Názov: Vybudovanie nosnej infraštruktúry bezpečného informačno-komunikačného
systému FS SR
Garant: Finančná správa SR (FS SR)
Stručný opis: Projekt má zvýšiť úroveň bezpečnosti IKT FS SR a rieši dve nezávislé aktivity: ochranu perimetra, bezpečnostný monitoring a analytiku, a proces výmeny citlivých informácií a utajovaných skutočností.
Náklady na projekt: 43,4M Eur (investície) + 33,7M Eur (prevádzka 10 rokov) s DPH
Aktuálny stav projektu: Príprava projektu
Čo sa práve deje:
- 12.6.2019 Plánované schvaľovanie štúdie uskutočniteľnosti
Zhrnutie hodnotenia Red Flags: Štúdia uskutočniteľnosti je síce vypracovaná, ale podstatné nedostatky vidíme v slabom určení merateľných ukazovateľov, neanalyzovaní skutočných alternatív, neúmerne vysokých nákladoch a deklarovaní vysokých prínosov, ktoré však nie je možné overiť. Všetky detailné informácie sú utajené, na čo vo viacerých prípadoch nevidíme dôvod.
Stanovisko Slovensko.Digital: Nespochybňujeme potrebu realizácie oboch častí projektu, avšak štúdia uskutočniteľnosti nedáva dostatočnú odpoveď na viaceré kľúčové otázky projektu, preto by v súčasnom stave nemala byť schválená.
HODNOTENIE RED FLAGS
I. Prípravná fáza
Reforma VS
Hoci Finančná správa má vypracovaný reformný zámer, tento projekt na neho nenadväzuje a jeho potreba v ňom nie je identifikovaná. Pritom reformný zámer rieši “zefektívnenie správy daní a cla” a jedna z jeho hlavných aktivít je “boj proti daňovým a colným podvodom a ochrana finančných záujmov SR”.
Hoci to v štúdii uskutočniteľnosti nie je uvedené, časť tohto projektu týkajúca sa procesu výmeny citlivých informácií v skutočnosti realizuje optimalizáciu činnosti FSSR v tejto oblasti a budovaný IS ju podporuje.
Merateľné ciele (KPI)
V štúdii uskutočniteľnosti sú uvedené nasledovné merateľné ukazovatele:
Pozn [1]: Hodnota 100 % predstavuje počet ľudí prichádzajúcich do styku s utajovanými skutočnosťami v súčasnosti (cca. 25 osôb), ktorá sa po realizácii projektu zníži minimálne o polovicu (na menej ako 12 osôb).
V časti projektu týkajúcej sa ochrany perimetra nie sú stanovené zmysluplné merateľné ukazovatele, keďže cieľom nie je “počet nasadených nástrojov”, ale dosiahnutie určitej úrovne bezpečnosti.
V časti týkajúcej sa výmeny citlivých informácií posledný merateľný ukazovateľ považujeme za relevantný, ale bolo by potrebné doplniť ďalší ukazovateľ zameraný na konkrétne prínosy zo zavedeného systému.
Že určité náklady, resp. prínosy v oblastiach realizovaných projektom je možné merať dokazuje aj ich vyčíslenie v neverejnej štúdii spomínanej v CBA projektu, na základe ktorej sú kalkulované prínosy.
Na verejnom prerokovaní bolo prisľúbené doplnenie merateľných ukazovateľov, čo však nebolo splnené.
Postup dosiahnutia cieľov
V štúdii uskutočniteľnosti je uvedený plán realizácie rozdelený do 4 fáz špecificky prispôsobených pre podmienky tohto projektu.
Štúdia obsahuje aj poznámku “cieľom je, aby jeho riadenie [projektu] zahŕňalo poučenia z projektov realizovaných v rámci programu OPIS”, pričom však tieto poučenia nie sú nijako konkretizované.
Súlad s KRIS (nie je zatiaľ vyhodnotený)
Súlad s KRIS sme zatiaľ nevyhodnotili.
Biznis prínos
Cieľom projektu je zvýšenie úrovne bezpečnosti FS SR. Nedostatky súčasného stavu pritom v štúdii uskutočniteľnosti nie sú konkretizované a verejne je deklarované že “žiadny únik informácií nebol preukázaný”, avšak projekt počíta s podstatnými prínosmi v tejto oblasti ak bude realizovaný (117M Eur za 10 rokov).
Príspevok v informatizácii
Ide o interný projekt, elektronické služby FSSR ním nebudú nijako zmenené. Časť týkajúca sa ochrany citlivých informácií má zlepšiť aj schopnosť FSSR komunikovať s okolím v tejto oblasti. V tejto časti ide o vybudovanie 923 PC zabezpečených na prácu s citlivými informáciami (túto informáciu tu uvádzame, keďže ju nie je v štúdii ľahké nájsť).
V obidvoch častiach je projekt zameraný na “dobudovanie” internej IKT infraštruktúry.
Štúdia uskutočniteľnosti
Štúdia uskutočniteľnosti je síce vypracovaná v predpísanej štruktúre, ale neplní svoj skutočný účel, viď. zistenia k ostatným kritériám tohto hodnotenia.
Alternatívy
Štúdia obsahuje iba 3 varianty riešenia: nerobiť nič, realizovať zvolené riešenie a umelé “minimalistické riešenie”, ktoré má nepochopiteľne vyhodnotené kritériá (napr. údajne nezabezpečí súlad s legislatívou).
Keďže projekt obsahuje dve nezávislé časti, mali ich varianty byť taktiež posudzované samostatne.
V časti týkajúcej sa ochrany perimetra takto nie sú efektívne žiadne variantné riešenia, iba “súčasný stav” a “zvolené riešenie”.
Hlavným cieľom časti týkajúcej sa ochrany citlivých informácií je zníženie počtu osôb, ktoré sa s informáciou oboznamujú, absentuje analýza (a príslušná alternatíva) možností tohto zníženia pomocou organizačných zmien. Vzhľadom na enormne vysoké plánované náklady na túto časť považujeme za potrebné identifikovať skutočné variantné riešenia, ktorých cieľom je minimalizácia nákladov.
Kalkulácia efektívnosti
Prínosy deklarované v CBA sú založené na dvoch číslach, ku ktorým je uvedený popis iba “neverejná analýza”. Takto nie je možné overiť či prínosy sú dosiahnuteľné, alebo či boli určené správne. Pritom deklarovaná výška takto dosiahnuteľných úspor je spolu 114M Eur a na tomto základe je založené aj odôvodnenie vysokých nákladov projektu.
V projekte sú deklarovaný obzvlášť vysoké náklady v časti “HW a licencie”, pričom nie je nijako konkretizované ako boli určené, alebo na čo konkrétne zdroje budú použité. Predpokladáme, že FSSR už má vybraté konkrétne produkty, ktoré však utajuje. Minimálne v časti ochrany perimetra na to nevidíme dôvod.
Keďže v časti týkajúcej sa ochrany citlivých informácií ide o nákup 923 zabezpečených PC, dá sa z CBA odvodiť predpokladaná cena na HW jedného PC viac ako 15000 Eur, čo považujeme za neodôvodnene vysoké.
Participácia na príprave projektu
Štúdiu uskutočniteľnosti bolo možné pripomienkovať a bola verejne prerokovaná. Zmeny na základe pripomienok v projekte boli však iba kozmetické. Niektoré konkrétne závery z verejného prerokovania (napr. doplnenie merateľných ukazovateľov) boli ignorované.
Podstatná časť informácií - najmä všetky detaily aký konkrétne HW a SW sa má nakupovať - je však utajená.
Dokumenty
- Štúdia uskutočniteľnosti:
- online
- štúdia, prílohy, CBA preferovaná, CBA minimálna (verzia z 10.6.2019)
- pripomienky a ich zapracovanie: pripomienky_verejne_prerokovanie_odpovede.xlsx (19.1 KB)
Aktivity
V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:
- 27.5.2019 Verejná prezentácia štúdie uskutočniteľnosti