Kuriozalne zarzuty w dokumentacji przetargowej na zakup sandboksa w KNF

dodał 4 stycznia 2021 o 21:10 w kategorii Wpadki  z tagami:
Kuriozalne zarzuty w dokumentacji przetargowej na zakup sandboksa w KNF

Lektura dokumentacji przetargowej to równie fascynujące zajęcie, co połów perłopławów. Praca ciężka, skracająca życie o wiele lat i raz na jakiś czas dająca chwilę satysfakcji po znalezieniu prawdziwej perełki. Taka chwila właśnie nadeszła, a perła jest dorodna.

Pytać czytelników z3s, czy pamiętają atak Lazarusa na polskie banki z roku 2017, to jak pytać ślimaka, czy ma rogi. To właśnie nasz serwis powiadomił świat o tym ataku, wskazując, że przestępcy do bankowych komputerów dostali się po skutecznym zaatakowaniu serwera Komisji Nadzoru Finansowego. Niezbyt dobrze to o bezpieczeństwie regulatora weryfikującego bezpieczeństwo banków świadczyło. To najwyraźniej – na szczęście – się zmienia, a jednym z przejawów tej trwającej zmiany jest przetarg na sandboksa.

Przetarg jak przetarg, ale to odwołanie

KNF kupuje nowy system chroniący pocztę i ruch internetowy organizacji. Specyfikację systemu znajdziecie w linkowanym już wcześniej dokumencie (strony 38-42). Jej wstępna lektura nie budzi w nas wątpliwości – lecz jedna z firm, zainteresowanych udziałem w przetargu, takich wątpliwości znalazła całkiem sporo. Znaleźć je możecie w odwołaniu do Prezesa Krajowej Izby Odwoławczej.

Firma, która kwestionuje zapisy specyfikacji istotnych warunków zamówienia, prawdopodobnie słusznie podnosi, że spełnić je może tylko system FireEye. Do tego wątku jeszcze wrócimy, lecz najpierw spójrzmy, dlaczego autorzy odwołania uważają, że FireEye nie jest godzien zabezpieczać infrastruktury Komisji Nadzoru Finansowego. Trzymajcie się krzeseł, to będzie dzika jazda.

Uzasadnienie złego wyboru zamawiającego

Niestety dokument został opublikowany w wersji zeskanowanej, ale warto utrwalić ten akapit w formacie indeksowalnym. Oto wersja tekstowa (przepisana dosłownie, z zachowaniem błędów ortograficznych i interpunkcyjnych):

2/ Produkt Fireeye posiada luki, został zhakowany, jego zamówienie przez KNF, Zamawiającego publicznego, w tym momencie nie jest bezpieczne, ponieważ producent Fireeye nie zna luk przez które wchodzą hakerzy, technologia Fireeye obecnie nie zapewnia bezpieczeństwa.

Fireeye zostało przetestowane przez hakerów, którzy włamali się do Fireeye

1) Hakerzy skradli narzędzia. „skradziono arsenał narzędzi hakerskich używanych do testowania zabezpieczeń u klientów”

2) ofiarą mogły paść dane klientów — agencji rządowych: „Poza kradzieżą narzędzi, hakerzy wydawali się być również zainteresowani podzbiorem klientów FireEye: agencjami rządowymi.”

3) Fireeye nie zna przyczyn, dziur, wad, źródła problemu — więc zamawianie rozwiązania Fireeye obecnie jest nierozsądne: wydawanie pieniędzy publicznych na coś, co wiadomo, że padło ofiarą hakerów i producent nie wie jak to się stało i jak temu zapobiec w przyszłości: „operacja hakerów (…) wykorzystywała też wcześniej niewidziane techniki.”

4) W tej sytuacji, opieranie przez Zamawiającego swojego bezpieczeństwa o produkt, który zawiera znane, nie naprawione luki, jest nie uzasadnione. Włamanie do FireEye to ogromny cios dla tej firmy, bo dowodzi, że jej produkt nie zabezpiecza, na co zareagował rynek (…) jest jednym z najbardziej znaczących naruszeń w historii. Akcje firmy spadły o 8 proc. po kilku godzinach od ogłoszenia informacji.”

Dowód https://biznes.wprost.pligospodarka/10397120/gigant-od-cyberbezpieczenstwa-padl-ofiara-hakerow-podeirzana-lest-rosja.html Dowód https://www.nytimes.com/2020/12/08/technoloRy/fireeye-hacked-russians.html

Zakup takiego produktu nie odpowiada rzeczywistym potrzebom Zamawiającego, wśród których znajduje się zapewnienie bezpieczeństwa. Nie jest, więc uzasadnione takie opisywanie przedmiotu zamówienia, które dopuszcza tylko to rozwiązanie.

Od czego tu zacząć komentarz…

Największy problem w momencie pisania komentarza do tego paragrafu mamy, nie wiedząc, w którym miejscu tych bzdur powinniśmy rozpocząć.

Autor w oczywisty sposób nawiązuje do najpoważniejszego incydentu bezpieczeństwa minionego roku. W skrócie opisywaliśmy go wiele dni temu, szykujemy obecnie obszerny webinar poświęcony tylko temu incydentowi (a historia jest spektakularna). Trudno być bardziej w błędzie niż autor odwołania, co spróbujemy opisać w paru punktach poniżej.

  1. FireEye nie tylko świetnie wie, jak się do niego włamano, ale przede wszystkim to FireEye właśnie odkryło to włamanie. Ofiarami były najważniejsze agencje rządowe USA, chronione przez amerykańskie służby specjalne. Ofiarami były Microsoft, Palo Alto czy Crowdstrike, firmy posiadające wyspecjalizowane działy bezpieczeństwa, lecz to właśnie FireEye jako pierwszy namierzył działania włamywaczy, więc medal im, a nie oszczerstwa się należą.
  2. To nie produkt FireEye „posiada luki, został zhakowany”. Włamanie nastąpiło poprzez złośliwą aktualizację narzędzia do zarządzania siecią, produkcji innego dostawcy.
  3. „Producent Fireeye nie zna luk przez które wchodzą hakerzy” – to właśnie FireEye jako pierwszy opublikował rozbudowaną analizę działań włamywaczy i używanych przez nich technik i narzędzi.
  4. „Akcje firmy spadły o 8%”. Spadły nawet o 12% (z ok. 15 dolarów na 13), a krótko potem wzrosły o ponad 80% – obecnie warte są ok. 21 dolarów.
  5. A szkoda już elektronów na dalsze komentowanie tych bzdur.

To nie jedyne kuriozum

Polecamy lekturę całego odwołania. Firma je wnosząca zarzuca zamawiającemu, że wymagając, by zamawiany system posiadał możliwość emulacji nie tylko systemu Windows, ale też MacOS i wykluczając emulację w chmurze ogranicza pulę dostępnych rozwiązań do produktów FireEye. Podnosi także, że MacOS jest „rzadko stosowany w Polsce, jest drogi, niszowy”, emulacja w chmurze nie powinna być wyłączona z postępowania, ponieważ „nie ma żadnej różnicy czy uruchomienie następuje na urządzeniu czy w chmurze, bo efekt końcowy jest ten sam”, a wymagania wobec sandboxa nie powinny obejmować wyposażenia go w licencje Microsoft Office.

Nasz komentarz, krótki już, bo naprawdę szkoda czasu naszego i waszego: MacOS może jest i drogi, ale bywa (i to często) używany w środowiskach korporacyjnych, także (i to nierzadko) bankowych, wysyłanie plików do chmury jest fajne pod warunkiem, że nie zawierają informacji, które mogą być objęte jedną z rozlicznych ustaw regulujących różne tajemnice, chociażby bankową czy dane osobowe (a takie zapewne KNF przetwarza regularnie), a oczekiwanie usunięcia wymogu, by produkt zawierał już licencje MS Office trudno skomentować.

Na koniec warto zaznaczyć, że podstawowy zarzut odwołania, jakoby tylko produkt FireEye spełniał wymogi postępowania dotyczące lokalnej instancji MacOS, także wydaje się całkiem chybiony – wymóg taki spełnić mogą m. in. produkty Juniper ATP czy Joe Sandbox Ultimate.

Przetargi w Polsce to temat rzeka i nie podejmujemy się nawet go zaczynać – ale ta perła musiała ujrzeć światło dzienne.

Artykuł zaktualizowany o informacje o możliwych innych dostawcach rozwiązań.