Red Flags: Redizajn siete GOVNET

nases

#1

Názov: Redizajn siete GOVNET

Garant: NASES

Stručný opis: Projekt sa skladá z dvoch takmer nesúvisiacich častí: Jednou je zvýšenie bezpečnosti siete Govnet (t.j. zabezpečenie transportnej vrstvy), zníženie prevádzkových nákladov (zmenou vlastníctva hw prvkov a liberalizáciou výberu dodávateľov transportnej vrstvy) a zavedenie prvku Telekonferencie (nákup hw a sw pre telekonferencie).

Náklady na projekt: 8.363.895 EUR s DPH

Aktuálny stav projektu: Príprava projektu

Čo sa práve deje:

  • Štúdia uskutočniteľnosti bude posudzovaná riadiacim výborom 11.10.2018

Zhrnutie hodnotenia Red Flags: V časti projektu týkajúca sa zvýšenia bezpečnosti siete Govnet nevidíme zásadnejšie problémy. Naopak, pre časť týkajúca sa budovania telekonferencií sú viaceré oblasti veľmi slabo rozpracované. Nedostatky vidíme najmä v absencii konkrétneho zámeru reformy/optimalizácie verejnej správy, neuvažovanie viacerých významných alternatív a nereálne plánované využívanie telekonferencií.

Stanovisko Slovensko.Digital: V časti projektu týkajúcej sa zavedenia telekonferencií vidíme zásadné nedostatky. Považujeme za nevyhnutné štúdiu pre túto oblasť dopracovať pred tým, než ju bude možné schváliť. Keďže samotné zvýšenie bezpečnosti siete Govnet je od budovania telekonferencií nezávislé, je možné aj projekt rozdeliť na dve samostatné štúdie.

:triangular_flag_on_post: HODNOTENIE RED FLAGS

I. Prípravná fáza


Reforma VS :grey_star::grey_star::grey_star::grey_star:

K projektu neexistuje žiadny reformný zámer, ide podľa vyjadrenia NASES o bezpečnostný projekt, ktorý reformný zámer mať nemusí. Sme názoru, že minimálne časť telekonferenčných hovorov, by mala mať spracovaný prehľad reformny alebo optimalizácie verejnej správy - vrátane Reformného zámeru.


Merateľné ciele (KPI) :star::star::star::grey_star:

Merateľné ciele sú stanovené pre časť telekonferencie vhodne, avšak odporúčame zmeniť počiatočný stav uskutočnených telekonferenčných hovorov na skutočný aktuálny stav, nie len 0 z pohľadu tohto projektu. Nie sú dostupné dáta, na základe ktorých boli zvolený cieľový stav.


Postup dosiahnutia cieľov :star::star::grey_star: :grey_star:

Kedže ide o projekt, ktorý nemá vývojovú časť je plán pomerne jasný. V harmonograme je spomenuté pilotné nasadenie telekonferencii, pričom nie je zrejmé, čo je cieľom tohto pilotného nasadenia a čo sa stane, ak by pilot zlyhal.


Súlad s KRIS (nie je zatiaľ vyhodnotený)


Biznis prínos :star::star::grey_star::grey_star:

Biznis prínosy sú z pohľadu časti “zabezpečenia siete Govnetu” minimálne, kedže ide najmä o optimalizáciu na strane nákladov. Nemáme voči tejto časti výhrady. Pri telekonferenčných hovoroch sú biznis prínosy zrejmé, ich dosiahnuteľnosť považujeme za otáznu, kedže predpokladá, že úradníci postupne nahradia osobným stretnutia telekonferenčnými hovormi.


Príspevok v informatizácii :star::star::star::star:

hodnotenie


Štúdia uskutočniteľnosti :star::grey_star::grey_star::grey_star:

Štúdia uskutočniteľnosti je v časti redizajnu siete Govnet napísaná vhodne. Pre časť telekonferencii štúdia neobsahuje vysvetlenie, prečo je nutné chrániť aj telekonferencie na transportnej vrstve (čím sa značne obmedzujú možné alternatívy, viď nižšie). Podľa NASES bola urobená bezpečnostná analýza, ktorá bude doplnená do štúdie. V štúdii chýbajú taktiež zdrojové dáta o aktuálnych počtoch uskutočnených telekonferenčných hovorov, čiže je nemožné overiť, či sú cieľové hodnoty nastavené reálne (predpokladá sa 51000 účastníkov hovorov ročne). Štúdia obsahuje množstvo obrázkov z propagačných materiálov CISCO, pričom v štúdii táto firma nie je nikde spomenutá.


Alternatívy :grey_star::grey_star::grey_star: :grey_star:

Alternatívy pre časť redizajnu Govnet sú popísané vhodne, nemáme výhrady. Časť telekonferencii je k projektu pridaná ako jedna z alternatív, pričom máme za to, že je nutné alternatívy pre túto časť posudzovať takmer úplne samostatne. Pre telekonferencie chýbajú zrejmé alternatívy: a) Nebudovanie nového centrálneho bodu pre telekonferencie, ale len zapojenie nového hw do existujúcej infraštruktúry telekonferenčných miestností. b) Využitie existujúcich SaaS služieb pre telekonferenčné hovory, bez nákupu nového centrálneho riešenia.


Kalkulácia efektívnosti :star::grey_star::grey_star::grey_star:

Pre časť redizajnu govnetu je kalkulácia prínosov zrejmá. Pre časť telekonferencii je predpoklad, že 51000 účastníkov telekonferencii bude už v prvom roku a tento počet sa nijako počas 10 rokov nezmení. Považujeme to za nerealistické. V časti nákladov nie je zrejmé odkiaľ ako boli určené ceny licencii a ceny hw nesúhlasia s cenníkovými cenami, pričom pri takomto objeme, by sme očakávali výrazné hromadné zľavy.


Participácia na príprave projektu :star::star::star::star:

K projektu bolo možné zaslať pripomienky, uskutočnil sa verejný hearing, na ktorom boli prislúbené ďalšie materiály a úprava štúdie uskutočniteľnosti, zapracovanie pripomienok a osobné konzultácie. Momentálne čakáme na ďaľšie materiály a vysporiadanie pripomienok.


:file_folder: Dokumenty

- Reformný zámer: neexistuje
- Štúdia uskutočniteľnosti - online
- Odpoveď na pripomienky - odpočet Slovensko digital.xlsx (13.5 KB)


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

- 11.7.2016 Ukončenie pripomienkovania štúdie uskutočniteľnosti.
- 13.7.2016 Verejný hearing k štúdii uskutočniteľnosti.


#2

Zaslali sme tieto pripomienky vzhladom na kratkost casu sme museli byt velmi strohi. redizajnGOVNETpripomienky-SD.xlsx (13.3 KB)


#3

Kratky zapis z verejneho hearingu bolo tam odhadom tak 20 ludi. Pytal som sa cely cas vlastne len ja (uz mi je to trochu aj trápnô), potom UPVII a RO (doprava).

Prezentacia zacala peknym grafom, ze uz zapracovali 141 pripomienok a 23 este nie (najma od nas a UHP ak to spravne chapem)

  • velmi technicka prezentacia o govnete samotnom (ta networkova cast)

Telekonferencie

  • na zaklade bezpecnostnych poziadaviek bolo identifikovane ze to musi byt sifrovane na transportnej vrstve a zaroven to musi byt cele v govnete

    • v studi toto velmi nie je. vypytal som si tu bezp. analyzu (slubili dodat)
    • viac krat som sa na to pytal, vysvitlo, ze problem je, ze nemaju pod kontrolou sifrovacie kluce na endpointoch cize tomu neveria. (Ak toto je problem tak som zvedavy ako @rho toto riesi v certfikacii sluzieb v public cloude, z mojho pohladu je toto extremna paranoia)
    • chcu tade prenasat aj citlive informacie (stupen si nepamatam) - pytal som sa, ze kolko takych konferencii bude (myslim si ze menej), taktiez padla veta, ze “eu nedovoluje na toto pouzivat saas sluzby” a tiez, ze to nesmie tiect mimo EU (co by sa dalo chapat).
  • potrebuju zapojit co najviac existujucich telekonferencnych miestosti

    • cize potrebujuju podporovat vsetko (preto je to tak brutalne specificke uz v studii)
  • pilot - chcu hlavne overit kompatibilitu

    • pozicaju si to a vyskusaju, nie je uplne zrejme co sa stane ked to nebude fungovat. doplnia.
  • este budu zmeny v studii (nejake)

  • chcu vyuzit existujuce ramcove zmluvy na hw???

  • nenastane situacia, ze sa bude nieco vymienat (bolo nakupene cez OPIS a bol by to problem)

  • chybaju alternativy pre cast telekonferencie

    • co takto sa napojit na existujuce centraly namiesto budovania novej centraly (mali by doplnit, myslim, ze to bola vyhrada niekoho UHP/UPVII?)
    • saas
  • UHP uz pripomienkovalo? boli ich pripomienky zapracovane? (ciastocne)

  • nie je dostatocne sifrovana komunikacia v sucasnosti (co to v praxi znamena? mna to dost vystrasilo)

    • je to pravda, problem vsak nie su integracne spojenia G2G aleb G2B (tie idu cez ipsec) ale vsetko ostatne v Govnete (MPLS je tam nesifrovane) - co je to ostatne ja neviem.
  • reformny zamer - na ktory RZ sa tento projekt viaze?

    • ziadny - prioritny ciel bezpecnost nemusi mat RZ

Prislubili poslat

  • zdrojove data k zahranicnym cestam
  • zdrojove data k technickym zariadeniam na roznych uradoch
  • EU nedovoluje riesit toto cez sluzby (poslu preco)

#4

Paradoxne v tych rozvinutejsich public cloudoch je toto celkom dobre poriesene vid. napr. https://azure.microsoft.com/en-us/services/key-vault/
https://cloud.google.com/kms/
https://aws.amazon.com/kms/
s FIPS 140-2 standardom.
Takze tam by sa o svoj “klucik” az tak strachovat nemuseli :slight_smile:


ÚPVII Pracovná skupina K9.7 Vládny cloud
#5

Hej toto viem, len toto sa skor tyka PaaS ako SaaS nie? Napriklad Amazon Chime ma sifrovanie cez https a ked teda prehlasia, ze ten SSL kluc ktovie kde vsade bol (NSA a tak), tak sme skoncili a vsetky mozne ozajstne cloudove SaaS sluzby si mozeme skrtnut.

Z mojho pohladu je toto naozaj velmi paranoidne.


#6

Dostali sme odpoved na pripomienky odpočet Slovensko digital.xlsx (13.5 KB)

A boli prislubene dalsie data.