11.7. bolo k tejto štúdii verejné prerokovanie. Diskutovali iba PPP, MFSR a ja. Zásadnejšie pripomienky sme písomne dali iba my. (Ale PPP sa ešte chcelo vyjadriť, tak som zvedavý.) V podstate k našim pripomienkam som sa nedozvedel uveriteľné odpovede.
Špeciálne ako problematické vidím:
- štúdia nehovorí aké konkrétne služby v akých kapacitách (počtoch) príslušné jednotky CSIRT majú dnes, budú mať po realizovaní projektu, aké sú potrebné, pre koho - odpoveď bola, že sa to nedá určiť, lebo nevieme koľko bude incidentov a aj keď sa dá, tak je to tajné “lebo nepriateľ by vedel na čo sa má pripraviť” - táák určitéé … sme stratení, nepriateľ už vie koľko máme stíhačiek!
- budujú sa duplicitné kapacity - v niektorých prípadoch až 4 “pracoviská”, ktoré budú vykonávať podobnú činnosť - vysvetlené to bolo tak, že každý CSIRT bude pracovať “na svojom úseku”, čiže v rámci toho čo príslušný úrad má na starosti - no veď dobre, ale prečo nie je efektívnejšie, aby napr. CSIRT na ÚPVII poskytoval služby aj pre Nases (jedna partia, menej potrebného HW a SW) som sa nedozvedel, najmä ak CSIRT na ÚPVII má pokryť celú verejnú správu
- keď už sa nesmie povedať (ani rámcovo) aký HW a SW sa ide nakúpiť, tak nech sa aspoň vyhodnotí úroveň pokrytia služieb voči nákladom po jednotlivých úrovniach modelu CMM - v CBA projektu je k tomu dokonca “ilustračný” graf, ale prečo sa to nedá spraviť naozaj som sa nedozvedel
- nemáme zatiaľ celkový plán, ako sa oblasť bezpečnosti (kybernetickej? informačnej?) má pokryť - chýba napr. dokument strategickej priority KyB NKIVS - odpoveď, že veď existuje draft dokumentu a to stačí je ozaj na smiech
- úplne chýba porovnanie s niekým iným, napr. s ČR, s komerčnými službami atď.
- efektívnosť projektu na strane prínosov je postavená na veeeľmi čudných expertných odhadoch, aj tak v projekte vyšlo že návratnosť je po 5 rokoch, čo je dosť na hranici, keďže v štúdii sa píše, že všetok HW a SW sa musí obnoviť po 7 rokoch
Diskusia celkovo bola štýlom veľa slov, málo odpovedí.
Tipujem že zadanie pre E&Y bolo také, že dostali k nahliadnutiu (utajený) zoznam HW a SW ktorý “treba nakúpiť” a zadanie, nech napíšu štúdiu ktorá odôvodní prečo ho ozaj treba.
Toto je jedna z najhorších OPII štúdií aké som videl, dosť hanba pre ÚPVII.
Čo ma z diskusie zaujalo:
- CSIRT ÚPVII má poskytovať služby pre celú verejnú správu (avšak pozor, Nases si to musí robiť sám), ale nikto nevie, či kapacity vybudované týmto projektom budú na to dostatočné, čiže sa očakáva, že úrady sa môžu prihlásiť že chcú služby od ÚPVII a oni potom posúdia “či treba niečo dokúpiť”
- toto je len “prvá vlna” budovania jednotiek CSIRT, následne sa môžu hlásiť ďalšie organizácie, ktoré takéto jednotky budú potrebovať, najmä ak to bude pre príslušný “sektor” mimo verejnej správy (či sa môžu hlásiť aj organizácie že potrebujú preplatiť riadenie incidentov pre seba/verejnú správu mi nie je jasné)
- MOSR si určite svoju jednotku/jednotky CSIRT buduje, ale “budú na to mať samostatný projekt lebo ešte neboli pripravení” (pozdravujem vojenské spravodajstvo)