Projekt rieši nákup zariadení a programov (HW a SW) pre štyri úrady ktoré prevádzkujú organizačné jednotky na riadenie bezpečnostných incidentov (jednotky CSIRT) - NBÚ SR, ÚPVII, SIS a Nases. Podstatná časť informácií o projekte je utajená. Štúdia opisuje aké “pracoviská” v týchto jednotkách sú a do akého stupňa schopností by sa mali dostať podľa štandardnej metodiky CMM.
57,4M Eur (investície) + 37,5M Eur (prevádzka 10 rokov) s DPH
Úrad podpredsedu vlády pre investície a informatizáciu (ÚPVII)
V súčasnosti je vypracovaná štúdia uskutočniteľnosti. Avšak na rozdiel od ostatných pripravovaných projektov v OPII nie sú analyzované súčasné a potrebné služby a ich kapacity, projekt nie je naviazaný na optimalizáciu procesov (napr. vyhnutie sa duplicitám služieb jednotiek CSIRT), pre oblasť kybernetickej bezpečnosti ani nie je schválený strategický dokument, slabo sú analyzované alternatívy, najmä možnosti spoločného výkonu funkcií jednotiek CSIRT, porovnanie s komerčnou sférou, zahraničím, vyčíslenie prínosov a nákladov pre jednotlivé stupne vyspelosti. Kalkulácia prínosov je založená na nereálnych odhadoch, pri použití zmysluplnejších parametrov vychádza projekt ako stratový. Pripomienky, ktoré sme k projektu dávali (aj s výhradami tu uvedenými), boli iba “vysvetlené” a neviedli k zlepšeniu kvality štúdie.
Štúdia uskutočniteľnosti má zásadné nedostatky a zďaleka nedosahuje úroveň kvality vyžadovanú v iných projektoch. Masívna investícia, ktorá je v projekte navrhovaná, nie je odôvodnená. Štúdiu je nevyhnutné prepracovať a plánované náklady znížiť na úroveň zodpovedajúcu reálnym potrebám.
27.06.2024
Príprava projektu
Reforma VS
Merateľné ciele (KPI)
Postup dosiahnutia cieľov
Biznis prínos
Príspevok v informatizácii
Štúdia uskutočniteľnosti
Alternatívy
Kalkulácia efektívnosti
Participácia na príprave projektu
Projekt nie je naviazaný na žiadnu optimalizáciu procesov verejnej správy. Argument, že “v zákone je to napísané takto” neobstojí, rovnako ako pri iných OPII projektoch. Pritom procesy a služby v oblasti kybernetickej bezpečnosti sa dajú taktiež štandardným spôsobom merať, vyhodnocovať a plánovať.
V štúdii uskutočniteľnosti sú uvedené nasledovné merateľné ukazovatele: (cieľový stav je predpokladný v r.2023)
Merateľné ukazovatele nie sú rozdelené na verejnú správu a celú spoločnosť. Parametre odhalených incidentov a ich škôd sú určené “expertným odhadom”, pri ktorom nie je jasný postup výpočtu.
Projekt je navrhnutý ako prosté zakúpenie HW a SW, jeho inštalácia a súvisiace práce. Zoznam produktov, ktoré majú byť zakúpené už pravdepodobne existuje. Harmonogram realizácie je naplánovaný na 2 roky. Ak bude projekt schválený, s vysokou pravdepodobnosťou bude plánovaný postup dodržaný.
Súlad s KRIS zapojených organizácií, t.j. NBÚ SR, ÚPVII, SIS a Nases sme zatiaľ nevyhodnotili.
Štúdia neobsahuje popis služieb, ktoré je v riešenej oblasti potrebné vykonávať, ani ich potrebné kapacity. Rovnako nie sú uvedené súčasné služby a ich kapacity. Toto považujeme za zásadný nedostatok. Aj v oblasti bezpečnosti sa dá verejne diskutovať o potrebných výkonoch a ich kapacitách - viď. napr. nedávna kauza nákupu stíhacích lietadiel do SR.
Deklarovaný nízky stav a vyspelosti jednotiek CSIRT a potreba ich urgentného riešenia je v kontraste s doteraz verejne dostupnými správami o špičkových výsledkoch, či získaní certifikácie, viď. napr. https://euractiv.sk/section/digitalizacia/news/slovensko-je-kyberbezpecnostnou-spickou-tvrdi-estonsky-rebricek/ .
Projekt tak, ako je navrhnutý nepochybne povedie k zlepšeniu v informatizácii. V súčasnosti však absentuje dokument Strategickej priority NKIVS Kybernetická bezpečnosť, ktorý by mal určiť ciele, priority, pre túto oblasť a aj naplánovanie jednotlivých projektov tak, aby boli potreby (najmä verejnej správy) v kybernetickej bezpečnosti systematicky pokryté.
Štúdia uskutočniteľnosti je síce vypracovaná, ale obsahuje mnohé nedostatky, ktoré tu aj uvádzame v iných častiach hodnotenia.
V štúdii sú načrtnuté iba 3 alternatívy - ponechanie súčasného stavu, “dovybavenie jednotiek CSIRT podľa ich požiadaviek” a “vybavenie jednotiek CSIRT tak, že každá robí všetko”.
V projekte je navrhnuté zabezpečiť vybavenie pre 4 jednotky CSIRT, ktorých pracoviská a vykonávané služby sa podstatne prekrývajú. Nie je analyzovaná možnosť spoločného výkonu niektorých funkcií, špeciálne posúdiť využitie jednotky ÚPVII aj pre plnenie služieb pre Nases, keďže CSIRT.SK (v ÚPVII) má plniť funkcie pre celú verejnú správu.
Nie je vyhodnotené porovnanie nákladnosti služieb s komerčnou sférou, ktorá v niektorých prípadoch vykonáva rovnaké služby ako jednotky CSIRT, napr. penetračné testy, alebo analýzy malware (v čom je napr. firma Eset jeden zo svetových lídrov). Rovnako nie je analyzovaná možnosť využívať služby komerčných organizácií (takéto služby momentálne orgány verejnej správy často využívajú, mimo VS je to samozrejmosť), alebo partnerských jednotiek CSIRT (viď. spolupráca pri forenznej analýze).
Keďže v štúdii je zvolené vyjadrenie vyspelosti jednotiek CSIRT metodikou CMM (Capability Maturity Model), pri nedostatku detailných informácií malo byť vykonané vyčíslenie nákladov a prínosov pri dosiahnutí jednotlivých stupňov podľa modelu CMM. Optimálne cieľové hodnoty stupňa vyspelosti sú potom tie, kde súčet nákladov a škôd je minimálny.
Podľa CBA sú náklady na obstaranie 57,4M Eur a náklady na prevádzku počas 10 rokov 37,5M Eur. Pokračovanie doterajšieho prístupu k budovaniu jednotiek CSIRT by vyžadovalo na obstaranie 4,8M Eur a na prevádzku počas 10 rokov 3,0M Eur. Aj z týchto čísel a porovnania so súčasným stavom vidno, že ide o masívnu investíciu.
V čase tvorby štúdie už existoval zoznam konkrétneho “HW a SW” ktoré majú byť zakúpené, avšak bol utajený. Nie je možné preto nijako overiť, či uvedená investícia je primeraná deklarovaným cieľom.
V štúdii uskutočniteľnosti je deklarovaný prínos 409,4M Eur “zo zabránených škôd” počas 10 rokov od začiatku realizácie projektu, oproti 116,8M Eur ktoré sú deklarované ako ušetrené bez realizácie projektu. Tieto čísla sú výsledkom “expertného odhadu” na základe dokumentu McAfee Economic Impact of Cybercrime.
Tieto odhady považujeme za absolútne nereálne.
Pre porovnanie, použitím rovnakého výpočtu ako je uvedený v štúdii sa dá odvodiť, že “nezabránené škody” budú aj po realizácii tohto projektu za 10 rokov na úrovni 4,4 miliardy Eur.
Naopak, ak z rovnakej štúdie zvolíme za základ parameter priemernej škody spôsobenej bezpečnostným incidentom vo Veľkej Británii, čo je 26700 USD v 2016 (str.22), po prepočítaní na SR a 2018 (rast škôd o 10%, pomer HDP na obyvateľa PPP) dostávame priemernú škodu z jedného incidentu v SR 18435 Eur. Pri takomto parametri však celý projekt vychádza ako stratový, po 10 rokoch je čistá hodnota projektu -35,5M Eur.
Zároveň pripomíname, že aj bez existencie jednotiek CSIRT by si verejná správa (a ostatná spoločnosť o to viac) zaisťovala bezpečnosť IS.
Porovnanie s inými krajinami nebolo vykonané, lebo vraj nie je možné a ani potrebné. Pri nedostatku detailných údajov však považujeme takéto porovnanie za relevantné, pokiaľ ide o zabezpečované funkcie, kapacity a úroveň vyspelosti, porovnanie je treba vykonať minimálne s ČR.
Projekt bolo možné krátko pripomienkovať a bolo k nemu verejné prerokovanie. Za Slovensko.Digital sme zaslali viac ako 30 pripomienok, viaceré z nich zásadné - žiadna z pripomienok však neviedla k doplneniu alebo oprave štúdie, všetky boli iba “vysvetlené”.
Diskusie k projektu na platforme:
V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky: