Red Flags: Centrum výuky kybernetickej bezpečnosti

Názov: Vybudovanie Centra simulácie, výskumu a výuky kybernetických hrozieb
a kybernetickej bezpečnosti

Garant: Úrad podpredsedu vlády pre investície a informatizáciu (ÚPVII)

Stručný opis: Projekt má vytvoriť prostredie, v ktorom bude vykonávané vzdelávanie a testovanie zručností v oblasti kybernetickej bezpečnosti. Časť projektu je orientovaná na plošné školenia, vrátane zámeru pravidelne testovať všetkých zamestnancov verejnej správy (200 tisíc ľudí), podstatná časť nákladov je však plánovaná na vybudovanie “tréningového centra” pre špecialistov v IT a informačnej bezpečnosti.

Náklady na projekt: 19,9M Eur (investície) + 6,5M Eur (prevádzka 10 rokov) s DPH

Aktuálny stav projektu: Príprava projektu

Čo sa práve deje:

  • 12.6.2019 Plánované schvaľovanie štúdie uskutočniteľnosti

Zhrnutie hodnotenia Red Flags:
Projekt si kladie ambiciózny cieľ v oblasti kybernetickej bezpečnosti plošne školiť a testovať všetkých zamestnancov VS s pomocou minimálnych investícií a trénovať IT špecialistov vysoko sofistikovaným spôsobom. Štúdia uskutočniteľnosti však má vážne nedostatky, keďže jej podstatné časti absentujú - vrátane analýzy súčasného a cieľového stavu a skutočných potrieb v riešenej oblasti, zmysluplných merateľných ukazovateľov, popisu detailov - ktoré sú utajené, príliš veľkým nákladom na L4, atď.

Stanovisko Slovensko.Digital:
Vzhľadom na nízku kvalitu štúdie uskutočniteľnosti a vysoké náklady v nej uvedené žiadame štúdiu pred schvaľovaním podstatne dopracovať.

:triangular_flag_on_post: HODNOTENIE RED FLAGS

I. Prípravná fáza


Reforma VS :star::grey_star::grey_star::grey_star:

Projekt nie je zasadený do kontextu žiadnej reformy alebo optimalizácie verejnej správy. Rozumieme, že pre projekt v oblasti bezpečnosti nie je takéto previazanie formálne vyžadované. Avšak aj vzhľadom na veľký rozsah projektu - školenie/testovanie “všetkých zamestnancov verejnej správy” na jednej strane a masívne investície do tréningov špecialistov na druhej strane - bolo namieste v štúdii uskutočniteľnosti dôkladne analyzovať súčasný stav, popísať cieľový stav (v doméne zručností kybernetickej bezpečnosti) a potrebné zmeny-reformy, ktoré sú na dosiahnutie cieľového stavu potrebné.


Merateľné ciele (KPI) :star::grey_star::grey_star::grey_star:

Podľa štúdie uskutočniteľnosti:

Tieto ciele však pokladáme za nesprávne, keďže nijako nevypovedajú o súčasných, ani cieľových zručnostiach v oblasti kybernetickej bezpečnosti, ani o miere zvládania incidentov, či ochrane pred nimi.

V súčasnosti pritom nepochybne určité vzdelávanie zamestnancov verejnej správy v oblasti kybernetickej bezpečnosti prebieha (stav nie je “nula”), čo je v merateľných ukazovateľoch taktiež ignorované.

Niektoré hodnoty uvedené v štúdii nezodpovedajú kalkuláciám z CBA, najmä počet trénovaných špecialistov v L4.


Postup dosiahnutia cieľov :star::star::grey_star::grey_star:

Projekt obsahuje základný harmonogram pre implementáciu technických komponentov projektu. Keďže však školené/testované majú byť osoby v absolútnej väčšine z prostredia mimo realizátorov projektu, absentuje popis postupu, pomocou ktorého bude dosiahnuté aby sa školenia skutočne zúčastnili - to sa týka najmä L1 a L2.


Súlad s KRIS (nie je zatiaľ vyhodnotený)

Súlad s KRIS zapojených organizácií, t.j. NBÚ SR, ÚPVII, SIS sme zatiaľ nevyhodnotili.


Biznis prínos :star::star::star::star:

V štúdii síce nie je uvedené, aká je v súčasnosti je úroveň zručností zamestnancov VS v oblasti kybernetickej bezpečnosti, ale pomocou školení realizovaných v tomto projekte má byť zjavne dosiahnutá dostatočná úroveň zručností.


Príspevok v informatizácii :star::star::star::star:

Pozitívne hodnotíme použitie štandardizovaných školení/testovania na platforme Cisco na úrovni L1 a L2. Na úrovni L4 očakávame že vzhľadom na masívnu investíciu bude zabezpečené vybudovanie špičkových tréningových zariadení.


Štúdia uskutočniteľnosti :star::star::grey_star::grey_star:

Štúdia uskutočniteľnosti je síce vypracovaná v predpísanej štruktúre, ale neplní svoj skutočný účel, viď. zistenia k ostatným kritériám tohto hodnotenia.


Alternatívy :star::star::grey_star::grey_star:

Štúdia uvádza 4 alternatívy, vrátane možnosti využitia komerčných tréningov na úrovni L4. Bohužiaľ však pri absencii ukotvenia objektívnych ukazovateľov o súčasnom a cieľovom stave nebolo možné skutočne posúdiť, ktorá alternatíva je najvýhodnejšia.
Napr. pri alternatíve D sa uvádza, že hlavným rozdielom oproti alt. C je “prestíž a kvalita”. Tieto parametre sa však v štúdii nijako ďalej nekonkretizujú, napr. nie je jasné aká bude “prestíž a kvalita” v alt.B, ktorá má byť realizovaná.


Kalkulácia efektívnosti :grey_star::grey_star::grey_star::grey_star:

Kalkulácia prínosov je založená iba na ekvivalente “komerčnej” ceny školení. V projekte nie je žiadnym spôsobom vyhodnotená súčasná ani cieľová úroveň zručností školených osôb. Pri takomto výpočte ak by sa vykonalo dvakrát viac školení, celkové prínosy by tiež vyšli dvojnásobné, čo je evidentne nezmysel.

V CBA je síce uvedený čas, ktorý bude “spotrebovaný” zamestnancami VS na školenia/testovania, avšak tento je z nepochopiteľných dôvodov uvedený rovnako v súčasnom aj cieľovom stave (pričom v súčasnosti školenia neprebiehajú).
Pritom pri plošných školeniach ide o zásadnú položku - napr. školenia L1 budú vyžadovať 160 000 človeko-hodín každý rok. Ak by sa táto položka v CBA započítala, školenia v L1 by vychádzali ako čisto stratové.

Pozitívne hodnotíme nízke náklady kalkulované na školenia/testovania L1 a L2, ktoré sú nižšie ako 0,5M Eur (to je cca. 20 krát menej ako v projekte “Digitálny ekosystém inklúzie”).

Avšak pre tréningy v úrovni L4 sú plánované enormné náklady spolu presahujúce viac ako 20M Eur. Tieto prostriedky pritom majú byť investované do školení niekoľko sto zamestnancov VS. Táto investícia je iba veľmi slabo odôvodnená. Nie je jasné prečo by napr. nepostačovala polovičná suma, resp. aký by bol pri polovičnej investícii rozdiel vo výsledkoch. Pre porovnanie, plánovaná suma na školenia experta na úrovni L4 je vyššia ako jeho celkové priemerné osobné náklady (podľa hodnoty uvedenej v CBA), a to počas každého z 10 rokov trvania projektu.

Pritom počas pripomienkovania štúdie uskutočniteľnosti došlo ešte k miernemu zvýšeniu plánovaných nákladov, cca. o 750 tisíc Eur.


Participácia na príprave projektu :grey_star::grey_star::grey_star::grey_star:

Štúdiu uskutočniteľnosti bolo možné pripomienkovať a bola verejne prerokovaná. Zmeny na základe pripomienok v projekte boli však iba kozmetické.
Podstatná časť informácií - najmä všetky detaily aký konkrétne HW a SW sa má nakupovať - je však utajená. Keďže ide o projekt na výukové účely, utajenie považujeme za neopodstatnené.
Pre porovnanie, je verejne známe aké HW prvky tvoria infraštruktúru siete Govnet, utajené sú iba ich konfigurácie. Nie je teda žiadny dôvod tajiť, na akých HW prvkoch bude prebiehať výuka riešenia bezpečnostných incidentov siete Govnet.


:file_folder: Dokumenty


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

  • 24.5.2019 Verejné prerokovanie štúdie uskutočniteľnosti
1 Like