Ogłoszenie o wyniku postępowania
Usługi
Przeprowadzenie szkoleń oraz dostarczenie automatycznych symulacji phishingowych w ramach projektu „Cyberbezpieczny Samorząd

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

Postępowanie prowadzone jest samodzielnie przez zamawiającego

1.2.) Nazwa zamawiającego: Powiat Brzeski - Starostwo Powiatowe w Brzesku

1.4) Krajowy Numer Identyfikacyjny: REGON 851665060

1.5) Adres zamawiającego

1.5.1.) Ulica: Głowackiego 51

1.5.2.) Miejscowość: Brzesko

1.5.3.) Kod pocztowy: 32-800

1.5.4.) Województwo: małopolskie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL217 - Tarnowski

1.5.7.) Numer telefonu: +48 14 6633111

1.5.9.) Adres poczty elektronicznej: przetargi@powiatbrzeski.pl

1.5.10.) Adres strony internetowej zamawiającego: www.powiatbrzeski.pl

1.6.) Adres strony internetowej prowadzonego postępowania:

https://ezamowienia.gov.pl/mp-client/search/list/ocds-148610-57977868-a376-4c92-bfa6-76e3f043c2c9

1.7.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - jednostka samorządu terytorialnego

1.8.) Przedmiot działalności zamawiającego: Ogólne usługi publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

Przeprowadzenie szkoleń oraz dostarczenie automatycznych symulacji phishingowych w ramach projektu „Cyberbezpieczny Samorząd

2.4.) Identyfikator postępowania: ocds-148610-57977868-a376-4c92-bfa6-76e3f043c2c9

2.5.) Numer ogłoszenia: 2024/BZP 00489066

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2024-09-06

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak

2.9.) Numer planu postępowań w BZP: 2024/BZP 00028844/05/P

2.10.) Identyfikator pozycji planu postępowań:

1.3.2 Projekt „Cyberbezpieczny Samorząd”

2.11.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak

2.12.) Nazwa projektu lub programu:

Projekt finansowany ze środków Funduszy Europejskich na Rozwój Cyfrowy (FERC) 2021-2027 Priorytet II „Zaawansowane usługi cyfrowe” Działanie 2.2 „Wzmocnienie krajowego systemu cyberbezpieczeństwa”.

2.13.) Zamówienie/umowa ramowa było poprzedzone ogłoszeniem o zamówieniu/ogłoszeniem o zamiarze zawarcia umowy: Tak

2.14.) Numer ogłoszenia: 2024/BZP 00467399

SEKCJA III – TRYB UDZIELENIA ZAMÓWIENIA LUB ZAWARCIA UMOWY RAMOWEJ

3.1.) Tryb udzielenia zamówienia wraz z podstawą prawną Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.) Numer referencyjny: ABR.272.10.2024.MŚ

4.2.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie

4.4.) Rodzaj zamówienia: Usługi

Część 1

4.5.1.) Krótki opis przedmiotu zamówienia

3. Część I - Szkolenia urzędników w zakresie cyberbezpieczeństwa

1) Szkolenie dla 120 osób będzie prowadzone zgodnie z harmonogramem szkoleń ustalonym na etapie realizacji, jednakże szkolenia winny być zrealizowane do 90 dni od dnia podpisania umowy.
2) Cykl szkoleniowy będzie podzielony na grupy kompetencyjne:
a) wszyscy pracownicy – w 3 grupach szkoleniowych po 40 osób, każda grupa szkoleniowa w osobnym dniu. Ponadto Zamawiający wymaga aby szkolenia były prowadzone przez 3 tygodnie w 1 tygodniu 1 grupa szkoleniowa.
b) kadra kierownicza – 1 grupa szkoleniowa 23 osoby
c) specjaliści IT – 1 grupa szkoleniowa 3 osoby
3) Szkolenie dla jednej grupy szkoleniowej minimum 4 - 6 godzin w siedzibie Zamawiającego.
4) Wszystkie szkolenia muszą być prowadzone w języku polskim na podstawie zaakceptowanego przez Zamawiającego harmonogramu prac z dołączonym zakresem merytorycznym, dostarczonego przez Wykonawcę Zamawiającemu nie później niż 10 dni przed rozpoczęciem szkolenia.
5) Zamawiający wymaga prowadzenie dokumentacji wszystkich szkoleń w jednakowy sposób. Na dokumentację szkolenia składają się: lista obecności uczestników szkolenia (dzienne, wypełniane oddzielnie dla każdej grupy szkoleniowej) oraz lista odbioru zaświadczeń o ukończeniu szkolenia.
6) W ramach szkoleń Wykonawca wystawi zaświadczenia o ukończeniu danego szkolenia dla wszystkich uczestników, osobno dla każdego uczestnika.
7) Szkolenia dla pracowników muszą obejmować minimum zagadnienia:
wszyscy pracownicy
a) podstawowe wiadomości w zakresie bezpieczeństwa informacji, z uwzględnieniem regulacji wewnętrznych oraz wymagań rozporządzenia KRI:
• Szkolenia obejmujące tematyką informacje o nowych zagrożeniach i zmianach w przepisach dotyczących bezpieczeństwa informacji oraz w zakresie NSC oraz wymagań normatywnych ISO będących podstawą dokumentacji SZBI/BCM
• wewnętrzne procedury w obszarze bezpieczeństwa informacji, cyberbezpieczeństwa oraz tematykę zagrożeń i ryzyka związanego z niewłaściwymi uprawnieniami,
• wymagania dla pracowników wynikające z KRI, uoKSC oraz RODO i prawne aspekty cyberbezpieczeństwa
• System Zarządzania Bezpieczeństwem Informacji w praktyce
b) przegląd zagrożeń i zasady bezpiecznego korzystania z Internetu:
• ochrona informacji i prywatność w Internecie, świadomość bezpieczeństwa informacji,
• ransomware jako poważne zagrożenie dla JST,
• phishing, oszustwa i wyłudzenia z uwzględnieniem oszustwa typu BEC (Business E-mail Compromise),
• hacking, malware jako zagrożenie
• cyberhigiena, w tym bezpieczeństwo urządzeń i bezpieczeństwo fizyczne,
• bezpieczne hasła i uwierzytelnienie dwuskładnikowe,
• zagadnienia związane z identyfikacją podejrzanych wiadomości e-mail, rozpoznawanie zagrożeń, oznak podatności i raportowanie incydentów, procedury zgłaszania incydentów
• zabezpieczanie urządzeń mobilnych i ochrona danych osobowych,
• wewnętrzne zalecenia i rekomendacje, w tym sposoby reakcji na incydenty bezpieczeństwa.

kadra kierownicza
a) podstawy prawne cyberbezpieczeństwa
b) wymogi wynikające z KRI, uoKSC i RODO
c) przegląd znanych typów ataków na JST
d) przegląd nowoczesnych narzędzi i usług cyberbezpieczeństwa (jako wsparcie procesu zakupowego)
e) zarządzanie ryzykiem w bezpieczeństwie informacji i obszarach technicznych
f) jak skutecznie wdrożyć SZBI
g) ciągłość działania – dlaczego jest istotna i jak ją wdrożyć
h) współpraca w ramach s46
i) identyfikowanie zagrożeń – jak wdrożyć odpowiednie zabezpieczenia
specjaliści IT
a) podstawy bezpieczeństwa sieci
b) aspekty techniczne najpopularniejszych ataków i metody reagowania
c) zabezpieczanie poczty elektronicznej
d) zabezpieczanie serwisów www
e) ochrona przed atakami DDoS
f) profilaktyka cyberzagrożeń ze szczególnym uwzględnieniem zarządzania kopiami zapasowymi
g) przegląd źródeł wiedzy o zagrożeniach
h) podstawy zabezpieczenia ciągłości działania
i) identyfikacja podatności i aktualizacja oprogramowania
j) zarządzanie incydentem

4.5.3.) Główny kod CPV: 80000000-4 - Usługi edukacyjne i szkoleniowe

4.5.5.) Wartość części: 33910,50 PLN

Część 2

4.5.1.) Krótki opis przedmiotu zamówienia

4. Część II - Szkolenia specjalistyczne IT z zakresu wdrażanych rozwiązań

1) Przedmiotem części II jest szkolenie specjalistyczne dla specjalistów IT w zakresie wdrażanych rozwiązań z zakresu systemu XDR, systemu Acronis Backup, w zakresie konfiguracji urządzeń sieci bezprzewodowej oraz w zakresie konfiguracji urządzeń sieciowych.
2) Szkolenia specjalistyczne są przewidziane dla 3 osób z każdego zakresu. Szkolenia winny być zrealizowane do 90 dni od dnia podpisania umowy,
3) Szkolenie musi być prowadzone w języku polskim w autoryzowanym ośrodku szkoleniowym. Każdy z uczestników szkolenia musi otrzymać materiały szkoleniowe oraz zaświadczenie uczestnictwa w szkoleniu wydane przez Autoryzowane Centrum Szkoleniowe.
4) Zamawiający dopuszcza możliwość prowadzenia szkolenia w formule BYOL;
5) Zamawiający dopuszcza dostarczenie bonów szkoleniowych do wykorzystania przez Zamawiającego.

Szkolenie w zakresie systemu XDR
a) Szkolenie dla 3 osób, musi trwać minimum 7 godzin i musi obejmować swoim zakresem zagadnienia, minimum:
• wdrożenie serwera systemu
• instalacja i konfiguracja agentów
• zasady generowania detekcji i ich analiza
• definiowanie reguł i ich automatyzacja
• wykonywanie raportów
• zarządzanie uprawnieniami
b) Szkolenie musi zawierać część teoretyczną i praktyczną.
Szkolenie w zakresie systemu Acronis Backup
a) Szkolenie dla 3 osób, musi trwać minimum 7 godzin i musi obejmować swoim zakresem zagadnienia, minimum:
• instalacja agentów
 metody wdrożenia, automatyzacja wdrożenia
 komponenty wymagane do kopii systemów Microsoft (Windows, Active Directory, SQL Server)
 sposoby aktualizacji agentów
• tworzenie planów kopii zapasowej
 typy chronionych danych/zasobów/usług
 tworzenie planu backupu całego systemu oraz baz SQL
 lokalizacje przechowywania kopii zapasowych
 weryfikacja kopii zapasowej
 usuwanie planu kopii zapasowej
 dodatkowe ustawienia
• odzyskiwanie kopii zapasowej
 Metody odtwarzania
 Tworzenie i zastosowanie nośnika startowego (wykorzystanie PXE)
• Administracja kontami i uprawnieniami
b) Szkolenie musi zawierać część teoretyczną i praktyczną.
Szkolenie w zakresie konfiguracji urządzeń sieciowych
a) Szkolenie techniczne dla 3 administratorów prowadzone w autoryzowanym ośrodku szkoleniowym zakończone certyfikowanym egzaminem MTCNA. Egzamin nie może być związany z dodatkowymi kosztami.
b) Szkolenie musi obejmować zagadnienia związane z konfigurację i administracją używanych przez Zamawiającego przełączników sieciowych firmy Microtic.
c) Szkolenie musi trwać minimum 24 godziny np. 3 dni po 8 godzin i musi obejmować swoim zakresem zagadnienia, minimum:
• konfigurację routingu statycznego
• konfiguracje tuneli VPN i innych ustawień sieci
• kontrolę przepływu pakietów (kolejki) – QoS
• zagadnienia dotyczące narzędzi diagnostycznych
d) W ramach szkoleń wymagane są materiały szkoleniowe.
Szkolenie w zakresie konfiguracji urządzeń sieci bezprzewodowej
a) Szkolenie techniczne dotyczące obsługi sterownika CAP-sMAN dla 3 administratorów prowadzone w autoryzowanym ośrodku szkoleniowym zakończone certyfikowanym egzaminem MTCEWE. Egzamin nie może być związany z dodatkowymi kosztami.
b) Szkolenie musi obejmować zagadnienia związane z konfigurację i administracją używanych przez Zamawiającego przełączników sieciowych firmy Microtic.
c) Szkolenie musi trwać minimum 24 godziny np. 3 dni po 8 godzin i musi obejmować swoim zakresem zagadnienia, minimum:
• projektowanie korporacyjnej sieci bezprzewodowej
• metody uwierzytelniania: WPA, Radius, Hotspot
• tworzenie strony powitalnej
• uwierzytelnianie adresu MAC (lista dostępu, promień)
• sieć typu Hotspot (otwarta)
• kopia zapasowa konfiguracji sterownika CAPsMAN (przełączanie awaryjne)
• konfiguracja kontrolera bezprzewodowego w chmurze
• analizowanie dziennika systemowego pod kątem problemów z siecią bezprzewodową
d) W ramach szkoleń wymagane są materiały szkoleniowe.

4.5.3.) Główny kod CPV: 80000000-4 - Usługi edukacyjne i szkoleniowe

4.5.5.) Wartość części: 29375,38 PLN

Część 3

4.5.1.) Krótki opis przedmiotu zamówienia

5. Część III - Automatyczne testy phishingowe

1) Przedmiotem części III są automatyczne testy phishingowe. Zamawiający wymaga wdrożenia platformy szkoleniowej umożliwiającej prowadzenie kampanii phishingowej i edukacyjnej, dostępnej w wersji chmurowej (SaaS).
2) Platforma szkoleniowa musi umożliwić jednoczesne korzystanie 120 osób w okresie minimum 24 miesięcy od dnia odbioru.
3) Wymagania ogólne dla platformy:
a) Rozwiązanie musi posiadać swoje centrum danych na terenie Unii Europejskiej.
b) Konsola centralna Security Center musi posiadać możliwość uruchomienia dodatkowego uwierzytelnienia użytkowników, za pomocą 2FA wysyłanych w postaci wiadomości SMS.
c) Administrator w konsoli centralnej Security Center musi posiadać możliwość dodania dodatkowych użytkowników zarządzających.
d) Rozwiązanie musi posiadać możliwość dodania dodatkowych zestawów uprawnień (ról), które mogą być przypisane do użytkowników systemu.
4) Prowadzenie kampanii phishingowych i edukacyjnych
a) możliwość utworzenia kampanii phishingowej i edukacyjnej;
b) możliwość tworzenia własnych profili phishingowych lub importu predefiniowanych na platformie;
c) profile kampanii phishingowych dostępne na platformie muszą być minimum w wersji polskiej i angielskiej;
d) profil kampanii phishingowej musi zawierać szablon wiadomości email lub wiadomości email i strony internetowej;
e) możliwość przypisania do profilu kampanii phishingowej kategorii domen, z których wysyłane będą wiadomości;
f) kampanie phishingowe muszą posiadać możliwość wyboru czasu rozpoczęcia kampanii oraz sposobu wysyłania wiadomości:
• wysyłane jednorazowo do wszystkich odbiorców,
• wysyłane w grupach ,
• wysyłane losowo w określonym zakresie czasu.
g) Platforma musi posiadać co najmniej 5 predyfiniowanych szablonów kampanii w minimum języku polskim:
• wiadomości phishingowe - oszustwo związane z kontem e-mail,
• wiadomości phishingowe i strony internetowe - oszustwa związane z kontami e-mail,
• wiadomości phishingowe i strony internetowe - oszustwa związane z kartami kredytowymi,
• pobieranie plików - Office 365,
• phishing - Office 365.
h) możliwość przypisania do kampanii phishingowej, kampanii edukacyjnej przeprowadzanej poprzez wysłanie wiadomości email i/lub strony internetowej;
i) możliwość utworzenia własnych profili edukacyjnych lub importu predefiniowanych przez producenta;
j) profile kampanii edukacyjnych utworzone przez producenta muszą być dostępne minimum w języku polskim i angielskim;
k) możliwość wyboru treści wiadomości edukacyjnej w zależności od podjętej przez odbiorcę czynności: otwarcia wiadomości, odpowiedzi na wiadomość, kliknięcia w link oraz wypełnienia formularza na stronie phishingowej;
l) rozwiązanie musi posiadać możliwość stworzenia oraz wyboru treści prezentacji edukacyjnej w formie strony internetowej na której można zamieszczać treści edukacyjne w postaci tekstu, grafiki oraz wideo;
m) rozwiązanie musi posiadać możliwość stworzenia oraz wyboru testu sprawdzającego wiedzę w formie strony internetowej na której można zamieszczać pytania i odpowiedzi w formie jednokrotnego i wielokrotnego wyboru;
n) rozwiązanie musi posiadać możliwość anonimizacji danych odbiorców i podjętych przez nich czynności.
5) Raporty
a) Możliwość tworzenia raportów z oceny phishingu e-mail;
b) Możliwość tworzenia raportu zgodności z minimum:
• Ustawą o ochronie danych osobowych
• ISO / IEC 27001 lub równoważna
• ogólnym rozporządzeniem o ochronie danych
c) możliwość dostarczania nowych niestandardowych raportów zgodności, które mogą być zalecane przez ustawodawstwo, gdy ma to zastosowanie;
d) raport trendów z historią podatności;
e) selektywne raportowanie podatności (pełne i niestandardowe) i wykluczenia, uwzględnione systemy operacyjne, filtry zasobów, filtry podatności;
f) możliwość tworzenia "raportów skróconych" tygodniowych i miesięcznych, wysyłanych w sposób podsumowujący kanałem e-mail.
6) Wykonawca na przedmiot umowy udziela gwarancji na okres 24 miesięcy licząc od daty dokonania bezusterkowego odbioru końcowego przedmiotu zamówienia.

4.5.3.) Główny kod CPV: 80000000-4 - Usługi edukacyjne i szkoleniowe

4.5.5.) Wartość części: 26164,12 PLN

SEKCJA V ZAKOŃCZENIE POSTĘPOWANIA

Część 1

SEKCJA V ZAKOŃCZENIE POSTĘPOWANIA (dla części 1)

5.1.) Postępowanie zakończyło się zawarciem umowy albo unieważnieniem postępowania: Postępowanie/cześć postępowania zakończyła się unieważnieniem

5.2.) Podstawa prawna unieważnienia postępowania: art. 255 pkt 2 ustawy

5.2.1.) Przyczyna unieważnienia postępowania:

W postępowaniu dla Części I zamówienia wpłynęła jedna oferta złożona przez Wykonawcę ATFIDE Sp. z o.o., Tysiąclecia 14/15B, 38-400 Krosno. Zamawiający zgodnie z art. 224 ust. 1-3 ustawy Pzp w dniu 02 września 2024 r. wezwał Wykonawcę do złożenia wyjaśnień w tym dowodów w zakresie wyliczenia ceny oferty oraz wykazujących, iż oferta nie zawiera rażąco niskiej ceny. Zamawiający wyznaczył termin udzielenia wyjaśnień na dzień 06 września 2024 r. godz. 10:00. Wymieniony Wykonawca nie złożył wyjaśnień dot. rażąco niskiej ceny w wyznaczonym terminie. Zgodnie zaś z art. 224 ust. 6 ustawy Pzp odrzuceniu, jako oferta z rażąco niską ceną podlega oferta Wykonawcy, który nie udzielił wyjaśnień w wyznaczonym terminie. W związku z powyższym zgodnie z art. 226 ust. 1 pkt 8 ustawy Pzp Zamawiający odrzuca ofertę, jeżeli zawiera rażąco niską cenę w stosunku do przedmiotu zamówienia.
Na podstawie powyższego należy unieważnić postępowanie dla Części I zamówienia zgodnie z art. 255 pkt 2) ustawy Pzp, gdyż złożona oferta podlega odrzuceniu.

SEKCJA VI OFERTY (dla części 1)

6.1.) Liczba otrzymanych ofert lub wniosków: 1

6.1.1.) Liczba otrzymanych ofert wariantowych: 0

6.1.2.) Liczba ofert dodatkowych: 0

6.1.3.) Liczba otrzymanych od MŚP: 1

6.1.4.) Liczba ofert wykonawców z siedzibą w państwach EOG innych niż państwo zamawiającego: 0

6.1.5.) Liczba ofert wykonawców z siedzibą w państwie spoza EOG: 0

6.1.6.) Liczba ofert odrzuconych, w tym liczba ofert zawierających rażąco niską cenę lub koszt: 1

6.1.7.) Liczba ofert zawierających rażąco niską cenę lub koszt: 1

Część 2

SEKCJA V ZAKOŃCZENIE POSTĘPOWANIA (dla części 2)

5.1.) Postępowanie zakończyło się zawarciem umowy albo unieważnieniem postępowania: Postępowanie/cześć postępowania zakończyła się unieważnieniem

5.2.) Podstawa prawna unieważnienia postępowania: art. 255 pkt 1 ustawy

5.2.1.) Przyczyna unieważnienia postępowania:

2. W przedmiotowym postępowaniu dla Części II zamówienia nie złożono żadnej oferty

SEKCJA VI OFERTY (dla części 2)

6.1.) Liczba otrzymanych ofert lub wniosków: 0

Część 3

SEKCJA V ZAKOŃCZENIE POSTĘPOWANIA (dla części 3)

5.1.) Postępowanie zakończyło się zawarciem umowy albo unieważnieniem postępowania: Postępowanie/cześć postępowania zakończyła się unieważnieniem

5.2.) Podstawa prawna unieważnienia postępowania: art. 255 pkt 1 ustawy

5.2.1.) Przyczyna unieważnienia postępowania:

2. W przedmiotowym postępowaniu dla Części III zamówienia nie złożono żadnej oferty

SEKCJA VI OFERTY (dla części 3)

6.1.) Liczba otrzymanych ofert lub wniosków: 0