Red Flags: Bezpečnostné, monitorovacie a certifikačné centrum - projekt PFA

Názov: Bezpečnostné, monitorovacie a certifikačné centrum - projekt PFA

Garant: Ministerstvo vnútra Slovenskej republiky

Stručný opis: Cieľom projektu je vybavenie pracovísk Kriminalisticko-expertízneho ústavu, Odboru počítačovej kriminality a Odboru kybernetickej bezpečnosti MV SR novými HW a SW technológiami, čím sa majú zlepšiť ich kapacity súvisiace s vyšetrovaním trestnej činnosti (služby preventívnej a forenznej bezpečnosti, poskytované najmä pre OČTK, SIS a EUROPOL) a schopnosť MV SR odolávať bezpečnostným incidentom a zvládať ich.

Náklady na projekt: 8,4M Eur (investície) + 1,7M Eur (prevádzka 10 rokov) s DPH

Aktuálny stav projektu: Príprava projektu

Čo sa práve deje:

  • Príprava projektu

Zhrnutie hodnotenia Red Flags: Projekt je v súlade s koncepčnými dokumentami pre oblasť bezpečnosti. Avšak v projekte nie je zmapovaný aktuálny stav všetkých služieb preventívnej a forenznej bezpečnost, ktoré sú riešené, nie je definovaný potrebný cieľový stav jednotlivých služieb. Nie je riešená optimalizácia činnosti jednotlivých pracovísk. Nedostatočne stanovenými merateľnými ukazovateľmi nie je možné dobre hodnotiť úspešnosť a efektívnosť projektu. MV SR neporovnalo viaceré alternatívy ako realizovať projekt. Keďže podstatná časť projektovej dokumentácie je utajená, nie je možné projekt relevantne vyhodnotiť.

Stanovisko Slovensko.Digital: Ide o ďalší projekt kybernetickej bezpečnosti, ktorý je z podstatnej časti utajený a pripravený spôsobom “stav je zlý, musíme spraviť presne toto, verte nám”, bez reálnej analýzy v predmetnej oblasti, popísania súčasného a cieľového stavu a zváženia možných riešení. Takéto projekty by nemali byť schvaľované.
Aj napriek reálnej potrebe chrániť informácie o konkrétnych HW a SW riešeniach súvisiacich s vyšetrovaním, vzhľadom na systémovo až kriminálne neefektívne nákupy v tejto oblasti je potrebný mimoriadny dohľad.

:triangular_flag_on_post: HODNOTENIE RED FLAGS

I. Prípravná fáza


Reforma VS :star::grey_star::grey_star::grey_star:

Nie je jmožné posúdiť, či realizáciou projektu skutočne dôjde k potrebnému zlepšeniu súčasného stavu na MV SR. V projekte sú uvedené iba aktuálne údaje zo štatistiky policajného zboru, ale nie je uvedené aké sú aktuálne počty ďalších služieb a chýbajú najmä potrebné cieľové počty jednotlivých poskytovaných služieb a či tieto potrebné počty budú dosiahnuté po realizácii projektu. Jediný údaj požadovaného cieľového stavu je predpokladaná úspora času vyšetrovania o 17% za rok, ale nie je uvedený aktuálny údaj súčasného celkového pracovného času spotrebovaného na vyšetrovania za rok.


Merateľné ciele (KPI) :star::grey_star::grey_star::grey_star:

Merateľné ukazovatele sú aj po doplnení v rámci VPK nedostatočné, lebo z nich stále nie je možné sledovať, že realizáciou projektu sa skutočne zrýchlili napr. procesy odhaľovania páchateľov kybernetických zločinov a tiež či skutočne dochádza k skutočným finančným usporám, ktoré sú definované v BC/CBA.

V merateľných ukazovateľoch chýba najmä definícia počtov cieľových stavov. Chýbajú KPI kde je uvedená aktuálna hodnota KPI a aj cieľová hodnota KPI.

Chýbajú správne definované merateľné ukazovatele pre jednotlivé služby napr.: počet vykonaných analýz hrozieb za rok, počet vyhodnocovaní bezpečnostne relevantných informácií a hrozieb za rok (taktických, operačných a strategických), počet forenzných analýz za rok, počet analýz malware za rok, skrátenie doby odhaľovania páchateľov kybernetických zločinov, počet odhalených páchateľov kybernetickýc zločinov v skrátenej dobe za rok.


Postup dosiahnutia cieľov :star::star::star::star:

Harmonogram realizácie je realistický. Projekt je realizovaný v utajovanom režime.


Súlad s KRIS (nie je zatiaľ vyhodnotený)

Súlad s KRIT sme zatiaľ nevyhodnotili.


Biznis prínos :star::star::grey_star::grey_star:

Projekt rieši HW a SW vybavenie 6 režimových pracovísk a infraštruktúru pre Kriminalisticko-expertízny ústav, Odbor počítačovej kriminality PPZ a Odbor kybernetickej bezpečnosti MV SR

V projekte však nie sú uvedené, ani analyzované súčasné kapacity, ani potrebné cieľové kapacity, nie je teda možné relevantne posúdiť prínos projektu.


Príspevok v informatizácii :star::star::star::grey_star:

Projekt je v súlade s NKIVS 2021, Národnou stratégiou kybernetickej bezpečnosti Slovenskej republiky na roky 2021 až 2025 a jej Akčným plánom a MV SR je jeden z hlavných zainteresovaných subjektov.

Predmetom projektu je rozšírenie schopností Kriminalisticko-expertízneho ústavu, Odboru počítačovej kriminality PPZ a Odboru kybernetickej bezpečnosti MV SR realizovať služby preventívnej a forenznej bezpečnosti (analýzy hrozieb, forenzné a kriminalistické analýzy, analýzy malware a penetračné testovanie) najmä pre OČTK, SIS a EUROPOL.

HW a SW vybavenie pracovísk má dve časti - verejnú a utajovanú:

  • Verejná časť obsahuje HW a SW vybavenie bežne dostupné na trhu.
  • Utajovaná časť obsahuje špecializované HW a SW nástroje potrebné na forenzné a kriminalistické analýzy, ako aj špecializované nástroje na odhaľovanie a elimináciu kybernetických útokov (napríklad blokátory zápisu, duplikátory diskov, zariadenia na analýzu dát, zariadenia na prelamovanie hesiel, zariadenia na zber dát z IoT, z mobilných zariadení, z dronov, z automobilov, zo Smart zariadení a iné).

Nepochybujeme o reálnych prínosoch po zakúpení zamýšľaného SW a HW, v dokumentácii však absentuje opis súčasného stavu vybavenia pracovísk, nie je teda možné zhodnotiť mieru zlepšenia dosiahnutú pomocou tohto projektu.


Štúdia uskutočniteľnosti :grey_star::grey_star::grey_star::grey_star:

Projekt má vypracované a schválené projektové dokumenty Prípravnej fázy. Celý predmet projektu nie je možné nezávisle posúdiť, lebo časť je utajovaná. Chýba zverejnenie jednoznačných vyjadrení MIRRI SR a ÚHP, že skontrolovali aj utajovanú časť projektu a že vyhovuje kritériám kladeným na IT projekt verejnej správy. Po prerokovaní pripomienok Slovensko Digital, MV SR prehodnotilo rozsah utajovaných skutočností v projekte a zverejnilo bežný SW A HW, ktorý bude v projekte obstarávaný._


Alternatívy :grey_star::grey_star::grey_star::grey_star:

V projekte sú porovnané len dve varianty: Nulový variant a Cieľový variant. Projekt predpokladá, že fyzicky bude vytvorených 6 samostatných režimových pracovísk a každé má mať vlastnú infraštruktúru (technickú aj priestorovú). Nakoľko sa jedná o režimové pracoviská, v projektovej dokumentácii chýba minimálne porovnanie alternatívy, v ktorej budú všetky pracoviská centralizované v jednej lokalite a na jednej infraštruktúre, čím sa môžu ušetriť financie za vytvorenie 6 oddelených fyzických režimových pracovísk v rôznych lokalitách.

MV SR porovnalo s vybraným distribuovaným riešením len alternatívu “Nulového variantu”, čo je nedostatočné a nie je zdôvodnená výhodnosť distribuovaného riešenia pred centralizovaným riešením.


Kalkulácia efektívnosti :star::star::grey_star::grey_star:

V CBA sú uvedené uveriteľné prínosy projektu - najmä skrátenie času pri vyšetrovaní a redukcia využívania externých znaleckých organizácií.
Ceny zverejneného bežného HW a SW v BC/CBA sú primerané. Utajovanú časť špecializovaného HW a SW nie je možné nezávisle posúdiť. Riziko predraženia projektu je práve v utajovanej časti HW a SW. MV SR nezverejnilo verejné vyjadrenie ÚHP - nezávislej autority, ktorá má oprávnenie posúdiť aj utajované časti projektu, že projekt nie je predražený.


Participácia na príprave projektu :star::star::grey_star::grey_star:

Dokumenty Prípravnej fázy boli zverejnené pred schválením a bolo umožnené verejné pripomienkové konanie. Po prerokovaní bola časť pripomienok zapracovaná. Podstatná časť dokumentácie je však utajená, t.j. nie je možné relevantne projekt pripomienkovať a posúdiť.


:file_folder: Dokumenty

Online dokumentácia: MetaIS

Dokumenty projektu:

Prerokovanie pripomienok Slovensko Digital_


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

  • august 2023 Verejné pripomienkové konanie
  • 22.9.2023 Schválenie projektu OP SK