Názov: Bezpečnostné, monitorovacie a certifikačné centrum - projekt PFA
Garant: Ministerstvo vnútra Slovenskej republiky
Stručný opis: Cieľom projektu je vybavenie pracovísk Kriminalisticko-expertízneho ústavu, Odboru počítačovej kriminality a Odboru kybernetickej bezpečnosti MV SR novými HW a SW technológiami, čím sa majú zlepšiť ich kapacity súvisiace s vyšetrovaním trestnej činnosti (služby preventívnej a forenznej bezpečnosti, poskytované najmä pre OČTK, SIS a EUROPOL) a schopnosť MV SR odolávať bezpečnostným incidentom a zvládať ich.
Náklady na projekt: 8,4M Eur (investície) + 1,7M Eur (prevádzka 10 rokov) s DPH
Aktuálny stav projektu: Príprava projektu
Čo sa práve deje:
- Príprava projektu
Zhrnutie hodnotenia Red Flags: Projekt je v súlade s koncepčnými dokumentami pre oblasť bezpečnosti. Avšak v projekte nie je zmapovaný aktuálny stav všetkých služieb preventívnej a forenznej bezpečnost, ktoré sú riešené, nie je definovaný potrebný cieľový stav jednotlivých služieb. Nie je riešená optimalizácia činnosti jednotlivých pracovísk. Nedostatočne stanovenými merateľnými ukazovateľmi nie je možné dobre hodnotiť úspešnosť a efektívnosť projektu. MV SR neporovnalo viaceré alternatívy ako realizovať projekt. Keďže podstatná časť projektovej dokumentácie je utajená, nie je možné projekt relevantne vyhodnotiť.
Stanovisko Slovensko.Digital: Ide o ďalší projekt kybernetickej bezpečnosti, ktorý je z podstatnej časti utajený a pripravený spôsobom “stav je zlý, musíme spraviť presne toto, verte nám”, bez reálnej analýzy v predmetnej oblasti, popísania súčasného a cieľového stavu a zváženia možných riešení. Takéto projekty by nemali byť schvaľované.
Aj napriek reálnej potrebe chrániť informácie o konkrétnych HW a SW riešeniach súvisiacich s vyšetrovaním, vzhľadom na systémovo až kriminálne neefektívne nákupy v tejto oblasti je potrebný mimoriadny dohľad.
HODNOTENIE RED FLAGS
I. Prípravná fáza
Reforma VS 
Nie je jmožné posúdiť, či realizáciou projektu skutočne dôjde k potrebnému zlepšeniu súčasného stavu na MV SR. V projekte sú uvedené iba aktuálne údaje zo štatistiky policajného zboru, ale nie je uvedené aké sú aktuálne počty ďalších služieb a chýbajú najmä potrebné cieľové počty jednotlivých poskytovaných služieb a či tieto potrebné počty budú dosiahnuté po realizácii projektu. Jediný údaj požadovaného cieľového stavu je predpokladaná úspora času vyšetrovania o 17% za rok, ale nie je uvedený aktuálny údaj súčasného celkového pracovného času spotrebovaného na vyšetrovania za rok.
Merateľné ciele (KPI)
Merateľné ukazovatele sú aj po doplnení v rámci VPK nedostatočné, lebo z nich stále nie je možné sledovať, že realizáciou projektu sa skutočne zrýchlili napr. procesy odhaľovania páchateľov kybernetických zločinov a tiež či skutočne dochádza k skutočným finančným usporám, ktoré sú definované v BC/CBA.
V merateľných ukazovateľoch chýba najmä definícia počtov cieľových stavov. Chýbajú KPI kde je uvedená aktuálna hodnota KPI a aj cieľová hodnota KPI.
Chýbajú správne definované merateľné ukazovatele pre jednotlivé služby napr.: počet vykonaných analýz hrozieb za rok, počet vyhodnocovaní bezpečnostne relevantných informácií a hrozieb za rok (taktických, operačných a strategických), počet forenzných analýz za rok, počet analýz malware za rok, skrátenie doby odhaľovania páchateľov kybernetických zločinov, počet odhalených páchateľov kybernetickýc zločinov v skrátenej dobe za rok.
Postup dosiahnutia cieľov
Harmonogram realizácie je realistický. Projekt je realizovaný v utajovanom režime.
Súlad s KRIS (nie je zatiaľ vyhodnotený)
Súlad s KRIT sme zatiaľ nevyhodnotili.
Biznis prínos
Projekt rieši HW a SW vybavenie 6 režimových pracovísk a infraštruktúru pre Kriminalisticko-expertízny ústav, Odbor počítačovej kriminality PPZ a Odbor kybernetickej bezpečnosti MV SR
V projekte však nie sú uvedené, ani analyzované súčasné kapacity, ani potrebné cieľové kapacity, nie je teda možné relevantne posúdiť prínos projektu.
Príspevok v informatizácii
Projekt je v súlade s NKIVS 2021, Národnou stratégiou kybernetickej bezpečnosti Slovenskej republiky na roky 2021 až 2025 a jej Akčným plánom a MV SR je jeden z hlavných zainteresovaných subjektov.
Predmetom projektu je rozšírenie schopností Kriminalisticko-expertízneho ústavu, Odboru počítačovej kriminality PPZ a Odboru kybernetickej bezpečnosti MV SR realizovať služby preventívnej a forenznej bezpečnosti (analýzy hrozieb, forenzné a kriminalistické analýzy, analýzy malware a penetračné testovanie) najmä pre OČTK, SIS a EUROPOL.
HW a SW vybavenie pracovísk má dve časti - verejnú a utajovanú:
- Verejná časť obsahuje HW a SW vybavenie bežne dostupné na trhu.
- Utajovaná časť obsahuje špecializované HW a SW nástroje potrebné na forenzné a kriminalistické analýzy, ako aj špecializované nástroje na odhaľovanie a elimináciu kybernetických útokov (napríklad blokátory zápisu, duplikátory diskov, zariadenia na analýzu dát, zariadenia na prelamovanie hesiel, zariadenia na zber dát z IoT, z mobilných zariadení, z dronov, z automobilov, zo Smart zariadení a iné).
Nepochybujeme o reálnych prínosoch po zakúpení zamýšľaného SW a HW, v dokumentácii však absentuje opis súčasného stavu vybavenia pracovísk, nie je teda možné zhodnotiť mieru zlepšenia dosiahnutú pomocou tohto projektu.
Štúdia uskutočniteľnosti
Projekt má vypracované a schválené projektové dokumenty Prípravnej fázy. Celý predmet projektu nie je možné nezávisle posúdiť, lebo časť je utajovaná. Chýba zverejnenie jednoznačných vyjadrení MIRRI SR a ÚHP, že skontrolovali aj utajovanú časť projektu a že vyhovuje kritériám kladeným na IT projekt verejnej správy. Po prerokovaní pripomienok Slovensko Digital, MV SR prehodnotilo rozsah utajovaných skutočností v projekte a zverejnilo bežný SW A HW, ktorý bude v projekte obstarávaný._
Alternatívy
V projekte sú porovnané len dve varianty: Nulový variant a Cieľový variant. Projekt predpokladá, že fyzicky bude vytvorených 6 samostatných režimových pracovísk a každé má mať vlastnú infraštruktúru (technickú aj priestorovú). Nakoľko sa jedná o režimové pracoviská, v projektovej dokumentácii chýba minimálne porovnanie alternatívy, v ktorej budú všetky pracoviská centralizované v jednej lokalite a na jednej infraštruktúre, čím sa môžu ušetriť financie za vytvorenie 6 oddelených fyzických režimových pracovísk v rôznych lokalitách.
MV SR porovnalo s vybraným distribuovaným riešením len alternatívu “Nulového variantu”, čo je nedostatočné a nie je zdôvodnená výhodnosť distribuovaného riešenia pred centralizovaným riešením.
Kalkulácia efektívnosti
V CBA sú uvedené uveriteľné prínosy projektu - najmä skrátenie času pri vyšetrovaní a redukcia využívania externých znaleckých organizácií.
Ceny zverejneného bežného HW a SW v BC/CBA sú primerané. Utajovanú časť špecializovaného HW a SW nie je možné nezávisle posúdiť. Riziko predraženia projektu je práve v utajovanej časti HW a SW. MV SR nezverejnilo verejné vyjadrenie ÚHP - nezávislej autority, ktorá má oprávnenie posúdiť aj utajované časti projektu, že projekt nie je predražený.
Participácia na príprave projektu
Dokumenty Prípravnej fázy boli zverejnené pred schválením a bolo umožnené verejné pripomienkové konanie. Po prerokovaní bola časť pripomienok zapracovaná. Podstatná časť dokumentácie je však utajená, t.j. nie je možné relevantne projekt pripomienkovať a posúdiť.
Dokumenty
Online dokumentácia: MetaIS
Dokumenty projektu:
- P_01_a_I_01_PROJEKTOVY_ZAMER_BMCC_PFA_v5.doc (462 KB)
- I_03_PRISTUP_k_PROJEKTU_BMCC_PFA_v2.pdf (447.3 KB)
I_02_BC_CBA_PRILOHA_Projekt_BMCC_PFA_MVSR_BB_230915_v_1.9.xlsx (718.5 KB) - REGISTER_RIZIK-a-ZAVISLOSTI_BMCC_PFA_Detailný.xlsx (118.6 KB)
- Zamer NP_Bezpecnostne, monitorovacie a certifikacne centrum - projekt PFA_MV SR.DOCX (216.6 KB)
Prerokovanie pripomienok Slovensko Digital_
- 20230912_zapis_zo_stretnutia_mvsr_sd.rtf (308.9 KB)
Aktivity
V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:
- august 2023 Verejné pripomienkové konanie
- 22.9.2023 Schválenie projektu OP SK