Daniari chcú oživiť kyberprojekt za vyše 50 miliónov. Popísali nám novú predstavu

Nový riaditeľ sekcie informatiky na finančnej správe Stanislav Pavlovič nám porozprával o situácii okolo projektu kybernetickej bezpečnosti na finančnej správe Vybudovanie nosnej infraštruktúry bezpečného informačno-komunikačného systému FS SR. Investícia mala podľa plánov daniarov z roku 2019 priniesť monitoring, analýzu a aktívnu ochranu pred kybernetickými hrozbami. Tiež postaviť samostatnú nosnú sieť na odhaľovanie útokov, analytické centrum pre posudzovanie jednotlivých druhov správania sa zamestnancov ako aj samotnej siete či uzatvoriť perimeter koncových IT zariadení.

Už vtedy zámer kritizovala mimovládka Slovensko.Digital. Jej zástupca Ľubor Illek poukazoval na utajenú analýzu úspor a nekonkretizovanie nákladov na hardvér a licencie.

Projekt je spojený s rámcovou zmluvou s firmou Alison v hodnote 51,2 milióna eur. Dodaná však bola napokon len časť za takmer 27 miliónov eur a síce sa rátalo s preplatením z eurofondov, štát ale o ne pri projekte prišiel kvôli „pochybeniam pri procese verejného obstarávania“. Musel preto výdavky hradiť zo štátneho rozpočtu.

Okrem toho sme sa rozprávali aj o vzťahu finančnej správy s dodávateľom Allexis, ktorý sa minulý rok v septembri premenoval na All Soft Corp. Firma dodala finančnej správe niekoľko systémov. Tá sa za bývalého vedenia začala zbavovať závislosti od nej.

V článku sa dočítate:

• v akom stave sú kľúčové informačné systémy daniarov ohľadom podpory a kybernetickej bezpečnosti,
• čo sa dialo s hardvérom, ktorý za desiatky miliónov kupovala finančná správa,
• aká časť dodaného hardvéru sa využíva,
• ako by mohol zmluvný vzťah s IT dodávateľom pokračovať ďalej,
• prečo štát zrušil zákazku na nový systém Tax Stamp, ktorý mal nahradiť predražené riešenie od firmy Allexis,
• či môže Allexis čakať od štátu peniaze za systémy, pri ktorých už štát platil milióny, ale bez súhlasu dodávateľa nemôže na nich nič meniť,
• čo má brániť pri týchto IT systémoch novému tendru,
• či hrozí, že štát vypne aplikáciu pre vydávanie bločkov VRP 2.

Využili len časť hardvéru

Akú mieru zhody s požiadavkami na kybernetickú bezpečnosť dosiahla v audite kyberbezpečnosti finančná správa?

To je citlivá informácia.

Vo všeobecnosti by ste ju opísali ako? Je slabá?

Nedá sa povedať slabá.

Mali sa používať nepodporované verzie systémov, možno s potenciálnymi zero-day zraniteľnosťami, teda takými, na ktoré nie je záplata. Budete ich aktualizovať?

V súčasnosti robíme inventár, v akom stave sme s podporovanými verziami všetkých kľúčových informačných systémoch. Už sme identifikovali, že niektoré naozaj nie sú už podporované a bude ich treba upgradnuť (zaktualizovať na nové verzie, pozn. red.). Na to treba čas a úsilie.

Chceme zafixovať túto situáciu takým spôsobom, aby nemohli byť zneužité potenciálne vulnerability (zraniteľnosti, pozn. red.) alebo že v prípade kritického pádu nebudeme môcť požiadať dodávateľa, aby nám pomohol, pretože nemáme systém s aktuálnou, podporovanou verziou.

Poďme k veľkému projektu kyberbezpečnosti za vyše 51 miliónov eur, ktorý bol dodaný len sčasti. Projekt mal následne ďalej pokračovať, jeho ďalší vývoj je neznámy.

V súčasnosti analyzujeme tento projekt. Pozostáva z dvoch častí – perimeter a digitalizácia. Časť „perimeter“ je SIEM (Security Information and Event Management, pozn. red.) – systém na identifikáciu kybernetických útokov. Hardvér na časť perimetra sa využíva, len riešenie „nad ním“ dodala potom iná firma ako Alison.

V skladoch leží back-endový hardvér – sieťová infraštruktúra, čo má byť inštalovaná v dátovom centre, respektíve na uzloch, a taktiež notebooky.

Čoho sa týka časť digitalizácie?

Bola o tom, akým spôsobom si vymieňať citlivé šifrované dáta medzi sekciami, odbormi finančnej správy. Pôvodný zámer bol, že to pôjde nad rámec finančnej správy – že budeme komunikovať aj s ostatnými orgánmi, ktorým sa rozdajú notebooky a pripoja sa na zabezpečenú infraštruktúru, ktorá v súčasnosti leží v sklade.

SIEM sa vybudoval?

Áno, vlastným úsilím ľudí, ktorí tu pracujú na oddelení kybernetickej bezpečnosti, sa implementoval. Na infraštruktúre, ktorá mala byť využitá ako plnenie zmluvy s Alisonom.

Hardvér nemali kde skladovať

Máte istotu, že všetko za 27 miliónov bolo dodané tak, ako malo?

Máme inventarizáciu hardvéru presne na položky, čo bolo odovzdané. Bola to dosť komplikovaná história, pretože najskôr bol hardvér dodaný finančnej správe, ktorá ho nemala kde skladovať, a tak ho vrátila Alisonu a požiadala ho, aby ho skladoval dočasne, kým sa nepripravia priestory. Potom sa zase hardvér vrátil späť a v súčasnosti leží na neidentifikovateľnom mieste v našom zabezpečenom sklade.

Tam je potreba 500 notebookov nabíjať, pretože keď sa vybije baterka, ten počítač je nepoužiteľný. Je tam CMOS (respondent poukazuje na nutnosť napájania obvodu batériou, ktorá sa tak nesmie vybiť, pozn. red.) ako poznáme zo starých čias – a čo sa týka bezpečnosti, tie notebooky sú asi top trieda na svete.

Máme zmapované, ktoré licencie vypršali, ktoré licencie by sme teoreticky ešte mohli nejakým spôsobom revitalizovať. Máme identifikované, ktoré časti z koncepčného dizajnu boli implementované, ktoré neboli implementované, ktoré boli implementované inou firmou.

Keď sa objedná tak veľké množstvo hardvéru a dlhý čas sa nevyužíva, analyzovali ste proces objednania, či dodaný hardvér sedí podľa objednávky a pôvodná objednávka niekdajšieho vedenia (z obdobia pred nástupom J. Žežulku do vedenia a nového šéfa IT neskôr viceprezidenta L. Sojku, pozn. red.) bola vypracovaná a „vypodpisovaná“ správne?

Áno. Hardvér bol aj vyplatený.

Takže všetky predchádzajúce úkony museli byť vykonané správne?

Presne tak.

Niekto teda musel kedysi rozhodnúť, že hardvér je legitímne použiteľný v sieti a inštitúcia ho chce.

Áno. Aj predchádzajúce vedenie (pod prezidentom J. Žežulkom, pozn. red. ) dalo pokyn na inštaláciu týchto zariadení do sietí a vysúťažilo dodávateľa, ktorý implementoval nadstavbu – SIEM (Security Information and Event Management – systém na monitoring udalostí v sieti, pozn. red.).

Viete bližšie popísať dôvody, prečo mala finančná správa vracať eurofondy na kyberbezpečnostný projekt?

Nález je v utajenom režime a k nemu som sa nedostal.

Zmluva s Alisonom ale ďalej platí.

Tým, že sa zruší nenávratný finančný príspevok, sa neruší automaticky ani objednávka, ani rámcová zmluva.

Projekt chcú oživiť

Je tento projekt kybernetickej bezpečnosti ďalej realizovateľný? Budete v ňom pokračovať?

Musíme spraviť hrubú čiaru. Obojstranne si uvedomujeme, že niektoré komponenty z pôvodného zámeru už nie sú dodateľné, pretože licencie sú vypršané a bolo by nehospodárne ich dokúpiť spätne. Vymýšľame nový predmet (projektu, pozn. red.), ktorý by dával hlavu a pätu – hlavne z pohľadu zabezpečenia bezpečnosti.

Dá sa povedať, že ochrana bola podľa vás za čias predošlého vedenia poslabšia a postupne sa to snažíte zlepšiť?

Povedal by som skôr, že miera rizika je vyššia, ako je želaná. Nehovorím, že je zlá, pretože kolegovia urobili všetko pre to, aby zabezpečili mieru rizika čo najlepšie – ale všade je priestor na zlepšenie a minimalizáciu rizika.

Zmluva s Alisonom mala rámcový charakter, takže asi by ste ju nemuseli ďalej čerpať. Je to prejav vašej vôle alebo dohoda s dodávateľom, že v nej chcete pokračovať?

Prebieha analýza, aký scope (rozsah, pozn. red.) dáva zmysel. Na základe toho, ako vyjde časový aj finančný horizont, budeme jednať, ako pokračovať ďalej.

Viete odhadnúť, koľko miliónov by to mohlo stáť?

Zhruba 13 miliónov – sa môže aj nemusí vynaložiť na zníženie rizika potenciálneho kybernetického útoku. Budeme aj v spolupráci partnerom a hlavne našimi expertami na kybernetickú bezpečnosť tiež porovnávať výsledky auditu OECD a NBÚ. A mapovať to k tomu, akým spôsobom mitigovať (znižovať, pozn. red.) tieto výtky.

Poznámka redakcie: oba audity prebehli v roku 2021, audit OECD sa zameral na celú organizáciu a vykonalo ho Centrum daňových politík a administrácie, zistené nedostatky oboch auditov mali byť vyriešené v bližšie nešpecifikovaných lehotách.

V dodávkach chcú pokračovať

Máte ambíciu vybudovať pre finančnú správu SOC (bezpečnostné operačné stredisko, pozn. red.)?

To je práve v štádiu analýzy, či nový predmet, ktorým by sme naplnili zvyšnú časť (zazmluvnenej spolupráce s dodávateľom, pozn. red.), nenahradíme tvorbou SOCu. Ale tu je zas veľa alternatív, akým spôsobom postupovať. Máme SOC na ministerstve financií, možno zvážime spoluprácu.

Daňové podvody sú možno tak finančne zaujímavé, že by sa oplatilo, keby mala finančná správa vlastné kyberbezpečnostné operačné stredisko.

Máme veľký záujem, aby sme uchránili celú infraštruktúru finančnej správy SOCom, ktorý bude dedikovaný.

Dodávateľ by teda vedel zabezpečiť potrebný hardvér a softvér z pôvodnej rámcovej zmluvy, ktorá mala hodnotu cez 51 miliónov eur?

Budeme spolu tvoriť nový predmet a určite jedným z bodov je aj SOC.

Platí, že nemusíte vyčerpať celý finančný objem zmluvy a záleží na dohode?

Áno.

Je právne ošetrené, že takáto zmena obsahu projektu bude legitímna?

Samotná rámcová zmluva určuje spôsob, akým sa dá meniť. Využijeme článok, ktorý hovorí o tom, že sa vieme obojstranne dohodnúť. Ďalšia alternatíva je, keďže ide o kritickú infraštruktúru, možno [to bude] nová rámcová zmluva, ktorá bude priamo na projekt SOC. Uvidíme. Ale to by sme neplnili pôvodnú zmluvu, čiže sme veľmi obmedzení, čo sa týka pokračovania iným subjektom.

Bývalý Allexis si pýta peniaze

Nová aplikácia VRP 2 (Virtuálna registračná pokladnica) finančnej správy podľa vás porušuje práva firmy Allexis, ktorá sa dnes volá All Soft Corp a kedysi dodala štátu prvú generáciu tohto nástroja pre podnikateľov. Čo presne namieta?

Platí len to, čo ste počuli od pána prezidenta (finančnej správy Jozefa Kissa, pozn. red.) – že je tu žaloba za to, že sme skopírovali (za predchádzajúceho vedenia Jiřího Žežulku, pozn. red.) toto riešenie. Ale viac vám k tomu povedať v súčasnosti neviem.

Ale zatiaľ VRP 2 funguje ďalej a pre podnikateľov sa nebude nič meniť.

Určite nie. Ak rozhodne súd, že je to skopírované, budeme sa musieť vrátiť späť k jednotke (aplikácii prvej generácie, pozn. red.).

Budete v pozadí jednať s dodávateľom, aby ste si vzťahy v tejto téme vysporiadali?

Áno, presne tak.

Plánujete zazmluvniť prevádzkovú podporu pre VRP 2?

Čakáme, ako sa situácia vyvinie. V súčasnosti nie je toto riešenie podporované externým subjektom, je vyvinuté internými ľuďmi, aj keď istá časť bola dodaná dodávateľsky. Ale nepočítame s rozšírením, až dokým nebude súdne rozhodnuté.

Čiže externé firmy to radšej už nebudú vyvíjať?

Nie, vôbec nie, to by sme potenciálne porušovali zákon. Máme tu nejakú žalobu (pôvodného dodávateľa, pozn. red.).

Vraj máte aj nejakú analýzu, že ste niečo porušili. Ďalším vývojom by ste teda išli proti jej záverom.

Presne tak. Aplikáciu držíme v prevádzke vlastnými silami. Udržujeme aj tie časti kódov, ktoré boli dodané dvomi firmami.

Ako by ste postupovali v prípade, že bývalý Allexis nemá práva na dodaný systém a potvrdilo sa to až dodatočne?

Jednoducho by sa vyplácalo v tranžiach po nejakom štvrťroku – a už po druhom štvrťroku by sa určite ohlásil ozajstný majiteľ práv.

Čiže ak by postup napadla iná firma, platby pozastavíte.

Toto je jediný možno spôsob, ako nájsť správneho vlastníka. Inak by ste museli ísť na bankové účty a transakcie, že komu kto zaplatil a či sa to vzťahovalo na ten prechod vlastníckych práv.

Aktuálne teda ani neviete overiť, či bývalý Allexis môže o majetkových právach rokovať?

Bolo by to veľmi obtiažne zistiť.

Dá sa teda spoľahnúť a posielať peniaze po menších sumách, aby štát neutrpel veľkú škodu, ak by nebolo niečo v poriadku?

Bolo to definované ako jediná možnosť ochrany.

Čo vám predložili, že vás presvedčili, že rokovať môžu?

Neviem povedať, spis má 1000 strán.

Takže jednáte v dobrej viere, že neklamú.

Čím bližšie budeme vedieť, že práva potrebujeme, tým viac budeme analyzovať, že kto tie práva má.

Potrebujete ich však už teraz, aby ste mohli systémy rozvíjať a zabezpečiť prevádzkovú podporu súťažou.

Prvý prípad je už teraz. K 1. januáru musíme urobiť zmenu, ktorá má dosah na kód. Ide o nové tabakové balenia.

Na tom by sa asi už malo začať pracovať.

Už meškáme.

Máte prístup aspoň k zdrojovým kódom? Videli ste ich a viete, čo treba upraviť?

Áno, len ho nesmieme dekompilovať a skompilovať v inej forme.

Komplikujú nahradenie predraženého systému

Plánujete dodatkovať zmluvu s bývalým Allexisom k systému ISKZ (Informačnému systému kontrolných známok)?

Máme veľmi ťažkú situáciu, lebo zmluva nebola predĺžená, a zatiaľ sme nenašli právny spôsob, ako na ňu nadviazať. Vypršala 31. marca 2021. Pracujú na tom naši právnici, skúmajú, či nie je možné obnoviť podporu a budeme vedieť v krátkom čase, či áno alebo nie.

Zároveň sa snažíme využiť priame rokovacie konanie, kde už k takémuto niečomu prišlo. Máme odporúčania, že v prípade, ak sa vypovie zmluva o podpore a prevádzke a nie je ešte zabezpečená náhrada toho riešenia, tak sa dá ísť priamym rokovacím konaním na maximálne tri roky. Dovtedy sa dá vysúťažiť minimálne podpora alebo dohodnúť o majetkových právach.

Vidíte cestu v tom, že dáte postaviť systém nanovo, ako plánovalo predchádzajúce vedenie finančnej správy, no nedávno bol tender zrušený?

Jedna z námietok bola, že nemáme práva na to, aby sme poskytli extrakt z databázy ISKZ tretej strane, alebo aby sme použili jedinečný mechanizmus alebo algoritmus generovania jedinečného kódu kolku, aby bola zabezpečená jednoznačnosť. Na toto budeme potrebovať znalecký posudok, či to naozaj tak je.

Pokiaľ to tak nie je, tak môžeme pokračovať ďalej v obstarávaní, pretože jednou z podmienok na dodávateľov bolo, aby v ich projekte urobili aj migráciu dát z pôvodného riešenia na nové a bola zabezpečená kontinuita. V tom prípade by sme boli odomknutí a nemuseli by sme ani žiadať o práva k systému, nemuseli by sme si ho kupovať.