Výcvikové a školiace stredisko bezpečnosti IT

Stiahnuť PDF

Výsledkom projektu bude školiace a výcvikové stredisko pre bezpečnosť prevádzky a správy IT pre sektor VS, a realizované školenia pre zamestnancov VS a školenia a špecializovaný výcvik pre IT špecialistov a bezpečnostných pracovníkov.

Náklady na projekt

3,8M Eur (investície) + 2,5M Eur (prevádzka 10 rokov) s DPH

Garant

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

Zhrnutie hodnotenia Red Flags

Ide o náhradu za zrušený projekt “Centrum výuky kybernetickej bezpečnosti”. Došlo k násobnému zníženiu predpokladaných nákladov na komponent L3, zreálneniu očakávaných počtov vyškolených osôb, a zmene zabezpečenia L2 pomocou štandardných školení externých firiem. Projekt však nie je ukotvený k údajom o dnešnom stave zručností a k tomu identifikovanej potrebe zlepšenia. V dokumentácii taktiež nie je jasné, akým spôsobom sa podarí zabezpečiť účasť plánovaného počtu zamestnancov VS na školeniach.

Stanovisko Slovensko.Digital

Nepochybujeme o potrebe kvalitných zručností v oblasti kybernetickej bezpečnosti u zamestnancov verejnej správy. Predložený projekt má oproti pôvodnému aj realistické kontúry a uveriteľne vybrané alternatívy, čo hodnotíme pozitívne. Avšak - ako väčšina bezpečnostných projektov - “visí vo vzduchu” - t.j. nevieme v akom stave verejná správa v tejto oblasti je a kam sa pomocou tohto projektu dostane.

Hodnotenie zverejnené dňa

27.06.2024

Aktuálny stav projektu

Obstarávanie

Čo sa práve deje

  • Príprava verejného obstarávania

Hodnotenie


Reforma VS

Merateľné ciele (KPI)

Postup dosiahnutia cieľov

Biznis prínos

Príspevok v informatizácii

Štúdia uskutočniteľnosti

Alternatívy

Kalkulácia efektívnosti

Participácia na príprave projektu

Detailné hodnotenie projektu

I. Prípravná fáza


Reforma VS :star::grey_star::grey_star::grey_star:

Projekt nie je zasadený do kontextu žiadnej reformy alebo optimalizácie verejnej správy. Rozumieme, že pre projekt v oblasti bezpečnosti nie je takéto previazanie formálne vyžadované. Avšak aj vzhľadom na veľký rozsah projektu - školenie/testovanie “všetkých zamestnancov verejnej správy” na jednej strane a masívne investície do tréningov špecialistov na druhej strane - bolo namieste v štúdii uskutočniteľnosti dôkladne analyzovať súčasný stav, popísať cieľový stav (v doméne zručností kybernetickej bezpečnosti) a potrebné zmeny-reformy, ktoré sú na dosiahnutie cieľového stavu potrebné.


Merateľné ciele (KPI) :star::grey_star::grey_star::grey_star:

Podľa dokumentov prípravnej fázy:


Tieto ciele však nijako nevypovedajú o súčasných, ani cieľových zručnostiach v oblasti kybernetickej bezpečnosti, ani o miere zvládania incidentov, či ochrane pred nimi. Podľa správy o stave plnenia NKIVS za rok 2020 je merateľný ukazovateľ “Percento včas odvrátených bezpečnostných incidentov ISVS” už plnený na 98%, na základe čoho je otázne, aký je reálny prínos tohto projektu.

V súčasnosti pritom nepochybne určité vzdelávanie zamestnancov verejnej správy v oblasti kybernetickej bezpečnosti prebieha (stav nie je “nula”), čo je v merateľných ukazovateľoch taktiež ignorované.

Oproti projektu “Centrum výuky KyB” boli plánované počty vyškolených zamestnancov zásadne znížené, napr. pre L1 z 80.000/rok na 10.000/rok a pre úroveň L2 z 3000/rok na 750/rok, čo predkladateľ vysvetlil ako zreálnenie očakávaní, aj vo väzbe na dobrovoľnosť školení. Takéto zásadné posuny ďalej podporujú potrebu ukotvenia projektu voči zmeranému reálnemu stavu a jeho potrebám.


Postup dosiahnutia cieľov :star::star::grey_star::grey_star:

V projekte je uvedený uveriteľný harmonogram vybudovania vybudovania, resp. získania školiacich a výcvikových nástrojov. Keďže však školené/testované majú byť osoby v absolútnej väčšine z prostredia mimo realizátorov projektu, absentuje popis postupu, pomocou ktorého bude dosiahnuté aby sa školenia skutočne zúčastnili - to sa týka najmä L1 a L2.


Súlad s KRIS (nie je zatiaľ vyhodnotený)

Súlad s KRIT MIRRI sme zatiaľ nevyhodnotili.


Biznis prínos :star::star::star::grey_star:

V dokumentácii projektu nie je uvedené, aká je súčasná a potrebná cieľová úroveň zručností zamestnancov VS v oblasti kybernetickej bezpečnosti, podľa všeobecného povedomia je však nedostatočná. Zároveň sú v tejto oblasti legislatívne určené povinnosti, ktoré majú byť pomocou tohto projektu efektívnejšie a lacnejšie plnené.
Gestor projektu deklaruje, že pomocou navrhnutých riešený pre časti L1 a L2 chce aj získať informácie o stave a potrebách zamestnancov VS. Následne sa projekt bude ďalej rozvíjať cez Operačný program Slovensko, resp. RRF.


Príspevok v informatizácii :star::star::star::star:

Pozitívne hodnotíme vybudovanie školiaceho portálu pre úroveň L1, použitie štandardizovaných špecializovaných školení pre L2.


Štúdia uskutočniteľnosti :star::star::grey_star::grey_star:

Dokumenty prípravnej fázy sú vypracované v predpísanej štruktúre, avšak iba málo vypovedajú o governance nadhľade o riešenej oblasti, viď. hodnotenie kritérií Reforma VS, Merateľné ciele, Postup dosiahnutia cieľov, Biznis prínos.


Alternatívy :star::star::star::star:

V prípravnej fáze boli analyzované 3 varianty, pre každú vrstvu samostatne, čo hodnotíme pozitívne. Aj vzhľadom na zníženie nákladov oproti predchádzajúcemu projektu pokladáme vybrané alternatívy za vhodné. Počas realizácie školení odporúčame monitorovať, či predpoklady o finančnej efektívnosti zvolených riešení voči iným variantom boli naplnené.


Kalkulácia efektívnosti :star::star::star::grey_star:

Oproti projektu “Centrum výuky KyB” došlo v viacerým zmenám smerujúcim k zreálneniu kalkulácie efektívnosti. Zároveň boli zásadne znížené plánované počty vyškolených osôb, a teda aj z toho plynúce prínosy.

Pozitívne hodnotíme nízke náklady potrebné na vybudovanie vzdelávacieho/testovacieho portálu pre úroveň L1 na úrovni 100K Eur.

Efektivita nákladov pre úroveň L2 vzhľadom na ich naviazanie na trhovú hodnotu (externe dodávané školenia) závisí najmä od efektívnosti a úspor z ich verejného obstarávania a výbere správnych zamestnancov VS, ktorí majú tieto školenia absolvovať.

Plánované výdavky na L3 (v pôvodnom projekte L4) boli zásadne znížené z TCO na úrovni 20M Eur na cca. 4M Eur, t.j. päť násobne, čo hodnotíme pozitívne. Plánované vybudovanie centra simulácií považujeme za v podstate pilotný projekt, ktorého efektívnosť odporúčame priebežne vyhodnocovať.

Do nákladov stále nie je započítaný čas zamestnancov VS strávený vzdelávaním/testovaním, čo považujeme za chybu.


Participácia na príprave projektu :star::star::star::star:

K projektu prebehlo štandardné pripomienkovanie a verejná prezentácia. Gestor projektu s nami aktívne komunikoval aj neformálne. Viaceré zásadné nedostatky, na ktoré sme upozornili v predchádzajúcom projekte, boli vyriešené.

Diskusie k projektu na platforme:


:file_folder: Dokumenty

Dokumenty k projektu online: MetaIS
Prípravná fáza


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

  • 16.11.2021 Verejná prezentácia
  • 22.2.2022 Schválenie štúdie uskutočniteľnosti