Red Flags: Redizajn siete GOVNET

Názov: Redizajn siete GOVNET

Garant: Národná agentúra pre sieťové a elektronické služby (NASES)

Stručný opis: Projekt bol zúžený na oblasť zvýšenia bezpečnosti siete Govnet (t.j. zabezpečenie transportnej vrstvy), zníženie prevádzkových nákladov (zmenou vlastníctva hw prvkov a liberalizáciou výberu dodávateľov transportnej vrstvy).

Náklady na projekt: 10M Eur (investície) + 12M Eur (prevádzka počas 10 rokov) s DPH

Aktuálny stav projektu: Príprava projektu

Čo sa práve deje:

  • schvaľovanie projektu dňa 27.10.2022 v RV PO7 OPII
  • Príprava žiadosti o nenávratný finančný príspevok a verejného obstarávania

Zhrnutie hodnotenia Red Flags: V časti projektu týkajúca sa zvýšenia bezpečnosti siete Govnet nevidíme kritické nedostatky. Navýšenie nákladov na budovanie a zvyšovanie bezpečnosti siete Govnet je zmysluplné. Absentuje naviazanie na strategické ciele v oblasti bezpečnosti. Taktiež absentuje stratégia pre sieťovú a telekomunikačnú infraštruktúru verejnej správy. Nie sú jasné merateľné ukazovatele projektu, najmä pre oblasť kybernetickej bezpečnosti.

Stanovisko Slovensko.Digital: Oceňujeme vypustenie časti telekonferencií, ktorú sme v predošlej verzii projektového zámeru považovali za rizikovú a nehospodárnu. Investície do zlepšovania bezpečnosti siete Govnet a investície, ktoré vytvárajú priestor, aby Nases/štát mal správu siete Govnet vo svojom režime, zvyšujú transparentnosť výdavkov, považujeme za opodstatnené. Navýšeniu rozpočtu na túto aktivitu “lebo je viac útokov” je možné rozumieť, avšak dlhodobo poukazujeme na potrebu určenia konkrétnych strategických cieľov v oblasti bezpečnosti a zasadenia projektov do tohto rámca - ináč nie je možné vyhodnotiť reálnu vhodnosť a dostatočnosť projektu.

:triangular_flag_on_post: HODNOTENIE RED FLAGS

I. Prípravná fáza


Reforma VS :star::grey_star::grey_star::grey_star:

Ide čisto o technologický projekt, ktorý nie je naviazaný na žiadnu reformu/optimalizáciu VS, čo v prípade projektu financovaného z OPII považujeme za chybu.
Pre oblasť sieťovej a telekomunikačnej infraštruktúry VS dlhodobo absentuje kvalitný strategický dokument.


Merateľné ciele (KPI) :star::grey_star::grey_star::grey_star:

Vypúšťajú sa KPI naviazané na pôvodnú časť telekonferencií. Zavádzajú sa nové ciele spojené s bezpečnosťou siete Govnet: počet uzlov Govnetu, kde bude nasadená nová technológia a úspora prevádzkových nákladov.
Aktuálne merateľné ukazovatele projektu nie sú z dostupnej dokumentácia jasné.
Projekt nemá stanovené merateľné ukazovatele pre oblasť kybernetickej bezpečnosti a nie je naviazaný na merateľné ukazovatele pre túto oblasť podľa NKIVS.


Postup dosiahnutia cieľov :star::star::grey_star: :grey_star:

Kedže ide o projekt, ktorý nemá vývojovú časť je plán pomerne jasný. Projekt bol pôvodne schválený v roku 2018, schválený harmonogram sa nedodržal.


Súlad s KRIS (nie je zatiaľ vyhodnotený)


Biznis prínos :star::star::grey_star::grey_star:

Biznis prínosy sú z pohľadu časti “zabezpečenia bezpečnosti siete Govnetu” zodpovedajúce takémuto typu projektu, keďže ide najmä o zvyšovanie bezpečnosti a optimalizáciu a zvyšovania transparentnosti na strane nákladov.
Absentuje strategické určenie cieľov pre oblasť bezpečnosti, a taktiež pre oblasť cieťovej a telekomunikačnej infraštruktúry verejnej správy. Nie je tak možné zasadiť projekt do tohto rámca a voči týmto cieľom vyhodnotiť reálnu vhodnosť a dostatočnosť projektu.


Príspevok v informatizácii :star::star::star::grey_star:

Systematické aktivity v oblasti budovania siete Govnet sa ukázali ako potrebné. Zvyšovanie bezpečnosti, znižovanie závislosti na externých dodávateľoch, optimalizácia a transparentnosť výdavkov sú relevantné a potrebné aktivity.


Štúdia uskutočniteľnosti :star::star::star::grey_star:

Projektový zámer bol aktualizovaný a bola vypustená časť o telekonferenciách. Redizajn siete Govnet a zvyšovania bezpečnosti bol dodatočne rozpracovaný. Boli doplnené štatistiky, analytické podklady. Nases dopracoval technické dokumenty.


Alternatívy :star::star::star::star:

Alternatívy pre časť redizajnu Govnet sú popísané vhodne, nemáme výhrady. V rámci aktualizácie projektového zámeru boli prepracované alternatívy budovania siete Govnet. Boli pomenované relevantné alternatívy.


Kalkulácia efektívnosti :star::star::grey_star::grey_star:

Efektívnosť projekt je založený na znížení nákladov na prevádzku oproti súčasnému stavu.
Pri úprave projektu došlo vypusteniu nákladov na komponent videokonferencií, a taktiež k zníženiu kalkulovaných nákladov na prevádzku o 26,5%.
Očakávame v rámci procesu nákupu vyjednanie zliav hw komponentov.
Nie je jasná kalkulácia kvalitatívnych prínosov pre oblasť bezpečnosti.
Upozorňujeme, že v predloženej CBA je kumulovaná diskontná návratnosť ENPV od roku t5 záporná, t.j. investícia do projektu nie je návratná.


Participácia na príprave projektu :star::star::star::star:

K projektu bolo možné zaslať pripomienky, uskutočnil sa verejný hearing, na ktorom boli prislúbené ďalšie materiály a úprava štúdie uskutočniteľnosti, zapracovanie pripomienok a osobné konzultácie.


:file_folder: Dokumenty


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

  • 11.7.2018 Ukončenie pripomienkovania štúdie uskutočniteľnosti.
  • 13.7.2018 Verejný hearing k štúdii uskutočniteľnosti.
  • 11.10.2018 Štúdia uskutočniteľnosti schválená RV PO7 OPII

Zaslali sme tieto pripomienky vzhladom na kratkost casu sme museli byt velmi strohi. redizajnGOVNETpripomienky-SD.xlsx (13.3 KB)

1 Like

Kratky zapis z verejneho hearingu bolo tam odhadom tak 20 ludi. Pytal som sa cely cas vlastne len ja (uz mi je to trochu aj trápnô), potom UPVII a RO (doprava).

Prezentacia zacala peknym grafom, ze uz zapracovali 141 pripomienok a 23 este nie (najma od nas a UHP ak to spravne chapem)

  • velmi technicka prezentacia o govnete samotnom (ta networkova cast)

Telekonferencie

  • na zaklade bezpecnostnych poziadaviek bolo identifikovane ze to musi byt sifrovane na transportnej vrstve a zaroven to musi byt cele v govnete

    • v studi toto velmi nie je. vypytal som si tu bezp. analyzu (slubili dodat)
    • viac krat som sa na to pytal, vysvitlo, ze problem je, ze nemaju pod kontrolou sifrovacie kluce na endpointoch cize tomu neveria. (Ak toto je problem tak som zvedavy ako @rho toto riesi v certfikacii sluzieb v public cloude, z mojho pohladu je toto extremna paranoia)
    • chcu tade prenasat aj citlive informacie (stupen si nepamatam) - pytal som sa, ze kolko takych konferencii bude (myslim si ze menej), taktiez padla veta, ze “eu nedovoluje na toto pouzivat saas sluzby” a tiez, ze to nesmie tiect mimo EU (co by sa dalo chapat).
  • potrebuju zapojit co najviac existujucich telekonferencnych miestosti

    • cize potrebujuju podporovat vsetko (preto je to tak brutalne specificke uz v studii)
  • pilot - chcu hlavne overit kompatibilitu

    • pozicaju si to a vyskusaju, nie je uplne zrejme co sa stane ked to nebude fungovat. doplnia.
  • este budu zmeny v studii (nejake)

  • chcu vyuzit existujuce ramcove zmluvy na hw???

  • nenastane situacia, ze sa bude nieco vymienat (bolo nakupene cez OPIS a bol by to problem)

  • chybaju alternativy pre cast telekonferencie

    • co takto sa napojit na existujuce centraly namiesto budovania novej centraly (mali by doplnit, myslim, ze to bola vyhrada niekoho UHP/UPVII?)
    • saas
  • UHP uz pripomienkovalo? boli ich pripomienky zapracovane? (ciastocne)

  • nie je dostatocne sifrovana komunikacia v sucasnosti (co to v praxi znamena? mna to dost vystrasilo)

    • je to pravda, problem vsak nie su integracne spojenia G2G aleb G2B (tie idu cez ipsec) ale vsetko ostatne v Govnete (MPLS je tam nesifrovane) - co je to ostatne ja neviem.
  • reformny zamer - na ktory RZ sa tento projekt viaze?

    • ziadny - prioritny ciel bezpecnost nemusi mat RZ

Prislubili poslat

  • zdrojove data k zahranicnym cestam
  • zdrojove data k technickym zariadeniam na roznych uradoch
  • EU nedovoluje riesit toto cez sluzby (poslu preco)

Paradoxne v tych rozvinutejsich public cloudoch je toto celkom dobre poriesene vid. napr. https://azure.microsoft.com/en-us/services/key-vault/
https://cloud.google.com/kms/
https://aws.amazon.com/kms/
s FIPS 140-2 standardom.
Takze tam by sa o svoj “klucik” az tak strachovat nemuseli :slight_smile:

Hej toto viem, len toto sa skor tyka PaaS ako SaaS nie? Napriklad Amazon Chime ma sifrovanie cez https a ked teda prehlasia, ze ten SSL kluc ktovie kde vsade bol (NSA a tak), tak sme skoncili a vsetky mozne ozajstne cloudove SaaS sluzby si mozeme skrtnut.

Z mojho pohladu je toto naozaj velmi paranoidne.

Dostali sme odpoved na pripomienky odpočet Slovensko digital.xlsx (13.5 KB)

A boli prislubene dalsie data.

Telekonferencie sú preč. :+1:

1 Like