Je to návrat starých čias, podobá sa to na slovensko.sk, varuje odborník pred IT projektmi za sto miliónov

Ľubor Illek zo Slovenska.Digital vysvetľuje, prečo len ťažko veriť prínosom chystaného kyberprojektu Rašiho úradu, ktorého veľká časť je utajená. On s kolegami dal vážne pripomienky ku všetkým štyrom veľkým IT projektom, ktoré Rašiho úrad odporučil na získanie eurofondov.

Úrad podpredsedu vlády, ktorý vedie Richard Raši, si schválil obrovský 40-miliónový projekt, ktorý má riešiť kybernetickú bezpečnosť. Dá sa tomu rozumieť tak, že štát chce nakupovať nové IT, ktoré má štát chrániť pred hackerskými útokmi?

Áno, štát chce nakúpiť hardvér a softvér, tak je to napísané v štúdii, ktorý má pomôcť pri riešení incidentov, napríklad hackerského útoku, počítačového vírusu, alebo phishingu (pozn. – zasielanie mailov s cieľom oklamať používateľov, a tým spôsobiť škodu). Pomocou projektu sa majú dovybaviť organizačné jednotky, ktoré pomáhajú predchádzať týmto incidentom alebo riešia ich následky. Cieľ je dobrý, no väčšina ostatného je v projekte opísaná iba slabo, alebo je to utajené. Ak nemôžeme vidieť, čo sa má nakúpiť, podrobne má byť rozobraté aspoň to, čo tie jednotky majú robiť. Aké služby a koľko z nich bude potrebovať verejná správa a koľko celé Slovensko a ktorá jednotka ich dokáže zabezpečiť. Bezpečnosť nikdy nie je úplná, vždy sa dá ešte trocha zlepšiť ďalšími investíciami. Skutočná otázka je, aké sú potrebné minimálne investície, aby bola bezpečnosť už dostatočná. Štandardný postup je, že sa hľadá optimum nákladov odhadovaním, aké škody by nastali pri rôznej úrovni investícií. V štúdii projektu je aj ukážkový príklad, že takto to má vyzerať, no pri tomto projekte to neurobili.

Pri tomto projekte je tak veľa vecí utajených, že vy ste to prirovnali k tomu, ako keby sme ani nevedeli, aké stíhačky a koľko ich ide štát nakupovať. Vieme o tom projekte naozaj len celkovú sumu a to, že Rašiho úrad chce nakúpiť nejaký softvér a hardvér pre štyri pracoviská pre kybernetickú bezpečnosť (takzvané CSIRT) a nič viac?

V materiáli bolo povedané, že ide o štyri jednotky CSIRT a aké má každá z nich pracoviská. Vyhodnotila sa súčasná miera vyspelosti pracovísk, ktorá vyšla nízka, a určilo sa, že v cieľovom stave chceme mať špičkové pracoviská. Keď sa vrátim k príkladu so stíhačkami, je to, ako keby sa povedalo, že chceme vybaviť 4 letecké jednotky na špičkovej úrovni, povedalo by sa nahrubo, čo tie lietadlá dokážu robiť, a nič viac. Miera detailov by sa tým skončila. My si, naopak, myslíme, že veľa informácií nie je potrebné utajovať. Napríklad nepotrebujeme vedieť, aké škody a kedy sa ktorej inštitúcii stali, ale baviť sa o celkových alebo priemerných škodách je úplne relevantné. Ďalej štúdia vôbec nebrala do úvahy, že podstatnú časť týchto služieb vedia dnes poskytnúť aj komerčné firmy, nie sme odkázaní iba na verejnú správu. Keďže projekt je mimoriadne nákladný, bolo by zaujímavé ho porovnať s cenami komerčných firiem alebo s CSIRT jednotkami v Českej republike.

Hovoríte tiež, že úrad podpredsedu vlády jasne nevysvetlil, prečo sa majú novým IT vybaviť až štyri jednotky – NBÚ, NASES, SIS a samotný úrad. Rašiho úrad tvrdí, že tieto 4 inštitúcie vytvárajú „kostru systému kybernetickej ochrany na národnej úrovni“ a každá z nich má „špecifické kompetenčné postavenie“.

Touto logikou by som mohol povedať, že obec Spišské Podhradie zabezpečuje špecifické úlohy pri ochrane Spišského hradu, preto musí mať vlastnú CSIRT jednotku. Preto tlačíme na systematický pohľad – povedzme si, ktoré služby Slovensko potrebuje, a potom si povedzme, kto ich vie najlepšie zabezpečiť. Napríklad jednotka CSIRT na úrade podpredsedu vlády má poskytnúť služby pre celú verejnú správu. Tam patrí aj vládna agentúra NASES, ktorá, pochopiteľne, má svoje špecifické úlohy, napríklad spravuje Slovensko.sk a vládnu sieť Govnet. Ale každý úrad má svoje úlohy, ktoré nikto iný nemá. Prečo má teda CSIRT na úrade podpredsedu vlády poskytovať služby pre celú verejnú správu a nemôže aj pre NASES?

Na tomto projekte ukazujete aj to, ako ľahko sa dajú spochybniť dáta, z ktorých robia konzultačné firmy niekedy expertné odhady. Analýza ráta s tým, že celkové škody z kyberútokov sú 0,8 % HDP, čo bolo vyrátané z celosvetových dát. Na základe týchto dát vyšiel projekt ziskový. Hovoríte, že keby sa zobrali iné dáta, napríklad za Veľkú Britániu, projekt by bol stratový. Podľa Rašiho úradu to nie je dobrý príklad, lebo tam sa tomu dlhodobo venuje verejný sektor aj firmy a vedia identifikovať aj incidenty menšieho rozsahu s menším dosahom, čo znižuje priemernú hodnotu dosahu.

V prvom rade sme chceli ukázať, ako na jednom čísle stojí a padá celá kalkulácia prínosov projektu. Stačilo zmeniť položku „cena incidentu“ a zrazu sa z plus 140 miliónov stane mínus 23 miliónov. Ak je to také dôležité číslo, prečo sa nemeria, ako je to skutočne na Slovensku? Úrad teda tvrdí, že údaje za Veľkú Britániu nie sú na to vhodné, ale celosvetové – do ktorých je započítaná Veľká Británia alebo povedzme aj USA, ktoré sú známe vysokými nákladmi – už áno? To je varenie z vody, štúdia sa tvári, že robí presné prepočty, ale v podstate ich výsledok je náhodný. Po druhé, v tomto projekte treba dobre rozdeliť následky, ale aj potrebné služby pre verejnú správu a pre celú spoločnosť. V analýze je to urobené len veľmi slabo. Aj ak to porovnáme s doterajším fungovaním jednotiek CSIRT, projekt ráta s veľmi vysokými nákladmi. Je to jeden z najväčších projektov schválených v operačnom programe. No na strane prínosov je doslova rozprávkový a nikto nemôže uveriť tomu, že to tak naozaj je. Úrad pritom diskusiu o týchto výpočtoch ani nepripustil, odpoveď bola, že výpočty robili experti, tak im treba veriť.

Ďalšia z výhrad je, že napriek vysokej sume projekt nemyslí na to, že treba investovať aj do ľudských zdrojov, teda IT odborníkov.

Aj Európska komisia tlačí na to, aby IT projekty neboli len o nakúpení počítačov a softvéru, ale každý projekt by mal mať jednoznačne uvedený prínos, ako zlepší verejnú správu. Chápem, že jednotky CSIRT nie sú bežný agendový systém, ale aj tak štúdia mala riešiť celú problematiku. Tento projekt však vyzerá, akoby najprv vznikol zoznam konkrétneho hardvéru a softvéru, ktorý niekto chce nakúpiť, a až potom štúdia, ktorá mala odôvodniť, že je to potrebné. Takýto prístup vrhá veľký otáznik na všetky IT projekty, ktoré sa obstarávajú v utajenom režime, bolo by vhodné, aby ich skontroloval niekto, kto má potrebné oprávnenia.

Riadiaci výbor schválil aj tri IT projekty ministerstva vnútra za viac ako 70 miliónov eur, ktoré hoci riešia viac vecí, spolu súvisia. Majú zlepšiť IT prostredie úradníkov na ministerstve aj na okresných úradoch a vďaka elektronizácii skrátiť správne aj priestupkové konanie. Sedí to?

Tak ako to ministerstvo prezentovalo, tieto tri projekty naozaj spolu úzko súvisia a tvoria novú infraštruktúru, ktorá pod tými agendami existuje. Myšlienka je naprogramovať jedenkrát komponenty, ktoré potom všetky agendové systémy budú požívať. Tých komponentov je viacero, od správneho konania, čo je akoby jadro systému, až po vrchnú úroveň, čo úradník vidí na svojej obrazovke. Takýto prístup má však aj svoje riziká, napríklad podobne bol plánovaný portál slovensko.sk, všetky služby mali byť dostupné cezeň – a ako to dopadlo? V štúdiách však nie je analyzované, či a ako všetky úrady prejdú na používanie nových centrálnych komponentov a či je to vôbec dobrý nápad. V dokumentoch sa hovorí, že ministerstvo si to vyvíja iba pre seba, ale keď som sa na verejnom prerokovaní ministerstva na to pýtal, odpovedalo, že tieto komponenty budú povinné pre všetky informačné systémy v celej verejnej správe. A ten, kto ich nepoužije, nedostane peniaze.

Zo štúdie teda nevyplýva to, že ministerstvo to nevyvíja iba pre seba.

Nie, tam je uvedené, že je to len pre ministerstvo vnútra. Podľa mňa je to preto, lebo nevedeli tento postup dobre opísať. Podľa nás je to v rozpore s vládnymi dokumentmi, ako sa majú takéto centrálne komponenty zavádzať. Druhá vec je, že kalkulované náklady projektov sú veľmi vysoké.

Je to teda tak, že reálny prínos projektov sa ukáže až potom, čo štát bude musieť investovať do ďalších IT systémov na to napojených?

Presne tak. Pokiaľ viem, ministerstvo vnútra v tejto chvíli pripravuje ďalšie projekty, ktoré budú závislé od toho, že bude fungovať to, čo sa teraz schválilo.

Ak by sa spravili „iba“ tieto tri projekty, ešte by to neznamenalo, že by sa skrátili lehoty priestupkového alebo správneho konania na okresných úradoch?

Keď sa spravia iba tieto tri projekty, samy osebe zmenia iba málo. Agendové systémy okolo sa musia na ne prepojiť, a vtedy to bude fungovať novým, lepším spôsobom. Ale aj v týchto projektoch je veľa správnych myšlienok, napríklad že sa budú podrobne merať procesy vo verejnej správe, napríklad koľko stojíte pri okienku, koľko trvá, kým sa vybaví nejaké podanie. To vítame, ale opäť: v dokumentoch nie je rozpracované, ako sa to spraví v celej verejnej správe, hovorí sa v nich iba to, že sa spraví jeden systém a meranie sa vykonáva pre toho, kto ho používa.

Aj Útvar hodnoty za peniaze tvrdí, že ide o veľké peniaze a stačili by rozsahovo menšie riešenia, ktoré by vyriešili tú istú otázku. Je to tak?

Áno, náklady sú príliš vysoké. Pozreli sme sa bližšie na niektoré konkrétne položky plánované v týchto projektoch a vidíme tam neobvykle vysoké ceny, niekedy aj v porovnaní s inými IT systémami verejnej správy.

Zdôrazňujete aj to, že keby štát odhadoval náklady na základe trhovej konzultácie, teda s IT firmami, ktoré sa takým projektom venujú, bolo by to presnejšie. Dobre to čítam?

Pri výpočte nákladov vidíme stále veľký rozdiel medzi cenami v komerčnom svete a cenami vo verejnej správe. Argument je: veď verejné obstarávanie určí reálnu cenu. No IT projekty mali v porovnaní s odhadovanou cenou úsporu v priemere len niekoľko percent, čo je veľmi čudné. Preto Útvar hodnoty za peniaze aj my tlačíme na to, aby sa zlepšil odhad nákladov. Ak sa to bude robiť nielen expertným odhadom, ale aj reálnou konzultáciou s firmami, ktoré podobné projekty realizujú, tak to môže len pomôcť.

Na to, že IT projekty sa majú riadiť novými, lepšími pravidlami, sú tieto štyri projekty podrobené poriadnej kritike.

Naozaj, tieto štyri projekty vnímame ako istý prielom. Doteraz boli nové IT projekty zo strany úradu dosť tlačené k tomu, aby štúdie boli detailné, riešili sa pripomienky a našlo sa najlepšie riešenie. O týchto štyroch projektoch to, zdá sa, neplatí. Je to akoby návrat k OPIS-ovým časom, nekvalitné štúdie boli jedným z problémov toho obdobia.

Zlepšilo sa v niečom schvaľovanie IT projektov oproti tomu, keď pred dvoma rokmi vznikol úrad pre informatizáciu?

Samozrejme. Už len to, že štúdie vidno verejne pred ich schvaľovaním, je možné dávať k nim pripomienky, robí sa verejný híring, je veľký pokrok. Zmenila sa tiež metodika, ako sa štúdie robia. Stále však vidím veľký priestor na zlepšenie štúdií, najmä v zvažovaní rôznych alternatív, ako ciele projektu dosiahnuť. K projektom, o ktorých sme sa rozprávali, sme dali pripomienky, avšak viedli iba ku kozmetickým zmenám v štúdiách. Takmer nikto iný okrem Slovenska.Digital pripomienky nedal, akoby stále vládli obavy ľudí vyjadriť sa verejne. Pritom nás viacerí potľapkávali po pleci, že to vidia podobne a konečne sa niekto ozval. Zatiaľ úrad vicepremiéra nás verejne označil, že pripomienkami ohrozujeme bezpečnosť republiky. Tento stav, slabé rozpracovanie štúdií, ako aj veľké investície, ktoré sú v projektoch vyžadované, to je naozaj ako závan zo starých čias, dúfali sme, že už sme niekde ďalej.