Red Flags: Budovanie kapacít a zvýšenia spôsobilosti pracoviska bezpečnostných operácii SOC NCZI

Red Flags Projekty
,
1

Názov: Budovanie kapacít a zvýšenia spôsobilosti pracoviska bezpečnostných operácii SOC NCZI

Garant: Národné centrum zdravotníckych informácií

Stručný opis: Projekt budovania kapacít a zvýšenia spôsobilosti pracoviska bezpečnostných operácii SOC NCZI je zameraný na dobudovanie infraštruktúry, posilnenie kybernetickej bezpečnosti NZIS a vybraných IS subjektov v zriaďovateľskej pôsobnosti MZ SR, zlepšenie procesov, komunikácie, zberu dát, analýzy, predchádzanie incidentom, zrýchlenie riešenia kybernetických bezpečnostných incidentov, zvýšenie personálnej a znalostnej spôsobilosti pracoviska SOC a zabezpečenie primeraných pracovných podmienok pracoviska SOC.

Náklady na projekt: 7 200 000 Eur (Prevádzkové náklady 500 000 Eur/rok)

Aktuálny stav projektu: Príprava projektu

Čo sa práve deje:

- 28.11.2023 Projekt je hodnotený na MIRRI SR

Zhrnutie hodnotenia Red Flags: Projekt nie je naviazaný na optimalizáciu procesov pracoviska SOC NCZI, nie je presne popísané aké sú výsledky projektu 1. etapy a ako je zabezpečené, že nedochádza k duplicite aktivít ale skutočne k zvyšovaniu kompetencií pracoviska SOC pri realizácii projektu 2. etapy). Pre oblasť kybernetickej bezpečnosti v NCZI a rezorte ministerstva zdravotníctva stále nie je schválený strategický dokument. Slabo je analyzované vyčíslenie prínosov a nákladov , kalkulácia prínosov je založená na verejne neoveriteľných odhadoch vstupných parametrov. Pri použití zmysluplnejších hodnôt parametrov môže vychádzať projekt ako stratový. Zásadné pripomienky, ktoré sme k projektu dávali, boli zväčša iba “vysvetlené” a neviedli k zlepšeniu kvality štúdie.

Stanovisko Slovensko.Digital: Projekt má všetky “choroby” projektu, ktorý rieši problematiku bezpečnosti a CSIRT. Realizátor projektu neuviedol podstatné skutočnosti a informácie, potrebné na posúdenie kvality projektu a prehlásil, že sú “utajené”. Koncepčné dokumenty platné pre celý rezort nie sú stále schválené napriek tomu, že projekt je v skutočnosti 2.etapou. a projekt 1. etapy sa už ukončuje. Schovávanie sa za “utajené” dokumenty a skutočnosti pri odôvodňovaní absencie konkrétnych údajov, hodnôt a faktov v projektovej dokumentácii je silným rizikom projektu.

Nakoľko NBÚ odmietlo zabezpečovať služby CSIRT pre rezort ministertva zdravotníctva, je realizácia projektu potrebná.

Pred schválením projektu je ale potrebné najprv schváliť koncepčné dokumenty pre oblasť bezpečnosti rezortu ministerstva zdravotníctva a potom dopracovať projektovú dokumentáciu, t.j.:
- dopracovať a zosúladiť znenie projektových dokumentov so schváleným znením rezortných koncepcií pre oblasť bezpečnosti.
- aby boli jednoznačne definované a odlíšené merateľné ukazovateľe preukazujúce prínosy tohto projektu 2. etapy a merateľné ukazovatele a prínosy projektu 1. etapy. ktorými sa bude počas prevádzky preukazovať finančná efektivita projektu.

:triangular_flag_on_post: HODNOTENIE RED FLAGS

I. Prípravná fáza

Reforma VS :star::grey_star::grey_star::grey_star:

Strategické dokumenty rezortu MZ SR a NCZI pre oblasť IT bezpečnosti nie sú ministerstvom zdravotníctva schválené. Napriek tomu je realizovaný tento projekt, ktorý je pokračovaním (2.etapou) projektu “NCZI CSIRT 1. Etapa” za 3 mil. Eur, ktorý je v súčasnosti v realizačnej fáze. Projekt má zabezpečiť hlavne financovanie ďalšieho odborného personálu pracoviska bezpečnostných operácii SOC v počte 6 zamestnancov a dovybavenie pracoviska SOC v cene ďalších 7,2 mil. Eur. Obidva bezpečnostné projekty v celkovej cene cca 10 mil Eur sú realizované bez schváleného rámca/koncepcie ministerstvom zdravotníctva. NCZI nevie ovplyvniť stratégiu MZ SR, pričom Stratégia NCZI 2030 je momentálne na MZ SR v schvalovacom konaní a nie je verejná.
V projekte je detailne popísaná požadovaná architektúra a funkcionalita jednotlivých bezpečnostných modulov.

Merateľné ciele (KPI) :grey_star::grey_star::grey_star::grey_star:

Screenshot1
Screenshot11194×870 131 KB

Screenshot2
Screenshot21194×610 34 KB

Merateľné ukazovatele sú nesprávne definované, lebo nie je možné overiť v projekte definované ciele a mieru zvýšenia efektívnosti pracoviska SOC po dokončení projektu. Chýbajú merateľné ukazovatele minimálne pre:
⁃ Zrýchlenie detekcie a reakcie na hrozby
⁃ Rozšírenie analýz hrozieb
⁃ Integrácie
⁃ Zvýšenie rýchlosti identifikovania hrozby
⁃ Zvýšenie rýchlosti reakcie na hrozby
⁃ Zníženie manuálnych úkonov
⁃ Zlepšenie zdieľalania informácií o hrozbách a koordinácie reakcií na incidenty
⁃ Počty forenzných analýz za rok
⁃ Počty detekovaných anomálií za rok
⁃ Kvalitatívne prínosy, t.j. zníženie počtu DDoS za rok
⁃ Skrátenie času včasného varovania

Postup dosiahnutia cieľov :star::star::star::grey_star:

Screenshot3
Screenshot31254×686 100 KB

Projekt bude realizovaný metódou waterfall.

Súlad s KRIS (nie je zatiaľ vyhodnotený)

Biznis prínos :grey_star::grey_star::grey_star::grey_star:

Projekt priamo nadväzuje na 1. etapu projektu “NCZI CSIRT 1. Etapa”. Tým, že nie sú schválené koncepčné rezortné dokumenty pre oblasť bezpečnosti, nie sú popísané činnosti pre jednotlivých nových 6 zamestnancov na pracovisku SOC NCZI. Štúdia neobsahuje popis služieb, ktoré je v riešenej oblasti potrebné vykonávať, ani ich potrebné kapacity. Toto považujeme za zásadný nedostatok. Aj v oblasti bezpečnosti sa dá verejne diskutovať o potrebných výkonoch a ich kapacitách. Realiztor projektu uvádza zoznam programov a ich High-Level funkcionalitu a počet nových zamestnancov. Toto považujeme za veľmi vysoké riziko, lebo vôbec nie je isté že realizáciou projektu sa skutočne dosiahnu požadované ciele a zvyšenie spôsobilosti činností pracoviska.

Príspevok v informatizácii :star::grey_star::grey_star::grey_star:

Projekt zvýši o 6 požet zamestnancov - špecialistov, ktorí sa budú venovať bezpečnosti v rezorte ministerstva zdravotníctva. Skutočný prínos nie je možné na základe dokumentácie prípravnej fazy projektu posúdiť, lebo projekt rieši iba dodávku špecializovaného proprietárneho HW a SW a kritéria na jeho customizáciu, pre pracovisko SOC, chýbajú.

Štúdia uskutočniteľnosti :star::grey_star::grey_star::grey_star:

Dokumentácia je vypracovaná v stanovenej forme a rozsahu. Neobsahuje však podstatné údaje, ktoré realizátor projektu vraj nezverejňuje kvôli “Utajeniu” a “bezpečnosti”, ale odvolávaním sa na to, že informácie budú získané až počas analýzy indikujú, že problematiku organizácie samotného bezpečnostného pracoviska SOC a činnosti jeho zamestnancov nemá realizátor projektu zmapovanú a navrhnutú.

Alternatívy :star::star::star::star:

V rámci multikriteriálnej analýzy nebola zaradená ďalšia alternatíva, a to využitie existujúcich CSIRT jednotiek, ktoré tieto služby poskytujú. Realizátor projektu disponuje odporúčaním NBÚ zo dňa 17.3.2020, kde NBÚ pred spustením Budovania dohľadového centra v NCZI 1 etapa poskytli stanovisko, že SK-CERT (NKCB) popdporuje vznik špecializovaného pracoviska kybernetickej bezpečnosti v pôsobnosti MZ SR a odporúča zriadiť pracovisko v NCZI s priamou starostlivosťou o systémy v správe NCZI a tiež o systémy a siete všetkých zdravotníckych pracovísk v zriaďovateľskej pôsobnosti MZ SR. V takom prípade je multikriteriálna analýza v poriadku.

Kalkulácia efektívnosti :star::grey_star::grey_star::grey_star:

Odhady finančných úspor projektu sú neoveriteľné. V projektovej dokumentácie sú definované konkrétne hodnoty pre ktoré zdroje nie sú zverejnené, a tiež tieto položky na preukázanie finančnej efektívnosti nie sú zahrnuté v merateľných ukazovateľoch projektu a preto nebudú pravidelne vyhodnocované pri kontrole projektu. Sú to hodnoty potrebné na výpočet najmä: “Zamedzenia výpadku eSlužieb eZdravia z dôvodu doplnenia HW infraštruktúry”, “Zníženia pravdepodobnosti DDoS“, Zamedzenia výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útok a Zabránenie rizika narušenia údajov implementáciou EDR.

Participácia na príprave projektu :star::grey_star::grey_star::grey_star:

Dokumenty prípravnej fázy projektu bolo možné pripomienkovať a boli verejne prerokované. Boli zapracované niektoré zmeny na základe pripomienok Kľúčové pripomienky, ktoré boli prerokované s realizátorom projektu (napr. doplnenie merateľných ukazovateľov) boli ignorované. Úspech projektu za 7 mil. Eur je založený na viere, že realizátor projektu a budúci dodávateľ to nejako zvládnu.

Diskusie k projektu na platforme:

  • N/A

:file_folder: Dokumenty

Dokumenty v MetaIS

Dokumenty fázy Príprava projektu predložené do VPK:
- 20231114_rf_budovanie_kapacit_soc_nczi_vpk_vyzva.pdf (91.6 KB)
- PROJEKTOVÝ ZÁMER_SOC_v0.7.docx (1.9 MB)
- P_04_a_I_03_Prístup k Projektu_SOC 0.2.docx (388.3 KB)
- I_02_BC_CBA_PRILOHA_SOC_v6 .xlsx (739.3 KB)

Prerokovanie pripomienok SD predložených do VPK:
- 20231123_Zaznam_z_pracovneho_stretnut ia_SOC_NCZI_VPK_23112023.docx (588.9 KB)
_-20231128_Zapracovanie_pripomienok_SD_z VPK.xlsx (17.1 KB) _

Aktualizované dokumenty po zapracovaní pripomienok z VPK:
- Priloha_1_1_P_01_a_I_01_PROJEKTOVY_ZAMER_SOC_NCZI_10112023_v0.8.pdf (1.5 MB)
- Priloha_1_2_P_03_a_I_03_PRISTUP_k_PROJEKTU_SOC_NCZI_15102023_v_0.4.pdf (974.5 KB)
- Priloha_1_3_I_02_BC_CBA_PRILOHA_SOC_NCZI_10112023_v0.7.xlsx (740.5 KB)
_- _

:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

- 14.11.2023 Ukončenie VPK
- 23.11.2023 Prerokovanie pripomienkok Slovensko Digital
- 28.11.2023 Schvaľovanie projektu na MIRRI SR