Názov: Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe
Garant: Úrad podpredsedu vlády pre investície a informatizáciu (ÚPVII)
Stručný opis: Projekt rieši nákup zariadení a programov (HW a SW) pre štyri úrady ktoré prevádzkujú organizačné jednotky na riadenie bezpečnostných incidentov (jednotky CSIRT) - NBÚ SR, ÚPVII, SIS a Nases. Podstatná časť informácií o projekte je utajená. Štúdia opisuje aké “pracoviská” v týchto jednotkách sú a do akého stupňa schopností by sa mali dostať podľa štandardnej metodiky CMM.
Náklady na projekt: 57,4M Eur (investície) + 37,5M Eur (prevádzka 10 rokov) s DPH
Aktuálny stav projektu: Príprava projektu
Čo sa práve deje:
- Uzatvorená zmluva o NFP
Zhrnutie hodnotenia Red Flags: V súčasnosti je vypracovaná štúdia uskutočniteľnosti. Avšak na rozdiel od ostatných pripravovaných projektov v OPII nie sú analyzované súčasné a potrebné služby a ich kapacity, projekt nie je naviazaný na optimalizáciu procesov (napr. vyhnutie sa duplicitám služieb jednotiek CSIRT), pre oblasť kybernetickej bezpečnosti ani nie je schválený strategický dokument, slabo sú analyzované alternatívy, najmä možnosti spoločného výkonu funkcií jednotiek CSIRT, porovnanie s komerčnou sférou, zahraničím, vyčíslenie prínosov a nákladov pre jednotlivé stupne vyspelosti. Kalkulácia prínosov je založená na nereálnych odhadoch, pri použití zmysluplnejších parametrov vychádza projekt ako stratový. Pripomienky, ktoré sme k projektu dávali (aj s výhradami tu uvedenými), boli iba “vysvetlené” a neviedli k zlepšeniu kvality štúdie.
Stanovisko Slovensko.Digital: Štúdia uskutočniteľnosti má zásadné nedostatky a zďaleka nedosahuje úroveň kvality vyžadovanú v iných projektoch. Masívna investícia, ktorá je v projekte navrhovaná, nie je odôvodnená. Štúdiu je nevyhnutné prepracovať a plánované náklady znížiť na úroveň zodpovedajúcu reálnym potrebám.
HODNOTENIE RED FLAGS
I. Prípravná fáza
Reforma VS
Projekt nie je naviazaný na žiadnu optimalizáciu procesov verejnej správy. Argument, že “v zákone je to napísané takto” neobstojí, rovnako ako pri iných OPII projektoch. Pritom procesy a služby v oblasti kybernetickej bezpečnosti sa dajú taktiež štandardným spôsobom merať, vyhodnocovať a plánovať.
Merateľné ciele (KPI)
V štúdii uskutočniteľnosti sú uvedené nasledovné merateľné ukazovatele: (cieľový stav je predpokladný v r.2023)
- dodatočný pomer informačných systémov verejnej správy s implementovaným nástrojom na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov (ukazovateľ PO7 OPII) - v súčasnosti neznáma hodnota, v cieľovom stave 80%
- počet odhalených incidentov, ktorým bude možné predísť - v súčasnosti 5%, v cieľovom stave 20%
- zníženie škôd neodhalených incidentov - v súčasnosti neznáma hodnota, v cieľovom stave 20%
- úroveň maturity jednotiek CSIRT (podľa metodiky CMM) - v štúdii podrobne vyčíslené úrovne pre jednotlivé pracoviská - v súčasnosti úroveň 1-3, jednotka SIS súčasný stav nemá uvedený, jednotka Nases má aj pracovisko na úrovni 5, v cieľovom stave úroveň 4-5
Merateľné ukazovatele nie sú rozdelené na verejnú správu a celú spoločnosť. Parametre odhalených incidentov a ich škôd sú určené “expertným odhadom”, pri ktorom nie je jasný postup výpočtu.
Postup dosiahnutia cieľov
Projekt je navrhnutý ako prosté zakúpenie HW a SW, jeho inštalácia a súvisiace práce. Zoznam produktov, ktoré majú byť zakúpené už pravdepodobne existuje. Harmonogram realizácie je naplánovaný na 2 roky. Ak bude projekt schválený, s vysokou pravdepodobnosťou bude plánovaný postup dodržaný.
Súlad s KRIS (nie je zatiaľ vyhodnotený)
Súlad s KRIS zapojených organizácií, t.j. NBÚ SR, ÚPVII, SIS a Nases sme zatiaľ nevyhodnotili.
Biznis prínos
Štúdia neobsahuje popis služieb, ktoré je v riešenej oblasti potrebné vykonávať, ani ich potrebné kapacity. Rovnako nie sú uvedené súčasné služby a ich kapacity. Toto považujeme za zásadný nedostatok. Aj v oblasti bezpečnosti sa dá verejne diskutovať o potrebných výkonoch a ich kapacitách - viď. napr. nedávna kauza nákupu stíhacích lietadiel do SR.
Deklarovaný nízky stav a vyspelosti jednotiek CSIRT a potreba ich urgentného riešenia je v kontraste s doteraz verejne dostupnými správami o špičkových výsledkoch, či získaní certifikácie, viď. napr. https://euractiv.sk/section/digitalizacia/news/slovensko-je-kyberbezpecnostnou-spickou-tvrdi-estonsky-rebricek/ .
Príspevok v informatizácii
Projekt tak, ako je navrhnutý nepochybne povedie k zlepšeniu v informatizácii. V súčasnosti však absentuje dokument Strategickej priority NKIVS Kybernetická bezpečnosť, ktorý by mal určiť ciele, priority, pre túto oblasť a aj naplánovanie jednotlivých projektov tak, aby boli potreby (najmä verejnej správy) v kybernetickej bezpečnosti systematicky pokryté.
Štúdia uskutočniteľnosti
Štúdia uskutočniteľnosti je síce vypracovaná, ale obsahuje mnohé nedostatky, ktoré tu aj uvádzame v iných častiach hodnotenia.
Alternatívy
V štúdii sú načrtnuté iba 3 alternatívy - ponechanie súčasného stavu, “dovybavenie jednotiek CSIRT podľa ich požiadaviek” a “vybavenie jednotiek CSIRT tak, že každá robí všetko”.
V projekte je navrhnuté zabezpečiť vybavenie pre 4 jednotky CSIRT, ktorých pracoviská a vykonávané služby sa podstatne prekrývajú. Nie je analyzovaná možnosť spoločného výkonu niektorých funkcií, špeciálne posúdiť využitie jednotky ÚPVII aj pre plnenie služieb pre Nases, keďže CSIRT.SK (v ÚPVII) má plniť funkcie pre celú verejnú správu.
Nie je vyhodnotené porovnanie nákladnosti služieb s komerčnou sférou, ktorá v niektorých prípadoch vykonáva rovnaké služby ako jednotky CSIRT, napr. penetračné testy, alebo analýzy malware (v čom je napr. firma Eset jeden zo svetových lídrov). Rovnako nie je analyzovaná možnosť využívať služby komerčných organizácií (takéto služby momentálne orgány verejnej správy často využívajú, mimo VS je to samozrejmosť), alebo partnerských jednotiek CSIRT (viď. spolupráca pri forenznej analýze).
Keďže v štúdii je zvolené vyjadrenie vyspelosti jednotiek CSIRT metodikou CMM (Capability Maturity Model), pri nedostatku detailných informácií malo byť vykonané vyčíslenie nákladov a prínosov pri dosiahnutí jednotlivých stupňov podľa modelu CMM. Optimálne cieľové hodnoty stupňa vyspelosti sú potom tie, kde súčet nákladov a škôd je minimálny.
Kalkulácia efektívnosti
Podľa CBA sú náklady na obstaranie 57,4M Eur a náklady na prevádzku počas 10 rokov 37,5M Eur. Pokračovanie doterajšieho prístupu k budovaniu jednotiek CSIRT by vyžadovalo na obstaranie 4,8M Eur a na prevádzku počas 10 rokov 3,0M Eur. Aj z týchto čísel a porovnania so súčasným stavom vidno, že ide o masívnu investíciu.
V čase tvorby štúdie už existoval zoznam konkrétneho “HW a SW” ktoré majú byť zakúpené, avšak bol utajený. Nie je možné preto nijako overiť, či uvedená investícia je primeraná deklarovaným cieľom.
V štúdii uskutočniteľnosti je deklarovaný prínos 409,4M Eur “zo zabránených škôd” počas 10 rokov od začiatku realizácie projektu, oproti 116,8M Eur ktoré sú deklarované ako ušetrené bez realizácie projektu. Tieto čísla sú výsledkom “expertného odhadu” na základe dokumentu McAfee Economic Impact of Cybercrime.
Tieto odhady považujeme za absolútne nereálne.
Pre porovnanie, použitím rovnakého výpočtu ako je uvedený v štúdii sa dá odvodiť, že “nezabránené škody” budú aj po realizácii tohto projektu za 10 rokov na úrovni 4,4 miliardy Eur.
Naopak, ak z rovnakej štúdie zvolíme za základ parameter priemernej škody spôsobenej bezpečnostným incidentom vo Veľkej Británii, čo je 26700 USD v 2016 (str.22), po prepočítaní na SR a 2018 (rast škôd o 10%, pomer HDP na obyvateľa PPP) dostávame priemernú škodu z jedného incidentu v SR 18435 Eur. Pri takomto parametri však celý projekt vychádza ako stratový, po 10 rokoch je čistá hodnota projektu -35,5M Eur.
Zároveň pripomíname, že aj bez existencie jednotiek CSIRT by si verejná správa (a ostatná spoločnosť o to viac) zaisťovala bezpečnosť IS.
Porovnanie s inými krajinami nebolo vykonané, lebo vraj nie je možné a ani potrebné. Pri nedostatku detailných údajov však považujeme takéto porovnanie za relevantné, pokiaľ ide o zabezpečované funkcie, kapacity a úroveň vyspelosti, porovnanie je treba vykonať minimálne s ČR.
Participácia na príprave projektu
Projekt bolo možné krátko pripomienkovať a bolo k nemu verejné prerokovanie. Za Slovensko.Digital sme zaslali viac ako 30 pripomienok, viaceré z nich zásadné - žiadna z pripomienok však neviedla k doplneniu alebo oprave štúdie, všetky boli iba “vysvetlené”.
Diskusie k projektu na platforme:
Dokumenty
- Štúdia uskutočniteľnosti:
- online
- štúdia, prílohy, CBA (verzia z 2.7.2018)
- dodávateľ: Ernst & Young, 40K Eur, zmluva v CRZ
- pripomienky a ich zapracovanie: SU_CSIRT_Pripomienky_20180716.xlsx (47.7 KB)
- Dokumenty zo schvaľovania štúdie: zdôvodnenie, doplňujúce informácie, zápis online
- Vyzvanie:
- č. OPII-2018/7/17-NP
- online
- vyzvanie: Vyzvanie_OPII_2018_7_17_NP.pdf (609.0 KB), doplňujúce údaje k vyzvaniu: Zoznam inych udajov_OPII_2018_7_17_NP.pdf (521.5 KB), prílohy: Vzor_Zmluva o partnerstve_PO7 OPII.zip (640.2 KB)
- Zmluva o NFP:
- č. Z311071T480, online v CRZ
- 44 960 647,00 Eur
- zmluva: 296_2019 - text.pdf (5.9 MB), zmluva o partnerstve: Zmluva o partnerstve - text.pdf (11.6 MB) (online v CRZ - 1, online v CRZ - 2)
Aktivity
V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:
- 11.7.2018 Verejné prerokovanie štúdie uskutočniteľnosti
- 26.7.2018 Štúdia uskutočniteľnosti schválená RV PO7 OPII
- 21.9.2018 Vyhlásené vyzvanie na národný projekt OPII
- 12.12.2018 Dátum uzavretia vyzvania
- 8.4.2019 Uzavretie zmluvy o NFP