic rizik metodika seřadí obráceně, než odpovídá skutečnému riziku dle ALE, a dalších 8 % dvojic prohlásí za „shodné“ (přidělí jim stejné skóre), ačkoli se jejich skutečné riziko liší.

Skóre dle vyhlášky vs. skutečná roční očekávaná ztráta
Skóre dle vyhlášky vs. skutečná roční očekávaná ztráta. Vodorovná osa ukazuje 16 možných hodnot, kterých může při použití postupu z vyhlášky nabývat „rizikové skóre“, přičemž barva odpovídá kategoriím dle vyhlášky. Z grafu je patrné, že uvnitř každého svislého pruhu, tedy mezi riziky, která vyhláška považuje za zcela identicky riziková, se ztráty dle ALE liší až o několik řádů.

Po převedení skóre na čtyři výstupní kategorie (tedy po seskupení jednotlivých rizik spadajících do stejných kategorií) je ono pomyslné rozmazání ještě patrnější – uvnitř každé kategorie se skutečná ALE pohybuje v rozsahu zhruba 40–190násobku (a to navíc vzato jen v poměru 90. a 10. percentilu), tedy přes zhruba dva řády. Sousední kategorie se navíc významně překrývají – riziko z nižší kategorie je ve skutečnosti rizikovější než náhodně vybrané riziko z kategorie vyšší zhruba v 7 % případů. Prakticky to znamená, že matice z vyhlášky sice (víceméně) odliší „Nízká“ rizika od „Kritických“, ale nedokáže smysluplně seřadit dvě rizika v kategorii „Vysoká“ – což je přesně ta informace, kterou potřebujeme při rozpočtování a prioritizaci nápravných opatření.

Rozsah skutečné ALE uvnitř jednotlivých výstupních kategorií při použití log-uniformních vstupů
Rozsah skutečné ALE uvnitř jednotlivých výstupních kategorií při použití log-uniformních vstupů (tedy z pohledu vyhlášky nejoptimálnější situace). Každá kategorie skrývá zhruba dva řády skutečného rizika a krabice sousedních kategorií se překrývají.

Co když dělicí linie posuneme jinam?

Na tomto místě je vhodné předejít námitce, že výše popsaná „komprese“ uvnitř kategorií je jen důsledkem toho, kam byly položeny dělicí linie mezi úrovněmi (tam, kde vyhláška uvádí jen kvalitativní popis, jsem totiž volil tyto hranice nezbytně sám). Neb mě samotného zajímal výsledek, otestoval jsem co se stane, kdybychom hranice hodnotové osy posunuli – jednou do kvartilů dat (tedy tak, aby bylo zajištěno rovnoměrné obsazení úrovní z vyhlášky), jednou výrazně nahoru a jednou dolů. Výsledek je jednoznačný a můžete se na něj podívat níže – ať dělicí linie položíme kamkoli, komprese uvnitř kategorií zůstává řádově stejná (medián poměru 90./10. percentilu uvnitř kategorií se drží kolem 140–320×) a mění se jen to, jak (ne)rovnoměrně jsou kategorie obsazené. Posuneme-li linie, fakticky jen „přelijeme“ rizika z jedné přeplněné kategorie do druhé, ale nikdy nezískáme uvnitř kategorií jemnější/lepší rozlišení. To dokládá, že problém není ve volbě hranic, ale ve struktuře metodického postupu (aneb ve snaze o rozdělení veličiny, která se pohybuje přes mnoho řádů, na čtyři hrubé kategorie).

Dělicí linie
Ať dělicí linie hodnotové osy položíme kamkoli (do kvartilů, nebo je posuneme nahoru či dolů), komprese uvnitř kategorií zůstává a mění se jen (ne)rovnoměrnost jejich obsazení.

Výstup získaný na datech generovaných s pomocí log-normálního rozdělení

Výše jsme si ukázali, že metodika z vyhlášky je při doslovném použití v ní uvedených tabulek principiálně neschopná poskytovat plně validní výsledky i v případě, kdy by možné ztráty spojené s riziky byly rozdělené log-uniformně, a tedy „nejlépe“ z pohledu těchto tabulek.

Asi tudíž nepřekvapí, že na realistických, literaturou podložených log-normálních datech (medián frekvence 0,5/rok, medián ztráty 1 milion Kč, rozpětí zhruba o řád oběma směry) není situace o nic lepší (resp. asi nepřekvapí, že situace je o něco horší). Shoda pořadí u realistických rizik klesá z τ = 0,77 na τ = 0,70, převrácených dvojic přibývá z 9 % na 12 % a komprese uvnitř kategorií zůstává na úrovni cca dvou řádů (tedy v jedné kategorii máme rizika, která mohou způsobit škodu lišící se 35 až 135×).

Důvodem zhoršení je, že log-normální data nejsou uměle rozprostřena „na míru“ stupnicím z vyhlášky. Část rizik se koncentruje kolem mediánů, takže efektivní využití úrovní klesá na ~3,4–3,5 ze 4 (oproti plným ~4,0 u log-uniformních dat) a stupnice tedy ztrácejí část své rozlišovací schopnosti. Těžký pravý chvost log-normálního rozdělení navíc produkuje více oněch vzácných, ale katastrofických kombinací (vzácná hrozba × obrovský dopad), na nichž pořadové matice systematicky selhávají přesně tak, jak jsme demonstrovali na příkladu inverze rizik výše. Jinými slovy, čím realističtější data, tím častěji se objevují přesně ty situace, v nichž metoda z vyhlášky řadí rizika obráceně.

Realistická, log-normálně generovaná data tedy metodiku z vyhlášky rozhodně nezachraňují, spíše naopak. Je přitom vhodné zopakovat, že byť log-normální model označujeme za „realistický“, i on je vůči vyhlášce ještě milosrdný, neb skutečné chvosty kybernetických ztrát mohou být dle empirických studií ještě těžší.

Shoda pořadí a komprese rozsahu uvnitř kategorií pro všechna čtyři použitá rozdělení
Shoda pořadí (vlevo) a komprese rozsahu uvnitř kategorií (vpravo) pro všechna čtyři použitá rozdělení. Je vidět, že hlavní neduhy metodiky z vyhlášky, jako hrubost, překryvy kategorií a inverze pořadí, jsou na volbě rozdělení nezávislé. Normální varianta vykazuje nižší kompresi jen proto, že, jak je uvedeno výše, popisuje nerealisticky úzký svět bez „katastrof“.

Pevná okna výpadku vs. tempo organizace

Dosud jsme metodice z vyhlášky, resp. jejím tabulkám, dopřávali benefit práce s dopady rizik rozprostřenými přes mnoho řádů. Rizika postihující skutečné organizace, resp. jimi zajišťované regulované služby, jsou ale v praxi mnohem stejnorodější, a tady přichází ke slovu problém avizovaný v úvodu – pevná okna výpadků.

Tabulka č. 3 z přílohy vyhlášky č. 1
Tabulka č. 3 z přílohy vyhlášky č. 1 – stejně jako u dalších tabulek, i u této není výjimkou její přejímání do praxe v podstatě beze změn – jediné, co povinné organizace často udělají je, že vypustí slovo „například“ z definice nízké, střední a vysoké úrovně.

Jak vidíme, úroveň dostupnosti aktiva určuje podle tabulky č. 3 přílohy 1 pouze to, kam jeho tolerovaný výpadek padne vůči třem vzorovým pevným prahům. V naší modelové interpretaci jde konkrétně o 15 minut (pro hodnotu „několika minut“), 8 hodin (pro hodnotu „několika hodin“) a 24 hodin (nijak překvapivě pro hodnotu „jednoho pracovního dne“), tedy o hodnoty odpovídající horním mezím úrovním Kritická, Vysoká a Střední, tak jak je popisuje vyhláška. Pásmo, které tyto prahy pokrývají, je tedy široké necelé dva řády (15 minut až 1 440 minut).

Než se podíváme na čísla, zavedeme si pro jednoduchost pojem „tempo organizace“. Pro stručnost budeme tempem organizace rozumět medián tolerovaného výpadku jejích aktiv – tedy jak rychle „musí věci běžet“ bezvýpadkově v kontextu regulované služby. Organizace s tempem v sekundách (banka provozující obchodní platformu) je tempově úplně jinde než organizace s tempem ve dnech (organizace udržující dlouhodobý archiv).

Aby bylo možné posoudit, jak osa dostupnosti funguje pro různé organizace (resp. pro potřeby různých organizací vzhledem k regulovaným službám, které tyto organizace zajišťují), bylo v simulaci měněno tempo organizace v rozsahu od 1 minuty do 30 dní a u každého tempa bylo vyhodnocováno, kolik úrovní dostupnosti by organizace s daným tempem reálně využila. Výše uvedené bylo provedeno pro různě široká rozpětí tolerovaných výpadků uvnitř organizace a tedy pro různě „pestrou“ množinu aktiv. Díky tomu můžeme odpovědět na otázku „jak heterogenní by organizace musela být, aby vůbec využila celou stupnici?“

Efektivní počet využitých úrovní dostupnosti podle „tempa organizace“, pro pět různě širokých rozpětí aktiv
Efektivní počet využitých úrovní dostupnosti podle „tempa organizace“, pro pět různě širokých rozpětí aktiv (σ udává rozpětí v řádech – σ = 1,0 tedy zhruba odpovídá aktivům rozprostřeným přes ~2 řády tolerovaného výpadku). Jak je patrné, plné rozlišení (využití všech 4 úrovní) osa nenabídne nikdy a i při velké šíři dosáhne ~3 úrovní jen organizace s tempem vystředěným do pásma oken (15 min – 1 den).

Z výše uvedeného grafu vyplývají tři informace. Za prvé, plné rozlišení (4 úrovně) osa dostupnosti nenabídne za žádných okolností. Za druhé, abychom se vůbec přiblížili třem využitým úrovním, musí být aktiva organizace rozprostřena přes ~2–3 řády tolerovaného výpadku (σ ≈ 1,0–1,4) a současně vystředěna přesně do pásma 15 minut – 1 den. To je velmi náročná dvojitá podmínka, neb organizace by musela mít zároveň hodně různorodá aktiva (taková, kterým nevadí výpadky týdny, taková, kterým nevadí výpadky dny, taková, kterým nevadí výpadky hodiny a taková, kterým vadí i výpadky v rozsahu několika minut) a její tempo by zároveň muselo být uprostřed těchto oken. Za třetí, pro tempa mimo střed pásma (provozy vyžadující bezpodmínečnou dostupnost v reálném čase, nebo naopak archivy, u nichž jsou dlouhodobější nedostupnosti stále přijatelné) rozlišení se významně smrští bez ohledu na rozpětí – u tempa v minutách klesá k ~1,8, u tempa v řádu týdnů k ~2,0 i při velmi širokém rozpětí (σ = 1,4).

Existuje ale ještě jeden prozaičtější argument, proč stupnice z vyhlášky z principu nemůže efektivně fungovat, a to, že krajní pásma jsou otevřená. Úroveň Kritická zahrnuje vše pod několik (v našem případě 15) minut a úroveň Nízká vše nad jeden pracovní den – obě úrovně tedy naplní jen aktiva ležící mimo pásmo oken. To je na první pohled na tabulku jasné, co jasné není je důsledek otevřených krajních pásem – i organizace, jejíž aktiva by byla ideálně rovnoměrně rozprostřena přes celé pásmo 15 minut – 1 den, využije efektivně jen ~1,7 úrovně. Rizika se totiž rozdělí pouze mezi dvě vnitřní pásma (Vysoká: 15 min – 8 h, Střední: 8 h – 1 den), která jsou navíc nestejně široká (~1,5 řádu vs. ~0,5 řádu), takže je ani ideální pokrytí nezaplní rovnoměrně. Plné čtyři úrovně osa nabídne teprve tehdy, když aktiva pásmo na obě strany přetečou (přesah o 50 % → ~3,5 úrovně, dvojnásobek → ~3,7). Stupnice je tedy „naprojektovaná“ tak, že dvě ze čtyř jejích úrovní se naplní pouze u organizací, jejichž tempo do pásma vůbec nespadá.

Výše uvedené přitom není dáno zvolenými prahy – aby nešlo namítnout, že popsaná interpretace oken (15 min / 8 h / 1 den) je účelová, byla celá simulace opakována pro tři různé sady prahů. Voleny byly tak, aby si každá zachovala zhruba stejně široké okno jako vyhláška (tedy přibližně dva řády tolerovaného výpadku), ale byla posunutá, jako by ji regulátor nastavoval pro jiný typ „typické“ organizace. Zjednodušeně si lze představit, že již zmiňovaná sada 15 min / 8 h / 1 den by mohla být zamýšlena pro běžnou kancelářskou organizaci (a je zároveň nejvěrnější dikci vyhlášky), sada 1 h / 1 den / 1 týden by pak mohla být určena pro tempově pomalejší či archivně zaměřené organizace s tolerancemi v řádu hodin až týdnů, a sada 5 min / 1 h / 8 h by naopak mohla být určena pro rychlejší organizace citlivé na latenci. Tyto tři sady tak nepředstavují žádnou konkrétní instituci – záměrně ohraničují celé pásmo voleb, které by rozumný analytik nebo regulátor mohl při výkladu záměrně neurčité dikce vyhlášky („několik minut“, „několik hodin“, „jeden pracovní den“, „jednotky týdnů“) učinit.

Možná překvapí, že výsledek je napříč všemi třemi sadami stejný – žádná z nich nedosáhne plného rozlišení a každá funguje (a to jen částečně) pouze pro organizaci, jejíž tempo náhodou padne přesně na její „vrchol“. I tam přitom dosáhne nanejvýš ~3 z efektivních 4 úrovní a mimo tento úzký vrchol rychle klesá pod hranici použitelnosti. Volba konkrétních prahů tedy jen posune, kde (vždy neúplný) vrchol leží, ale na podstatě věci nic nemění. Měnit ani nemůže, protože – stejně jako případu výše diskutovaných neduhů metodiky z vyhlášky – i zde jde o důsledek struktury metodiky. Čtyři pořadové úrovně se dvěma otevřenými krajními pásmy principiálně nedokáží efektivně rozlišit aktiva jedné organizace, jejíž tempo se typicky vejde do jednoho až dvou řádů, ať dělicí prahy položíme kamkoli.

Předpoklad, že se tempa aktiv jedné organizace typicky vejdou do jednoho až dvou řádů, přitom není svévolný. Plyne z toho, že organizace (tím spíše v rámci regulované služby) zpravidla zajišťuje úzce vymezenou sadu vzájemně provázaných služeb sdílejících tutéž infrastrukturu, tytéž lidi a tatáž provozní očekávání, a tedy i podobné požadavky na dobu zotavení. Banka řeší transakce v sekundách až minutách, nemocnice klinické systémy v minutách až hodinách, archiv data v týdnech apod. Málokterá organizace ale současně provozuje aktivum s tolerancí výpadku maximálně tří sekund i aktivum s tolerancí tří týdnů a ještě méně organizací pak bude obě tato aktiva využívat pro podporu regulované služby. Provázanost aktiv navíc tempo ještě stahuje k sobě – je-li koncová služba potřeba do hodiny, musí být do hodiny (či dříve) dostupné i systémy, na nichž závisí, takže se tolerance napříč závislostním řetězcem srovnávají. Ani tam, kde organizace skutečně pokrývá široké spektrum tolerancí výpadků u různých aktiv (typicky např. nemocnice), jsme si ukázali, že to k naplnění stupnice nestačí. Rozpětí přes jeden až dva řády tak není odhad „od oka“, ale rozumný horní odhad pro převážnou většinu reálných organizací, ostatně i kdyby byl u některé organizace širší, předchozí graf ukazuje, že plného rozlišení by stejně nedosáhla bez současného vystředění doprostřed pásma.

Efektivní počet využitých úrovní dostupnosti pro tři různé sady prahů oken
Efektivní počet využitých úrovní dostupnosti pro tři různé sady prahů oken (15 min / 8 h / 1 den, 1 h / 1 den / 1 týden, 5 min / 1 h / 8 h), při fixním rozpětí σ = 0,7. Žádná ze zkoumaných sad nedosáhne plného využití všech 4 úrovní dostupnosti – posun prahů jen přesouvá vrchol křivky k jinému tempu, ale nezvýší jej.

Pro názornost ukažme smrštění rozlišení na třech konkrétních profilech. U organizace potřebující fungovat v reálném čase (řízení významného OT / obchodování, tempo ≈ 2 min) spadne většina aktiv do úrovně Kritická, u běžné kancelářské či IT služby (tempo ≈ 4 h) většina do úrovně Vysoká a u „archivní“ organizace (tempo ≈ 2 týdny) většina do úrovně Nízká. V každém z těchto profilů neupravená stupnice z vyhlášky něco rozliší, ale ne vždy efektivně v celé šíři svého rozsahu…

Rozložení úrovní dostupnosti pro tři vzorové typy organizací
Rozložení úrovní dostupnosti pro tři typy organizací (organizace s real-timovými systémy, běžná IT organizace a „archivní“ organizace). Uvnitř žádné z nich stupnice prakticky mnoho nerozliší – aktiva se vždy „nahrnou“ převážně do jediné dominantní úrovně.

Důsledek výše uvedeného je přímočarý – čím nižší je efektivní rozlišení určité osy/tabulky, tím méně informace tato osa do výsledného součinu vnáší – a o pořadí rizik pak rozhodují převážně osy zbývající. V tomto případě by tedy v součinu hodnota aktiva (dle dostupnosti) × hrozba × zranitelnost byly vždy podstatnější hodnoty hrozby a zranitelnosti, bez ohledu na to, jak důležitá by ve skutečnosti dostupnost pro danou organizaci byla. Nejde přitom o to, že by osa nabývala výhradně jediné hodnoty – jak je vidět z grafu výše, i nejvíce „stažené“ organizace zpravidla zasáhnou dvě sousední úrovně a naše pojetí „běžné IT organizace“ dokonce všechny čtyři (byť velmi nerovnoměrně). Problém je v tom, že převážná většina rizik se nahrne do jedné dominantní úrovně a zbytek převážně jen do jedné či dvou sousedních, takže osa reálně rozliší sotva ~1–2 efektivní úrovně ze čtyř.

Tento jev budeme ve zbytku článku označovat jako saturaci stupnice – stupnice sice formálně používá více úrovní, ale prakticky téměř nerozlišuje. V krajním případě (např. u jaderné elektrárny, kde obecně nejsou přijatelné významnější výpadky a pracuje se tak s ~1,0 efektivní úrovní) se osa skutečně blíží konstantě a součin se tak de facto redukuje jen na hrozba × zranitelnost. A jak jsme zmínili výše, i v mírnějších případech osa přispívá jen okrajově a ohodnocení rizika určují hlavně ostatní faktory. Přesně toto je mechanismus, díky němuž okna výpadků, která nejsou nastavena tak, aby odpovídala prostředí konkrétní organizace, vnáší do analýzy rizik šum.

Neb jsme zde možná až zbytečně detailně a dlouze (do hlavy mi v souvislosti s tím skáče americké přísloví o nesmyslnosti bití již zesnulého koně) diskutovali omezenou využitelnost výhradně u tabulky pro hodnocení dostupnosti, zmínku zaslouží, že úplně stejný „saturační mechanismus“ samozřejmě může postihnout i osu hrozby s jejími pevnými frekvenčními pásmy. Dává to smysl – malý poskytovatel cloudové služby, na jehož infrastrukturu útočníci míří prakticky nepřetržitě s pomocí automatizovaných nástrojů, neb je široce dostupná online, bude mít převahu hrozeb v úrovni Kritická, zatímco organizace bez jediného systému dostupného z internetu, a na níž relevantní hrozby útočí v důsledku toho zacílí zdánlivě jen výjimečně, bude mít převahu hrozeb v úrovni Nízká. V obou případech osa hrozby pochopitelně ztrácí podstatnou část své rozlišovací schopnosti…

Problematická číselná volba, kterou vyhláška nestanoví

Po použití vzorce „riziko = hodnota × hrozba × zranitelnost“ je třeba provést jednu technickou volbu, pro níž vyhláška neuvádí žádný detail, ačkoli se ukazuje, že na ní výsledek analýzy rizik závisí víc než na lecčem jiném. Touto volbou je jak převést součin 1–64 na čtyři výsledné úrovně rizika. Vyhláška žádné hranice mezi výslednými kategoriemi nestanoví a říká jen, že výsledek se má zařadit do jedné ze čtyř úrovní, ale nikoli kde mezi hodnotami 1 a 64 leží pomyslné dělicí čáry.

V rámci provedených simulací proto byly otestované i tři následující, principiálně stejně obhajitelné způsoby dělení:

  • Kvantilové – hranice položené tak, aby byly výsledné kategorie zhruba rovnoměrně obsazené (prahy 4, 12, 36 – vzpomeňme, že rizikové skóre se sice pohybuje v rozsahu 1-64, ale reálně může skóre dosáhnout jen 16 hodnot z tohoto rozsahu).
  • Rovnoměrné – rozsah skóre rozdělený na čtyři stejně široké intervaly (prahy 16, 32, 48).
  • Geometrické – prahy rostoucí geometricky, odrážející logaritmickou povahu skóre (prahy 6, 18, 40).

Výsledek je, řekněme, lehce nešťastný – podle toho, který z těchto tří způsobů zvolíme, označí metodika za „Vysoké + Kritické“ (a tedy určené k povinnému řešení) mezi 13 % a 44 % všech rizik. Rozdílný přístup k převodu numerického skóre na kvalitativní vyjádření tedy způsobí více než trojnásobný rozdíl, aniž by se na hodnocení jediného aktiva, hrozby či zranitelnosti cokoli změnilo. Libovolné dva z výše uvedených způsobů se navíc neshodnou na zařazení 24–76 % rizik a u 15–31 % rizik se přímo rozcházejí v tom, zda riziko padne za hranici „přijatelné ↔ nutno řešit“.

Jinými slovy, dvě zcela identické organizace se zcela stejnými riziky při poctivém a doslovném plnění vyhlášky mohou dojít k podstatně odlišným plánům zvládání rizik, jen proto, že si zvolily jiné (vyhláškou nestanovené a zcela opodstatnitelné) pravidlo pro převod skóre na kategorie. A to určitě není žádoucí…

Přeřazení rizik mezi třemi potenciálně smysluplnými způsoby převodu součinu na výsledné kategorie.
Přeřazení rizik mezi třemi potenciálně smysluplnými způsoby převodu součinu na výsledné kategorie. Sloupec „Změna kategorie“ ukazuje podíl rizik, která mezi dvojicí způsobů změní úroveň, sloupec „Překročí hranici“ pak podíl těch, u nichž se mění verdikt akceptovatelné ↔ nutné řešit.

Že nejde o pouhé kosmetické přerovnání rizik mezi kategoriemi, ale o reálně odlišné výstupy, ukazuje možná ještě lépe Jaccardův index popsaný výše.

Porovnáme-li jím množiny rizik, které jednotlivé způsoby dělení označí za neakceptovatelná (úrovně Vysoká + Kritická), vychází jejich vzájemná podobnost mezi třemi zkoumanými způsoby kategorizace v průměru pouhých 0,46. Nejhůře přitom dopadá porovnání dvojice kvantilový a rovnoměrný způsob (0,29), nejlépe pak kvantilový a geometrický způsob (0,67).

Převedeno do pochopitelnější podoby – ony dvě zcela identické, hypotetické organizace zmiňované výše se v případě, kdy budou využívat jiný mechanismus pro převod numerických skórů na kategorie, shodnou v průměru jen zhruba na polovině (a v nejhorším případě dokonce na necelé třetině) rizik, která je podle výsledku analýzy nutné řešit. Zbytek neakceptovatelných rizik se mezi nimi bude rozcházet.

Pro mechanismus, jehož celým smyslem je dát organizaci jednoznačnou prioritizaci rizik, u nichž je nezbytné aplikovat nápravná opatření (a dát auditorovi – i tomu přicházejícímu od regulátora – vodítko, zda řízení rizik funguje efektivně), jde o výsledek v podstatě diskvalifikující.

Principiální slabina práce s časovými okny

Na závěr přehledu neduhů metodiky z vyhlášky zaslouží zmínku ještě jedna drobnost vztažená k výše diskutovaným časovým oknům, s nimiž pracuje tabulka pro hodnocení dostupnosti aktiv, a to, kolik informace jedno časové okno nezbytně zahodí. Časové okno z principu zachytí jediný práh (tolerovaný výpadek), ale neřekne nám vůbec nic o tom, jak ztráta nad tímto prahem roste. Tento problém samozřejmě není vlastní pouze metodice z vyhlášky, ale postihuje jakoukoli metodiku, která považuje délku tolerovatelného výpadku aktiva za jediný indikátor hodnoty aktiva v oblasti dostupnosti.

Aby bylo možné prakticky ukázat, proč je výše uvedený přístup problematický, představme si dvě aktiva se stejným tolerovaným výpadkem 4 hodiny, a tedy se stejnou úrovní dostupnosti dle vyhlášky. U prvního aktiva roste ztráta po dosažení této doby lineárně s délkou výpadku (25 000 Kč za hodinu), u druhého naskočí po překročení prahu jednorázová smluvní či regulatorní pokuta ve výši 1 200 000 Kč. Je zjevné, že jediný výpadek v délce 5 hodin by měl pro organizaci výrazně rozdílné dopady (u druhého aktiva mnohonásobně vyšší), zatímco velmi dlouhý výpadek (např. týdenní) by byl naopak dražší u prvního aktiva, přestože z pohledu vyhlášky by bylo (za předpokladu identických zbylých vstupů) s oběma aktivy spojeno absolutně stejné riziko.

Jak by se v případě výše uvedených aktiv lišila skutečná roční očekávaná ztráta? Při realistickém, log-normálním rozdělení délek výpadků (konkrétně medián výpadku 2 hodiny, rozsah ~0,6 řádu, frekvence 2 výpadky za rok) vychází ALE prvního aktiva ≈ 148 tis. Kč/rok a druhého ≈ 737 tis. Kč/rok, tedy zhruba pětinásobný rozdíl. Jediné časové okno, do něhož by obě aktiva a s nimi spojená rizika padla, tento rozdíl nedokáže zachytit, protože „nevidí“ tvar ztrátové křivky nad prahem.

Dvě hypotetická aktiva se stejnou úrovní dostupnosti dle vyhlášky a ~5× rozdílnou skutečnou roční ztrátou
Dvě hypotetická aktiva se stejnou úrovní dostupnosti dle vyhlášky a ~5× rozdílnou skutečnou roční ztrátou – dobrá demonstrace toho, že jedno časové okno dostupnosti/tolerovatelného výpadku nedokáže samo o sobě říci nic o možných ztrátách.

Je v praxi možné smysluplně použít tabulky z vyhlášky bez jakýchkoli úprav?

Spojíme-li všechny výše uvedené poznatky dohromady, můžeme říci, že výchozí tabulky jsou bez překalibrování využitelné (a to pouze jako nástroj pro hrubé třídění rizik) jen tehdy, platí-li současně všechny následující podmínky:

  • tolerované výpadky aktiv organizace spadají do pásma 15 minut až 1 den a rozprostření aktiv je dostatečné (přes ~2–3 řády), aby zaplnilo alespoň tři související úrovně dostupnosti,
  • očekávaná frekvence realizace hrozeb spadá do pásma 0,2–12 událostí za rok (jinak osa hrozby saturuje podobně jako osa dostupnosti),
  • velikosti možných dopadů jsou zhruba rovnoměrně rozprostřeny mezi hodnotové úrovně (po řádech), nikoli stlačené do jedné či dvou úrovní, a
  • organizace si pevně zvolí jedno pravidlo pro převod součinu na kategorie, zdokumentuje jej a výsledek používá výhradně k odlišení rizik spadajících do jednotlivých kategorií (tedy odlišení Nízkého rizika od Kritického), a rizika ve stejné kategorii považuje za neseřazená.

Jaká organizace ale výše uvedená omezení splňuje? Neb každá organizace je jiná, samozřejmě není možné na tuto otázku jednoznačně odpovědět, aby však bylo možné alespoň částečně odhadnout, jaké reálné organizace by uvedené podmínky splňovat potenciálně mohly, byla provedena simulace pěti typů organizací/hypotetických povinných osob různé velikosti a sektoru. Podotýkám, že jde pouze o ilustrativní příklady/profily, kdy „banka“ nebo „nemocnice“ slouží jen jako snadno pochopitelná nálepka pro určitou kombinaci tempa, frekvence hrozeb a velikosti dopadů. Níže uvedené tedy prosím nevnímejte jako tvrzení o tom, jak přesně vypadá jakákoli konkrétní instituce, nebo potvrzení toho, že pro organizaci určitého typu jsou tabulky z vyhlášky bezpodmínečně vyhovující bez dodatečných úprav.

Resp., neb simulace byla zaměřena pouze na tabulku/osu dostupnosti (a okrajově na hrozby), protože právě tato tabulka je ve vyhlášce ukotvena v pevných číslech, můžeme stejně usuzovat pouze na to, zda by pro určitou organizaci byla vyhovující v nezměněné podobě tato tabulka.
Každý organizační profil byl simulován tak, že jeho tempo (připomeňme, že tímto termínem je myšlen medián tolerovaného výpadku), frekvence hrozeb a dopady byly generovány log-normálními rozděleními s parametry obecně odpovídajícími danému typu organizace (např. banka: tempo v jednotkách minut, dopady v desítkách milionů Kč, úřad: tempo ve dnech, dopady v jednotkách milionů Kč apod.). Log-normální bylo zvoleno proto, že – jak jsme diskutovali výše – nejlépe odpovídá realitě.

Pro každý profil je níže uvedená jeho dominantní úroveň dostupnosti (tedy úroveň, do níž „spadne“ nejvíce aktiv), efektivní počet využitých úrovní dostupnosti a hrozby a shoda výstupu se skutečnou ALE (τ):

Typ organizace Dominantní úroveň dostupnosti Efekt. úrovně dostupnost / hrozba τ vs. ALE Použitelnost tabulek
Velká banka / platební služby Kritická 1,9 / 3,3 0,67 Částečná, nutná kalibrace
Středně velká nemocnice Vysoká 3,7 / 3,3 0,70 Použitelné pro hrubé třídění
Malý poskytovatel cloudové služby Vysoká 1,9 / 2,2 0,67 Částečná, nutná kalibrace
Velký provozovatel energetické soustavy (OT) Kritická 1,0 / 3,6 0,70 Nutná úprava (osa dostupnosti zcela saturuje)
Malý obecní úřad / veřejná správa Nízká 2,5 / 3,0 0,70 Použitelné pro hrubé třídění

Kolik úrovní stupnic dostupnosti a hrozby modelové typy organizací reálně využijí.
Kolik úrovní stupnic dostupnosti a hrozby modelové typy organizací reálně využijí. Čárkovaná čára představuje binární práh (2 efektivní úrovně) – pod ním čtyřúrovňová škála nese méně informace než prosté „akceptovat / řešit“. Na ose dostupnosti pod něj padají tři z pěti profilů, zatímco osa hrozby funguje u většiny z nich.

Jednotlivé typy organizací zaslouží alespoň krátké vysvětlení:

  • Velký provozovatel energetické soustavy (OT) reprezentuje organizaci, jejíž tempo je v sub-sekundách až minutách – z povahy energetické soustavy je pro takovou organizaci i vteřinový výpadek potenciálně vysoce významný, a téměř všechna rizika spojená s výpadky tak spadnou do úrovně Kritická (efektivně 1,0 úrovně, tedy osa dopadů na dostupnost fakticky nenese žádnou informaci). Okno s „podlahou“ v minutách totiž nerozliší výpadek ochranného mechanismu SIS, který musí reagovat v desítkách milisekund, od výpadku dohledového HMI s tolerancí výpadku 5 minut. Lehce ironické tedy je, že ačkoli vyhláška v § 27 průmyslová a řídicí aktiva výslovně reguluje, její vlastní výchozí stupnice pro hodnocení dostupnosti je pro ně zcela slepá.
  • Malý poskytovatel cloudové/digitální služby reprezentuje organizaci se stejnorodým tempem v desítkách minut, která prakticky nepřetržitě musí řešit nápor automatizovaných útoků na dostupnost. Saturuje zde osa dostupnosti i osa hrozby (1,9 a 2,2 úrovně) a o výsledném riziku pak rozhoduje téměř výhradně hodnocení zranitelnosti. Bez úpravy stupnic nedává použití tabulek z vyhlášky smysl.
  • Velká banka / platební služby: tempa velmi nesourodá (od sub-sekundového platebního systému po archivaci), medián v jednotkách minut ale stáhne většinu aktiv do úrovně Kritická. Hlavní potíží je, že v rámci téže úrovně dostupnosti se finanční dopady liší o řády, což okno nerozliší. I zde by byla pro efektivní použití nutná kalibrace tabulek.
  • Středně velká nemocnice: díky své povaze přirozeně pokrývá široké spektrum – od systémů pro monitoring životních funkcí na JIP (minuty), přes klinické IT a OT systémy (hodiny), administrativní systémy (dny) až po archivní systémy (týdny). Osa dostupnosti využije ~3,7 úrovně a pásmo oken vhodně „prostřihne“. Výchozí tabulky z vyhlášky by zde tedy byly použitelné jako hrubé třídění i bez kalibrace.
  • Malý obecní úřad: převážně administrativa a pro ni využívané systémy s tolerancí výpadků v řádu dnů a většina aktiv proto spadne do úrovně Nízká, ojedinělá aktiva s vysokými nároky na dostupnost (přístup k registrům, krizová komunikace) pak budou spadat do úrovně Vysoká či Kritická. Osa dostupnosti využije ~2,5 úrovně a poslouží tedy jako potenciálně rozumný hrubý třídicí mechanismus. Vedle „nemocnice“ uvedené výše jde tak o druhý z profilů, kde tabulky fungují nejlépe (byť zde by jim již pomohla významnější kalibrace).

Sečteno a podtrženo, podmínky pro alespoň částečně smysluplné použití nezměněných tabulek budou splňovat zpravidla středně velké, sektorově různorodé organizace se středním tempem. Pro časté případy mimo toto pásmo („real-time“ systémy a průmyslové řídicí mechanismy, služby citlivé na latenci, a naopak pomalé dávkové/archivní/back-office provozy) výchozí stupnice saturují a výstup je téměř konstantní nebo pořadově nekonzistentní.

Problémy nejsou jen česká specialita, aneb standardy ISO/IEC 27005 a NIST SP 800-30

Aby nevznikl dojem, že metodický aparát z české legislativy je jediným, který je hodný kritiky, byly stejné analýze popsané výše (stejná log-normální data, stejný etalon ALE) podrobeny i metodické přístupy ze dvou nejcitovanějších mezinárodních standardů pokrývajících problematiku řízení rizik v kybernetické bezpečnosti, a to z ISO/IEC 27005:2022 a NIST SP 800-30 Rev. 1. Pojďme se tedy podívat, jak si vedou tyto dvě alternativní metodiky.

Vzorový, čistě kvalitativní přístup z přílohy A normy ISO/IEC 27005 není možné jednoduše posoudit, neb žádná ze vzorových tabulek neobsahuje numerické hodnoty, o které by bylo možné se smysluplně opřít bez potřeby kalibrace pro konkrétní prostředí. Co však analýze podrobit můžeme, jsou vzorové tabulky u kvantitativního hodnocení, u nichž ISO doporučuje použít tzv. antilog přístup, při němž frekvenci i dopad vyjadřuje na logaritmické škále (úrovně odpovídají mocninám deseti, např. dopad 10² / 10³ / … / 10⁶ Kč, frekvence od ~1× za 10 let po ~1× za hodinu) a výsledné riziko získává součtem těchto logaritmicky odvozených úrovní. To je zásadní rozdíl oproti vyhlášce – součet logaritmů totiž odpovídá součinu skutečných hodnot (10³ × 10⁴ = 10⁷, tedy 3 + 4 = 7 na log-škále), takže ač navenek i ISO „jen sčítá úrovně“, ve skutečnosti provádí matematicky korektní násobení poměrových veličin. Přesně to je princip, který jsme jako „kalibrovaný součin“ zmiňovali výše.

Výsledek analýzy potvrzuje, že tento přístup je jednoznačně smysluplnější – na identických log-normálních datech dosáhl „antilog přístup“ dle ISO shody pořadí τ = 0,82 s pouhými 2,8 % převrácených dvojic, což je zdaleka nejlepší výsledek ze všech zkoumaných metod a výrazně lepší než vyhláška (τ = 0,70, 12 % převrácených dvojic). Jediná slabina doslovně převzatého přístupu z ISO normy byl vyšší podíl „nerozlišených“ dvojic (22 %), což ale není strukturální problém metodiky, jen důsledek hrubšího dělení do menšího počtu úrovní, který by bylo možné snadno eliminovat doplněním granulárnějších hodnot do frekvenčních a dopadových tabulek.

NIST SP 800-30 obsahuje vzorovou metodiku v přílohách G-I, přičemž příloha G obsahuje stupnici pro hodnocení pravděpodobnosti, příloha H stupnici pro hodnocení dopadu a příloha I obě veličiny kombinuje do výsledné úrovně rizika maticí I-2 o rozměrech 5x5. Na identických datech, na nichž byly ověřované oba zbylé přístupy, dosáhla tato metodika τ = 0,73 a jen 4 % převrácených dvojic. To však za cenu plných 31 % dvojic nerozlišených (matice má jen pět možných výstupních úrovní, takže u třetiny dvojic rizik prostě nedokáže rozlišit, které je vyšší). Dalo by se tedy říci, že přístup dle NIST chybuje v pořadí jen zřídka, ale je v posuzování jen velmi hrubý.

Metodiky z vyhlášky 409/2025, NIST SP 800-30 a ISO/IEC 27005 na identických datech.
Metodiky z vyhlášky 409/2025, NIST SP 800-30 a ISO/IEC 27005 na identických (lognormálních) datech. Matematicky validní antilog přístup (ISO) si vede nejlépe a má nejméně obrácených dvojic, ordinální matice NIST chybuje v pořadí jen málo, ale je nejhrubší (má nejvíc nerozlišených dvojic), zatímco přístup z vyhlášky se svým násobením pořadových čísel má naopak nejvíc inverzí pořadí.

Závěr z tohoto srovnání je dvojí:

  • Za prvé, slepé přejímání vzorových ordinálních tabulek je problematické bez ohledu na to, zda mají zdrojové materiály v záhlaví logo NÚKIB, NIST, nebo jakéhokoli jiného subjektu.
  • Za druhé, jednoduchý a přesto matematicky validní přístup k hodnocení rizik existuje a je dokonce součástí jednoho z nejznámějších standardů v této oblasti. Zmínku přitom zaslouží, že přístup doporučovaný v ISO 27005 založený na využívání logaritmických škál nedává lepší výstupy než metodika z vyhlášky jen obecně, ale i pro v podstatě všechny naše modelové organizace popisované výše. U banky se při použití přístupu z ISO normy τ zvedlo z 0,67 na 0,77, u nemocnice z 0,69 na 0,82, u cloudu z 0,67 na 0,81 a u úřadu z 0,70 na 0,82. Jedinou výjimkou, která zůstala beze změny, byl OT profil (0,70 → 0,70), u něhož je osa dostupnosti v případě obou metodik irelevantní, protože o riziku rozhodují pouze frekvence a dopad. Shrnuto a podtrženo, logaritmické škály dávají podstatně přesnější výsledky než pevné ordinální tabulky a jejich obecné upřednostnění by tedy bylo namístě.

Závěr

Problematika efektivní a smysluplné analýzy rizik v kybernetické bezpečnosti rozhodně není jednoduchá, a nemá smysl tvářit se, že je tomu naopak. Jakákoli „jednoduše vypadající“ a „triviálně aplikovatelná“ metodika musí mít z principu významné nedostatky, což bohužel platí i u metodiky z vyhlášky.

Jak je demonstrováno výše, pro velké množství organizací z principu nemůže analýza rizik založená na beze změn převzatých tabulkách z vyhlášky dávat plně smysluplné výsledky, neb tyto tabulky nejsou (a z podstaty věci nemohou být) „nakalibrované“ na specifika konkrétních institucí, tedy na jejich velikost, hodnotu jejich aktiv, tempo jejich provozu, pro ně relevantní frekvence hrozeb ani jejich rizikový apetit. K tomu se navíc přidává matematicky neplatné násobení pořadových čísel, které může pořadí rizik i zcela převrátit, a navíc závislost výsledku na číselné volbě „akceptovatelného rizikového skóre“, pro níž vyhláška nestanoví žádné doporučení.

Pomineme-li principiálně nerozumný přístup k „násobení nenásobitelného“, dává v praxi doslovné přebírání celé metodiky včetně tabulek valnější smysl jen pro středně velké, sektorově různorodé organizace se středním tempem provozu, které navíc mají dopady realizací hrozeb rozprostřené přes více řádů a frekvence hrozeb v pásmu zhruba 0,2–12 událostí za rok. Pro jakékoli jiné organizace dává použití neupraveného metodického aparátu z vyhlášky výstupy, které jsou pro jejich prostředí jen velmi omezeně platné.

Proč je to problém? Protože tabulky z vyhlášky pro své analýzy rizik beze změny přebírá řada regulovaných organizací, tedy řada organizací, které jsou pro stát a pro občanskou společnost vysoce významné. Tyto organizace díky tomu již na úrovni základního mechanismu pro řízení kybernetické bezpečnosti musí (prokazatelně, jak je ukázáno výše) mnohdy dospívat k nevalidním závěrům. A řídit kybernetickou bezpečnost na základě nevalidních vstupů má asi stejný význam jako řídit na základě nevalidních vstupů cokoli jiného…

Co by tedy bylo vhodné provést, aby se situace zlepšila? Pojďme se nejprve podívat na to, co by mohl udělat regulátor.

Krátkodobě by se NÚKIB měl určitě zamyslet nad tím, zda by neměl z pozice regulátora u každé regulované organizace, která si tabulky neupravila, požadovat explicitní numerický důkaz o tom, že doslovně převzaté tabulky jsou pro její prostředí validní. Možná argumentace tím, že tabulky jsou (jen) vzorové, by byla lichá. Buď jsou tabulky jen vzorem, který je nutné upravit, a pak by regulátor měl jejich vhodnou úpravu kontrolovat (a absenci úpravy vytýkat), nebo si regulátor stojí za tím, že jsou tabulky obecně použitelné. V takovém případě by pak ale měl NÚKIB odborné komunitě představit smysluplnou argumentaci podloženou něčím, co numericky vyvrátí závěry výše uvedené analýzy. Třetí možnost, tedy že „tabulky sice nejsou použitelné pro všechny, ale nikdo nekontroluje, zda u těch regulovaných subjektů, které je používají, dávají smysl“, zjevně není obhajitelná, byť představuje častou soudobou praxi.

Ve střednědobém horizontu by pak bylo bezpochyby vhodné upravit metodiku ve vyhlášce tak, aby byla alespoň koncepčně smysluplná – tedy aby neobsahovala matematicky nevalidní „násobení nenásobitelného“ (a místo něj např. doporučovala onen výše diskutovaný „antilog přístup“ po vzoru ISO 27005) a aby místo zdánlivě univerzálních pevných tabulek nabízela buď tabulky výslovně označené jako výchozí, s vynucenou kalibrací, nebo rovnou metodu, jak si kalibrované tabulky odvodit. Konkrétně by mohla:

  • U dostupnosti a u hrozeb nahradit dnešní úzká pevná okna buď širším, logaritmicky rozloženým výchozím rozsahem (orientačně: Kritická < 1 min, Vysoká 1 min – 1 h, Střední 1 h – 1 den, Nízká > 1 den), nebo – lépe – přímo pokynem „hranice úrovní položte do 25., 50. a 75. percentilu tolerovaných výpadků vlastních aktiv“ (a „hranice úrovní položte do 25., 50. a 75. percentilu očekávané frekvence realizace hrozeb“). Tím by se zajistilo, že stupnice budou pro každou organizaci nést maximum informace, místo aby pro značné procento z nich saturovaly.
  • U důvěrnosti a integrity je situace jiná a je třeba si ji přiznat: tyto dvě dimenze nemají přirozenou číselnou osu, na jejíž percentily by šlo hranice posadit, takže je nelze kalibrovat stejně jako dostupnost či frekvenci. Nejčistším řešením by tedy bylo vyjádřit i jejich dopad v penězích – odhadnout, kolik by organizaci stálo vyzrazení (důvěrnost) nebo neoprávněná změna (integrita) daného aktiva – a zařadit je tak na tutéž peněžní osu dopadu jako dostupnost, díky čemuž by byly percentily nakalibrovány úplně stejně (což je obecně žádoucí). Tím by se tři oddělené stupnice C/I/A fakticky transformovaly do jediné konzistentní osy „dopad v Kč" (což mimochodem přesně odpovídá dvoufaktorovému i kvantitativnímu přístupu uvedenému v následujících doporučeních pro regulované organizace).

Zde je možné namítnout, že žádná kvalitativní analýza rizik z principu nebude dávat přesné výsledky, ani pokud by došlo k výše uvedeným změnám tabulek spojených s jejich povinnou kalibrací. Do jisté míry je to pravda, sám si však stojím za tím, že dobře zpracovaná kvalitativní analýza, v níž jsou explicitně popsány důvody pro volbu jednotlivých kvalitativních hodnocení, poskytuje přinejmenším dobrý podklad pro diskuzi a oponenturu rozhodování v oblasti kybernetické bezpečnosti, a je rozhodně lepší než nic. Podstatné však je, že analýza musí být dobře zpracovaná – tedy že jednotlivé kvalitativní stupně musí mít relevanci pro danou organizaci a její prostředí.

V této souvislosti je na místě zmínit, že v tuzemské bezpečnostní komunitě aktuálně probíhá záslužná snaha některých kolegů – např. Michala Hanuse a Miroslava Čermáka – o osvětu v oblasti smysluplného řízení rizik, zaměřená na prosazování plně kvantitativních analýz. S některými východisky kolegů se plně ztotožňuji – kvantitativní přístup je bezpochyby nejčistším řešením analýzy rizik a tento článek je toho ostatně sám ilustrací (všechny „rozsudky“ nad tabulkami z vyhlášky jsme vynesli právě s pomocí kvantitativního etalonu). Současně si ale, jak jsem již zmínil, nemyslím, že by použití čistě kvalitativních analýz bylo nezbytně špatné a nesmyslné. Kvalitativní přístup k hodnocení rizik je bezpochyby sub-optimální, nicméně vhodnými úpravami jej lze dostat alespoň do stavu, kdy může fungovat jako „hrubý třídič“ na rizika…

V souvislosti s tím zaslouží zmínit, že organizacím, které se mezi kvantitativním a kvalitativním přístupem nemohou aktuálně rozhodovat prostě proto, že na efektivní kvantifikaci rizik nemají lidi ani peníze, a jednoduchý kvalitativní přístup je tak pro ně jedinou reálnou možností, bych proto doporučil postupovat některou z cest popsaných níže (zralejším či personálně „bohatším“ organizacím bych pak rozhodně doporučil zvážit přechod na plně kvantitativní přístup).

Cesta první, efektivní, ale drobně náročnější: vše předělejte dle specifik vaší organizace

Vyhláška to, připomeňme, explicitně umožňuje (příloha 1 odst. 2, příloha 4 odst. 3). Postup je přitom přímočarý:

  • Sepište si svá aktiva a pro každé z nich odhadněte tolerovaný výpadek, možný dopad realizace hrozeb v korunách a očekávanou frekvenci relevantních hrozeb (hrubé odhady stačí – pracujeme s řády).
  • Hranice úrovní každé stupnice položte do geometrických kvartilů vašich vlastních dat (tedy do 25., 50. a 75. percentilu) – pokud budou vaše data i v budoucnu konzistentní se vzorkem užitým pro kalibraci, zaručíte tím, že všechny čtyři úrovně budou reálně využity a stupnice ponesou maximum informace.
  • Zdokumentujte zvolené hranice i pravidlo převodu na výsledné kategorie ve své metodice hodnocení rizik (tu vyhláška v § 8 tak jako tak požaduje) a aktiva ve stejné kategorii považujte za neseřazená.

S tímto postupem pomůže skript kalibrace_tabulek.py, který je možné stáhnout zde a CSV šablona pro data o aktivech, která je k dispozici zde.

Výše zmíněný skript načte CSV s aktivy, které je mu možné předat jako parametr (pro každé aktivum je potřeba doplnit jen název, tolerovaný výpadek v hodinách, průměrný dopad realizace hrozby v Kč a frekvence hrozeb za rok), a následně ukáže, kolik úrovní výchozích tabulek vyhlášky konkrétní prostředí reálně využívá (a zda tedy dává smysl je v nezměněné podobě používat), a navrhne kalibrované hranice včetně reprezentativních hodnot jednotlivých pásem. Pokud skript spustíte bez parametru/bez vstupního CSV, vypíše vzorový výstup pro hypotetickou organizaci.

Ukázka vzorového výstupu ze skriptu.
Ukázka vzorového výstupu ze skriptu

Kromě vyhodnocení tabulek z vyhlášky a návrhu nových, upravených mezí skript zároveň vypíše reprezentativní hodnoty každého pásma (geometrické průměry), s nimiž lze případně provést onen výše diskutovaný matematicky korektní kalibrovaný součin, namísto násobení zástupných ordinálních hodnot.

Že data získaná s pomocí výše uvedeného skriptu dávají smysluplnější vstupy než nekalibrované tabulky z vyhlášky demonstrují příklady tří simulovaných modelových typů organizací – malého úřadu, středně velké nemocnice a velké banky (parametry odpovídají profilům popsaným výše, byť vstupní hodnoty byly zvoleny drobně rozdílně: úřad má tempo ve dnech a dopady v jednotkách milionů Kč, nemocnice tempo v hodinách a dopady v jednotkách až desítkách milionů, banka tempo v minutách a dopady v desítkách milionů Kč). Kalibrace hranic zvedla efektivní využití všech stupnic na plné 4 úrovně a shodu výstupu se skutečným rizikem z τ = 0,46–0,60 na τ = 0,76–0,77. Pro ilustraci, jak rozdílné kalibrované tabulky pro různé typy organizací vycházejí je vhodné uvést následující tabulky (hodnoty jsou zaokrouhlené výstupy simulace).

Stupnice dostupnosti (tolerovaný výpadek) Kritická Vysoká Střední Nízká
Malý úřad< 14 h14–48 h48 h – 7 dní> 7 dní
Nemocnice< 30 min30 min – 4 h4–30 h> 30 h
Velká banka< 18 s18 s – 2 min2–13 min> 13 min
Stupnice dopadu (hodnota aktiva) Nízká Střední Vysoká Kritická
Malý úřad< 250 tis. Kč0,25–1 mil. Kč1–4 mil. Kč> 4 mil. Kč
Nemocnice< 0,4 mil. Kč0,4–2 mil. Kč2–10 mil. Kč> 10 mil. Kč
Velká banka< 2 mil. Kč2–12 mil. Kč12–77 mil. Kč> 77 mil. Kč
Stupnice hrozby (frekvence/rok) Nízká Střední Vysoká Kritická
Malý úřad< 0,30,3–0,80,8–2> 2
Nemocnice< 0,30,3–11–3> 3
Velká banka< 0,90,9–33–10> 10

Povšimněte si, že „Kritická“ dostupnost znamená pro úřad výpadek pod 14 hodin, zatímco pro banku výpadek pod 18 sekund, a že „Kritický“ dopad je pro úřad zhruba dvacetinou „Kritického“ dopadu banky. Přesně tohle je informace, kterou jednotná tabulka z vyhlášky z principu nemůže nést.

Rozlišovací schopnost osy dostupnosti a shoda výstupu se skutečným rizikem před a po kalibraci tabulek na vlastní data tří modelových typů organizací.
Rozlišovací schopnost osy dostupnosti (vlevo) a shoda výstupu se skutečným rizikem (vpravo) před a po kalibraci tabulek na vlastní data tří modelových typů organizací. „Skutečné riziko“ je opět vnímáno jako ALE (frekvence × pravděpodobnost × dopad ve skutečných korunách). Sloupec „kalibrované hranice + reprezentativní hodnoty“ ukazuje situaci, kdy byly hranice úrovní položeny do kvartilů vlastních dat a místo násobení pořadových čísel 1–4 se násobily skutečné reprezentativní hodnoty pásem namísto zástupných ordinálních hodnot.

Doplnění 1. 7. 2026 – Neb jsem byl jedním z kolegů z odborné komunity dotázán, co si počít se stupnicemi pro hodnocení důvěrnosti a integrity, když výše diskutujeme dostupnost, pojďme se blíže podívat i na tyto tabulky. Ty, na rozdíl od dostupnosti, frekvence a dopadu, nemají přirozenou číselnou osu, do jejíchž percentilů by šlo hranice úrovní posadit, a výše popsaný kalibrační postup na ně tedy nelze aplikovat přímo. Nejčistším řešením tedy je vyjádřit i dopad na důvěrnost a integritu v penězích – tedy u každého aktiva odhadnout, kolik by organizaci stálo vyzrazení (důvěrnost) nebo neoprávněná změna (integrita) daného aktiva – a zařadit tak i tyto dvě dimenze na tutéž peněžní osu „dopad v Kč", na níž leží už kalibrovaná stupnice dopadu (hodnota aktiva). Hranice úrovní pak můžeme nakalibrovat úplně stejně, tedy umístit je do kvartilů vlastních peněžních odhadů. Alternativně můžeme rovnou převzít pásma z již nakalibrované dopadové stupnice diskutované výše.

Tento převod má i důležitý vedlejší přínos. Hodnota aktiva se totiž typicky odvozuje od nejpodstatnějšího z dopadů na důvěrnost, integritu a dostupnost – a volba onoho „nejpodstatnějšího" je smysluplná jen tehdy, jsou-li všechny tři dopady vyjádřeny ve srovnatelných jednotkách. Porovnávat „Vysokou důvěrnost" s „Kritickou dostupností" naráží na přesně tentýž problém vzájemně neporovnatelných ordinálních škál, který jsme kritizovali výše, a převodem všech tří dimenzí na koruny jej můžeme odstranit, v návaznosti na což se výběr dominantního dopadu stane matematicky obhajitelným.

Cesta druhá – extrémně jednoduchá, snadno pochopitelná a vysvětlitelná: situaci si zjednodušte zahrnutím zranitelností do hodnocení hrozeb

Zranitelnost v kontextu řízení rizik z podstaty koreluje buď s pravděpodobností úspěšné realizace hrozby (považujeme-li zranitelnost za faktor, který realizaci hrozby usnadňuje), nebo s jejím dopadem (považujeme-li ji za faktor ovlivňující rozsah postižení aktiva). Dvoufaktorová analýza typu dopad × pravděpodobnost je tedy konceptuálně plně validní a vyhláška ji v odst. 5 přílohy 4 i explicitně připouští (počítá přitom se sloučením stupnic pro hodnocení hrozeb a zranitelností). Postup využití tohoto faktu pro zpracování smysluplnější analýzy rizik je velmi jednoduchý:

  • Pro každé riziko (kombinaci aktivum–hrozba) odhadněte dopad v korunách a očekávanou frekvenci realizace za rok, již po zohlednění zranitelností a zavedených opatření.
  • Stanovte si rizikový apetit jako částku v Kč/rok, kterou jste u jednotlivého rizika ochotni nést.
  • Riziko následně určete s pomocí výpočtu dopad × frekvence (zde jde o korektní násobení poměrových veličin, jehož výsledkem je orientační ALE).
  • Rizika přesahující apetit následně řešte, rizika pod apetitem akceptujte.

Tento postup automatizuje druhý skript dvoufaktorova_analyza.py, který je dostupný zde (a šablona k němu dostupná zde). Ten vedle automatického vyhodnocení rizik poskytuje i některé další výstupy.

Pokud budete tedy pro reporting směrem k vedení nebo pro potřeby auditu regulátora potřebovat i vizuální rizikovou matici, je možné ji vygenerovat z kvartilů vlastních dat ve formátu 4×4, které vám skript automaticky vypíše. Pozor ale na barevné rozlišení. Klasické rizikové matice bez rozmyslu barví buňky podle úhlopříčky (levý dolní roh „zelený“, pravý horní „červený“), nicméně to je důsledek jednoho z problematických bodů, který jsme kritizovali výše – úhlopříčka předpokládá, že posun o úroveň znamená na obou osách totéž, což neplatí. Správné je obarvit každou buňku podle toho, zda orientační ALE v jejím středu překračuje váš rizikový apetit, nebo ne (např. červeně = nad apetitem, nutno řešit / zeleně = pod apetitem, akceptovatelné). Hranice mezi „zelenou“ a „červenou“ pak obecně nekopíruje úhlopříčku.

Navíc oproti výše zmíněnému postupu skript provádí ještě závěrečnou kontrolu, u kolika rizik se zjednodušená matice shoduje s přesným výpočtem. „Přesným výpočtem“ je míněno přímé spočtení ALE = frekvence × dopad pro každé jednotlivé riziko z jeho skutečných čísel (nikoli z reprezentativních hodnot pásem). Kvalitativní riziková matice totiž každé riziko zařadí do buňky a použije reprezentativní hodnotu pásma, takže se může od přesného výpočtu drobně lišit. Skript proto na rizika, u nichž by matice a přesný výpočet daly odlišný verdikt, výslovně upozorní – a pro prioritizaci uvnitř téže buňky vždy doporučuje použít přesné ALE, nikoli polohu v matici.

Ukázka vzorového výstupu ze skriptu.
Ukázka vzorového výstupu ze skriptu

Cesta třetí, optimální: přejděte na čísla

Pokud má vaše organizace vyšší úroveň bezpečnostní vyspělosti, dostatek ambice, dat i lidí, pak je, jak již bylo řečeno, nejčistším řešením nahradit ordinální matice plně kvantitativním modelem. Tedy Monte Carlo simulacemi nad log-normálními vstupy a křivkou překročení ztrát, jak je popisují metodika FAIR či Hubbard se Seiersenem.

Zmínku zaslouží, že žádná z tří výše uvedených možností není odchylkou od vyhlášky – naopak, byla by to přesně ta kalibrace, kterou vyhláška z principu tiše předpokládá, jen ji bohužel nevynucuje. Jak je v každém případě demonstrováno výše, výchozí tabulky by měly být pro organizace, které je chtějí využít, maximálně výchozím bodem vyžadujícím z jejich strany úpravu, nikoli hotovým vstupem do analýzy…

Doplnění 1. 7. 2026 – V reakci na další z připomínek z komunity, které ke mně dorazily, je na místě zdůraznit jedno důležité omezení, které mají první dvě z výše uvedených cest (a do jisté míry i celý tento článek) společné. A to, že všechny úvahy uvedené výše pracují zvlášť s jednotlivými riziky a s apetitem stanoveným pro tato jednotlivá rizika, a zkoumají tedy vždy jen, zda je jedno konkrétní riziko pod/nad hranicí, kterou je u něj organizace ochotna akceptovat.

Vůbec jsme přitom nediskutovali celkové (agregované) riziko organizace, tedy souhrn všech akceptovaných rizik za rok, ani to, zda tento souhrn zůstává v mezích celkového rizikového apetitu organizace. To je samozřejmě v podmínkách reálného světa podstatné, neb i velké množství jednotlivě akceptovatelných rizik může v součtu vytvářet celkové riziko, které by již vedení organizace za přijatelné nepovažovalo (nechme stranou, že závislosti mezi jednotlivými riziky mohou celkový obraz ještě významně změnit). Práci s agregovaným rizikem a jeho porovnání s celkovým apetitem je nicméně možné smysluplně řešit až při použití plně kvantitativních přístupů. U obou výše doporučovaných (semi-)kvalitativních cest bych proto doporučil mít výše uvedené omezení na paměti a agregovaný pohled na rizika zkusit vyhodnocovat alespoň orientačně.

Konference OpenAlt 2026 hledá přednášející / Conference OpenAlt 2026 is looking for speakers

25.
června
OpenAlt z.s.

Zveme Vás na dvacátý první ročník konference OpenAlt.

Konference OpenAlt se snaží o poskytnutí platformy pro lidi se zájmem o vývoj a využití svobodného a otevřeného softwaru, hardwaru a licencí.

Termín konference se letos plánuje na tradiční první listopadový víkend na půdě Fakulty informačních technologií VUT v Brně, která již poskytla zázemí pro mnohé ročníky konference.

Uvítáme jak laiky, kteří teprve svět otevřeného software začínají objevovat, tak i zkušené odborníky a budeme rádi, podělíte-li se o vaše znalosti, zkušenosti a názory s ostatními návštěvníky.
Téma, které chcete prezentovat lze zaregistrovat prostřednictvím online formuláře do 4. října 2026.

Témata konference:

  • Otevřený a svobodný software: Otevřené operační systémy, webové technologie, databáze, virtualizace, kontejnery.
  • IoT a Hnutí tvůrců: DIY projekty, coworking, hackathony, 3D tisk, Arduino, ESP32, Raspberry Pi.
  • Vzdělávání: Alternativní směry, online vzdělávání, respektující přístup, OpenScience.
  • Bezpečnost a soukromí: Šifrování, sledování, zálohování dat, monitoring, audit, hacking.
  • Otevřená společnost, komunity a data: Otevřená data, licence, Big Data, OpenStreetMap, svobodné umění.
  • OpenMobility: FairPhone, postmarketOS, Ubuntu Phone, SailfishOS, Plasma Mobile.
  • Další témata: Vše, co spadá do zaměření spolku OpenAlt.​

Konferenci i letos plánujeme přenášet živě za pomocí serveru VHSky.cz a YouTube a posléze poskytneme záznamy.

Pro realizaci konference také hledáme dobrovolníky, ať už pro pomoc s organizací před uskutečněním konference, tak i na místě. V případě zájmu nám napište e-mail na info@openalt.cz.

Těšíme se na Vaši účast.


We invite you to the 21st annual OpenAlt Conference.

The OpenAlt Conference aims to provide a platform for people interested in the development and use of free and open-source software, hardware, and licenses.

This year’s conference is planned for the traditional first weekend of November at the Faculty of Information Technology of Brno University of Technology (FIT BUT), which has hosted many previous editions of the conference.

We welcome both newcomers who are just beginning to discover the world of open-source software and experienced professionals. We would be delighted if you shared your knowledge, experience, and opinions with other attendees.

You can submit your presentation topic through the online registration form until October 4, 2026.

Conference Topics

  • Free and Open-Source Software – Open operating systems, web technologies, databases, virtualization, and containers.
  • IoT and the Maker Movement – DIY projects, coworking, hackathons, 3D printing, Arduino, ESP32, and Raspberry Pi.
  • Education – Alternative approaches, online learning, respectful education, and Open Science.
  • Security and Privacy – Encryption, surveillance, data backup, monitoring, auditing, and hacking.
  • Open Society, Communities, and Data – Open data, licensing, Big Data, OpenStreetMap, and free culture.
  • Open Mobility – FairPhone, postmarketOS, Ubuntu Phone, SailfishOS, and Plasma Mobile.
  • Other Topics – Anything that falls within the scope and interests of the OpenAlt association.

As in previous years, we plan to live-stream the conference via VHSky.cz and YouTube and make recordings available afterwards.

We are also looking for volunteers to help with conference preparation and on-site organization. If you are interested, please contact us at info@openalt.cz.

We look forward to seeing you at OpenAlt!

Spustili jsme nové výzvy na podporu odolné a demokratické občanské společnosti

25.
června
Nadace OSF

Od dnešního dne mohou organizace občanské společnosti žádat o podporu v prvních třech grantových výzvách programu EEA Civil Society Fund. Tento program financovaný z Fondů EHP a Norska spravuje konsorcium Nadace OSF a Výboru dobré vůle – Nadace Olgy Havlové. Společně v letech 2026–2031 přineseme do České republiky více než půl miliardy korun na posílení demokratických hodnot a právního státu, lidských práv a občanské společnosti.

(více…)

Jason Fried (37signals) napísal 38 otázok o lepšom rozhodovaní - spravil som z nich Claude Skill

24.
června
Fero Volár
Jason Fried (37signals) napísal 38 otázok o lepšom rozhodovaní - spravil som z nich Claude Skill

Existujú články, ktoré si človek prečíta raz a ide ďalej. A potom sú také, ku ktorým sa pravidelne vracia. Pre mňa je jedným z nich The 37signals Guide to Making Decisions od Jasona Frieda, ktorý publikoval na X. Nie preto, že by obsahoval nejaký revolučný manažérsky framework. Práve naopak. Jeho sila spočíva v jednoduchosti.

Článok obsahuje 38 otázok, ktoré si v 37signals kladú pri rozhodovaní. Nie sú to pravidlá ani checklist, ktorý treba bezhlavo odškrtávať. Sú to otázky, ktoré pomáhajú pozrieť sa na problém z iného uhla. Napríklad: Prečo sa vlastne rozhodujeme práve teraz? Čo sa stane, ak sa nerozhodneme? Dá sa toto veľké rozhodnutie rozdeliť na tri menšie? Je toto rozhodnutie vratné? Čo by sme si o ňom mysleli o rok?

Keď som článok dočítal, napadla mi jedna myšlienka. Väčšina ľudí sa k nemu pravdepodobne už nikdy nevráti. Nie preto, že by nebol dobrý, ale preto, že v momente, keď potrebujeme urobiť dôležité rozhodnutie, si málokto otvorí uloženú záložku a začne čítať 38 otázok. A pritom práve vtedy by sa hodili najviac.

Výsledkom je Decision Framework Skill (nielen) pre Claude. Nevypisuje všetkých 38 otázok naraz. Naopak, najskôr sa snaží pochopiť kontext rozhodnutia a potom vyberá iba tie otázky, ktoré dávajú zmysel. Pri jednoduchom rozhodnutí možno položí tri alebo štyri. Pri strategickom ich môže byť viac. Na konci zhrnie argumenty, upozorní na riziká, pomenúva predpoklady a až potom navrhne smer.

Pri návrhu som sa snažil zachovať filozofiu 37signals. Skill nerozhoduje za používateľa a nesnaží sa vytvoriť ilúziu, že AI vie lepšie, čo je správne. Jeho úlohou je zvýšiť kvalitu ľudského rozhodovania. Ak používate Claude pravidelne, pravdepodobne viete, že odpovedať vie veľmi dobre. Mňa však zaujímalo, či dokáže byť rovnako dobrý aj v kladení otázok.

Kvalitné rozhodnutia často nezačínajú lepšími odpoveďami, ale lepšími otázkami.

Skill automaticky komunikuje v jazyku, v ktorom s Claude hovoríte. Ak používate slovenčinu, otázky aj zhrnutie budú po slovensky. Ak angličtinu, zostane pri angličtine. Celý framework je navyše navrhnutý tak, aby sa dal jednoducho rozšíriť alebo prispôsobiť vlastnému štýlu rozhodovania.

Ak vás pôvodný článok zaujal rovnako ako mňa, odporúčam prečítať si ho celý. A ak používate Claude, môžete si vyskúšať aj moju implementáciu vo forme otvoreného Claude Skillu.

Měsíc vědy na Wikipedii: 584 nových a rozšířených hesel, která zpřístupňují vědu všem

24.
června
Wikimedia ČR

 

Od 1. května do 15. června 2026 probíhal druhý ročník Měsíce vědy na Wikipedii, který společně připravily Wikimedia Česká republika, Univerzita Karlova a Fyzikální ústav Akademie věd ČR. Do výzvy se zapojilo 78 účastnic a účastníků, kteří upravili nebo rozšířili 584 hesel, z nichž 365 vzniklo zcela nově, a nahráli 70 fotografií. Společně tak pomohli zpřístupnit ověřené informace o vědě a výzkumu milionům lidí, kteří Wikipedii využívají jako první zastávku při hledání informací. 

Richard Sekerak (WMCZ), CC BY-SA 4.0, via Wikimedia Commons


Věda mění svět. Wikipedie ji zpřístupňuje lidem 

Věda ovlivňuje náš každodenní život, ale mnoho důležitých poznatků zůstává ukrytých v odborných publikacích a akademických databázích. Právě proto Wikimedia Česká republika pořádá Měsíc vědy na Wikipedii. Jeho cílem je zpřístupňovat ověřené informace široké veřejnosti a převádět odborné poznatky do podoby, která je srozumitelná a dostupná všem.

Výzva zároveň pomáhá doplňovat chybějící obsah na české Wikipedii. Účastnice a účastníci vytvářejí nové články o vědeckých tématech, výzkumu, vědkyních a vědcích, rozšiřují stávající hesla a doplňují kvalitní zdroje. Měsíc vědy tak propojuje svět výzkumu s veřejností a pomáhá dostávat kvalitní informace k milionům lidí, kteří Wikipedii využívají při studiu, práci i každodenním hledání informací,” říká Klára Joklová, výkonná ředitelka spolku Wikimedia Česká republika. 

584 nových nebo rozšířených hesel, 78 zapojených lidí

Letos se do výzvy zapojilo 78 účastnic a účastníků.

Společně:

  • upravili nebo rozšířili 584 hesel,
  • vytvořili 365 nových článků,
  • nahráli 70 fotografií a videí.

Za těmito čísly jsou desítky hodin práce s odbornými zdroji, vědeckými publikacemi i archivními materiály. Účastníci a účastnice vyhledávali informace, ověřovali fakta, doplňovali reference a převáděli odborné poznatky do encyklopedické podoby, která je srozumitelná široké veřejnosti. Každý nový nebo rozšířený článek tak pomáhá zpřístupňovat vědecké poznání tisícům lidí, kteří na Wikipedii hledají první informace o vědě, výzkumu a jejich dopadech na společnost.

O významu Wikipedie pro zpřístupňování vědeckých poznatků debatovaly během Měsíce vědy také Klára Joklová a Milada Moudrá v podcastu Dobro skladem. Věnovaly se mimo jiné tomu, jakou roli hraje Wikipedie v době rozmachu umělé inteligence a proč je důležité, aby kvalitní a ověřené informace zůstávaly veřejně dostupné. Jako příklad zazněl i nově vzniklý článek o fyzikovi Allanu Línkovi, konstruktérovi prvního samočinného počítače v Československu. Právě podobné příběhy ukazují, jak může Wikipedie pomáhat uchovávat a zpřístupňovat znalosti pro další generace. 

Den, kdy se na Wikipedii psala věda

Vrcholem letošního Měsíce vědy na Wikipedii byl hlavní editaton, který se uskutečnil 14. května v historické knihovně Fyzikálního ústavu Akademie věd ČR na pracovišti Cukrovarnická. Akce ukázala, jak může spolupráce mezi Wikimedia Česká republika a vědeckými institucemi přispívat k lepší dostupnosti ověřených informací. Právě propojení odborného prostředí s komunitou dobrovolných editorů a editorek pomáhá dostávat vědecké poznatky, fotografie i další obsah k široké veřejnosti prostřednictvím Wikipedie.

„Spolupráce s Wikimedia Česká republika představuje pro výzkumné instituce příležitost, jak s relativně malým úsilím oslovit velmi široké publikum. Když se podaří kvalitní fotografie nebo odborný obsah dostat do správných článků na Wikipedii, jejich dopad může být překvapivě velký. Jen fotografie z Fyzikálního ústavu použité ve wikipedických článcích si během jediného měsíce zobrazily desetitisíce čtenářů a čtenářek. Nejde přitom primárně o propagaci instituce, ale o to, aby články o vědeckých tématech byly kvalitnější, srozumitelnější a lépe ilustrovaly to, o čem pojednávají,“ říká Míla Moudrá z Fyzikálního ústavu Akademie věd ČR.

Richard Sekerak (WMCZ), CC BY-SA 4.0, prostřednictvím Wikimedia Commons 

Po úvodním slovu a krátkém představení principů Wikipedie se účastníci a účastnice pustili do psaní a rozšiřování článků. V jedné místnosti se potkali zkušení wikipedisté a wikipedistky, studenti a studentky, lidé z akademického prostředí i úplní nováčci, kteří si editaci vyzkoušeli vůbec poprvé. Po celou dobu jim byli k dispozici lektoři a lektorky, kteří pomáhali s prací se zdroji, citacemi, autorskými právy i technickými aspekty editování.

Tadeáš Bednarz, CC BY-SA 4.0, via Wikimedia Commons

Editaton ale nebyl jen o samotném psaní článků. Ještě před zahájením editační části si účastníci mohli vybrat ze dvou doprovodných programů. První skupina se vydala na komentovanou prohlídku památkově chráněného areálu Fyzikálního ústavu, jehož budovy vznikly ve stylu art deco. Druhá skupina nahlédla přímo do laboratoří, kde se dozvěděla více o vývoji fotovoltaických panelů, jejich výrobě i budoucnosti solární energetiky. Díky ukázkám křemíkových krystalů i hotových článků mohli účastníci propojit témata, o nichž následně psali, s reálným vědeckým výzkumem.

Měsíc vědy nebyl jen o jednom editatonu

Měsíc vědy na Wikipedii se letos neomezil pouze na hlavní editaton ve Fyzikálním ústavu. Program nabídl řadu dalších akcí, které propojovaly Wikimedia projekty s akademickým prostředím, otevřenou vědou i vzděláváním.

Důležitou součástí programu byl webinář Open Science a projekty Wikimedia – kde začít?, který představil možnosti zapojení univerzit a výzkumných institucí do otevřeného sdílení znalostí. Účastníci a účastnice se seznámili s příklady dobré praxe z českého i zahraničního prostředí a diskutovali o tom, jak mohou Wikimedia projekty pomáhat naplňovat principy otevřené vědy.

Na Fyzikálním ústavu Akademie věd ČR proběhl také interní seminář pro zaměstnance a zaměstnankyně zaměřený na využívání Wikipedie a dalších projektů Wikimedia ve vědecké komunikaci. Ukázal, že spolupráce mezi výzkumnými institucemi a Wikimedia komunitou nemusí končit jednorázovou akcí, ale může se stát součástí dlouhodobého zpřístupňování vědeckých poznatků veřejnosti.

Do Měsíce vědy se zapojili také studenti a studentky Fakulty architektury ČVUT, kteří v rámci editatonu Historické stavby jdou na Wiki převáděli své seminární práce do podoby encyklopedických článků. Vznikly tak nové texty propojující architekturu, historii i technické obory a zároveň si účastníci a účastnice osvojili práci se zdroji, citacemi a principy otevřeného sdílení informací.

Wikimedia ČR na Veletrhu vědy v Praze
Foto: Pavel Bednařík

Wikimedia Česká republika se navíc vůbec poprvé představila na Veletrhu vědy v Letňanech jako součást expozice Fyzikálního ústavu AV ČR. Návštěvníci a návštěvnice si mohli vyzkoušet znalostní kvízy, dozvědět se více o fungování Wikipedie a zjistit, jak se mohou sami zapojit do tvorby svobodných znalostí. Závěr výzvy pak patřil online editatonu Dopiš svůj vědecký článek, který pomohl účastníkům a účastnicím dokončit rozpracované texty a připravit je k publikaci.

Měsíc vědy končí, věda na Wikipedii pokračuje

Součástí letošního ročníku byla také soutěž pro editorky a editory, kteří během výzvy vytvářeli nebo rozšiřovali články a nahrávali fotografie s vědeckou tematikou. O ceny do soutěže se postarali partneři projektu – Fyzikální ústav Akademie věd ČR, populárně-naučný podcast Zjisti víc a vydavatelství RF Hobby. V těchto dnech porota vyhodnocuje jednotlivé příspěvky a vybírá nejzajímavější články i fotografie. Výsledky budou zveřejněny v následujících týdnech.

Letošní ročník ukázal, že když se propojí vědecké instituce, univerzity a komunita dobrovolných editorů a editorek, mohou během několika týdnů vzniknout stovky nových zdrojů poznání dostupných zdarma pro každého. Každá editace přitom pomáhá zpřístupňovat vědecké poznání dalším lidem. A právě to je smyslem Wikipedie i Měsíce vědy na Wikipedii. 

Punk vs. procesy: Kedy končí garáž a začína firma

24.
června
Fero Volár
Punk vs. procesy: Kedy končí garáž a začína firma

Každá firma začína ako punk. Žiadne smernice. Žiadne schvaľovacie kolečká. Žiadny dokument „ako u nás robíme veci". Rozhodnutia padajú pri káve. Klient niečo potrebuje = niekto to spraví. Niečo horí = všetci hasia. Kto je najbližšie, ten to rieši.

A funguje to.

To je na tom to najlepšie a zároveň najnebezpečnejšie. Ono to naozaj funguje. Niekedy roky.

Až do dňa, keď prestane. A ten deň nepríde s fanfárami. Príde potichu, cez zabudnutú faktúru, strateného klienta a nového člověka, ktorý sa po mesiaci stále pýta, ako sa tu vlastne čo robí.

Prečo punk na začiatku vyhráva

Nie je to náhoda ani nedbalosť. Punk na začiatku vyhráva, lebo je to racionálna stratégia.

Písal som o tom v článku Firma je ako výstup na horu, že firmy nevznikajú z dokumentov. Vznikajú z energie a príležitosti. Na začiatku je energia, nie definície. A presne tak je to správne.

Malý tím má zdieľaný kontext. Všetci vedia všetko, lebo všetci sedia v jednej miestnosti, či už fyzicky alebo mentálne. Informácia sa šíri rýchlosťou rozhovoru. Dôvera nahrádza kontrolu. A rýchlosť je v tejto fáze otázka prežitia.

Zaviesť procesy v tíme piatich ľudí je ako postaviť semafory na poľnej ceste. Nie je to zrelosť. Je to predčasná optimalizácia.

Trh sa nepýta, či máte org chart. Pýta sa, či mu viete dodať.

Takže, ak máte do desať ľudí a fungujete na punk, tak nie ste nezrelí. Ste presne tam, kde máte byť.

Otázka nie je, či je punk zlý. Otázka je, kedy prestane stačiť.

Dá sa to úplne bez procesov?

Poviem to na rovinu, lebo túto otázku dostávam často: nie.

Ale nie z dôvodu, ktorý čakáte.

Aj „nemáme procesy" je proces. Len ho nikto nenapísal, nikto ho neschválil a každý si ho vykladá po svojom. Faktúry sa vystavujú „nejako". Noví ľudia sa zaúčajú „nejako". Klientske požiadavky sa odovzdávajú „nejako".

To „nejako" je váš proces. Existuje. Len je neviditeľný, nekonzistentný a závislý od toho, kto má práve dobrý deň.

Proces totiž nie je byrokracia. Proces je rozhodnutie, ktoré ste urobili raz, zapísali a už ho nemusíte robiť znova. Každé ráno, v každej situácii, s každým novým člověkom.

Punk is dead

Nie je to o dátume. Je to o signáloch. A tie signály majú prekvapivo presnú veľkosť firmy.

Okolo 10–15 ľudí padne prvá vec medzi stoličky, nie na konkrétne miesto. Klient čakal odpoveď, každý si myslel, že ju posiela ten druhý. Nič vážne. Zatiaľ.

Okolo 15–25 ľudí sa rovnaká chyba stane tretíkrát. A tu pozor, lebo tretíkrát je magické číslo. Raz je náhoda. Dvakrát je smola. Trikrát je chýbajúci proces.

Okolo 25–40 ľudí prestáva fungovať „spýtaj sa Petra". Peter má v hlave fakturáciu, prístupy, históriu klientov a dôvody, prečo sa veci robia tak, ako sa robia. Peter je váš najväčší risk. Nie preto, že je zlý. Ale preto, že je jediný.

Nad 40 ľudí to začne cítiť zákazník. A to je bod, za ktorým punk prestáva byť šarmantný a začína byť drahý.

Ak ste čítali CEO ako tri energie, tento moment spoznávate. Je to presne ten bod, kde Hero musí začať púšťať volant a zapínať Architekta. Punk je energia Hero fázy - rýchla, intuitívna, na hrane. Procesy sú práca Architekta. A founder, ktorý tento prepínač nenájde, sa stane brzdou vlastnej firmy.

Štyri signály, ktoré sa oplatí sledovať bez ohľadu na veľkosť: rovnaká chyba sa opakuje, kritická znalosť žije v jednej hlave, nový človek sa po mesiaci stále stráca v základných veciach, a zákazník si všimol chaos. Ktorýkoľvek z nich znamená, že na tom mieste má vzniknúť proces. Nie všade. Presne tam.

Ktoré oddelenia prichádzajú na rad prvé

Toto je poradie, ktoré odporúčam a nie je náhodné. Ide podľa toho, kde neprocesnosť bolí najviac a najskôr.

1. Money. Vždy peniaze.

Fakturácia, cash flow, schvaľovanie výdavkov. Toto je prvé, vždy a bez výnimky.

Lebo zabudnutá faktúra nie je prevádzkový problém. Je to existenčný problém. Firma neumiera na zlý produkt tak často, ako umiera na to, že jej nedošli peniaze, ktoré jej patrili. A štát sa nepýta, či ste punk - daňové termíny platia aj pre garáž.

Toto je oblasť, kde proces nepotrebujete, keď sa niečo pokazí. Potrebujete ho predtým.

2. Odovzdávka medzi predajom a delivery

Klasika, ktorú zažila každá rastúca firma: obchodník sľúbi, dodávka sa diví.

Kým predáva founder a dodáva ten istý founder, problém neexistuje. V momente, keď predáva niekto iný než dodáva, vzniká medzera. A v tej medzere sa strácajú očakávania, termíny a marže.

Jednoduchý odovzdávací protokol, čo sme sľúbili, dokedy, za koľko, s akými výnimkami vám ušetrí viac vzťahov s klientmi než akýkoľvek CRM systém.

3. Onboarding nových ľudí

V momente, keď naberáte aspoň jedného člověka mesačne, onboarding prestáva byť „posaď sa vedľa Zuzky a pozeraj".

Nie preto, že by Zuzka bola zlá učiteľka. Ale preto, že každý nový člověk dostane inú verziu firmy = podľa toho, vedľa koho si sadol. Po roku máte desať ľudí a desať rôznych predstáv o tom, ako sa tu robia veci.

Onboarding je mimochodom najlacnejší proces, aký kedy zavediete. Stačí zdieľaný dokument: prístupy, nástroje, kto čo rieši, prvý týždeň krok za krokom. Dve hodiny práce. Návratnosť pri prvom nástupe.

4. Zákaznícka podpora

V punkovej fáze odpovedá klientom ten, kto má čas. Funguje to, kým je klientov málo a všetci ich poznáte po mene.

Prestane to fungovať v momente, keď prvý klient napíše druhýkrát, lebo na prvý mail nikto neodpovedal. Prvý ticket, ktorý spadol pod stôl, nie je vidieť zvnútra. Zvonku je vidieť dokonale.

5. Vývoj a release

Ak staviate produkt: moment, keď piatkový deploy položil produkciu a nikto nevedel, čo presne sa nasadilo, je moment, keď potrebujete release proces. Ideálne ste ho potrebovali deň predtým.

Čo môže ostať punk najdlhšie

A teraz druhá strana, lebo toto nie je oslava procesov. Sú miesta vo firme, kde punk nie je len prípustný, ale je nutný.

Marketingové experimenty. Product discovery. Hľadanie nových trhov. Brainstormingy. Interné rituály a kultúra. Všade tam, kde hľadáte niečo nové, proces škodí. Lebo proces je optimalizácia známeho. A objavovanie nie je známe.

Tu je princíp, ktorý to celé drží pokope:

Procesy patria tam, kde sa veci opakujú. Punk patrí tam, kde sa veci objavujú.

Fakturácia sa opakuje = proces. Hľadanie nového segmentu sa neopakuje = punk. Onboarding sa opakuje = proces. Vymýšľanie kampane = punk.

Firmy, ktoré to nepochopia, majú buď chaos všade, alebo cintorín kreativity.

Pozor na druhý extrém: procesné divadlo

Lebo existuje aj opačná choroba. A je rovnako drahá. V článku o troch energiách CEO som napísal vetu, ktorá sem presne sedí: Architekt, ktorý všetko zprocesní, zabije dynamiku.

Firma, ktorá sa zľakne vlastného rastu, začne procesovať všetko. Schvaľovacie kolečko na nákup kávy. Trojstupňový proces na zmenu textu na webe. Meeting o tom, kedy bude meeting.

Spoznáte to podľa troch vecí: existuje proces, ktorý nikto nevie vysvetliť prečo. Schválenie trvá dlhšie než samotná práca. A ľudia začnú hovoriť „to nie je moja kompetencia" - veta, ktorá v punkovej fáze neexistovala.

Proces má slúžiť ľuďom. Keď ľudia začnú slúžiť procesom, niekde ste odbočili nesprávne.

Preto platí ešte jedno pravidlo, na ktoré sa zabúda: procesy treba aj rušiť. Každý proces niečo stojí: čas, energiu, kus slobody. Raz za rok si prejdite všetky a pri každom sa spýtajte: ktorú bolesť tento proces rieši? Ak si nikto nespomenie, zrušte ho. Bez sentimentu.

Takže...

Punk nie je fáza, z ktorej treba vyrásť. Je to energia, ktorú treba chrániť tým, že ju nasadíte tam, kde má zmysel.

Proces nezavádzajte preto, že „už sme na to dosť veľkí". To je kostým dospelosti, nie dospelosť. Ako som písal pri výstupe na horu - zrelosť neprichádza plánovaním. Prichádza uvedomením. A tu to platí rovnako: proces zavádzajte ako odpoveď na opakovanú bolesť, nie ako dôkaz dospelosti.

Tretíkrát rovnaká chyba? Proces. Znalosť v jednej hlave? Proces. Zákazník cíti chaos? Proces. Všade inde nechajte punk žiť.

A poradie si pamätajte: najprv peniaze, potom odovzdávky, potom ľudia, potom zákazník, potom release. Nie preto, že je to dogma. Ale preto, že presne v tomto poradí to firmy bolí.

Otázka na záver

Dve otázky, vlastne. Každá ukazuje na opačný koniec problému.

Ktorá chyba sa u vás tento rok stala už tretíkrát? Tam má vzniknúť váš ďalší proces.

A ktorý proces u vás existuje tak dlho, že už nikto nevie prečo? Ten je kandidát na zrušenie.

Ak na prvú otázku odpoviete „neviem", nemáte málo procesov. Máte málo pozornosti. A to je teda horšie.

NASA 3D tisk: stovky vesmírných modelů zdarma ke stažení

23.
června
chiptron.cz
NASA má na GitHubu veřejný repozitář s více než stovkou STL modelů, které si zdarma stáhnete a vytisknete na vlastní 3D tiskárně – od rakety Saturn V přes rover Curiosity až po asteroidy a mlhoviny. Všechny soubory jsou public domain, takže se o licence starat nemusíte. V článku ukážu, co všechno repozitář obsahuje, jak modely stáhnout a na co si dát při tisku pozor.

📖 Přečíst celý článek →

Brännball

Chtěl bych vám představit hru Brännball. Máte-li rádi baseball nebo softball, jsem si jistý, že se vám bude líbit. Tvrdím, že tomu propadnou i lidé těmito sporty nepolíbení. Pokud už jste někdy zkoušeli, tak jste jistě narazili na to, že počítání bodů je trochu komplikovanější, tak jsem si spíchl jednoduchou pomůcku pro rozhodčí.

Úvod

Jsem malý a slabý. Snažím se držet v kondici, ale jako dítě jsem byl oproti vrstevníkům v nevýhodě. Na vesnici lze hrát fotbal a ten mi nikdy nešel, navíc mi to prostředí nesedí. Později jsem se našel v rekreačním softballu (oddílů tenkrát nebylo mnoho a když, tak daleko ve městě, hromadnou dopravou obtížně až nemožně dostupné). Ernest Hemingway měl údajně prohlásit, že baseball jsou nejrychlejší šachy na světě. To bylo něco pro mě, mrštnost a chytrost, kde tělesná výška nehrála takovou roli. S oblibou dávám k dobru už otřepanou historku, že pořádně jsem se naučil házet až na vysoké škole (technického zaměření), kde jsem si softball zapsal na tělocvik. Na základce jsem házel krikeťákem naprosto příšerně, neměl jsem sílu a techniku nikdo neučil.

Srdce mě pořád táhne k softballu. Na čtrnáctidenních táborech lze děti naučit základům hry, ale jedná se o složitá pravidla a motoricky náročné pohyby. Nehledě na množství potřebného vybavení i hráčů.

Až mi někdo doporučil hru Brännball.

Brännball

Nejdříve jsem to trochu nafoukaně přehlížel, protože se hraje s tenisákem, a že to nemůže být zdaleka tak dobré. Jenže děti, se kterými jsem chtěl hrát softball, byly na plnohodnotnou hru ještě příliš malé a navíc jsem ani neměl vybavení pro všechny. Začal jsem tedy Brännball trochu studovat.

Zásadní je, že si to ze softballu bere strategický pohyb po hřišti a celkovou zábavnost, na druhou stranu odebírá složité a otravné záležitosti. Směny ohraničuje časový limit, žádné outy, na odpal je v podstatě nekonečně pokusů, na metu se dostane každý, i nezkušený hráč. Vůbec se neřeší nadhoz (softball taky samozřejmě podporuje variantu odpalu ze stativu). Tenisák je levnější a bezpečnější než tvrdý softballový míč. Pálka je prkno (skoro zadarmo, minimální práce s úpravou), navíc odpal něčím placatým je snažší než něčím kulatým

Pravidla mi na první pohled nedávala úplně smysl (asi zejména protože jsem se příliš upínal na svoje znalosti softballu), ale nakonec jsem si vystačil s těmito třemi instruktážními nahrávkami:

Brännball na školskom ihrisku

Netradiční sportovní hry - BRÄNNBALL - Pravidla

Netradiční sportovní hry - BRÄNNBALL - Potřebné vybavení

Pak jsme si to jednou zahráli a všechno mi docvaklo.

Mám opakovaně vyzkoušené, že i s úplnými nováčky lze během 90 minutovém bloku natrénovat techniku házení, chytání i odpalu, vysvětlit pravidla a stihnout sehrát dvě směny. Jedinou nevýhodou mi přijde víc práce s počítám bodů. Nově na to mám aplikaci, viz níže. Po metách se typicky pohybuje víc hráčů než v softballu, takže bez rozlišováků si to nedokážu představit. I tak se hodí, abyste na hru nebyli jediným rozhodčím.

Označení hřiště

Nejpracnější na přípravě je vytyčení hřiště. Osvědčily se mi kužely a paracordy v signálních barvách. O provázky občas někdo zavadí a posune je. Chci si proto na 3D tiskárně vyrobit několik připínáčků, které se používají k přichycení lukostřeleckých terčů, snadno se zabodnou do země a nebude nic nebezpečně vyčuhovat. V plánu mám dokoupit obruč k přesnějšímu vytyčení stanoviště brännera.

Aplikace pro rozhodčí

Jak jsem již zmiňoval, počítání bodů je komplikované. Bod můžete získat za oběh, za přešlap brännera, za chycení míčku i za spálení hráče, který není bezpečně na metě (tím není výčet kompletní). Po každé spáleném míči jsem si dřív čárkoval na papíru do připravených chlívečků, ale mnohdy to pomotal.

Až jsem se hecnul a vyrobil jednoduchou aplikaci pro rozhodčí Brännballu. Respektive je to prostá webová stránka, takže nemusíte nic instalovat, jen otevřete na telefonu. Ovládání by mělo být intuitivní.

Zdrojový kód jsem dal dohromady s pomocí AI, k dispozici na GitHubu. Zatím jsem testoval jen na iPhone. Dejte vědět jak a jestli vám funguje i na Androidu.

#4 – Proč bychom si bez vesmírných družic nekoupili ani kávu?

Kdyby zítra z vesmíru zmizely všechny satelity, jako první by si lidé všimli, že nefunguje navigace a bankovní systémy. Velmi rychle by to však zasáhlo i další infrastrukturu, a proto je rozvoj vesmírného průmyslu naprosto klíčový. Aktuálně k němu se svou družicí přispívají i studenti z VUT. Na první pohled je to jen malá kostka o hraně deset centimetrů. Ve skutečnosti ale jde o první český satelit navržený a sestrojený výhradně studenty, který na palubě rakety Falcon 9 už brzy zamíří na oběžnou dráhu. Za úspěchem vesmírné mise KOSTKA stojí studentský tým YSpace pod vedením Šimona Slobody. 🛰️🪐🚀

Jak fungují družice na oběžné dráze? Co všechno musí přežít během startu rakety i pobytu ve vesmíru? Proč jsou kosmické technologie důležité pro náš každodenní život? A bude jednou vesmír přeplněný?

Timeline epizody:

1:02 – Jak fungují satelity a proč je potřebujeme
2:47 – Co by se stalo, kdyby všechny družice přestaly fungovat
5:45 – Vesmírný odpad a budoucnost oběžné dráhy
7:25 – První studentský satelit KOSTKA
14:02 – Tvůrčí tým YSpace a vývoj satelitu
16:12 – Spolupráce s ESA a budoucnost projekt
20:40 – Start rakety a první signál
23:17 Proč investovat do vesmíru

… než se jimi úplně zadusila (USA/Írán a Rusko/Ukrajina)

21.
června
Marian Kechlibar

Reakce na článek Lucie Sulovské, aneb co když válčí tři a jak se liší Putin od Stalina. Kromě jiného.

Lucie Sulovská, nyní tedy už vlastně Lucie Dippenaar – ale v české politické blogosféře bude nepochybně i nadále známa podle svého dívčího nomen, asi jako Marilyn Monroe – se inspirovala u mých dvou článků o měkké a tvrdé síle (první, druhý). Výsledkem je delší, ale velmi zajímavý článek Dvakrát měř, jednou válči, který doporučuji k přečtení.

Obvykle nerozjíždím nekonečná kola odpověď – komentář k odpovědi – další odpověď, ale tentokrát mi její článek přišel skvěle vhod. Rád bych se zastavil u dvou jejích postřehů a něčím je doplnil.


První bod – memorandum porozumění mezi USA a Íránem, které má vést k budoucí mírové smlouvě. Jeho plné znění už známe dva dny. Lucie komentuje toto dění slovy poněkud expresivními:

Putinův autismus ostře kontrastuje s Trumpovou těkavostí a neustálým měněním názorů. Je to ale Trump, kdo díky těmto vlastnostem vytáhl svou zemi z hoven dřív, než se jimi zadusila. Americké administrativě se mnoho lepších řešení prostě nenabízelo a správně vyhodnotila to nejméně špatné. Brekot a dupot se dal očekávat, jestřábi jsou ideologové a řešením každého ideologa tam, kde X selhává, je „přitlačme ještě trochu víc na X“. Jejich track rekord je ovšem příšerný a Trump udělal dobře, že nakonec zatáhl za Y, i když teď ponese důsledky svého předchozího špatného rozhodnutí.

Musím říci, že s ní víceméně souhlasím, protože ta situace, která se vyvinula v Zálivu po úvodním kole bojů, byla katastrofální. Ne snad nevyhratelná v tom smyslu, že by tam Spojené státy nemohly poslat všechno, co mají, a ten Írán převálcovat, ale v tom smyslu, že cena za takové vítězství by byla neúměrně vysoká.

Nemyslím teď jenom životy ztracené přímo v boji či bombardování, ba ani cenu ropy na světových trzích, ačkoliv to všechno byly samozřejmě významné faktory. Ve hře byla ještě jedna věc, kterou komentátoři často pomíjeli. Od Kuvajtu až po Omán je pobřeží Perského zálivu hustě osídleno, a ty miliony lidí spoléhají na dovoz potravin a odsolování vody pomocí sofistikovaných průmyslových zařízení, kterým by v případě větší války hrozilo zničení. Takovou kombinaci hladu a žízně přímo uprostřed oboustranně létajících raket a dronů by nedokázal vyřešit nikdo, i kdyby chtěl, a následky by mohly být naprosto šílené.

(Václav Cílek by k tomu asi dodal, že je nemoudré stavět nové babylonské věže někde, kde není ani jedna přírodní řeka a ani jedno úrodné pole. Leč málokterý ropný král na zlatém trůně má čas a vůli poslouchat nějaké dobrotivé profesory z Prahy-Proseka. A v jistém smyslu ani nemůže – zemi jen tak nevyměníte.)

Vzniklé memorandum je přesně tím druhem kompromisu, který se nelíbí ani jedné straně, a tudíž může být funkční. Z amerického hlediska je uvolnění sankcí a ochota schválit rozsáhlý investiční program do Íránu (byť asi půjde spíš o arabské peníze) velkou, ale přežitelnou ztrátou tváře. Z hlediska islámské republiky je závazek vzdát se jaderného programu podobně velkou fackou, ale pořádné šejtánovo kopýtko se skrývá i v té přislíbené investiční činnosti, která přitom na první pohled vypadá jako výhra. Peníze cizích lidí nejsou nikdy zadarmo. Nateče-li do zbídačelé íránské ekonomiky jedno další HDP z dubajských, kuvajtských a saúdských kapes, vytvoří to zároveň uvnitř Íránu početnou pátou kolonu lidí existenčně závislých na cizí peněžence, tudíž s rozštípnutými loajalitami, a to i na těch nejvyšších místech. Pozorujeme-li dění v jiných islámských státech, nedá se říci, že by Alláh měl nad Mamonem automaticky navrch, a ti revoluční vousáči to také vědí.

(Ostatně – když jsme u toho, vůbec bych se nedivil, kdyby se nakonec ukázalo, že nějaké procento těch rekonstrukčních zakázek obhospodaří firmy napojené na Trumpa. Odpovídalo by to tradici, jak jeho osobní, tak té blízkovýchodní.)

Skutečně velké kopyto v celé “dohodě o dohodě budoucí” spočívá v tom, že moderní války málokdy vedou jen dvě země, a v tomto případě je tím třetím Izrael, který zatím nevzdal svoji snahu potlačit Hizballáh, ať už jakoukoliv kombinací prostředků. Není také velké tajemství, že Hizballáh není v Libanonu nijak univerzálně populární a že určitá část libanonské politické scény by jej také chtěla minimálně odzbrojit, ne-li zničit.

Ani Američané, ani Íránci nemusejí mít sílu k tomu, aby vzájemnou dohodou vnutili Izraeli či nakonec i tomu Libanonu zachování současného statu quo. Situace je tam přece jen jiná. USA a Írán od sebe leží dostatečně daleko, aby se po většinu času mohly zcela ignorovat, aspoň chtějí-li. V případě Hizballáhu a Izraele je ten kontakt extrémně těsný a povede téměř s jistotou k dalším horkým konfliktům.


Druhý bod – Luciina poznámka, která zní takto.

… Vladimir Putin, který je podle svého okolí už odmalička mimořádně vytrvalý a neústupný. To, co vypadá na první pohled jako docela dobrá vlastnost, se může v realitě proměnit v katastrofu.

Putin se jako běžec na dlouhé tratě noří pořád hlouběji a umanutě odmítá všechny cesty ven, které se mu nabízejí.

Hm, o Putinově neústupnosti už jsem slyšel z více stran, a tím nemyslím nějaká propagandistická vysílání (ta či ona), jako spíš ústa lidí, kteří v tom Rusku opravdu žili a zajímali se o politiku (a nevypadli z okna…) Prý je to opravdu jeho osobní charakteristika, a koneckonců tomu odpovídá i ten aktuální stav rusko-ukrajinské války, kdy vynaložené náklady, ať už v životech, ekonomických problémech či poničené ropné infrastruktuře, dávno neodpovídají titěrným ziskům na mapě. Jakási Konstantynivka, před válkou srovnatelná s Frýdkem-Místkem a nyní ještě ke všemu rozstřílená napadrť, by opravdu ani z čistě utilitárního hlediska nestála za tu nedávnou návštěvu dronů v moskevské rafinerii a černý déšť padající na vaše hlavní město. A přesto se jede dál.

Toto je ale zároveň dobrá záminka k “historickému exkurzu”, které mám tak rád.

Je zajímavé si uvědomit, že ten největší a nejúspěšnější z kremelských gangsterů, Josef Vissarionovič Stalin, zdaleka tak neústupný nebyl, a za svůj život prokázal hned několikrát ochotu vycouvat z problémových situací místo toho, aby volil metodu neustálého přitvrzování. Neberte jejich seznam jako snahu nějak rehabilitovat jednoho z největších řezníků moderních dějin, který uvnitř své země rozpoutal naprosto nepředstavitelný teror. Jde opravdu jen o to, ilustrovat si, že aspoň navenek znal nějaké meze a věděl, kdy má dost.

a. Dohra bitvy na Chalchyn-golu, ve které šlo o celkem drzý pokus Japonců otestovat, co jim na tom Dálném východě všechno projde. Ačkoliv měli Japonci na své straně výhodu překvapení a kratších zásobovacích linií, sovětsko-mongolské vojsko pod vedením generála Žukova je nakonec porazilo na hlavu, a vzápětí došlo k uzavření míru. To není nijak samozřejmé, podobný druh agrese by leckterý jiný diktátor považoval za dobrý důvod k totální válce až do zničení protivníka. Jenže Stalin si uvědomoval, že totální válka s Japonskou říší by pro něj přece jen v dané konstelaci sil nemusela dopadnout dobře, a dal přednost nepříliš triumfálnímu kompromisu. O pár let později mu to patrně zachránilo krk, když se Japonci nepřidali k německému tažení Barbarossa a sibiřské jednotky bylo možné odvelet k zimní obraně Moskvy.

b. Napadení Finska a zimní válka na přelomu let 1939/1940. Poté, co se ukázalo, že i malý rosomák má ostré zuby a dokáže velkému medvědovi pořádně přerovnat kožich, byl Stalin ochoten uzavřít mír, i když to zároveň znamenalo, že na rozdíl od pobaltských zemí nezískal celé Finsko a navíc si na leningradské hranici ponechal potenciálně nebezpečného protivníka s ne zcela vyrovnanými účty.

c. Sovětský nátlak na Turecko v roce 1947. Už za carských dob bylo strategickým cílem Ruska získat kontrolu nad Dardanelami a Bosporem. Po druhé světové válce byla sovětská pozice v tomto směru asi nejvýhodnější a cíl se zdál být na dosah. Leč Turkům se nechtělo do bratrské náruče a obrátili se s žádostí o pomoc na západní velmoci, které odpověděly kladně. Po určitém poměřování sil Stalin rezignoval na vidinu dalšího zápisu do dějin a nechal Turky Turky, kterými také dodnes jsou.

d. Blokáda Berlína 1948-9 a její zrušení. Toto byla ze strany Moskvy opravdu nebezpečná hra, ale poté, co spojenci prokázali masivní logistickou schopnost zásobovat odříznutý západní Berlín čistě ze vzduchu, se Stalin opět raději stáhl, než aby situaci ještě eskaloval. Krize kontinentálních rozměrů byla opět utlumena.

e. Roztržka s Titovou Jugoslávií. Politická levice je sektářská už od přírody a Tito navíc Stalina dráždil i osobně, neochotou podvolit se jeho vedení. Represe vůči “titoistům”, rozjeté ve zotročených státech střední a jižní Evropy, také byly drakonické, a Tito pro změnu poslal řadu svých stalinistů do “nejzápadnějšího gulagu” na chorvatském ostrově Goli Otok, kde museli roztloukat kameny na menší kameny a házet je do moře. (Pár lidí to tam ani nedotáhlo a zmizeli úplně beze stopy, inu Balkán.) K vojenské konfrontaci však nevydal Stalin nikdy rozkaz; podobně jako v případě Turecka by Britové a Američané nejspíš přišli Jugoslávcům na pomoc a byla by z toho třetí světová, o kterou v daný moment nestál a nebyl na ni připraven.

No, tolik minulost. Poučná, ale se současností nijak nehne. Jiní diktátoři, jiné rozhodování, jiný kontext, jiný svět.

Musím říci, že moc nevěřím tomu, že ta rusko-ukrajinská válka skončí dohodou. Těch příležitostí domluvit se na ukončení bojů na stávající linii už bylo za uplynulé 2-3 roky dost.

Diskusní fórum ke článku najdete zde.


Hudební epilog

Z jižního břehu Černého moře…

Loading

RTL-SDR – co to je a k čemu to použít? Kompletní návod pro začátečníky.

20.
června
chiptron.cz
Letadla, rádio, vysílačky nebo třeba satelity – to vše zachytíte pomocí levného RTL-SDR dongle za pár stovek korun. V tomto praktickém tutoriálu ukážu, jak jej rozjedete na Ubuntu/Debian Linuxu krok za krokem. Žádné složité závislosti, jen terminál a pár příkazů.​ Přidám i návod na Windows. Aktualizace: přidán i interaktivní průvodce - co poslouchat a řešení chyb.

📖 Přečíst celý článek →

Amatérská čidla kvality vzduchu v Moskvě zachytila extrémní koncentraci pevných částic v důsledku dronového útoku na rafinerii.

18.
června
chiptron.cz
Při rozsáhlém dronovém útoku na Moskvu v noci na 18. června 2026 zasáhl požár ropnou rafinerii v jihovýchodní části města. Amatérská čidla zapojená do sítě sensor.community zachytila u zdroje extrémní nárůst koncentrace pevných částic - hodnoty PM10 vyskočily z klidové noční úrovně na špičky přesahující 1000 µg/m³.

📖 Přečíst celý článek →

Zákazem sociálních sítí trestáme oběti

17.
června
Jiří Eischmann
Ve společnosti v poslední době rezonuje zákaz sociálních sítí dětem a mladistvým. V některých zemích ho už zavádějí, u nás se o tomto kroku vážně diskutuje. Souhlasím s tím, že mainstreamové sociální sítě opravdu nejsou vhodné prostředí pro děti, ale nedokážu se ubránit dojmu, že jsme ten problém uchopili za špatný konec.