Red Flags: Riadenie incidentov kybernetickej bezpečnosti (jednotky CSIRT)

Názov: Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe

Garant: Úrad podpredsedu vlády pre investície a informatizáciu (ÚPVII)

Stručný opis: Projekt rieši nákup zariadení a programov (HW a SW) pre štyri úrady ktoré prevádzkujú organizačné jednotky na riadenie bezpečnostných incidentov (jednotky CSIRT) - NBÚ SR, ÚPVII, SIS a Nases. Podstatná časť informácií o projekte je utajená. Štúdia opisuje aké “pracoviská” v týchto jednotkách sú a do akého stupňa schopností by sa mali dostať podľa štandardnej metodiky CMM.

Náklady na projekt: 57,4M Eur (investície) + 37,5M Eur (prevádzka 10 rokov) s DPH

Aktuálny stav projektu: Príprava projektu

Čo sa práve deje:

  • Uzatvorená zmluva o NFP

Zhrnutie hodnotenia Red Flags: V súčasnosti je vypracovaná štúdia uskutočniteľnosti. Avšak na rozdiel od ostatných pripravovaných projektov v OPII nie sú analyzované súčasné a potrebné služby a ich kapacity, projekt nie je naviazaný na optimalizáciu procesov (napr. vyhnutie sa duplicitám služieb jednotiek CSIRT), pre oblasť kybernetickej bezpečnosti ani nie je schválený strategický dokument, slabo sú analyzované alternatívy, najmä možnosti spoločného výkonu funkcií jednotiek CSIRT, porovnanie s komerčnou sférou, zahraničím, vyčíslenie prínosov a nákladov pre jednotlivé stupne vyspelosti. Kalkulácia prínosov je založená na nereálnych odhadoch, pri použití zmysluplnejších parametrov vychádza projekt ako stratový. Pripomienky, ktoré sme k projektu dávali (aj s výhradami tu uvedenými), boli iba “vysvetlené” a neviedli k zlepšeniu kvality štúdie.

Stanovisko Slovensko.Digital: Štúdia uskutočniteľnosti má zásadné nedostatky a zďaleka nedosahuje úroveň kvality vyžadovanú v iných projektoch. Masívna investícia, ktorá je v projekte navrhovaná, nie je odôvodnená. Štúdiu je nevyhnutné prepracovať a plánované náklady znížiť na úroveň zodpovedajúcu reálnym potrebám.

:triangular_flag_on_post: HODNOTENIE RED FLAGS

I. Prípravná fáza


Reforma VS :grey_star::grey_star::grey_star::grey_star:

Projekt nie je naviazaný na žiadnu optimalizáciu procesov verejnej správy. Argument, že “v zákone je to napísané takto” neobstojí, rovnako ako pri iných OPII projektoch. Pritom procesy a služby v oblasti kybernetickej bezpečnosti sa dajú taktiež štandardným spôsobom merať, vyhodnocovať a plánovať.


Merateľné ciele (KPI) :star::star::grey_star::grey_star:

V štúdii uskutočniteľnosti sú uvedené nasledovné merateľné ukazovatele: (cieľový stav je predpokladný v r.2023)

  • dodatočný pomer informačných systémov verejnej správy s implementovaným nástrojom na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov (ukazovateľ PO7 OPII) - v súčasnosti neznáma hodnota, v cieľovom stave 80%
  • počet odhalených incidentov, ktorým bude možné predísť - v súčasnosti 5%, v cieľovom stave 20%
  • zníženie škôd neodhalených incidentov - v súčasnosti neznáma hodnota, v cieľovom stave 20%
  • úroveň maturity jednotiek CSIRT (podľa metodiky CMM) - v štúdii podrobne vyčíslené úrovne pre jednotlivé pracoviská - v súčasnosti úroveň 1-3, jednotka SIS súčasný stav nemá uvedený, jednotka Nases má aj pracovisko na úrovni 5, v cieľovom stave úroveň 4-5

Merateľné ukazovatele nie sú rozdelené na verejnú správu a celú spoločnosť. Parametre odhalených incidentov a ich škôd sú určené “expertným odhadom”, pri ktorom nie je jasný postup výpočtu.


Postup dosiahnutia cieľov :star::star::star::star:

Projekt je navrhnutý ako prosté zakúpenie HW a SW, jeho inštalácia a súvisiace práce. Zoznam produktov, ktoré majú byť zakúpené už pravdepodobne existuje. Harmonogram realizácie je naplánovaný na 2 roky. Ak bude projekt schválený, s vysokou pravdepodobnosťou bude plánovaný postup dodržaný.


Súlad s KRIS (nie je zatiaľ vyhodnotený)

Súlad s KRIS zapojených organizácií, t.j. NBÚ SR, ÚPVII, SIS a Nases sme zatiaľ nevyhodnotili.


Biznis prínos :grey_star::grey_star::grey_star::grey_star:

Štúdia neobsahuje popis služieb, ktoré je v riešenej oblasti potrebné vykonávať, ani ich potrebné kapacity. Rovnako nie sú uvedené súčasné služby a ich kapacity. Toto považujeme za zásadný nedostatok. Aj v oblasti bezpečnosti sa dá verejne diskutovať o potrebných výkonoch a ich kapacitách - viď. napr. nedávna kauza nákupu stíhacích lietadiel do SR.

Deklarovaný nízky stav a vyspelosti jednotiek CSIRT a potreba ich urgentného riešenia je v kontraste s doteraz verejne dostupnými správami o špičkových výsledkoch, či získaní certifikácie, viď. napr. https://euractiv.sk/section/digitalizacia/news/slovensko-je-kyberbezpecnostnou-spickou-tvrdi-estonsky-rebricek/ .


Príspevok v informatizácii :star::grey_star::grey_star::grey_star:

Projekt tak, ako je navrhnutý nepochybne povedie k zlepšeniu v informatizácii. V súčasnosti však absentuje dokument Strategickej priority NKIVS Kybernetická bezpečnosť, ktorý by mal určiť ciele, priority, pre túto oblasť a aj naplánovanie jednotlivých projektov tak, aby boli potreby (najmä verejnej správy) v kybernetickej bezpečnosti systematicky pokryté.


Štúdia uskutočniteľnosti :star::grey_star::grey_star::grey_star:

Štúdia uskutočniteľnosti je síce vypracovaná, ale obsahuje mnohé nedostatky, ktoré tu aj uvádzame v iných častiach hodnotenia.


Alternatívy :grey_star::grey_star::grey_star::grey_star:

V štúdii sú načrtnuté iba 3 alternatívy - ponechanie súčasného stavu, “dovybavenie jednotiek CSIRT podľa ich požiadaviek” a “vybavenie jednotiek CSIRT tak, že každá robí všetko”.

V projekte je navrhnuté zabezpečiť vybavenie pre 4 jednotky CSIRT, ktorých pracoviská a vykonávané služby sa podstatne prekrývajú. Nie je analyzovaná možnosť spoločného výkonu niektorých funkcií, špeciálne posúdiť využitie jednotky ÚPVII aj pre plnenie služieb pre Nases, keďže CSIRT.SK (v ÚPVII) má plniť funkcie pre celú verejnú správu.

Nie je vyhodnotené porovnanie nákladnosti služieb s komerčnou sférou, ktorá v niektorých prípadoch vykonáva rovnaké služby ako jednotky CSIRT, napr. penetračné testy, alebo analýzy malware (v čom je napr. firma Eset jeden zo svetových lídrov). Rovnako nie je analyzovaná možnosť využívať služby komerčných organizácií (takéto služby momentálne orgány verejnej správy často využívajú, mimo VS je to samozrejmosť), alebo partnerských jednotiek CSIRT (viď. spolupráca pri forenznej analýze).

Keďže v štúdii je zvolené vyjadrenie vyspelosti jednotiek CSIRT metodikou CMM (Capability Maturity Model), pri nedostatku detailných informácií malo byť vykonané vyčíslenie nákladov a prínosov pri dosiahnutí jednotlivých stupňov podľa modelu CMM. Optimálne cieľové hodnoty stupňa vyspelosti sú potom tie, kde súčet nákladov a škôd je minimálny.


Kalkulácia efektívnosti :grey_star::grey_star::grey_star::grey_star:

Podľa CBA sú náklady na obstaranie 57,4M Eur a náklady na prevádzku počas 10 rokov 37,5M Eur. Pokračovanie doterajšieho prístupu k budovaniu jednotiek CSIRT by vyžadovalo na obstaranie 4,8M Eur a na prevádzku počas 10 rokov 3,0M Eur. Aj z týchto čísel a porovnania so súčasným stavom vidno, že ide o masívnu investíciu.

V čase tvorby štúdie už existoval zoznam konkrétneho “HW a SW” ktoré majú byť zakúpené, avšak bol utajený. Nie je možné preto nijako overiť, či uvedená investícia je primeraná deklarovaným cieľom.

V štúdii uskutočniteľnosti je deklarovaný prínos 409,4M Eur “zo zabránených škôd” počas 10 rokov od začiatku realizácie projektu, oproti 116,8M Eur ktoré sú deklarované ako ušetrené bez realizácie projektu. Tieto čísla sú výsledkom “expertného odhadu” na základe dokumentu McAfee Economic Impact of Cybercrime.
Tieto odhady považujeme za absolútne nereálne.
Pre porovnanie, použitím rovnakého výpočtu ako je uvedený v štúdii sa dá odvodiť, že “nezabránené škody” budú aj po realizácii tohto projektu za 10 rokov na úrovni 4,4 miliardy Eur.
Naopak, ak z rovnakej štúdie zvolíme za základ parameter priemernej škody spôsobenej bezpečnostným incidentom vo Veľkej Británii, čo je 26700 USD v 2016 (str.22), po prepočítaní na SR a 2018 (rast škôd o 10%, pomer HDP na obyvateľa PPP) dostávame priemernú škodu z jedného incidentu v SR 18435 Eur. Pri takomto parametri však celý projekt vychádza ako stratový, po 10 rokoch je čistá hodnota projektu -35,5M Eur.

Zároveň pripomíname, že aj bez existencie jednotiek CSIRT by si verejná správa (a ostatná spoločnosť o to viac) zaisťovala bezpečnosť IS.

Porovnanie s inými krajinami nebolo vykonané, lebo vraj nie je možné a ani potrebné. Pri nedostatku detailných údajov však považujeme takéto porovnanie za relevantné, pokiaľ ide o zabezpečované funkcie, kapacity a úroveň vyspelosti, porovnanie je treba vykonať minimálne s ČR.


Participácia na príprave projektu :star::grey_star::grey_star::grey_star:

Projekt bolo možné krátko pripomienkovať a bolo k nemu verejné prerokovanie. Za Slovensko.Digital sme zaslali viac ako 30 pripomienok, viaceré z nich zásadné - žiadna z pripomienok však neviedla k doplneniu alebo oprave štúdie, všetky boli iba “vysvetlené”.

Diskusie k projektu na platforme:


:file_folder: Dokumenty


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

  • 11.7.2018 Verejné prerokovanie štúdie uskutočniteľnosti
  • 26.7.2018 Štúdia uskutočniteľnosti schválená RV PO7 OPII
  • 21.9.2018 Vyhlásené vyzvanie na národný projekt OPII
  • 12.12.2018 Dátum uzavretia vyzvania
  • 8.4.2019 Uzavretie zmluvy o NFP

Keďže táto CBA začína byť dosť populárna, tu dávam detaily prepočtu, ktorý spomíname v hodnotení vyššie:

Štúdia na základe ktorej je robená kalkulácia v CBA - McAffee Economic Impact of Cybercrime, strana 22: “Government figures indicate that almost half of all UK businesses suffered a cyberattack or data breach in 2016, with the costs ranging from an average of $26,700 up to a maximum of millions of dollars in the most damaging instances.

  • 26700 USD = 22895 Eur (prepočet Google)
  • medzi rokmi 2016 a 2018 predpokladáme zvýšené straty z incidentov, expertný odhad 10%, 22895 +10% = 25184 Eur
  • prepočet z UK na SR podľa HDP (tak ako v CBA), použité hodnoty HDP na obyvateľa PPP, MMF 2017 - SR/UK = 32111/43877 = 0,7318; potom 25184 * 0,7318 = 18435 Eur

Priemerná hodnota incidentu je v CBA uvedená v karte “Faktory” bunka D16.
V karte “CBA - Agendové IS” je v bunke J14 vidno “čistú kumulovanú hodnotu z projektu”, to je rozdiel všetkých nákladov a prínosov za 10 rokov od jeho začiatku. Hodnota projektu musí vychádzať povinne kladné číslo.

Originálne je tam hodnota 142 825 203,51, to je čistý prínos 142,8 milióna Eur.
Po dosadení za priemernú hodnotu incidentu 18435 Eur sa hodnota projektu automaticky prepočíta na -35 528 711,99, to je čistá strata 35,5 milióna Eur.

Primárnym cieľom je ukázať, ako rozprávkovo sú tieto kalkulácie robené. Zmena jedného “odhadnutého” parametra spôsobí rozdiel o 177 miliónov Eur.
Ale áno, aj chceme povedať, že tento projekt je skrátka príliš drahý.

Samozrejme v CBA treba spraviť lepšie prepočty, aj sme to dali ako pripomienku. Sú tam aj ďalšie takéto parametre.

A nebude to tym ze na takyto typ projektu robit CBA a ziadat kvalifikovane odhady prinosov je trochu uletene ?
Odhady ktore publikuju antivirove spolocnosti sa lisia radovo, a to sa bavime o priznanych incidentoch.
Ak chceme nieco pouzitelne, tak sa pozrime na to ako vyzeraju naklady na CSIRTy inde,
A napriklad v tejto CBA by stacilo pouzit exponencialny odhad rastu a zase by vysiel vysoky prinos. Len by stale bol na vode.
Tu vidime skor dopad toho ze chceme exaktnost tam kde nie je. To je potom lahke napadnut.
Lubor, ty sa venujes bezpecnosti, ako to vyzera inde. Su tie naklady prehnane, typu prilis dobre riesenia, su predrazene alebo je to v zasade blizko tomu co napriklad pouzivaju estonci a problem je len v tom ze tam chybaju zdovodnenia ?
Alebo tam chyba nieco dolezite ?

Náklady v tom projekte, ako sú teraz napísané, vyzerajú veľmi prehnane na to čo jednotky CSIRT robia (resp. čo je verejne známe že robia). Ale veď dobre, ak to ozaj potrebujú, mali by to vedieť zdôvodniť.

Presne tak, lepší model pre tento projekt mi pripadá povedať aké služby a v akej kapacite potrebujeme.
Napr. koľko penetračných testovaní v r.2019 treba spraviť - pre verejnú správu, pre “celú spoločnosť”. Potom vieme oveľa presnejšie aj odhadovať ceny, napr. podľa komerčného sveta. Toto sme žiadali.

Porovnanie s inými sme žiadali. Špeciálne s ČR - https://csirt.cz/ Ten je prevádzkovaný združením CZ.NIC, ktoré je známe efektívnym financovaním.

…a ak to u nás vychádza o rád drahšie, naozaj pozvime CZ.NIC na Slovensko a dajme im to robiť aj u nás, prečo nie? Argument že “nedá sa lebo u nás je to takto v zákone o KyB” neberiem, zákon sa dá zmeniť. Tak ako pri iných projektoch.

A ináč, je zjavná celková apatia bezpečnostného sektora (IT), k tomuto projektu som nezachytil zatiaľ žiadne reakcie.

1 Like

no, neviem ci je komercny svet baza na porovnanie. Ale kedze ide o oblast kde o tom nic neviem, tak by ma zaujimal nazor dalsich bezpecakov.
A len tak zabavne v kontexte kde Hargas bojuje za to aby mal stat pod kontrolou svoje IT tu naopak velmi citlivu otazaku bezpecnosti bez problemov navrhujete outsorcovat ci dokonca presunut do zahranicia. To sa mi nezda uplne konzistentne.
A mna v tomto kontexte netrapia ani tak penetracne testy, ale sledovanie skutocnych hrozieb zahranicnych utokov. Aj keby ziadne skody nepacahali. Nemyslim ze to je to iste ako v komercnom svete.

Áno, môžeme rozobrať aj otázku čo sa dá v IT bezpečnosti robiť dodávateľsky (tu: pri prevencii a zvládaní incidentov).
Možno by vyšlo, že Eset má lepší prehľad o “zahraničných hrozbách” ako vládna jednotka, neviem… Rozhodne má väčšiu personálnu aj odbornú kapacitu robiť analýzy škodlivého kódu, forenzné analýzy. To potom nemusíme ani riešiť otázku “zahraničných firiem”, aj keď teda keďže sme v EÚ+NATO tak to je tiež častokrát prehnaná paranoja.
Audity kódu, aplikácií, siete atď. sa aj doteraz robili skoro vždy externe.
A na “koordináciu a komunikáciu” netreba až tak veľa “dovybavenia HW a SW”.

Vsetci dovolenkuju. Ale ved skuste oslovit http://www.akb.sk/ co si o tom myslia.

1 Like

https://www.vicepremier.gov.sk/index.php/slovensko-digital-zavadza-alebo-chce-ohrozit-kyberneticku-bezpecnost/index.html

Verejné pripomienkovanie štúdie uskutočniteľnosti k predmetnému projektu sa realizovalo 11. júla 2018. Obdržali sme celkovo 42 pripomienok a doplňujúcich otázok, z toho 35 bolo od Slovensko.Digital, z ktorých veľkú časť považujeme po odbornej stránke za nerelevantnú. Zvyšné pripomienky predložilo ministerstvo financií (1), Národná agentúra pre sieťové a elektronické služby (3) a Partnerstvá pre prosperitu (3).

Informácie v štúdii uskutočniteľnosti sú uvádzané v maximálnej možnej miere detailu, aby bola zachovaná bezpečnosť a súčasne transparentnosť a verejná kontrola. Detailnejší obsah týchto informácií je známy zainteresovaným partnerom vzhľadom na ich obsah a bezpečnostné riziká vyplývajúce z ich potenciálneho prezradenia.

Kalkulácie nákladov a návratnosti projektu pripravovali špičkoví odborníci, ktorí už dlhodobo zabezpečujú kybernetickú bezpečnosť Slovenskej republiky. Sú to certifikovaní špecialisti s medzinárodnou akreditáciou. Títo odborníci zároveň reprezentujú našu krajinu na medzinárodných súťažiach, kde sa Slovenský tím už dlhodobo umiestňuje na popredných miestach.

Výpočet návratnosti projektu vychádza z informácií o stave kybernetickej bezpečnosti v našej krajine ako aj z poznania kybernetických hrozieb, ich výskytu a dopadov, ktoré vznikli alebo by mohli vzniknúť keby neboli včas eliminované. Tieto informácie sú v chránenom režime.

Co keby tak CSIRT predlozil spravu o svojich aktivitach napr. za prvy polrok 2018, rok 2017, rok 2016.

Ake aktivity vykonavaju? Co je rutinna aktivita denna, co su speci aktivity? Kolko ich tie aktivity stoja casu a penazi? Aky pocet incidentov riesili, ich kategorizaciu, …? Ktore aktivity outsorcuju a v akom rozsahu? Ake ine typy spoluprace maju? Ake problemy maju a ako by ich vedeli navrhovali riesit? Ake aktivity nepokryvaju, nakolko si ich ine subjekty realizuju samostatne (predpokladam, ze CSIRT nevykonava aktivity v armade, SIS, …)?

Tomuto by som viac uveril a vedel by som si lepsie predstavit biznis case na urovni CSIRTu a na urovni vyssej ako je CSIRT, atd. .

…a co keby tak si si tu spravu precital ked uz existuje ? :slight_smile:

1 Like

presiel som si, ale len na male spektrum okruhov, ktore by mna zaujimali, keby som robil studiu a mal by sam dany problem uchopit danu temu a som ich spomenul v poste vyssie, som z tej spravy dostal odpoved…cize podla spravy CSIRTU za 2016:

  • bolo zaevidovanych 346 incidentov skodlivej aktivity,
  • bolo celkom 1 613 156 typov bezpecnostnych udalosti, kde z toho Botnet predstavuje 720 241, Vyskyt zranitelnosti predstavuje 544 855, Skodlivy kod predstavuje 184 821, Neodstupnost (Dos, DDoS, …)
  • robia monitoring,
  • robia penetracne testy,
  • robia analyzu skodliveho kodu a zranitelnosti,
  • vzdelavaju,
  • zucastnuju sa podujati.

…ale chyba pohlad cez peniaze - rozpocet, kolko penazi ide na otutsorcing a ktorych aktivit, penazne ocenenie hrozieb, identifikacia rizik a navrhy na ich riesenie, atd., atd…

Ale áno, viacerí z bezpečnostnej komunity o tomto projekte vedia a aj názor majú. Akurát z nejakých dôvodov ho nechcú povedať verejne. Ale v posledných dňoch ma viacerí potľapkávali po pleci, že ako dobre sme pripomienky trafili…

Mimochodom, ako Ty hodnotíš “kalkulácie špičkových odborníkov, ktorí sú certifikovaní špecialisti”, z ktorých vychádza že tento projekt - napr. odhad dopadov incidentov?

Btw. Citadelo: Štát bez dostatočnej verejnej diskusie schvaľuje štúdiu pre projekt kybernetickej bezpečnosti - Citadelo

ja som tie kalkulacie nerobil ani som sa na studii nepodielal :slight_smile: vlastne som si ju stale este poriadne neprecital, nebolo casu :frowning: Skor ma zaujal tento pribeh

A rozmyslam, ci sa vdaka tomuto projektu pripravenostou priblizime stavu Singapuru.

toto je inak dobry priklad, ktory ílustruje problem s cba, aky je finacny dopad takehoto incidentu? okrem ceny za posielanie listov tam ziadny priamy finacny dopad nie je, ohrozuje to doveryhodnost systemu. zrejme existuje hranica vydavkov na bezpecnost, a potom je uloha za dane peniaze postavit co najlepsiu ochranu.

Nerozmýšľaj, odpoveď je predsa jasná - ani zďaleka. Podstatou toho príbehu je prístup ľudí - zo štátnej správy i z iných inštitúcii, nie to, aký SW a HW kúpili.

1 Like

Tajne dúfam že v rámci projektu dôjde aj setupu a štartu procesov, v dôsledku ktorých sa začne meniť prístup zainteresovaných strán. Aspoň základné procesy. Lebo bude blbé keď sa u nás stane niečo podobné a štát nezaeraguje správne. To bude fakt zle.

Rád by som bol taký optimista, ale nevidím nič, od čoho by sa taká nádej dala odraziť. Väčšina opatrení toho singapurského príbehu je zameraná smerom k občanom, k tomu, aby na nich nedopadli, resp. aby sa zmiernili, negatívne dôsledky incidentu. To je o nastavení zmýšľania “decision-makers” v štátnej správe. Naše doterajšie “koncepčné” materiály i samotný zákon o KyB sa sústreďujú na CERTy/CSIRTy a na ochranu systémov kritickej infraštruktúry, na občanov, na ich záujmy, na ich informovanie kašlú. Ak sa takýto prístup systematicky prejavuje vo všetkých kľúčových materiáloch, na základe čoho očakávaš nejaký setup, ktorý začne meniť prístupy “zainteresovaných strán”.

Skôr či neskôr nás nepripravenost dobehne. A najhoršie bude keď sa naozaj začne situácia riešiť za jazdy, keď už nejaký masívny incident nastane. To je každému jasné. Nuž, keď nie skôr (v rámci projektu) , tak najneskôr vtedy sa to bude musieť zmeniť. A zrazu nejaké adhoc procesy vzniknú. Zdá sa mi preto logické pripraviť sa kým je kľud. A tento projekt je na to ideálny. Veď tie csirty musia mať pripravené scenáre riešenia zásadných incidentov, kvôli tomu sa zriaduju.

Teoreticky by už tá trápna reakcia na problém s eID kartami mala upozorniť ako biedne je naša štátna správa pripravená reagovať na krízové situácie súvisiace s IT … akosi som nepobadal, že by bola snaha (či vôbec záujem) sa z toho poučiť a okrem nákupu HW/SW sa zamerať na procesy a prípravu ľudí na úrovni “decision-makers”.

Máš pravdu, akurát sa zdá, že NBÚ ako ústredný štátny orgán pre kybernetickú bezpečnosť to vníma po svojom - pripravuje sa len na technickú úroveň prípadných incidentov a ich riešenia, akosi som nepobadal že by predmetom záujmu boli aj dopady incidentov na občanov ktorých údaje môžu byť cieľom útokov. Pripomínam, že v tom singapurskom príbehu to bol podpredseda vlády, kto zdôraznil, že “je nevyhnutné ísť za hranice implementácie technických riešení a zaoberať sa transparentným informovaním a vysvetľovaním smerom k znepokojenej verejnosti” - náš podpredseda vlády sa evidentne uspokojí s tým, že projekt pripravovali údajní “špičkoví odborníci …certifikovaní špecialisti s medzinárodnou akreditáciou” a tým to je pre neho vybavené.

Poriadna DPIA pre niektoré štátne IS tiež môže ukázať priame potreby ktoré by tento projekt mohol naplniť . GDPR hype by v tomto mohol byť užitočný.