12.03.2018 | 07:26

Adam Haertle

37 komentarzy

Jak COI ofertę rosyjskiego antywirusa musiał odrzucić

Czy polskie urzędy mogą korzystać z rosyjskiego antywirusa? Kto i na jakiej podstawie powinien podejmować takie decyzje? Temat ten jest mało precyzyjnie uregulowany w przepisach i urzędy radzą sobie, jak mogą – i potrafią.

W listopadzie 2017 Centralny Ośrodek Informatyki poinformował o rozstrzygnięciu przetargu na dostarczenie programu antywirusowego i wyeliminowaniu oferty firmy Kaspersky z uwagi na bezpieczeństwo państwa. Niedawno mieliśmy okazję zapoznać się z niepublikowanym wcześniej uzasadnieniem tej decyzji, zatem czas na jego krótką analizę.

Przetargowe kontrowersje

Przypomnijmy harmonogram zdarzeń. 17 października COI ogłosił przetarg na dostawę oprogramowania antywirusowego. Otwarcie ofert nastąpiło 25 października. Oferty złożyło 7 firm, w różnych cenach i o różnym okresie ważności licencji. Aby porównać oferty pod kątem finansowym, warto policzyć miesięczny koszt licencji:

Dostawca Cena Czas Koszt miesiąca
Kaspersky Services 245 974,44 48 5 124,47
Perceptus 491 685,24 24 20 486,89
Koma Nord 580 004,04 24 24 166,84
Comtegra 336 138,71 24 14 005,78
Monolit IT 484 365,61 24 20 181,90
DAMIKO 296 592,98 24 12 358,04
Integrated Solutions 262 445,46 18 14 580,30

Wyraźnie widać, że cena oferowana przez Kaspersky znacząco odbiega od pozostałych ofert. Co ciekawe, w trakcie postępowania nie została wybrana oferta najkorzystniejsza cenowo. Gdy 30 listopada 2017 rozstrzygnięto przetarg, okazało się, że wygrało Integrated Solutions – ponieważ jako jedyne spełniło wymogi formalne. Okazuje się, że pozostałe 6 firm (w tym także Kaspersky) nie przedłużyło ważności swoich ofert. Organizator przetargu prosił o oferty ważne 30 dni i takie otrzymał. Przetarg rozstrzygnięto jednak kilka dni po upływie tego terminu – i tylko Integrated Solutions przedłużyło wcześniej ważność swojej oferty. O komentarz do tego zdarzenia poprosiliśmy eksperta w danej materii.

– Jak wynika z dokumentów, zamawiający nie wzywał wykonawców do przedłużenia terminu związania ofertą i ważności wadium. To dość niecodzienne zachowanie. Chociaż przepisy ustawy – Prawo zamówień publicznych nie zobowiązują go do tego, a jedynie dają taką możliwość, to regułą jest, że organizatorzy przetargów sami wzywają wykonawców, aby przedłużyli te terminy. Leży to przecież w ich interesie. Im więcej ofert pozostanie ważnych, tym większa szansa, że uzyskają lepsze warunki – komentuje Sławomir Wikariak, dziennikarz Dziennika Gazety Prawnej zajmujący się tematyką zamówień publicznych.

– Trudno oceniać, dlaczego zamawiający nie zechciał skorzystać z przysługującego mu uprawnienia, tylko czekał na ruch przedsiębiorców. Efekt jednak jest widoczny jak na dłoni – pozostała tylko jedna ważna oferta. Pozostali wykonawcy prawdopodobnie czekali na wezwania organizatora przetargu – dodaje.

Okazuje się zatem, że i bez powodów związanych z bezpieczeństwem państwa oferta firmy Kaspersky odpadła z przetargu, jednak uzasadnienie drugiego powodu jej odrzucenia jest dość ciekawe.

Bo USA

Decyzję o odrzuceniu oferty firmy Kaspersky z drugiego powodu („jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób”) uzasadniono na pięciu stronach dokumentu. Streścić te pięć stron można w zwrocie „bo USA”. Rozwijając jednak poszczególne punkty argumentacji autorów uzasadnienia, warto przyjrzeć się niektórym jej fragmentom.

W czasie trwania niniejszego postępowania w mediach pojawiły się informacje, z których wynika, że rząd USA zakazał amerykańskim urzędom korzystać z programów firmy Kaspersky Lab z powodu obaw o cyberszpiegostwo. Oficjalna informacja w tym zakresie znajduje się na stronie internetowej Department of Homeland Security (Departament Bezpieczeństwa Wewnętrznego – dalej „DHS”). (w dalszej części znajdują się obszerne fragmenty informacji DHS wraz z tłumaczeniem – przyp. red.)

Uzasadnienie decyzji opinią wydaną przez urząd obcego państwa w naszej ocenie nie świadczy dobrze o roli polskich organów w tej sytuacji. Okazuje się, że nie istnieją mechanizmy pozwalające na wydanie podobnego komunikatu przez polskie urzędy – lub jeśli istnieją, zabrakło odważnego, który by go wydał. Pozostaje nam się zatem cieszyć, że nasz sojusznik ogłosił publicznie, że tej akurat firmie nie ufa – bo gdyby informacja ta była przekazana jedynie kanałami zastrzeżonymi, wtedy mogłaby nie dotrzeć do organizatorów przetargu.

Wymaga podkreślenia, że pojęcia interesu publicznego lub interesu bezpieczeństwa państwa nie mają jednolitej definicji ustawowej. Ich interpretacja wymaga zatem pewnej ostrożności. W okolicznościach stanu faktycznego należy odnieść się do pojęcia bezpieczeństwa państwa.

Bardzo przytomna uwaga wskazująca, że polskie przepisy nie precyzują okoliczności, w jakich można mówić o zagrożeniu dla bezpieczeństwa państwa, nie ułatwiając zadania osobom odpowiedzialnym za podejmowanie decyzji w tym obszarze. COI powołuje się w tym miejscu na komentarz do ustawy oraz stanowisko Prezesa Urzędu Zamówień Publicznych.

Wobec powyższego należy zwrócić uwagę, iż w opinii Zamawiającego zawarcie umowy ze spółką KASPERSKY SERVICES Sp. z o.o. oferującą w przedmiotowym postępowaniu licencję producenta oprogramowania antywirusowego Kaspersky Lab jednoznacznie negatywnie może wpłynąć na bezpieczeństwo państwa. Ministerstwo Cyfryzacji, które ma być odbiorcą przedmiotowych licencji jest w posiadaniu ogromnej ilości danych będących strategicznymi dla sprawnego funkcjonowania Państwa. Ponadto w związku z zapewnianiem cyfryzacji Państwa (ePuap, CEPiK, Mobywatel oraz wiele innych obowiązków związanych z informatyzacją urzędów) kluczowym dla zapewnienia bezpieczeństwa i tym samym właśnie sprawnego funkcjonowania Państwa jest program antywirusowy zapewniający najwyższy stopień zabezpieczeń przed złośliwym oprogramowaniem. Jednocześnie niebezpieczeństwo związane z wyciekiem informacji z katalogów Ministerstwa Cyfryzacji (np. danych osobowych) jest całkowicie niedopuszczalny i groziłoby naruszeniem istotnego interesu bezpieczeństwa Państwa.

Trudno nie zgodzić się z przedstawioną w powyższym akapicie argumentacją – z punktu widzenia zarządzania ryzykiem waga informacji przetwarzanych we wspomnianych systemach uzasadnia dużo wyższy niż zwykle poziom ostrożności. Zagrożenia dla bezpieczeństwa informacji należy zawsze analizować w kontekście tego, co i przed kim chronimy – a w tym wypadku sytuacja pozostawia niewiele wątpliwości.

Fakt, iż polskie organy państwowe nie wypowiedziały się co jeszcze do potencjalnego zagrożenia jakie może stanowić oprogramowanie Kaspersky w opinii Zamawiającego, oraz zgodnie z powyżej przywołanym stanowiskiem doktryny i stanowiskiem Prezesa Urzędu Zamówień Publicznych nie stanowi nie może stanowić [sic] o braku możliwości wystąpienia takiego zagrożenia i w takiej sytuacji to na Zamawiającym spoczywa odpowiedzialność, aby nie dopuścić do naruszenia bezpieczeństwa publicznego lub istotny interes bezpieczeństwa państwa, a jedynym rozwiązaniem w tej sytuacji jest odrzucenie oferty Wykonawcy KASPERSKY SERVICES Sp. z o.o.

W jednym z ostatnich akapitów uzasadnienia po raz kolejny widzimy ciężar decyzji złożony na barki zamawiającego wobec milczenia polskich organów państwowych w tej sprawie.

Podsumowanie

Cieszymy się, że COI znalazł sensowne wyjście z tej trudnej sytuacji i przepisy na to pozwoliły. Wolelibyśmy jednak, by ktoś polskie urzędy w podejmowaniu takich decyzji wspomagał – szczególnie w tak wymagającym precyzji procesie, jakim jest procedura udzielania zamówień publicznych.

PS. Nie wiemy, który antywirus wygrał – pozostaje nam tylko mieć nadzieję, że był to produkt kraju Polsce przyjaznego, a najlepiej neutralnego z punktu widzenia naszych interesów geopolitycznych. A do tematu wagi zarzutów wobec firmy Kaspersky jeszcze wrócimy.

Powrót

Komentarze

  • 2018.03.12 08:08 Wojak

    Wiadomo że kaspersky jest g… i nie powinno się tego używać, ale jakie to ma znaczenie skoro i tak nasze dane są na serwerach Microsoftu(bo nie podejrzewam że urzędy używają GNU/Linuxa).

    Zastanwia mnie swoją drogą jak to jest wobec prawa że odrzucili najtańszą ofertę, ale nie żeby ktoś tutaj (niestety) szanował prawo :/

    >pozostaje nam tylko mieć nadzieję, że był to produkt kraju Polsce przyjaznego, a najlepiej neutralnego z punktu widzenia naszych interesów geopolitycznych

    Czyli Panie Adamie, żadnego?No może od biedy polski.

    Odpowiedz
    • 2018.03.12 08:24 Adam

      Słowacja? Finlandia? Rumunia?

      Odpowiedz
      • 2018.03.12 13:08 Wojak

        Touche, ma Pan rację :)

        Odpowiedz
    • 2018.03.12 11:36 Piotr

      „Zastanwia mnie swoją drogą jak to jest wobec prawa że odrzucili najtańszą ofertę, ale nie żeby ktoś tutaj (niestety) szanował prawo :/ ”

      bardzo prosto :)
      https://www.uzp.gov.pl/baza-wiedzy/interpretacja-przepisow/opinie-archiwalne/razaco-niska-cena

      Odpowiedz
      • 2018.03.13 01:41 misi333k

        zajmowałem się przetargami publicznymi 2005 do 2015, kwestia rażąco niskiej ceny nigdy nie bywa podnoszona przez zamawiającego, nawet jeśli zatrudnienie pracownika na (sic!) minimalną krajową jest droższe od oferty zożonej przez przedsiębiorcę(a gdzie zysk ?),dlatego kwestia rażąco niskiej ceny drogi kolego, słabo się wpisuje w ten przypadek, ot polskie prawo którego państwowe instytucje nie przestrzegają (urzędy skarbowe, zakłady ubezpieczeń społecznych, GDDKiA, Urzędy Miast czy Sądy), inną kwestia w tym wypadku jest dyskryminacja na podstawie plotki, o ile DHS jakieś badania przeprowadził (mniej lub bardziej wiarygodne, a nawet jeśli nie, prawo USA zasadniczo odbiega od polskiego) to polski urząd taką decyzją przy odrobinie uporu ze strony Kaspersky może przysporzyć naszym kieszeniom sporych wydatków na odszkodaowanie za pomówienia, oczernianie marki bezpodstawne jakby nie było, jak również, jeśli zamawiający celowo wydłużył procedury poprzez zaniechanie lub zaniedbanie, pozostali ofernci również mogą złożyć odwołanie do krajowej izby odwoławczej, bardzo wątpliwa procedura, pachnie brzydko na kilometr,

        „gdzie jest minister ziobro najsprawiedliwszy ze sprawiedliwych ?”

        także ja bym nie fetował zwycieztwa gdyż sprawa jeszcze nie jest zakończona, choć nie śledzę zamówień od lat, trybiki w polsce działają powoli

        Odpowiedz
        • 2018.03.14 06:58 tomek

          co ty chlopie pleciesz, razaco niska cena zawsze jest podnoszona jesli tylko wystepuje. Jesli jedna z ofert „odstaje” od reszty to zamawiajacy zawsze sie upewnia, czy wszystko jest aby na pewno tak jak mialo byc. Jedyne co tu widac to to, ze porownujemy gruszki z kapusta. To, ze firma kaspersky odpadla w przetargu to nie oznacza, ze antywirus kasperskiego nie wygral przetargu. W tabeli jest w zasadzie jeden producent antywirusow – kaspersky wlasnie a reszta to zwykli dystrybutorzy i podana w artykule informacja nie zawiera tak naprawde nazw produktow, ktore braly udzial w wyscigu, moze nawet sam COI ich nie znal (oficjalnie). Przeciez reszta nie pisze swojego softu antywirusowego, tylko sprzedaje licencje i ewentualnie „wdraza”. Wygral jak zwykle „lepszy” :) IS, czyli firma corka telekomunikacji kiedys zwanej polska a w rzeczywistosci francuski telecom. Jakos nigdy nie slyszalem aby pisali wlasnego antywira.

          Odpowiedz
    • 2018.03.12 21:43 Siper

      A wyobrażasz sobie jak Pani Krysia klepie komendy w terminalu bo P O T Ę Ż N A dystrybucja GNUj/Linuksa postanowiła nagle strzelić focha i wywalić Xorga na amen? :P

      Odpowiedz
      • 2018.03.14 06:43 tomek

        a jak winda strzeli blue screena to pani krysia klepie cos w terminalu pod windowsem ? czy poprostu wciska reset ?

        Odpowiedz
      • 2018.03.14 10:43 ADD

        Linux zrobił focha? Od tego jest administrator wychowany na winzgrozie.

        Odpowiedz
      • 2018.03.29 14:37 Wredny

        A od kiedy to Pani Krysia klepała cokolwiek w okienku tekstowym? Ja nie widziałem nigdy takiego zjawiska! Co więcej! Jak się pojawiło okienko informacyjne na winzgrozie, to bez czytania klikała „OK”. To, że potem danych nigdzie nie było bo wydała polecenie zatwierdzające systemowi „posprzątanie” dysku z plików uznanych za uszkodzone, to już nie problem Pani Krysi! Jak dla mnie, to rozwiązanie jest proste! Pracownik ma wyłącznie terminal, aplikacje użytkowe są na serwerze aplikacyjnym! Wywał terminala, to tylko dla aplikacji zjawisko zerwania sesji! A to już inne zagadnienie z punktu widzenia bezpieczeństwa informacji.

        Odpowiedz
  • 2018.03.12 08:22 Dj

    I bardzo dobrze zrobili. Kaspersky dopiero niedawno wprowadził program bug bounty (ciekawe dlaczego). A to jest zwykłe olewanie ważnej części sfery bezpieczeństwa i niepoważne podchodzenie do klientów. Inni wprowadzili podobne programy już lata temu. Poza tym ten antywir jest wyjątkowym zamulaczem i ma mnóstwo fałszywych alarmów.

    Odpowiedz
    • 2018.03.12 08:24 Adam

      Który producent av ma bug bounty?

      Odpowiedz
        • 2018.03.12 08:35 Adam

          To jeszcze drugi żeby była liczba mnoga. I jeśli Kaspersky jest trzecim av z Bug bounty na 50 producentów to chyba nie ma katastrofy?

          Odpowiedz
          • 2018.03.15 12:36 Adrian

            Jeszcze Fortinet (FortiClient AV), Sophos, Bitdefender, F-Secure, Quick Heal, McAfee, Symantec, Trend Micro i wspomiany Avast i Kaspersky.

    • 2018.03.12 14:33 aaa

      Właśnie chwalą jakie to „świetne” bug bounty:

      https://twitter.com/taviso/status/971133206702448642

      „This is just marketing fluff, Kaspersky have scoped the requirements for submissions unrealistically. They might as well have offered $1M, but stipulated exploits have to work when the computer is off.”

      Odpowiedz
  • 2018.03.12 08:52 Michal

    To ja idę płakać w kącie, nad żałosnym stanem państwa i tym jak daleko nam do Francji czy Niemiec, które bez problemu podejmują strategiczne decyzje w oparciu o własne zasoby.

    Odpowiedz
    • 2018.03.12 10:39 88

      michas nie puaczq tylkom piszq antywirusq, hejeczka

      Odpowiedz
  • 2018.03.12 10:40 mmm777

    Gratulacje ;)
    Pokaz, jak przykryć ewidentną przewałkę gadaniną o Kasperskym :)

    Odpowiedz
  • 2018.03.12 11:23 TchórzAnonim

    Przecież od jakiegoś czasu wiadomo że potrzebny jest antywirus Rosyjski do wykrywania wirusów Amerykańskich, Amerykański do wykrywania wirusów Rosyjskich i Fiński żeby tym dwóm pozostałym patrzył na ręce.

    Odpowiedz
    • 2018.03.12 16:39 C. Bolek

      Ale bzdura :-\

      Odpowiedz
  • 2018.03.12 12:04 Józek

    Wiadomo że przekręty idą na przetargach

    Odpowiedz
  • 2018.03.12 12:49 Arr

    Cena to nie wszystko. Osobiście zdecydowałem że w mojej organizacji będziemy używać produktu fińskiego. Nie obyło się bez zgrzytów, jednak doświadczenie pokazuje że nie ma produktów idealnych. Najistotniejszym elementem produktu jest konsola zarządzająca zwana Police Manager. Support jest do bani.

    Odpowiedz
  • 2018.03.12 17:15 Tomek

    Czy coś stoi na przeszkodzie, aby Integrated Solutions kupiło teraz licencje od Kaspersky i wdrożyło tego AV w MC? : )

    Odpowiedz
    • 2018.03.13 01:52 misi333k

      wszystko zależy od SIWZ, jeśli przewiduje taką opcję to zapwene tak, innym ciekawym i wartym rozważenia tematem w tym przetargu jest wyklucznie jedynego przedstawicielstawa znanej firmy antywirusowej bo w screenie nie widziałem symantec, fsecura, gdata, comodo, mcafee czy innego antywirusa,samych pośredników, co znacząco może wyjaśnić kwestie rozbieżności cen. pomińmy marże pośredników, kupujmy u producentów, polskie urzędy jakby nie zauważały problemu …. ale wydawanie cudzych (publicznych) pieniędzy przecież nikogo nie boli, i nie jestem jamiś zwolennikiem kaspskiego, osobiście nigdy nie używałem tego antywirusa, aczkolwiek można by się pokusić nawet o stwierdzenie działania na szkodę państwa przez owy podmiot zamawiający, prawnicy zapewne jeszcze wrócą do tematu mam pzrzynajmniej taką cichą nadzieję

      Odpowiedz
  • 2018.03.12 21:46 Ant

    Hmm rusofobia w pelnej krasie. Rodjanie to skutat swietni programisci. Ale szpiegowskie amerykanskie programy to sa ok. Swoja droga ciekawe czyje sa te male firemki antywirusowe? Bardzo szkoda ze nasz rodzimy MKS Marka Sela juz nie żyje.

    Odpowiedz
    • 2018.03.15 13:02 Arek

      Nie rusofobia, tylko geopolityka. Jak zaczniesz nosić długie spodnie porozmawiamy.

      Odpowiedz
  • 2018.03.12 23:56 I bardzo dobrze. fyck dla USA

    I bardzo dobrze, skończy się szpiegostwo ze strony USA przynajmniej w tej części. Po tym co ujawniono na temat obchodzenia przez USA traktatów unijnych to BARDZO DOBRA DECYZJA. Póki co jeżeli chodzi o MC to jedyna dobra.

    A ePUAP-kę i mObywatel powinni wyciąć w pień zamiast ludzi po kolei zmuszać. Już jednoosobowi przedsiębiorcy muszą mieć epułapkę tylko dlatego, że muszą podpisać JPK-VAT – ciekawe kiedy każdy będzie musiał elektronicznie podpisywać PIT-y.

    A już to co na niebezpieczniku piszą o Poczie Polskiej – kolejna dziura do wykradania danych przez cudowne systemy elektroniczne, to jestem za tym aby Polska dalej była papierowa, a tylko dla tych co wyrażą nieprzymuszoną wole – elektroniczna – łącznie z danymi medycznymi.

    Odpowiedz
  • 2018.03.13 02:43 Putin

    Banda zlodziei.

    Odpowiedz
  • 2018.03.13 09:31 e

    Kasperski kasperskim, ale ten przetarg śmierdzi przekrętem.
    Tak na szybko
    Wyrok Sądu Okręgowego w Lublinie z 17.01.2014 r., IX Ga 392/13,
    „nie ma podstaw by, na podstawie przepisu art. 24 ust. 2 pkt 2 ustawy, przyjąć, że nieprzedłużenie związania ofertą w sytuacji braku wezwania przez Zamawiającego, było równoznaczne z brakiem wyrażenia zgody na przedłużenie terminu związania ofertą na wezwanie zamawiającego”

    Odpowiedz
  • 2018.03.13 23:10 Adam

    Nie wiem czy zalecenia *sojusznika* u którego wystarczy 13 manipulantów by przeflancować najważniejsze wybory, są czegokolwiek warte…
    Może warto rozważyć sojusze z tymi co mogą więcej niż się chwalą?
    Czasem mam wrażenie, że niektórzy przegapili *rewelacje* Snowdena.

    Odpowiedz
  • 2018.03.14 00:09 grekus

    Tak z boku patrząc to wygląda to tak jakby Integrated Solutions dało w łapę urzędasom za przeciągniecie przetargu i wstrzymanie się z prośbą o przedłużenie ofert…
    Ale co ja tam wiem :P

    Odpowiedz
  • 2018.03.14 07:44 Pawka

    Każda przesłanka o ile jest wiarygodna powinna być brana pod uwagę jeśli chodzi o bezpieczeństwo.

    Odpowiedz
  • 2018.03.14 07:45 Pawka

    Dlaczego autor pisze o sobie w liczbie mnogiej? Ma jakiś kompleks, czy chciałby zostać królem?

    Odpowiedz
  • 2018.03.14 13:02 Marcin

    Z ciekawostek, ale w kontekście globalizacji usług/dostawców i ich dywersyfikacji, to analizując ostatnio logi zapory wyczytaliśmy, że nasze pliki JPK lądują w chmurze Microsoftu w Holandii. Ja wiem, że to wszystko jest szyfrowane, ale wiedząc co zawierają pliki JPK i co będą zawierać w najbliższym czasie, jakiś dyskomfort z tego powodu odczuwam.

    Odpowiedz
    • 2018.03.15 00:04 j7

      Mam tak samo.
      Państwo które chce wdrażać cyfryzację powinno na samym początku zbudować do tego własną infrastrukturę i porządnie ją zabezpieczyć. Inaczej jest niepoważne.

      Odpowiedz
  • 2018.03.15 07:37 Proste

    Regulacje są przestarzałe i mądry musi ktoś napisać. Brakije po prostu punktacji za bezpieczeństwo i ogólną opinię, popularność. Popularność też polega na tym, że ludzie wybierają to co najlepsze.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak COI ofertę rosyjskiego antywirusa musiał odrzucić

Komentarze