Názov: Výcvikové a školiace stredisko pre bezpečnosť prevádzky a správy IT pre sektor VS

Garant: Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

Stručný opis: Výsledkom projektu bude školiace a výcvikové stredisko pre bezpečnosť prevádzky a správy IT pre sektor VS, a realizované školenia pre zamestnancov VS a školenia a špecializovaný výcvik pre IT špecialistov a bezpečnostných pracovníkov.

Náklady na projekt: 3,8M Eur (investície) + 2,5M Eur (prevádzka 10 rokov) s DPH

Aktuálny stav projektu: Obstarávanie

Čo sa práve deje:

• Príprava verejného obstarávania

Zhrnutie hodnotenia Red Flags: Ide o náhradu za zrušený projekt “Centrum výuky kybernetickej bezpečnosti”. Došlo k násobnému zníženiu predpokladaných nákladov na komponent L3, zreálneniu očakávaných počtov vyškolených osôb, a zmene zabezpečenia L2 pomocou štandardných školení externých firiem. Projekt však nie je ukotvený k údajom o dnešnom stave zručností a k tomu identifikovanej potrebe zlepšenia. V dokumentácii taktiež nie je jasné, akým spôsobom sa podarí zabezpečiť účasť plánovaného počtu zamestnancov VS na školeniach.

Stanovisko Slovensko.Digital: Nepochybujeme o potrebe kvalitných zručností v oblasti kybernetickej bezpečnosti u zamestnancov verejnej správy. Predložený projekt má oproti pôvodnému aj realistické kontúry a uveriteľne vybrané alternatívy, čo hodnotíme pozitívne. Avšak - ako väčšina bezpečnostných projektov - “visí vo vzduchu” - t.j. nevieme v akom stave verejná správa v tejto oblasti je a kam sa pomocou tohto projektu dostane.

HODNOTENIE RED FLAGS

I. Prípravná fáza

Reforma VS

Projekt nie je zasadený do kontextu žiadnej reformy alebo optimalizácie verejnej správy. Rozumieme, že pre projekt v oblasti bezpečnosti nie je takéto previazanie formálne vyžadované. Avšak aj vzhľadom na veľký rozsah projektu - školenie/testovanie “všetkých zamestnancov verejnej správy” na jednej strane a masívne investície do tréningov špecialistov na druhej strane - bolo namieste v štúdii uskutočniteľnosti dôkladne analyzovať súčasný stav, popísať cieľový stav (v doméne zručností kybernetickej bezpečnosti) a potrebné zmeny-reformy, ktoré sú na dosiahnutie cieľového stavu potrebné.

Merateľné ciele (KPI)

Podľa dokumentov prípravnej fázy:

image855×345 62.2 KB

image854×149 23.5 KB

Tieto ciele však nijako nevypovedajú o súčasných, ani cieľových zručnostiach v oblasti kybernetickej bezpečnosti, ani o miere zvládania incidentov, či ochrane pred nimi. Podľa správy o stave plnenia NKIVS za rok 2020 je merateľný ukazovateľ “Percento včas odvrátených bezpečnostných incidentov ISVS” už plnený na 98%, na základe čoho je otázne, aký je reálny prínos tohto projektu.

V súčasnosti pritom nepochybne určité vzdelávanie zamestnancov verejnej správy v oblasti kybernetickej bezpečnosti prebieha (stav nie je “nula”), čo je v merateľných ukazovateľoch taktiež ignorované.

Oproti projektu “Centrum výuky KyB” boli plánované počty vyškolených zamestnancov zásadne znížené, napr. pre L1 z 80.000/rok na 10.000/rok a pre úroveň L2 z 3000/rok na 750/rok, čo predkladateľ vysvetlil ako zreálnenie očakávaní, aj vo väzbe na dobrovoľnosť školení. Takéto zásadné posuny ďalej podporujú potrebu ukotvenia projektu voči zmeranému reálnemu stavu a jeho potrebám.

Postup dosiahnutia cieľov

V projekte je uvedený uveriteľný harmonogram vybudovania vybudovania, resp. získania školiacich a výcvikových nástrojov. Keďže však školené/testované majú byť osoby v absolútnej väčšine z prostredia mimo realizátorov projektu, absentuje popis postupu, pomocou ktorého bude dosiahnuté aby sa školenia skutočne zúčastnili - to sa týka najmä L1 a L2.

Súlad s KRIS (nie je zatiaľ vyhodnotený)

Súlad s KRIT MIRRI sme zatiaľ nevyhodnotili.

Biznis prínos

V dokumentácii projektu nie je uvedené, aká je súčasná a potrebná cieľová úroveň zručností zamestnancov VS v oblasti kybernetickej bezpečnosti, podľa všeobecného povedomia je však nedostatočná. Zároveň sú v tejto oblasti legislatívne určené povinnosti, ktoré majú byť pomocou tohto projektu efektívnejšie a lacnejšie plnené.
Gestor projektu deklaruje, že pomocou navrhnutých riešený pre časti L1 a L2 chce aj získať informácie o stave a potrebách zamestnancov VS. Následne sa projekt bude ďalej rozvíjať cez Operačný program Slovensko, resp. RRF.

Príspevok v informatizácii

Pozitívne hodnotíme vybudovanie školiaceho portálu pre úroveň L1, použitie štandardizovaných špecializovaných školení pre L2.

Štúdia uskutočniteľnosti

Dokumenty prípravnej fázy sú vypracované v predpísanej štruktúre, avšak iba málo vypovedajú o governance nadhľade o riešenej oblasti, viď. hodnotenie kritérií Reforma VS, Merateľné ciele, Postup dosiahnutia cieľov, Biznis prínos.

Alternatívy

V prípravnej fáze boli analyzované 3 varianty, pre každú vrstvu samostatne, čo hodnotíme pozitívne. Aj vzhľadom na zníženie nákladov oproti predchádzajúcemu projektu pokladáme vybrané alternatívy za vhodné. Počas realizácie školení odporúčame monitorovať, či predpoklady o finančnej efektívnosti zvolených riešení voči iným variantom boli naplnené.

Kalkulácia efektívnosti

Oproti projektu “Centrum výuky KyB” došlo v viacerým zmenám smerujúcim k zreálneniu kalkulácie efektívnosti. Zároveň boli zásadne znížené plánované počty vyškolených osôb, a teda aj z toho plynúce prínosy.

Pozitívne hodnotíme nízke náklady potrebné na vybudovanie vzdelávacieho/testovacieho portálu pre úroveň L1 na úrovni 100K Eur.

Efektivita nákladov pre úroveň L2 vzhľadom na ich naviazanie na trhovú hodnotu (externe dodávané školenia) závisí najmä od efektívnosti a úspor z ich verejného obstarávania a výbere správnych zamestnancov VS, ktorí majú tieto školenia absolvovať.

Plánované výdavky na L3 (v pôvodnom projekte L4) boli zásadne znížené z TCO na úrovni 20M Eur na cca. 4M Eur, t.j. päť násobne, čo hodnotíme pozitívne. Plánované vybudovanie centra simulácií považujeme za v podstate pilotný projekt, ktorého efektívnosť odporúčame priebežne vyhodnocovať.

Do nákladov stále nie je započítaný čas zamestnancov VS strávený vzdelávaním/testovaním, čo považujeme za chybu.

Participácia na príprave projektu

K projektu prebehlo štandardné pripomienkovanie a verejná prezentácia. Gestor projektu s nami aktívne komunikoval aj neformálne. Viaceré zásadné nedostatky, na ktoré sme upozornili v predchádzajúcom projekte, boli vyriešené.

Diskusie k projektu na platforme:

• Red Flags: Centrum výuky kybernetickej bezpečnosti

Dokumenty

Dokumenty k projektu online: MetaIS

Prípravná fáza:

• I-01 Projektový zámer – detailný
• projekt_1450_Pristup_k_projektu_detailny
• CBA_v09.xlsx
• Zapisnica - verejné pripomienkovanie 16.11.2021.docx
• prezentácia na RV PO7 pri schvaľovaní projektu: MIRRI_NP_Výcvikové a školiace stredisko pre bezpečnosť prevádzky a správy IT pre sektor VS_RV19.pptx
• Stanovisko ÚHP: Hodnotenie_UHP_kyberstredisko_20220218.pdf
• Stanovisko SISp: Stanovisko-SkoliaceStrediskoBezpecnost.pdf

Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

• 16.11.2021 Verejná prezentácia
• 22.2.2022 Schválenie štúdie uskutočniteľnosti

Dobre vidim, ze vycvikove a skoliace stredisko bezpecnosti IT ma stat vyse 13M EUR? Je to chyba? Alebo toto niekto mysli vazne?

Je to chybe, teda ešte nedoeditovaný draft. Potreboval som ísť na obed a aj mi tu padalo spojenie na net.
TCO je plánované na 6,2M, idem to tam nahodiť.

A teda pripomenul by som pôvodný projekt, kde TCO bolo 25M.

Oproti projektu “Centrum výuky KyB” boli plánované počty vyškolených zamestnancov zásadne znížené, napr. pre L1 z 80.000/rok na 10.000/rok a pre úroveň L2 z 3000/rok na 750/rok, tieto zmeny nie sú vysvetlené. Takéto zásadné posuny podporujú dojem, že merateľné ukazovatele cieľového stavu sú určené náhodne.

Merateľné ukazovatele samozrejme nie sú určené náhodne, ale na základe možností aké projekt má, pričom sme zohľadňovali aj to, aby následne nebol problém s ich plnením. Nazval by som ich teda realistické.

Zmeny vyplynuli zo zapracovania pripomienok (Doprava, MIRRI, UHP atd).

zmena L1 bola realizovaná z toho dôvodu, že následne má byť (v prípade úspechu) projekt rozširovaný projektom z RRF. A keďže nebude povinnosť to používať, ale má to byť dobrovoľné, tak sme tam nechceli dávať nejaké obrovské číslo.

zmena L2 bola realizovaná na základe pripomienok UHP, kedy sa na túto časť znižoval rozpočet (a tiež na základe toho, aby sme nemali problém s plnením tohto ukazovateľa, keďže z dôvodu krátkosti času nevieme zaručiť, že sa vyčerpá celý stanovený rozpočet…zase platí, že to je dobrovoľné).

Časti L1 a L2 berieme viac menej ako pilotné - chceme ich pomocou získať informácie os tave a potrebách zamestnancov a zároveň aj odskúšať navrhnuté riešenie, ktoré z porovnania alternatív vyšlo ako najlepšie možné. Projekt potom chceme na základe výsledkov rozvíjať cez Operačný program Slovensko, resp. RRF.

Je to iba detail, ale takto je CBA spravená, každá časť má svoje náklady/prínosy.

@panda vďaka za upresnenia, texty upravím.
Ešte jedna otázka: z pôvodného Centra výuky KyB sa nakoniec 1. fáza realizovala, alebo nie? Ak áno, čo to robí?

Nerealizovala sa ziadna cast, projekt bol zruseny odstupenim od zmluvy o NFP.

Projekt bol včera na RV PO7 schválený.