Red Flags: Detekcia zraniteľnosti koncových obslužných bodov

Názov: Detekcia zraniteľnosti koncových obslužných bodov

Garant: Národná agentúra pre sieťové a elektronické služby (Nases)

Stručný opis: Vybudovať modul pre detekciu hrozieb a prienikov na strane klienta a ceste mimo infraštruktúry NASES. Aplikovaním daného modulu má byť monitorovaných 300 000 endpointov (používateľov) a automatickou elimináciou bezpečnostných incidentov dôjde k zníženiu času a úsilia na ich proaktívne monitorovanie, vyhodnocovanie a odstraňovanie. Do kódu webstránok sa počas ich prenosu zo servera k používateľovi vloží kód, ktorý má na jeho počítači detekovať možné bezpečnostné problémy, podozrenia na bezpečnostný problém budú evidované, prípadne môže byť aj automatizovane blokovaná ďalšia komunikácia.

Náklady na projekt: 7,0M Eur (investície) + 5,7M Eur (prevádzka počas 10 rokov) s DPH

Aktuálny stav projektu: Obstarávanie

Čo sa práve deje:

  • Príprava obstarávania po schválení projektu

Zhrnutie hodnotenia Red Flags: Pomocou projektu má byť nakúpené a nasadené štandardné, na trhu dostupné infraštruktúrne riešenie. Vo viacerých oblastiach je však dokumentácia projektu slabá a na zásadné otázky neodpovedá. Merateľné ukazovatele a kalkulácia prínosov je vykonaná na základe odhadov zahraničnej štúdie, Nases nepracuje s reálnymi údajmi pre súčasný, ani cieľový stav. S tým aj súvisí iba povrchné zhodnotenie alternatív. Nases nemá doriešené zapojenie iných OVM.

Stanovisko Slovensko.Digital: Pozitívne hodnotíme zameranie na bezpečnosť používateľov webových stránok verejnej správy. Ide však o klasický projekt s “tvrdými” nákladmi a “teoretickými” prínosmi, kde na základe všeobecných a iba odhadovaných údajov sú prezentované mnohomiliónové úspory, ktoré nevieme dnes, a ani v cieľovom stave reálne identifikovať. Oblasti, kde vidíme zásadné nedostatky, je potrebné koncepčne rozpracovať, o to viac ak sa aj vďaka realizácii projektu bude tejto téme venovať dlhodobá pozornosť. Keďže ide o novú tému, bolo by vhodné začať jej riešenie menším pilotným projektom.

:triangular_flag_on_post: HODNOTENIE RED FLAGS

I. Prípravná fáza


Reforma VS :star::star::grey_star::grey_star:

Projekt nie je zasadený do žiadneho rámca zmien procesov verejnej správy. Pritom procesy a služby v oblasti kybernetickej bezpečnosti sa dajú taktiež štandardným spôsobom merať, vyhodnocovať a plánovať. Za pozitívne však považujeme zameranie na používateľa a jeho potreby bezpečnosti.


Merateľné ciele (KPI) :star::grey_star::grey_star::grey_star:

Merateľné ukazovatele podľa Zámeru národného projektu:
image
image

Pri “hlavných” merateľných ukazovateľoch, ktoré sú prebraté z PO7 OPII, opäť vidno, ako sú v oblasti informačnej bezpečnosti stanovené natoľko bezvýznamovo, že prakticky nesvedčia o žiadnom konkrétnom zlepšení v deklarovaných oblastiach projektu. V dokumentácii sa pritom uvádza, že bez realizácie tohto projektu nebudú naplnené ciele PO7 OPII, čo však nie je nijako odôvodnené.

Cieľ “počet chránených endpointov” v skutočnosti znamená počet používateľov chránených web stránok, na komunikáciu ktorých budú opatrenia aplikované. V dokumentácii nie je konkretizované, prečo bol stanovený práve cieľový stav 300.000, Nases deklaruje, že ide o počet používateľov jeho systémov. Nasadenie na web stránky iných OVM je v dokumentácii predpokladané, ale nie je doriešené.

V dokumente “Analýza benefitov…” je uvedené: “v tomto momente nevieme definovať koľko bezpečnostných incidentov môže byť identifikovaných mimo infraštruktúry NASES. „Sme hluchí a slepí“.”

KPI pre oblasť “eliminovaných incidentov”, “úspora času” a “zníženie pravdepodovnosti úniku dát” sú stanovené iba na základe všeobecných údajov zahraničnej štúdie, v ktorej je navyše “silne odporúčané” pre nové projekty realizovať vlastné odhady. Jediný realizovaný vlastný odhad predkladateľa projektu je parameter “2000 bezpečnostných incidentov za rok pri 300.000 koncových bodoch”, nie je však nijako vysvetlený. Hodnoty merateľných ukazovateľov tak považujeme za čisto hypotetické.


Postup dosiahnutia cieľov :star::grey_star::grey_star::grey_star:

Projekt je naplánovaný ako nákup HW a štandardizovaného SW (licencií) a ich inštaláciu. Vďaka tomu má mimoriadne krátku plánovanú implementačnú fázu - 1 rok.

Nie je však jasné, ako bude naplnený deklarovaný zámer pokryť 300.000 endpointov (používateľov). Tento parameter je kľúčový pre dosiahnutie deklarovaných prínosov projektu.

Keďže v súčasnosti Nases v riešenej oblasti nedisponuje žiadnymi konkrétnymi údajmi, za vhodné by sme považovali overenie zamýšľaného prístupu v menšom rozsahu, pomocou pilotného projektu. Táto možnosť aj bola diskutovaná, nevieme prečo to v aktuálnom stave nie je plánované.


Súlad s KRIS (nie je zatiaľ vyhodnotený)

Súlad s KRIS Nases resp. MIRRI sme zatiaľ nevyhodnotili.


Biznis prínos :star::star::grey_star::grey_star:

Zameranie pozornosti na zvýšenie ochrany používateľov webových portálov verejnej správy vnímame pozitívne. Projekt by mal však byť súčasťou širšie koncipovaného programu v tejto oblasti. Najmä by bolo potrebné vykonať aktivity vedúce k objektivizácii súčasného stavu, koncepčné pomenovanie cieľového stavu. Nie je zrejmé, prečo je projekt potrebné realizovať práve v tomto čase a práve v tomto rozsahu.

Zároveň nie je doriešená otázka súhlasu používateľa s nasadením zamýšľaných bezpečnostných techník v jeho prostredí.


Príspevok v informatizácii :star::star::star::star:

Zvolené je štandardné, na trhu dostupné riešenie. Vývoj na zákazku nie je predpokladaný, s výnimkou nastavenia a prispôsobenia použitých softvérových nástrojov. Obdobným spôsobom je predmetná oblasť riešená v komerčnej sfére. Popísaný je aj spôsob integrácie riešenia do súčasnej infraštruktúry prevádzkovanej Nasesom.


Štúdia uskutočniteľnosti :star::star::grey_star::grey_star:

Je vypracovaná dokumentácia v súlade s metodikou riadenia projektov. Dokumenty však vo viacerých oblastiach nedávajú adekvátne odpovede na vznesené otázky.


Alternatívy :star::grey_star::grey_star::grey_star:

Stanovenie a porovnanie alternatív je povrchné. Keďže nie je známy a konkretizovaný súčasný stav, a taktiež nie je presnejšie pomenovaný želaný cieľový stav, na biznis úrovni ani nebolo možné alternatívy reálne určiť a porovnať.
Na zvýšenie bezpečnosti na strane používateľov je uvažovateľná celá paleta možných technických aj organizačných opatrení, okrem zvoleného technologického variatnu však žiadne neboli zvažované.


Kalkulácia efektívnosti :star::grey_star::grey_star::grey_star:

Ide o klasický projekt s “tvrdými” nákladmi a “teoretickými” prínosmi, kde na základe všeobecných a iba odhadovaných údajov sú prezentované mnohomiliónové úspory, ktoré nevieme dnes, a ani v cieľovom stave reálne identifikovať.

Kalkulácia prínosov je založená na všeobecnej štúdii realizovanej v Severnej Amerike a Austrálii, v ktorej navyše nebol zahrnutý žiadny portál verejnej správy. V tejto štúdii je priamo uvedené: “Forrester makes no assumptions as to the potential ROI that other organizations will receive. Forrester strongly advises that readers use their own estimates within the framework provided in the report to determine the appropriateness of an investment in Microsoft Cloud App Security.” Napriek tomu vlastné analýzy Nases nevykonal, s výnimkou “expertného odhadu”, podľa ktorého nastáva “minimálne 2000 incidentov za rok pri 300.000 koncových bodoch”. Hoci by pri parametroch uvedených v dokumentácii by išlo o 192.000 človekohodín strávených riešením týchto incidentov, Nases uvádza, že o nich nemá žiadne údaje. Pritom hlavný deklarovaný prínos projektu má byť dosiahnutý práve znížením škôd z týchto incidentov (~4,4M Eur/rok). Tento údaj považujeme za zásadne nadhodnotený, najmä vzhľadom na nadštandarne vysoké požiadavky na bezpečnosť na portáloch VS a špecifickú skladbu používateľov a týmito portálmi zabezpečovaných funkcií - v porovnaní s verejnou správou USA, ktorú mali v pôvodnej štúdii autori na mysli.

V dokumentácii je uvedené, že v súčasnom stave (bez proaktívneho monitorovania) Nases nevynakladá žiadny čas v cieľových činnostiach projektu. Preto v štúdii deklarované ušetrenie času a zníženie škôd nie je reálne “úspora” oproti dnešnému stavu.


Participácia na príprave projektu :star::star::grey_star::grey_star:

K zámeru projektu prebehlo pripomienkovanie a verejné prerokovanie. Nases sa síce o naše pripomienky úprimne zaujímal, avšak kritické otázky zostali iba v rovine všeobecných vysvetlení, ktoré nepovažujeme za adekvátne, viď. aj viaceré hodnotenia v kritériách vyššie.

Diskusie k projektu na platforme:


:file_folder: Dokumenty

Online: MetaIS projekt 767

Dokumenty prípravnej fázy (aka. štúdia uskutočniteľnosti):


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

  • 30.7.2021 Verejné prerokovanie zámeru projektu
  • 16.12.2021 Schválenie projektu na RV PO7