Jak COI ofertę rosyjskiego antywirusa musiał odrzucić

Czy polskie urzędy mogą korzystać z rosyjskiego antywirusa? Kto i na jakiej podstawie powinien podejmować takie decyzje? Temat ten jest mało precyzyjnie uregulowany w przepisach i urzędy radzą sobie, jak mogą – i potrafią.

W listopadzie 2017 Centralny Ośrodek Informatyki poinformował o rozstrzygnięciu przetargu na dostarczenie programu antywirusowego i wyeliminowaniu oferty firmy Kaspersky z uwagi na bezpieczeństwo państwa. Niedawno mieliśmy okazję zapoznać się z niepublikowanym wcześniej uzasadnieniem tej decyzji, zatem czas na jego krótką analizę.

Przetargowe kontrowersje

Przypomnijmy harmonogram zdarzeń. 17 października COI ogłosił przetarg na dostawę oprogramowania antywirusowego. Otwarcie ofert nastąpiło 25 października. Oferty złożyło 7 firm, w różnych cenach i o różnym okresie ważności licencji. Aby porównać oferty pod kątem finansowym, warto policzyć miesięczny koszt licencji:

Dostawca Cena Czas Koszt miesiąca
Kaspersky Services 245 974,44 48 5 124,47
Perceptus 491 685,24 24 20 486,89
Koma Nord 580 004,04 24 24 166,84
Comtegra 336 138,71 24 14 005,78
Monolit IT 484 365,61 24 20 181,90
DAMIKO 296 592,98 24 12 358,04
Integrated Solutions 262 445,46 18 14 580,30

Wyraźnie widać, że cena oferowana przez Kaspersky znacząco odbiega od pozostałych ofert. Co ciekawe, w trakcie postępowania nie została wybrana oferta najkorzystniejsza cenowo. Gdy 30 listopada 2017 rozstrzygnięto przetarg, okazało się, że wygrało Integrated Solutions – ponieważ jako jedyne spełniło wymogi formalne. Okazuje się, że pozostałe 6 firm (w tym także Kaspersky) nie przedłużyło ważności swoich ofert. Organizator przetargu prosił o oferty ważne 30 dni i takie otrzymał. Przetarg rozstrzygnięto jednak kilka dni po upływie tego terminu – i tylko Integrated Solutions przedłużyło wcześniej ważność swojej oferty. O komentarz do tego zdarzenia poprosiliśmy eksperta w danej materii.

– Jak wynika z dokumentów, zamawiający nie wzywał wykonawców do przedłużenia terminu związania ofertą i ważności wadium. To dość niecodzienne zachowanie. Chociaż przepisy ustawy – Prawo zamówień publicznych nie zobowiązują go do tego, a jedynie dają taką możliwość, to regułą jest, że organizatorzy przetargów sami wzywają wykonawców, aby przedłużyli te terminy. Leży to przecież w ich interesie. Im więcej ofert pozostanie ważnych, tym większa szansa, że uzyskają lepsze warunki – komentuje Sławomir Wikariak, dziennikarz Dziennika Gazety Prawnej zajmujący się tematyką zamówień publicznych.

– Trudno oceniać, dlaczego zamawiający nie zechciał skorzystać z przysługującego mu uprawnienia, tylko czekał na ruch przedsiębiorców. Efekt jednak jest widoczny jak na dłoni – pozostała tylko jedna ważna oferta. Pozostali wykonawcy prawdopodobnie czekali na wezwania organizatora przetargu – dodaje.

Okazuje się zatem, że i bez powodów związanych z bezpieczeństwem państwa oferta firmy Kaspersky odpadła z przetargu, jednak uzasadnienie drugiego powodu jej odrzucenia jest dość ciekawe.

Bo USA

Decyzję o odrzuceniu oferty firmy Kaspersky z drugiego powodu („jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób”) uzasadniono na pięciu stronach dokumentu. Streścić te pięć stron można w zwrocie „bo USA”. Rozwijając jednak poszczególne punkty argumentacji autorów uzasadnienia, warto przyjrzeć się niektórym jej fragmentom.

W czasie trwania niniejszego postępowania w mediach pojawiły się informacje, z których wynika, że rząd USA zakazał amerykańskim urzędom korzystać z programów firmy Kaspersky Lab z powodu obaw o cyberszpiegostwo. Oficjalna informacja w tym zakresie znajduje się na stronie internetowej Department of Homeland Security (Departament Bezpieczeństwa Wewnętrznego – dalej „DHS”). (w dalszej części znajdują się obszerne fragmenty informacji DHS wraz z tłumaczeniem – przyp. red.)
Uzasadnienie decyzji opinią wydaną przez urząd obcego państwa w naszej ocenie nie świadczy dobrze o roli polskich organów w tej sytuacji. Okazuje się, że nie istnieją mechanizmy pozwalające na wydanie podobnego komunikatu przez polskie urzędy – lub jeśli istnieją, zabrakło odważnego, który by go wydał. Pozostaje nam się zatem cieszyć, że nasz sojusznik ogłosił publicznie, że tej akurat firmie nie ufa – bo gdyby informacja ta była przekazana jedynie kanałami zastrzeżonymi, wtedy mogłaby nie dotrzeć do organizatorów przetargu.

Wymaga podkreślenia, że pojęcia interesu publicznego lub interesu bezpieczeństwa państwa nie mają jednolitej definicji ustawowej. Ich interpretacja wymaga zatem pewnej ostrożności. W okolicznościach stanu faktycznego należy odnieść się do pojęcia bezpieczeństwa państwa.
Bardzo przytomna uwaga wskazująca, że polskie przepisy nie precyzują okoliczności, w jakich można mówić o zagrożeniu dla bezpieczeństwa państwa, nie ułatwiając zadania osobom odpowiedzialnym za podejmowanie decyzji w tym obszarze. COI powołuje się w tym miejscu na komentarz do ustawy oraz stanowisko Prezesa Urzędu Zamówień Publicznych.

Wobec powyższego należy zwrócić uwagę, iż w opinii Zamawiającego zawarcie umowy ze spółką KASPERSKY SERVICES Sp. z o.o. oferującą w przedmiotowym postępowaniu licencję producenta oprogramowania antywirusowego Kaspersky Lab jednoznacznie negatywnie może wpłynąć na bezpieczeństwo państwa. Ministerstwo Cyfryzacji, które ma być odbiorcą przedmiotowych licencji jest w posiadaniu ogromnej ilości danych będących strategicznymi dla sprawnego funkcjonowania Państwa. Ponadto w związku z zapewnianiem cyfryzacji Państwa (ePuap, CEPiK, Mobywatel oraz wiele innych obowiązków związanych z informatyzacją urzędów) kluczowym dla zapewnienia bezpieczeństwa i tym samym właśnie sprawnego funkcjonowania Państwa jest program antywirusowy zapewniający najwyższy stopień zabezpieczeń przed złośliwym oprogramowaniem. Jednocześnie niebezpieczeństwo związane z wyciekiem informacji z katalogów Ministerstwa Cyfryzacji (np. danych osobowych) jest całkowicie niedopuszczalny i groziłoby naruszeniem istotnego interesu bezpieczeństwa Państwa.
Trudno nie zgodzić się z przedstawioną w powyższym akapicie argumentacją – z punktu widzenia zarządzania ryzykiem waga informacji przetwarzanych we wspomnianych systemach uzasadnia dużo wyższy niż zwykle poziom ostrożności. Zagrożenia dla bezpieczeństwa informacji należy zawsze analizować w kontekście tego, co i przed kim chronimy – a w tym wypadku sytuacja pozostawia niewiele wątpliwości.

Fakt, iż polskie organy państwowe nie wypowiedziały się co jeszcze do potencjalnego zagrożenia jakie może stanowić oprogramowanie Kaspersky w opinii Zamawiającego, oraz zgodnie z powyżej przywołanym stanowiskiem doktryny i stanowiskiem Prezesa Urzędu Zamówień Publicznych nie stanowi nie może stanowić [sic] o braku możliwości wystąpienia takiego zagrożenia i w takiej sytuacji to na Zamawiającym spoczywa odpowiedzialność, aby nie dopuścić do naruszenia bezpieczeństwa publicznego lub istotny interes bezpieczeństwa państwa, a jedynym rozwiązaniem w tej sytuacji jest odrzucenie oferty Wykonawcy KASPERSKY SERVICES Sp. z o.o.
W jednym z ostatnich akapitów uzasadnienia po raz kolejny widzimy ciężar decyzji złożony na barki zamawiającego wobec milczenia polskich organów państwowych w tej sprawie.

Podsumowanie

Cieszymy się, że COI znalazł sensowne wyjście z tej trudnej sytuacji i przepisy na to pozwoliły. Wolelibyśmy jednak, by ktoś polskie urzędy w podejmowaniu takich decyzji wspomagał – szczególnie w tak wymagającym precyzji procesie, jakim jest procedura udzielania zamówień publicznych.

PS. Nie wiemy, który antywirus wygrał – pozostaje nam tylko mieć nadzieję, że był to produkt kraju Polsce przyjaznego, a najlepiej neutralnego z punktu widzenia naszych interesów geopolitycznych. A do tematu wagi zarzutów wobec firmy Kaspersky jeszcze wrócimy.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *