Czy polskie urzędy mogą korzystać z rosyjskiego antywirusa? Kto i na jakiej podstawie powinien podejmować takie decyzje? Temat ten jest mało precyzyjnie uregulowany w przepisach i urzędy radzą sobie, jak mogą – i potrafią.
W listopadzie 2017 Centralny Ośrodek Informatyki poinformował o rozstrzygnięciu przetargu na dostarczenie programu antywirusowego i wyeliminowaniu oferty firmy Kaspersky z uwagi na bezpieczeństwo państwa. Niedawno mieliśmy okazję zapoznać się z niepublikowanym wcześniej uzasadnieniem tej decyzji, zatem czas na jego krótką analizę.
Przetargowe kontrowersje
Przypomnijmy harmonogram zdarzeń. 17 października COI ogłosił przetarg na dostawę oprogramowania antywirusowego. Otwarcie ofert nastąpiło 25 października. Oferty złożyło 7 firm, w różnych cenach i o różnym okresie ważności licencji. Aby porównać oferty pod kątem finansowym, warto policzyć miesięczny koszt licencji:
| Dostawca | Cena | Czas | Koszt miesiąca |
| Kaspersky Services | 245 974,44 | 48 | 5 124,47 |
| Perceptus | 491 685,24 | 24 | 20 486,89 |
| Koma Nord | 580 004,04 | 24 | 24 166,84 |
| Comtegra | 336 138,71 | 24 | 14 005,78 |
| Monolit IT | 484 365,61 | 24 | 20 181,90 |
| DAMIKO | 296 592,98 | 24 | 12 358,04 |
| Integrated Solutions | 262 445,46 | 18 | 14 580,30 |
Wyraźnie widać, że cena oferowana przez Kaspersky znacząco odbiega od pozostałych ofert. Co ciekawe, w trakcie postępowania nie została wybrana oferta najkorzystniejsza cenowo. Gdy 30 listopada 2017 rozstrzygnięto przetarg, okazało się, że wygrało Integrated Solutions – ponieważ jako jedyne spełniło wymogi formalne. Okazuje się, że pozostałe 6 firm (w tym także Kaspersky) nie przedłużyło ważności swoich ofert. Organizator przetargu prosił o oferty ważne 30 dni i takie otrzymał. Przetarg rozstrzygnięto jednak kilka dni po upływie tego terminu – i tylko Integrated Solutions przedłużyło wcześniej ważność swojej oferty. O komentarz do tego zdarzenia poprosiliśmy eksperta w danej materii.
– Jak wynika z dokumentów, zamawiający nie wzywał wykonawców do przedłużenia terminu związania ofertą i ważności wadium. To dość niecodzienne zachowanie. Chociaż przepisy ustawy – Prawo zamówień publicznych nie zobowiązują go do tego, a jedynie dają taką możliwość, to regułą jest, że organizatorzy przetargów sami wzywają wykonawców, aby przedłużyli te terminy. Leży to przecież w ich interesie. Im więcej ofert pozostanie ważnych, tym większa szansa, że uzyskają lepsze warunki – komentuje Sławomir Wikariak, dziennikarz Dziennika Gazety Prawnej zajmujący się tematyką zamówień publicznych.
– Trudno oceniać, dlaczego zamawiający nie zechciał skorzystać z przysługującego mu uprawnienia, tylko czekał na ruch przedsiębiorców. Efekt jednak jest widoczny jak na dłoni – pozostała tylko jedna ważna oferta. Pozostali wykonawcy prawdopodobnie czekali na wezwania organizatora przetargu – dodaje.
Okazuje się zatem, że i bez powodów związanych z bezpieczeństwem państwa oferta firmy Kaspersky odpadła z przetargu, jednak uzasadnienie drugiego powodu jej odrzucenia jest dość ciekawe.
Bo USA
Decyzję o odrzuceniu oferty firmy Kaspersky z drugiego powodu („jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób”) uzasadniono na pięciu stronach dokumentu. Streścić te pięć stron można w zwrocie „bo USA”. Rozwijając jednak poszczególne punkty argumentacji autorów uzasadnienia, warto przyjrzeć się niektórym jej fragmentom.
Uzasadnienie decyzji opinią wydaną przez urząd obcego państwa w naszej ocenie nie świadczy dobrze o roli polskich organów w tej sytuacji. Okazuje się, że nie istnieją mechanizmy pozwalające na wydanie podobnego komunikatu przez polskie urzędy – lub jeśli istnieją, zabrakło odważnego, który by go wydał. Pozostaje nam się zatem cieszyć, że nasz sojusznik ogłosił publicznie, że tej akurat firmie nie ufa – bo gdyby informacja ta była przekazana jedynie kanałami zastrzeżonymi, wtedy mogłaby nie dotrzeć do organizatorów przetargu.
Bardzo przytomna uwaga wskazująca, że polskie przepisy nie precyzują okoliczności, w jakich można mówić o zagrożeniu dla bezpieczeństwa państwa, nie ułatwiając zadania osobom odpowiedzialnym za podejmowanie decyzji w tym obszarze. COI powołuje się w tym miejscu na komentarz do ustawy oraz stanowisko Prezesa Urzędu Zamówień Publicznych.
Trudno nie zgodzić się z przedstawioną w powyższym akapicie argumentacją – z punktu widzenia zarządzania ryzykiem waga informacji przetwarzanych we wspomnianych systemach uzasadnia dużo wyższy niż zwykle poziom ostrożności. Zagrożenia dla bezpieczeństwa informacji należy zawsze analizować w kontekście tego, co i przed kim chronimy – a w tym wypadku sytuacja pozostawia niewiele wątpliwości.
W jednym z ostatnich akapitów uzasadnienia po raz kolejny widzimy ciężar decyzji złożony na barki zamawiającego wobec milczenia polskich organów państwowych w tej sprawie.
Podsumowanie
Cieszymy się, że COI znalazł sensowne wyjście z tej trudnej sytuacji i przepisy na to pozwoliły. Wolelibyśmy jednak, by ktoś polskie urzędy w podejmowaniu takich decyzji wspomagał – szczególnie w tak wymagającym precyzji procesie, jakim jest procedura udzielania zamówień publicznych.
PS. Nie wiemy, który antywirus wygrał – pozostaje nam tylko mieć nadzieję, że był to produkt kraju Polsce przyjaznego, a najlepiej neutralnego z punktu widzenia naszych interesów geopolitycznych. A do tematu wagi zarzutów wobec firmy Kaspersky jeszcze wrócimy.
Komentarze
Wiadomo że kaspersky jest g… i nie powinno się tego używać, ale jakie to ma znaczenie skoro i tak nasze dane są na serwerach Microsoftu(bo nie podejrzewam że urzędy używają GNU/Linuxa).
Zastanwia mnie swoją drogą jak to jest wobec prawa że odrzucili najtańszą ofertę, ale nie żeby ktoś tutaj (niestety) szanował prawo :/
>pozostaje nam tylko mieć nadzieję, że był to produkt kraju Polsce przyjaznego, a najlepiej neutralnego z punktu widzenia naszych interesów geopolitycznych
Czyli Panie Adamie, żadnego?No może od biedy polski.
Słowacja? Finlandia? Rumunia?
Touche, ma Pan rację :)
„Zastanwia mnie swoją drogą jak to jest wobec prawa że odrzucili najtańszą ofertę, ale nie żeby ktoś tutaj (niestety) szanował prawo :/ ”
bardzo prosto :)
https://www.uzp.gov.pl/baza-wiedzy/interpretacja-przepisow/opinie-archiwalne/razaco-niska-cena
zajmowałem się przetargami publicznymi 2005 do 2015, kwestia rażąco niskiej ceny nigdy nie bywa podnoszona przez zamawiającego, nawet jeśli zatrudnienie pracownika na (sic!) minimalną krajową jest droższe od oferty zożonej przez przedsiębiorcę(a gdzie zysk ?),dlatego kwestia rażąco niskiej ceny drogi kolego, słabo się wpisuje w ten przypadek, ot polskie prawo którego państwowe instytucje nie przestrzegają (urzędy skarbowe, zakłady ubezpieczeń społecznych, GDDKiA, Urzędy Miast czy Sądy), inną kwestia w tym wypadku jest dyskryminacja na podstawie plotki, o ile DHS jakieś badania przeprowadził (mniej lub bardziej wiarygodne, a nawet jeśli nie, prawo USA zasadniczo odbiega od polskiego) to polski urząd taką decyzją przy odrobinie uporu ze strony Kaspersky może przysporzyć naszym kieszeniom sporych wydatków na odszkodaowanie za pomówienia, oczernianie marki bezpodstawne jakby nie było, jak również, jeśli zamawiający celowo wydłużył procedury poprzez zaniechanie lub zaniedbanie, pozostali ofernci również mogą złożyć odwołanie do krajowej izby odwoławczej, bardzo wątpliwa procedura, pachnie brzydko na kilometr,
„gdzie jest minister ziobro najsprawiedliwszy ze sprawiedliwych ?”
także ja bym nie fetował zwycieztwa gdyż sprawa jeszcze nie jest zakończona, choć nie śledzę zamówień od lat, trybiki w polsce działają powoli
co ty chlopie pleciesz, razaco niska cena zawsze jest podnoszona jesli tylko wystepuje. Jesli jedna z ofert „odstaje” od reszty to zamawiajacy zawsze sie upewnia, czy wszystko jest aby na pewno tak jak mialo byc. Jedyne co tu widac to to, ze porownujemy gruszki z kapusta. To, ze firma kaspersky odpadla w przetargu to nie oznacza, ze antywirus kasperskiego nie wygral przetargu. W tabeli jest w zasadzie jeden producent antywirusow – kaspersky wlasnie a reszta to zwykli dystrybutorzy i podana w artykule informacja nie zawiera tak naprawde nazw produktow, ktore braly udzial w wyscigu, moze nawet sam COI ich nie znal (oficjalnie). Przeciez reszta nie pisze swojego softu antywirusowego, tylko sprzedaje licencje i ewentualnie „wdraza”. Wygral jak zwykle „lepszy” :) IS, czyli firma corka telekomunikacji kiedys zwanej polska a w rzeczywistosci francuski telecom. Jakos nigdy nie slyszalem aby pisali wlasnego antywira.
A wyobrażasz sobie jak Pani Krysia klepie komendy w terminalu bo P O T Ę Ż N A dystrybucja GNUj/Linuksa postanowiła nagle strzelić focha i wywalić Xorga na amen? :P
a jak winda strzeli blue screena to pani krysia klepie cos w terminalu pod windowsem ? czy poprostu wciska reset ?
Linux zrobił focha? Od tego jest administrator wychowany na winzgrozie.
A od kiedy to Pani Krysia klepała cokolwiek w okienku tekstowym? Ja nie widziałem nigdy takiego zjawiska! Co więcej! Jak się pojawiło okienko informacyjne na winzgrozie, to bez czytania klikała „OK”. To, że potem danych nigdzie nie było bo wydała polecenie zatwierdzające systemowi „posprzątanie” dysku z plików uznanych za uszkodzone, to już nie problem Pani Krysi! Jak dla mnie, to rozwiązanie jest proste! Pracownik ma wyłącznie terminal, aplikacje użytkowe są na serwerze aplikacyjnym! Wywał terminala, to tylko dla aplikacji zjawisko zerwania sesji! A to już inne zagadnienie z punktu widzenia bezpieczeństwa informacji.
I bardzo dobrze zrobili. Kaspersky dopiero niedawno wprowadził program bug bounty (ciekawe dlaczego). A to jest zwykłe olewanie ważnej części sfery bezpieczeństwa i niepoważne podchodzenie do klientów. Inni wprowadzili podobne programy już lata temu. Poza tym ten antywir jest wyjątkowym zamulaczem i ma mnóstwo fałszywych alarmów.
Który producent av ma bug bounty?
Np. Avast? :)
https://blog.avast.com/2013/01/25/introducing-avast-bug-bounty/
To jeszcze drugi żeby była liczba mnoga. I jeśli Kaspersky jest trzecim av z Bug bounty na 50 producentów to chyba nie ma katastrofy?
Jeszcze Fortinet (FortiClient AV), Sophos, Bitdefender, F-Secure, Quick Heal, McAfee, Symantec, Trend Micro i wspomiany Avast i Kaspersky.
Właśnie chwalą jakie to „świetne” bug bounty:
https://twitter.com/taviso/status/971133206702448642
„This is just marketing fluff, Kaspersky have scoped the requirements for submissions unrealistically. They might as well have offered $1M, but stipulated exploits have to work when the computer is off.”
To ja idę płakać w kącie, nad żałosnym stanem państwa i tym jak daleko nam do Francji czy Niemiec, które bez problemu podejmują strategiczne decyzje w oparciu o własne zasoby.
michas nie puaczq tylkom piszq antywirusq, hejeczka
Gratulacje ;)
Pokaz, jak przykryć ewidentną przewałkę gadaniną o Kasperskym :)
Przecież od jakiegoś czasu wiadomo że potrzebny jest antywirus Rosyjski do wykrywania wirusów Amerykańskich, Amerykański do wykrywania wirusów Rosyjskich i Fiński żeby tym dwóm pozostałym patrzył na ręce.
Ale bzdura :-\
Wiadomo że przekręty idą na przetargach
Cena to nie wszystko. Osobiście zdecydowałem że w mojej organizacji będziemy używać produktu fińskiego. Nie obyło się bez zgrzytów, jednak doświadczenie pokazuje że nie ma produktów idealnych. Najistotniejszym elementem produktu jest konsola zarządzająca zwana Police Manager. Support jest do bani.
Czy coś stoi na przeszkodzie, aby Integrated Solutions kupiło teraz licencje od Kaspersky i wdrożyło tego AV w MC? : )
wszystko zależy od SIWZ, jeśli przewiduje taką opcję to zapwene tak, innym ciekawym i wartym rozważenia tematem w tym przetargu jest wyklucznie jedynego przedstawicielstawa znanej firmy antywirusowej bo w screenie nie widziałem symantec, fsecura, gdata, comodo, mcafee czy innego antywirusa,samych pośredników, co znacząco może wyjaśnić kwestie rozbieżności cen. pomińmy marże pośredników, kupujmy u producentów, polskie urzędy jakby nie zauważały problemu …. ale wydawanie cudzych (publicznych) pieniędzy przecież nikogo nie boli, i nie jestem jamiś zwolennikiem kaspskiego, osobiście nigdy nie używałem tego antywirusa, aczkolwiek można by się pokusić nawet o stwierdzenie działania na szkodę państwa przez owy podmiot zamawiający, prawnicy zapewne jeszcze wrócą do tematu mam pzrzynajmniej taką cichą nadzieję
Hmm rusofobia w pelnej krasie. Rodjanie to skutat swietni programisci. Ale szpiegowskie amerykanskie programy to sa ok. Swoja droga ciekawe czyje sa te male firemki antywirusowe? Bardzo szkoda ze nasz rodzimy MKS Marka Sela juz nie żyje.
Nie rusofobia, tylko geopolityka. Jak zaczniesz nosić długie spodnie porozmawiamy.
I bardzo dobrze, skończy się szpiegostwo ze strony USA przynajmniej w tej części. Po tym co ujawniono na temat obchodzenia przez USA traktatów unijnych to BARDZO DOBRA DECYZJA. Póki co jeżeli chodzi o MC to jedyna dobra.
A ePUAP-kę i mObywatel powinni wyciąć w pień zamiast ludzi po kolei zmuszać. Już jednoosobowi przedsiębiorcy muszą mieć epułapkę tylko dlatego, że muszą podpisać JPK-VAT – ciekawe kiedy każdy będzie musiał elektronicznie podpisywać PIT-y.
A już to co na niebezpieczniku piszą o Poczie Polskiej – kolejna dziura do wykradania danych przez cudowne systemy elektroniczne, to jestem za tym aby Polska dalej była papierowa, a tylko dla tych co wyrażą nieprzymuszoną wole – elektroniczna – łącznie z danymi medycznymi.
Banda zlodziei.
Kasperski kasperskim, ale ten przetarg śmierdzi przekrętem.
Tak na szybko
Wyrok Sądu Okręgowego w Lublinie z 17.01.2014 r., IX Ga 392/13,
„nie ma podstaw by, na podstawie przepisu art. 24 ust. 2 pkt 2 ustawy, przyjąć, że nieprzedłużenie związania ofertą w sytuacji braku wezwania przez Zamawiającego, było równoznaczne z brakiem wyrażenia zgody na przedłużenie terminu związania ofertą na wezwanie zamawiającego”
Nie wiem czy zalecenia *sojusznika* u którego wystarczy 13 manipulantów by przeflancować najważniejsze wybory, są czegokolwiek warte…
Może warto rozważyć sojusze z tymi co mogą więcej niż się chwalą?
Czasem mam wrażenie, że niektórzy przegapili *rewelacje* Snowdena.
Tak z boku patrząc to wygląda to tak jakby Integrated Solutions dało w łapę urzędasom za przeciągniecie przetargu i wstrzymanie się z prośbą o przedłużenie ofert…
Ale co ja tam wiem :P
Każda przesłanka o ile jest wiarygodna powinna być brana pod uwagę jeśli chodzi o bezpieczeństwo.
Dlaczego autor pisze o sobie w liczbie mnogiej? Ma jakiś kompleks, czy chciałby zostać królem?
Z ciekawostek, ale w kontekście globalizacji usług/dostawców i ich dywersyfikacji, to analizując ostatnio logi zapory wyczytaliśmy, że nasze pliki JPK lądują w chmurze Microsoftu w Holandii. Ja wiem, że to wszystko jest szyfrowane, ale wiedząc co zawierają pliki JPK i co będą zawierać w najbliższym czasie, jakiś dyskomfort z tego powodu odczuwam.
Mam tak samo.
Państwo które chce wdrażać cyfryzację powinno na samym początku zbudować do tego własną infrastrukturę i porządnie ją zabezpieczyć. Inaczej jest niepoważne.
Regulacje są przestarzałe i mądry musi ktoś napisać. Brakije po prostu punktacji za bezpieczeństwo i ogólną opinię, popularność. Popularność też polega na tym, że ludzie wybierają to co najlepsze.