Rašiho úrad si schválil IT projekt, ktorý je viac utajený ako stíhačky SNS

Úrad podpredsedu vlády Richarda Rašiho schválil koncom minulého týždňa štyri veľké IT projekty za výrazne viac ako 100 miliónov eur, hoci mnoho odborníkov k nim má už niekoľko mesiacov vážne a konkrétne výhrady.

Zvlášť kritizovaný je projekt riadenia incidentov kybernetickej bezpečnosti, zjednodušene, ochrany štátu proti hackerským útokom alebo počítačovým vírusom, ktorý chystá Rašiho úrad (ÚPVII). Pri ňom nie je ani jasné, čo ide úrad nakupovať. Kritici pripomínajú, že úrad podpredsedu vlády pritom riadi informatizáciu a mal by ísť príkladom.

Okrem toho sú blízko tendrom aj tri projekty ministerstva vnútra, ktoré majú zlepšiť IT prostredie úradníkov a zjednodušiť správne a priestupkové konanie. Ľubor Illek zo Slovensko.Digital však hovorí, že ministerstvo vnútra poriadne nenaplánovalo, ako to pomôže celej verejnej správe a naplánovalo si to iba pre seba.

Štúdie týchto štyroch veľkých IT projektov pred pár dňami schválil takzvaný riadiaci výbor eurofondov, čo v praxi znamená, že sa môžu začať tendre.

Šéfom riadiaceho výboru je Richard Raši, členmi sú okrem jeho podriadených aj úradníci z ďalších ministerstiev, zástupca ZMOS-u aj združenia IT firiem IT Asociácia Slovenska (ITAS).

„Projekty sú stále predražené a úradníkom stačí vysvetlenie, že ceny boli vyrátané ako expertné odhady,“ hovoria IT-čkári zo Slovensko.Digital, najhlasnejší kritici projektov.

U Rašiho skoro všetko utajili

Najviac pochybností sa spája s kyberprojektom Rašiho úradu, ktorý sa začal chystať už za Petra Pellegriniho, keď bol ešte vicepremiérom. Projekt má stáť 44 miliónov eur, pôvodne to malo byť o 13 miliónov menej. Ďalších zhruba 40 miliónov má stáť 10-ročná prevádzka.

Novým hardvérom a softvérom majú byť vybavené štyri pracoviská, jedno má byť v SIS, ďalšie v NBÚ, na Rašiho úrade a vo vládnej agentúre NASES. Rašiho úrad argumentuje, že tieto štyri inštitúcie vytvárajú „kostru systému kybernetickej ochrany na národnej úrovni“, každá z nich má špecifické kompetenčné postavenie a „systematické zabezpečenie kybernetickej bezpečnosti je možné iba ich vzájomným prepojením“.

Illek zo Slovensko.Digital však hovorí, že z dostupných materiálov nie je jasné, prečo majú dostať nové IT až štyri jednotky (tzv. CSIRT), a vyzerá to tak, že z veľkej časti budú duplicitné. Napríklad sa pýta, že ak má jednotka CSIRT na úrade podpredsedu vlády poskytnúť služby pre celú verejnú správu, prečo nemôže aj pre NASES.

„O projekte je málo informácií, skoro všetko je utajené. To je, ako keby sa nepovedalo, aký typ stíhačky ideme nakupovať, ani ich počet, ktorý sa ide nakupovať. Asi si viete predstaviť, ako ten materiál vyzerá,“ povedal Illek.

IT-čkári kritizujú aj kvalitu expertného odhadu, ktorý robila konzultačná firma Ernst & Young. Ukazujú, že stačí v ňom zmeniť jedno číslo a vysoko ziskový projekt sa zmení na stratový. Konzultačná firma v ňom vychádza z toho, že celkové škody z kyberútokov sú 0,8 % HDP.

Vychádzala z globálnych dát, ktoré prerátala na Slovensko. No keby napríklad použila údaj, že vo Veľkej Británii je cena jedného incidentu 24-tisíc dolárov, čo tiež v analýze spomína, zrazu by bol projekt stratový. „Pýtame sa, ako je možné takto investovať štátne peniaze,“ čuduje sa Illek.

Konzultačná firma Ernst & Young s takýmto výpočtom nesúhlasí. Hovorí, že Slovensko.Digital síce prevzalo údaj o priemernej cene jedného incidentu kybernetickej bezpečnosti vo Veľkej Británii, ktoré bolo v tej istej analýze, no zároveň za Veľkú Britániu nepoužilo aj údaj o počte incidentov. A ten je v prípade Veľkej Británie iný ako platí pre Slovensko.  „Potom Slovensko.Digital vložilo tento údaj do pôvodného výpočtu prínosov Projektu a pochopiteľne dostalo úplne nerelevantný výsledok,“ uviedla firma. (doplnené o stanovisko firmy 9. augusta 2018).

Rašiho úrad tvrdí, že použiť ako referenčnú hodnotu Veľkú Britániu nie je správne, lebo tam sa tomu dlhodobo venuje verejný aj súkromný sektor a je schopný vyhodnocovať aj incidenty menšieho rozsahu a s menšími škodami, čo znižuje priemernú výšku škody kyberincidentu. Argumentuje aj tým, že britská vláda plánuje preinvestovať v oblasti kybernetickej bezpečnosti 2,5 miliardy dolárov.

Odborník nevidí dôvod na utajenie

So spôsobom výpočtu ekonomickej efektívnosti projektu má problém aj bezpečnostný IT expert Pavol Draxler zo spoločnosti Binary Confidence, ktorý bol pri budovaní viacerých CSIRT-ov pre európske agentúry. Hovorí, že CSIRT-y sú potrebnou súčasťou informačnej bezpečnosti, ale v žiadnom prípade to neznamená, že ak by neexistovali, štát ostane nezabezpečený. Výpočet ich ekonomickej efektívnosti vzhľadom na útoky k HDP je preto podľa neho dosť zvláštny a neštandardný.

„Nehovoriac o použitých vstupných dátach. Určovať ekonomickú výhodnosť na základe predpokladov útokov v budúcnosti a predpokladu, koľkým zabránia, je doslova nemerateľné a nemá to žiadnu výpovednú hodnotu,“ hovorí Draxler.

Draxler upozorňuje aj na to, že celý materiál sa vôbec nezaoberá rozvojom ľudských zdrojov, čo je pre CSIRT-y to najdôležitejšie. „Predložený materiál akoby bol spracovaný len s cieľom dostať do nejakého materiálu sumu 40 miliónov na netransparentný nákup hardvéru a softvéru, ktorý nie je špecifikovaný, ani či to sú forenzné nástroje, alebo MS Office. Táto suma sa zdá byť dosť vysoká aj pre agentúry európskeho významu,“ hovorí.

Vraví tiež, že argumentovať utajením pre bezpečnosť v tomto prípade nemá logiku. „Každý vie, že CSIRT team používa napríklad nástroje pre forenznú analýzu, kde sa cena pohybuje od 5 000 do 200 000 za licencie, pripadne ak zabezpečujú aj bezpečnostné operačné stredisko, tak na monitoring potrebujú SIEM, kde sú opäť ceny pri veľkých prostrediach od 40 000 do 700 000. Takže je úplne v poriadku zverejniť, koľko je plánované minúť na každú položku,“ povedal Draxler.

Pripomienky ku kyberprojektu má aj IT Asociácia Slovenska (ITAS). Aj ona hovorí, že v štúdii by mali byť jasnejšie pomenované koncové služby pre verejnú správu, teda čo z neho naozaj štát bude mať. „Rovnako zastávame názor, že v projekte by bolo potrebné rozpracovať organizačné aspekty, napríklad deľbu úloh medzi jednotkami na riešenie kybernetických bezpečnostných incidentov, personálne zabezpečenie a ďalšie,“ povedal šéf ITAS-u Emil Fitoš.

Tri projekty Sakovej úradu

Na ministerstve vnútra môžu pomaly chystať verejné obstarávanie pre tri obrie IT projekty spolu za viac ako 70 miliónov eur. Projekty majú naprogramovať komponenty pre správne aj priestupkové konania, aby sa tieto konania zjednodušili pre občanov aj úradníkov vrátane toho, čo úradník vidí na obrazovke svojho počítača.

Analytici z Útvaru hodnoty za peniaze majú k projektom viacero výhrad. Upozornili, že im chýbajú merateľné výsledkové ukazovatele, ktoré by odrážali ich prínosy, napríklad úsporu času, zníženie nákladov a poruchovosti, vyššiu spokojnosť. Nie sú v nich posúdené netechnické či rozsahovo menšie riešenia s rovnakým efektom.

Upozornili tiež, že projekty navrhujú každý iba jedno biznis riešenie bez posúdenia alternatívneho rozsahu projektu či rozsiahlejších legislatívnych zmien. Chýba aj minimálna alternatíva.

Uviedli tiež, že rozpočet na vývoj projektov (63 miliónov eur) ministerstvo neoverilo trhovou konzultáciou ani prieskumom trhu a predstavuje tak potenciál pre zníženie nákladov. Ministerstvo mohlo náklady konzultovať s firmami, ktoré podobné projekty realizujú.

„Všetky tri projekty sú na základe podložených meraní spoločensky návratné. Projektom však chýba posúdenie alternatív a overenie nákladov prieskumom trhu. Nie je preto možné overiť, či projekty dosahujú najvyššiu hodnotu za peniaze,“ uviedol v správe tím hodnoty za peniaze.

Projekty už niekoľko mesiacov kritizujú IT-čkári zo Slovensko.Digital. Tvrdia, že projekty majú v rozpočte miliónové náklady, ktorým chýba vysvetlenie a alternatívy, nemajú vhodné merateľné ukazovatele a ich prínosy sú naviazané na ešte neschválené budúce projekty. A hoci ministerstvo projekt v marci stiahlo, ich pripomienky ani potom nezapracovalo.

Jedným z troch projektov sú Centrálne komponenty konania vo verejnej správe. IT-čkár Ján Suchal ho prirovnal ku komponentom v projekte Slovensko.sk, ktoré boli také izolované, že spôsobili veľké problémy. Problém podľa neho je, že sa v prvom kroku vybudujú centrálne komponenty len pre ministerstvo vnútra. Po dvoch rokoch sa nasadí pilot len pre vybrané úseky a len pre vybraných úradníkov. „Riziko je, že prínosy nikdy ani nebudú,“ povedal Suchal.

ITAS nemal k trom projektom vnútra žiadne výhrady.

Rašiho úrad uviedol, že projekty ministerstva boli schválené práve s podmienkou, že ku každému z nich nebude iba jedno verejné obstarávanie, ale každý z projektov bude mať niekoľko obstarávaní. „Vytvoríme tak priestor pre menšie firmy a väčšiu súťaž na trhu,“ uviedla digitálna líderka Martina Slabejová. Ďalšou podmienkou úradu bolo, aby nové cloudové služby mohli používať aj ostatné subjekty verejnej správy.

Dva zdroje potvrdili, že Slabejová dala koncom júla tesne po schválení štyroch sporných projektov výpoveď. Úrad podpredsedu vlády uviedol, že k personálnym otázkam sa nebude vyjadrovať. Slabejová na esemesku z dovolenky nereagovala. Nie je preto jasné, či jej odchod je definitívny a či súvisí s aktuálne schvaľovanými projektmi.