Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe

upvii

#1

ÚPVII pripravuje projekt “Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe”. Obstaralo štúdiu: Ernst&Young, 40K Eur - https://www.crz.gov.sk/index.php?ID=3452202&l=sk

Zaujímavé je aj toto:
Článok VII Duševné vlastníctvo
.1. Zmluvné strany vyhlasujú, že pokiaľ príslušné právne predpisy nestanovia inak,
výsledky činnosti Poskytovateľa nie sú autorským dielom.

(Pokračuje to však “ak by boli, tak…” ÚPVII bude mať bezodplatnú (?!) a výhradnú licenciu v neobmedzenom rozsahu na použitie diela a môže udeľovať sublicencie ľubovoľne ďalej.)


Harmonogram OPII projektov na 2018
Red Flags: Riadenie incidentov kybernetickej bezpečnosti (jednotky CSIRT)
#2

Tak, a už ÚPVII rozbieha projekt “Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe”.

Cieľom projektu je “dovybaviť” štyri jednotky CSIRT (incident response team) ktoré štát prevádzkuje o nový SW a HW. Neviem o reformnom zámere na ktorý by tento projekt nadväzoval.

Časť štúdie, najmä technické detaily, je utajená !

Predpokladaná hodnota 44.1 M Eur :open_mouth:
Investícia sa vraj vráti už po 2 (slovom dvoch) rokoch od realizácie. Na to som nenašiel

Štúdiu je možné teraz pripomienkovať, do 9.7. Potom 11.7. bude verejné prerokovanie.

Informácia o projekte a pripomienkovaní: https://www.vicepremier.gov.sk/index.php/verejne-pripomienkovanie-studie-uskutocnitelnosti-k-projektu-narodny-system-riadenia-incidentov-kybernetickej-bezpecnosti-vo-verejnej-sprave/index.html

Zo štúdie, kapitola Rozsah: “Takisto je potrebné uviesť, že štúdia neobsahuje klasické elementy iných agendových štúdii ako sú ISVS, aplikačné a koncové služby. Dôvodom je, že jednotlivé jednotky CSIRT participujúce na národnom projekte nebudú poskytovať agendové, resp. typické koncové alebo aplikačné služby a ani sa týmto projektom nebude budovať informačný systém verejnej správy. Realizáciou projektu sa zabezpečí hardvérové, softvérové a znalostné dovybavenie jednotlivých jednotiek CSIRT, čo sa prejaví najmä vo zvýšení schopností predchádzať a reagovať na kybernetické bezpečnostné incidenty vo verejnej správe.”

Vzhľadom na to, že pre KyB ani nie je schválený dokument strategickej priority, celkový stav diskusie o tejto téme, OPII zdroje na bezpečnosť pre jednotlivé úrady (zatiaľ nula) atď. je toto opäť jeden z prípadov kde spadne sánka. Ale asi sa môžeme aspoň tešiť, že celý projekt neide v utajenom režime, ako si to doteraz robí NBÚ, MV, SIS a kto vie ešte kto ďalší…


#3

Tento projekt je extrémne chabý v pomere popis / náklady. Rieši sa v ňom iba “nákup HW a SW”, nepopisujú sa žiadne služby, analýza súčasného stavu je len na technologickej úrovni, budujú sa duplicitné inštitúcie a ani nie je zdôvodnené prečo atď atď…

K štúdii som za Slovensko.Digital poslal tieto pripomienky:
pripomienky-S.D.xlsx (32.8 KB)

  • V súčasnosti nie je schválený dokument Strategická priorita Kybernetická bezpečnosť. Nie je teda ani jasné, aké detailné ciele NKIVS a OPII v oblasti Kybernetickej bezpečnosti majú realizovať, ani akým spôsobom sa k ich naplneniu dopracujeme. V takejto situácii nie je možné predložený projekt posudzovať ani schvaľovať.
    Pracovná skupina pre Kybernetickú bezpečnosť sa už viac mesiacov ani raz nestretla. Termíny vypracovania dokumentu strategickej priority sa opakovane posúvajú. Z toho usudzujeme, že v oblasti kybernetickej bezpečnosti nie je potreba urgentných riešení. Preto žiadame v tejto oblasti postupovať systematicky - najprv dopracovať strategické dokumenty, ktoré popíšu celostný prístup v oblasti kybernetickej bezpečnosti a až následne prijímať rozhodnutia o konkrétnych projektoch.
    V súčasnosti viaceré jednotky CSIRT dlhoročne fungujú aj bez OPII projektov, preto taktiež nevidíme urgentnú potrebu schvaľovať tento projekt namiesto systematického prístupu."

  • V oblasti Kybernetickej bezpečnosti a špecificky aj v ŠC 7.9 OPII “Zvýšenie kybernetickej bezpečnosti v spoločnosti” neboli doteraz posudzované a ani konkrétne navrhnuté žiadne projekty. Suma navrhovaná na tento projekt však vyčeprá podstatnú časť OPII zdrojov alokovaných pre oblasť KyB. Preto pri schválení tohto projektu bez predchádzajúcej analýzy celostného prístupu v tejto oblasti bude hroziť zvýšené riziko, že na iné, potenciálne aj dôležitejšie projekty, nebude už možné vyčleniť dostatočné prostriedky. Preto žiadame neschvaľovať tento projekt pred schválením systematického prístupu v oblasti Kybernetickej bezpečnosti.

  • V štúdii je navrhovaná podpora pre štyri konkrétne jednotky CSIRT. Avšak takáto štruktúra organizácie kompetencií v oblasti zvládania a prevencie incidentov nevyplýva zo žiadnych existujúcich materiálov v SR. Ani v štúdii nie je nijako komplexnejšie odôvodnené, prečo sú riešené práve uvedené štryi jednotky. Žiadame pred schvaľovaním projektu dopracovať analýzu organizačného pokrytia celého priestoru KyB funkciami v oblasti zvládania a prevencie incidentov. Keďže uvažované služby sú v niektorých prípadoch orientované aj na organizácie mimo verejnej správy, žiadame do tejto analýzy zahrnúť aj komerčný sektor a v ňom existujúce riešenia.

  • V projekte je uvažovaná aj jednotka CSIRT SIS, avšak v štúdii absentujú aj elementárne údaje týkajúce sa jej výkonov a vybavenia v súčasnosti a taktiež konkrétnych zámerov pre cieľový stav. Nie je tak možné vyhodnotiť ani potrebu zabezpečenia jednotlivých činnstí, ani poskytovanú hodnotu za peniaze. Do budúcnosti je taktiež veľmi pravdepodobné, že možnosť monitorovania činnosti tejto jednotky, alebo aj elementárneho priebehu projektu, nebude možná z dôvodu utajenia. Preto žiadame jednotku CSIRT SIS z tohto projektu vyňať a riešiť samostatne v rámci nákupu techniky podliehajúcemu režimu utajenia.

  • V projekte je uvažovaná “firemná” jednotka GOV CERT SK. Nie je jasné, prečo má byť národným projektom podporená práve táto jednotka, ktorá má zabezpečovať partikulárne činnosti v obmedzenej oblasti pôsobnosti organizácie Nases. (V štúdii sú vety ako napr. "GOV CERT SK sa vo svojej podstate nijako nelíši od sektorovej jednotky CSIRT ") Existencia tejto jednotky, alebo výsadné postavenie ÚV/Nases voči iným sektorom verejnej správy pritom nevyplýva ani zo žiadnych existujúcich dokumentov v oblasti KyB. Naopak, v strategických dokumentoch sa uvádza potreba vybudovania jednotky CSIRT v kompetencii MO SR - takáto jednotka však do projektu nie je zahrnutá. Zaradenie jednotky GOV CERT SK do tohto projektu sa preto javí ako náhodné, najmä voči iným rezortom. Žiadame preto jednotku GOV CERT SK vyňať z tohto projektu.

  • Alternatívne k predchádzajúcim dvom pripomienkam (vyňatie CSIRT SIS a GOV CERT SK z projektu) je možné uvažovať o vytvorení dopytovo-orientovanej výzvy na zabezpečenie funkcií v oblasti zvládania a prevencie incidentov, pre všetky OVM.

  • V štúdii sú uvádzané rozhodnutia vykonané “steering comitee”. Takýto orgán však nepoznáme a nie je zakotvený v žiadnych dostupných dokumentoch či predpisoch týkajúcich sa oblasti kybernetickej bezpečnosti. Žiadame využiť na rozhodovanie existujúce mechanizmy - napr. pre oblasť eGov / verejná správa to môže byť rozhodnutie Rady vlády pre informatizáciu verejnej správy.

  • V štúdii sa opakovane uvádza, že odhadované škody z bezpečnostných incidentov dosahujú výšku “0,8% HDP ročne”. Z kontextu pritom vyplýva, že ide o incidenty týkajúce sa celej spoločnosti, nielen verejnej správy. Žiadame upresniť, akým spôsobom bol tento odhad vykonaný a podložiť ho reálne meranými parametrami. Žiadame v štúdii uviesť vždy odhady aj pre incidenty, škody atď. aj špecificky iba pre oblasť verejnej správy, keďže absolútna väčšina činností jednotiek CSIRT projekom pokrývaných je zameraná na verejnú správu (výnimkou je jednotka CSIRT SIS, pri ktorej zameranie činnosti, resp. pomer činností voči VS a iným sektorom, nie je známe).

  • “V štúdii sa uvádza, že ““v súčasnosti je odhalených 5% incidentov”” a cieľ, ktorý má byť projektom dosiahnutý je 20% odhalených incidentov. Žiadame upresniť ako tento odnad bol určený a rozdeliť ho na odhad pre verejnú správu a celú spoločnosť. Zároveň pripomíname, že v NKIVS je uvedený merateľný ukazovateľ ““Percento včas odvrátených bezpečnostných incidentov
    informačných systémoch verejnej správy.”” s východiskovou hodnotou (r.2016) 90% a cieľovou hodnotou 98%. Žiadame tieto odhady zosúladiť.”

  • Kap. Rozsah Konštatovaná je “nízka úroveň kybernetickej bezpečnosti, ktorá doteraz nereagovala na zvyšujúce sa hrozby”. Žiadame konkrétnejšie popísať súčasný stav v oblati KyB pre verejnú správy a tvrdenia odôvodniť.

  • Kap. Rozsah (text su: Aktuálne problémom je aj nedostatočné plnenie legislatívy - nového zákona o kybernetickej bezpečnosti. Tento problém sa vo všeobecnosti týka všetkých OVM a ich príslušných ISVS.) Žiadame v časti týkajúcej sa súčasného stavu konkretizovať, ktoré požiadavky legislatívy nie sú plnené, kým nie sú plnené a uviesť dôvody neplnenia. Žiadame konkrétne popísať, ako navrhovaný projekt tieto nedostatky vyrieši.

  • Kap. Rozsah (text su: Tak isto je potrebné uviesť, že štúdia neobsahuje klasické elementy iných agendových štúdii ako sú ISVS, aplikačné a koncové služby. Dôvodom je, že jednotlivé jednotky CSIRT participujúce na národnom projekte nebudú poskytovať agendové, resp. typické koncové alebo aplikačné služby a ani sa týmto projektom nebude budovať informačný systém verejnej správy. Realizáciou projektu sa zabezpečí hardvérové, softvérové a znalostné dovybavenie jednotlivých jednotiek CSIRT, čo sa prejaví najmä vo zvýšení schopností predchádzať a reagovať na kybernetické bezpečnostné incidenty vo verejnej správe.) Žiadame projekt štandardne orientovať na poskytovanie určitých služieb. Nie je prípustné žiadať projekt (navyše finančne enormne nákladný) na iba “dovybavenie” bez toho, aby bolo jasné aké služby sú poskytované. Preto žiadame, aby činnosti poskytované jednotkami CSIRT boli štandardizovane popísané ako služby (nie nevyhnutne služby IS), tieto služby kvantifikovať pre súčasný stav, určiť cieľové hodnoty po realizácii projektu, popísať ktoré služby sú orientované na subjekty verejnej správy a ktoré na celú spoločnosť.

  • Kap. Manažérske zhrnutie Merateľné ukazovatele: Navrhutý projekt má nedostatočne stanovené merateľné ukazovatele. Žiadame všetky merateľné ukazovatele zamerať na výsledok v oblasti bezpečnosti, napr. “úroveň maturity jednotiek CSIRT” takýto ukazovateľ nie je. Žiadame stanoviť súčasné a cieľové hodnoty pre každý ukazovateľ. Odporúčame merateľné ukazovatele úzko previazať s poskytovanými službami, ktoré majú byť realizáciou projektu zabezpečené. Pre merateľný ukazovateľ “Pomer informačných systémov verejnej správy s implementovaným nástrojom na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov” nie je jasné, akým spôsobom vybavenie niekoľkých centrálnych jednotiek CSIRT zabezpečí “implementáciu nástroja” pre množstvo ISVS. Pripomíname, že cieľová hodnota pre tento ukazovateľ predpísaná NKIVS je 95%. Žiadame popísať príspevok projektu ku každému merateľnému ukazovateľu NKIVS a OPII v oblasti bezpečnosti.

  • Projekt popísaný v predkladanej štúdii má zabezpečiť “nákup HW a SW”. V štúdii sa priamo uvádza, že cieľom projektu nie je vytvoriť žiadne služby. Projekt nepopisuje žiadne zefektívnenie činností verejnej správy, nenadväzuje na reformný zámer a ani žiadne transformačné zámery v tejto oblasti. Takto navrhnutý projekt považujeme za nezlučiteľný s cieľmi NKIVS a OPII. Aj v doterajšej praxi predkladania štúdií uskutočniteľnosti nebolo prípustné realizovať projekt iba na “nákup HW a SW”.

  • 2.2.2.2. Architektúra informačných systémov - Model CMM: "Model CMM je obvykle zameraný na procesy a ich riadenie. Ak už je do modelu CMM zanesený údaj o ““vybavení HW a SW””, žiadame, aby v tabuľke vyhodnotenia úrovne CMM pre jednotlivé pracoviská jednotiek CSIRT bolo uvedené aj nasledovné:

    • konkrétne KPI požadované pre dané pracovisko (mierou spĺňania KPI sú definované úrovne CMM)
    • samostatné vyhodnotenie úrovne CMM pre oblasť riadenia procesov a pre oblasť vybavenia HW a SW
    • samostatne zahrnúť do vyhodnotenia úroveň komunikačných zručností pre jednotlivé pracoviská/funkcie, keďže práve zabezpečovanie komunikácie je najdôležitejším procesom v pôsobnosti CSIRT (pritom nákup HW a SW nezabezpečí v tejto oblasti prakticky žiadne zlepšenie)"
  • Ak cieľom projektu je dosiahnutie určitej novej kvalitatívnej úrovne služieb poskytovaných jednotkami CSIRT, v štúdii chýba časť zámeru na rozvoj / dobudovanie v ostatných oblastiach okrem HW a SW. Štúdia má komplexne pokrývať celú riešenú oblasť, žiadame doplniť ostatné oblasti, napr. personálne, organizačné zabezpečenie jednotiek CSIRT, realizáciu zlepšovania procesov atď.

  • 2.2.2.2. Architektúra informačných systémov: V rámci popisu súčasného stavu žiadame doplniť celkový pohľad na jednotky CSIRT, najmä ich súčasné personálne a organizačné zabezpečenie, doterajší rozpočet a najmä doteraz realizované aktivity a s akými výsledkami.

  • 2.2.2.2. Architektúra informačných systémov - Vyhodnoteie sú: Podľa verejne prezentovaných správ NBÚ SR sú schopnosti príslušného SK-CERT vysoké, a to aj v mediznárodnom porovaní. Viď. napr. http://www.nbusr.sk/2018/01/26/tim-narodneho-bezpecnostneho-uradu-skoncil-prvy-na-medzinarodnom-kybernetickom-cviceni/index.html , https://ncsi.ega.ee/ncsi-index/ a podobne. Tieto informácie sú protichodné k nízkym hodnoteniam podľa CMM modelu, ktoré je v štúdii uvedené pre súčasný stav. Žiadame zosúladiť.

  • Alternatíva A - ponechanie súčasného stavu (text su: Počet kybernetických útokov, ich sofistikovanosť a riziko značných škôd narastá. Je pravdepodobné, že o množstve útokov a bezpečnostných incidentov sa vôbec nedozvieme a tiež, že niektoré systémy sú dlhodobo kompromitované bez akejkoľvek detekcie a nápravy havarijného stavu.) “Povinnosti úradov v oblasti bezpečnosti, kam patrí aj zvládanie a prevencia incidentov, sú dlhodobo určené a stabilné. Preto je možné dobre vyhodnotiť trend v tejto oblasti za toto obdobie - minimálne posledných 10 rokov. Ak sa pomocou tejto štúdie má rozhodovať o intenzite nových investícií do oblasti riadenia incidentov, žiadame, aby bolo uplynulé obdobie podrobne vyhodnotené, na podklade konkrétnych vyčíslených parametrov, minimálne počet skutočne identifikovaných incidentov, kvalifikácia ich závažnosti, vyčíslenie dopadov, kvantifikácia doteraz reálne poskytovaných služieb zo strany jednotiek CSIRT.
    Ak sú uvádzané informácie o dlhodobo kompromitovaných IS bez detekcie v prostredí verejnej správy, žiadame konkretizovať na základe akých podkladov sú tieto odhady vykonané a kvantifikovať uvedené parametre ““množstvo”” a ““niektoré””, najmä z pohľadu kritickosti zasiahnutých aktív. Ak je táto situácia reálna, implikuje to porušovanie povinností orgánov verejnej správy pri prevádzke ISVS - žiadame podrobnejšie analyzovať príčiny tohto porušovania povinností a komplexnejšie popísať možné riešenia, nielen z pohľadu externých jednotiek CSIRT.”

  • Alternatíva A - ponechanie súčasného stavu: Na základe podrobne identifikovaného súčasného stavu (viď. predchádzajúca pripomienka) žiadame v tejto alternatíve vyhodnotiť pokračovanie poskytovania služieb jednotkami CSIRT v prípade ich činnosti “ako doteraz”, čo zahŕňa aj ich postupný rozvoj v rámci možností mimo tohto projektu OPII.

  • Alternatíva B (text su: Jednotlivé funkcie pracovísk boli vybrané dvojkrokovo na základe požiadaviek jednotlivých partnerov a následne posúdením expertami s oprávnením na prístup k utajovaným skutočnostiam. Rozloženie jednotlivých funkcií predstavuje minimálny variant naplnenia všetkých požiadaviek na národný systém.) Štúdia má zhodnotiť nielen “požiadavky partnerov” (čo sú 4 konkrétne organizácie), ale potreby celej verejnej správy v oblasti zvládania a prevencie incidentov. Žiadame analyzovať skutočné potreby v tejto oblasti, t.j. potreby na vykonávané služby, nie požiadavky na nákup HW a SW. Napr. je možné analyzovať počet a zložitosť penetračných testovaní za určité časové obdobie - a rovnako pre všetky ďalšie služby. Takáto analýza je potrebná najmä v sitácii, ak konkrétne vybavenie jednotiek CSIRT je predmetom utajovaných skutočností.

  • Alternatívy Žiadame analyzovať možnosti zabezpečenia jednotlivých služieb, ktoré majú byť poskytované jednotkami CSIRT, komerčne poskytovanými službami. Takéto služby sú reálne poskytované v SR pre všetky funkcie, ktoré majú byť zabezpečované jednotkami CSIRT s výnimkou certifikácie.

  • Žiadame porovnať služby, ktoré majú byť poskytované jednotkami CSIRT v SR so zabezpečením týchto služieb v iných štátoch, špeciálne v ČR. Porovnanie je potrebné vykonať z pohľadu rozsahu poskytovaných služieb, miere vyspelosti podľa modelu CMM pre jednotlivé služby a taktiež z hľadiska nákladov investovaných do jednotiek CSIRT.

  • Žiadame porovnať služby poskytované jednotkami CSIRT s obdobnými komerčne poskytovanými službami a to tak z hľadiska vyspelosti služieb ako aj nákladov na tieto služby. Takáto analýza je potrebná o to viac, že podľa štúdie majú jednotky CSIRT poskytovať niektoré služby aj pre súkromnú sféru. Je vôbec v súkromnej sfére požiadavka po týchto službách? Sú služby jednotiek CSIRT konkurencieschopné?

  • Žiadame analyzovať, ktoré funkcie jednotiek CSIRT je možné zabezpečovať v spolupráci so zahraničnými partnerskými organizáciami, čo umožní nižšiu technologickú vyspelosť, a teda nákladovo efektívnejšie riešenie v SR.

  • Žiadame podrobne zdôvodniť, prečo majú funkcie zabezpečované jednotkami CSIRT byť vykonávané a poskytované duplicitne. Ide najmä o funkcie v oblastiach Penetračné testovanie, Forenzná analýza, Analýza škodlivého kódu, Vývoj a testovanie, Dátová analýza a ich duplicitné poskytovanie zo strany CSIRT.SK, SK-CERT a GOV CERT SK. Rozumieme, že jednotka CSIRT SIS vykonáva činnosti s podstatne iným zameraním, ktoré nie je možné jednoducho porovnávať s inou jednotkou CSIRT, čo iba ďalej potvrdzuje nevhodnosť zaradenia jednotky CSIRT SIS do tohto projektu.
    Špecificky žiadame do vyhodnotenia zaradiť alternatívu, v ktorej sú funkcie v oblastiach Penetračné testovanie, Forenzná analýza, Analýza škodlivého kódu, Vývoj a testovanie a Dátová analýza poskytované pre verejnú správu iba jednou jednotkou CSIRT."

  • 2.4.2.4 Implementácia a migrácia Podľa navrhnutého harmonogramu dôjde k nasadeniu nového HW a SW až v čase 24 mesiacov po schválení projektu. Tento údaje je v ostrom kontraste s deklarovanou urgentnou potrebou na zlepšenie súčasného stavu poskytovania služieb jednotkami CSIRT. Žiadame tieto parametre zosúladiť.

  • 2.4.3 Prevádzka (text su: Prevádzkové a bezpečnostné dopady na budúci stav riešenia sú determinované predovšetkým súčasnou vyspelosťou jednotiek CSIRT zapojených
    do národného systému riadenia incidentov kybernetickej bezpečnosti vo VS.
    Predpokladá sa, že prevažnú väčšinu prevádzkových požiadaviek budú jednotky CSIRT zapojené do národného systému schopné pokryť vlastným
    personálnym vybavením.
    Vzhľadom na množstvo špecifického hardvérového a softvérového vybavenia jednotlivých pracovísk jednotiek CSIRT však možno s určitosťou
    predpokladať, že bude nutné počítať i s externou hardvérovou a softvérovou podporou, ktorú bude potrebné zmluvne upraviť.) Žiadame konkrétne uviesť prevádzkové náklady pre jednotlivé funkcie jednotiek CSIRT, vrátane potrebného personálneho obsadenia týchto jednotiek.

  • 2.4.4 Ekonomická analýza V oblasti úžitkovej hodnoty žiadame vyčísliť konkrétne prínosy jednotlivých funkcií jednotlivých jednotiek CSIRT.

  • CBA Žiadame rozdeliť výpočet pridanej hodnoty na prínosy pre verejnú správu a prínosy pre celú spoločnosť. Adekvátne pri predpokladaných cenách škôd, početnosti incidentov atď. vychádzať z údajov relevantných pre VS a pre celú ekonomiku samostatne.

  • CBA V rámci CBA žiadame vyhodnotiť možné prínosy versus investície pre naplnení jednotlivých úrovní vyspelosti v nižšom stupni. Tento prístup zodpovedá “podpornej argumentácii” uvedenej na poslednej karte CBA a je to správna metóda pre nájdenie optimálnej investície. Takéto vyhodnotenie je dôležité aj z dôvodu neobvykle vysokej požadovanej investície do vybavenia jednotiek CSIRT.

  • CBA - Faktory: Žiadame pre parametre určené expertným odhadom EY konkrétne popísať spôsob ich vyčíslenia, keďže sú kľúčové pre počítanie predpokladaných prínosov a v niektorých prípadoch sa javia ako iba slabo korelujúce s realitou. Ide najmä o parametre “Podieľ škôd, ktorým CSIRT zabráni…” a “Odhad detekcie incidentov…”

  • CBA - Faktory: Žiadame odhady škôd založiť na relevantnejšom modeli než pomer HDP a štátneho rozpočtu.

  • CBA Žiadame v kalkuláciách vychádzať aj z doteraz realizovaných investícií do jednotiek CSIRT v porovnaní s ich doteraz poskytovanou hodnotou služieb.

  • Keďže už aj na úrovni štúdie uskutočniteľnosti nie je uvádzané množstvo štandardne požadovaných detailov (kvôli ich utajeniu), predpokladáme, že rovnaká situácia bude aj počas realizácie projektu. Preto žiadame do štúdie doplniť konkrétne záväzky, ktoré informácie o stave realizácie projektu budú počas jeho životného cyklu verejne dostupné. Špecificky žiadame, aby boli dostupné detailnejšie informácie o výkone služieb poskytovaných jednotkami CSIRT, a to tak v kvantitatívnych aj kvalitatívnych ukazovateľoch, keďže tieto sú kľúčové pre určenie pridanej hodnoty ktorá má byť dosiahnutá týmto projektom. V súčasnosti poskytované informácie najmä prostredníctvom výročnej správy CSIRT.SR sú zásadne nedostatočné.


#5

11.7. bolo k tejto štúdii verejné prerokovanie. Diskutovali iba PPP, MFSR a ja. Zásadnejšie pripomienky sme písomne dali iba my. (Ale PPP sa ešte chcelo vyjadriť, tak som zvedavý.) V podstate k našim pripomienkam som sa nedozvedel uveriteľné odpovede.

Špeciálne ako problematické vidím:

  • štúdia nehovorí aké konkrétne služby v akých kapacitách (počtoch) príslušné jednotky CSIRT majú dnes, budú mať po realizovaní projektu, aké sú potrebné, pre koho - odpoveď bola, že sa to nedá určiť, lebo nevieme koľko bude incidentov a aj keď sa dá, tak je to tajné “lebo nepriateľ by vedel na čo sa má pripraviť” - táák určitéé … sme stratení, nepriateľ už vie koľko máme stíhačiek!
  • budujú sa duplicitné kapacity - v niektorých prípadoch až 4 “pracoviská”, ktoré budú vykonávať podobnú činnosť - vysvetlené to bolo tak, že každý CSIRT bude pracovať “na svojom úseku”, čiže v rámci toho čo príslušný úrad má na starosti - no veď dobre, ale prečo nie je efektívnejšie, aby napr. CSIRT na ÚPVII poskytoval služby aj pre Nases (jedna partia, menej potrebného HW a SW) som sa nedozvedel, najmä ak CSIRT na ÚPVII má pokryť celú verejnú správu
  • keď už sa nesmie povedať (ani rámcovo) aký HW a SW sa ide nakúpiť, tak nech sa aspoň vyhodnotí úroveň pokrytia služieb voči nákladom po jednotlivých úrovniach modelu CMM - v CBA projektu je k tomu dokonca “ilustračný” graf, ale prečo sa to nedá spraviť naozaj som sa nedozvedel
  • nemáme zatiaľ celkový plán, ako sa oblasť bezpečnosti (kybernetickej? informačnej?) má pokryť - chýba napr. dokument strategickej priority KyB NKIVS - odpoveď, že veď existuje draft dokumentu a to stačí je ozaj na smiech
  • úplne chýba porovnanie s niekým iným, napr. s ČR, s komerčnými službami atď.
  • efektívnosť projektu na strane prínosov je postavená na veeeľmi čudných expertných odhadoch, aj tak v projekte vyšlo že návratnosť je po 5 rokoch, čo je dosť na hranici, keďže v štúdii sa píše, že všetok HW a SW sa musí obnoviť po 7 rokoch

Diskusia celkovo bola štýlom veľa slov, málo odpovedí.
Tipujem že zadanie pre E&Y bolo také, že dostali k nahliadnutiu (utajený) zoznam HW a SW ktorý “treba nakúpiť” a zadanie, nech napíšu štúdiu ktorá odôvodní prečo ho ozaj treba.
Toto je jedna z najhorších OPII štúdií aké som videl, dosť hanba pre ÚPVII.

Čo ma z diskusie zaujalo:

  • CSIRT ÚPVII má poskytovať služby pre celú verejnú správu (avšak pozor, Nases si to musí robiť sám), ale nikto nevie, či kapacity vybudované týmto projektom budú na to dostatočné, čiže sa očakáva, že úrady sa môžu prihlásiť že chcú služby od ÚPVII a oni potom posúdia “či treba niečo dokúpiť” :exploding_head:
  • toto je len “prvá vlna” budovania jednotiek CSIRT, následne sa môžu hlásiť ďalšie organizácie, ktoré takéto jednotky budú potrebovať, najmä ak to bude pre príslušný “sektor” mimo verejnej správy (či sa môžu hlásiť aj organizácie že potrebujú preplatiť riadenie incidentov pre seba/verejnú správu mi nie je jasné)
  • MOSR si určite svoju jednotku/jednotky CSIRT buduje, ale “budú na to mať samostatný projekt lebo ešte neboli pripravení” (pozdravujem vojenské spravodajstvo)

#6

Hodnotenie projektu našou obľúbenou metodikou: Red Flags: Riadenie incidentov kybernetickej bezpečnosti (jednotky CSIRT)