Przetarg bezpieczny, czyli jaki?

Z Grzegorzem Juszczykiem, ekspertem w zakresie architektury rozwiązań sieciowych i bezpieczeństwa oraz Przemysławem Nowakiem, radcą prawnym w firmie Axians rozmawiamy o: doświadczeniach i spostrzeżeniach z procesu przygotowywania do postępowania przetargowego tak, aby zapewnić wysoki poziom cyberbezpieczeństwa, a także o dobrych praktykach w tym obszarze?

Jakie dobre praktyki w zakresie bezpieczeństwa rekomendują Panowie organizacjom ogłaszającym przetargi na rozwiązania teleinformatyczne?

Grzegorz Juszczyk (G.J.): Bezpieczeństwo opiera się na trzech filarach: dostępności, poufności i integralności. Dostępność oznacza, że usługa działa wtedy, gdy jest potrzebna. Poufność ogranicza dostęp do informacji wyłącznie dla osób uprawnionych. Integralność zaś – często niedoceniana – gwarantuje, że dane nie zostaną zmodyfikowane ani przez osoby nieuprawnione, ani przypadkowo przez użytkowników. Znajomość tych zasad jest niezbędna do formułowania wymagań wobec wykonawców. Dlatego konieczne jest systematyczne podnoszenie kwalifikacji działów zamówień publicznych, które muszą wiedzieć, czego oczekiwać i jak weryfikować oferty.

Choć świadomość tych kwestii rośnie, nadal brakuje pogłębionej wiedzy, której zdobycie wymaga czasu i odpowiedniego szkolenia. W firmach i instytucjach publicznych powinny funkcjonować dedykowane stanowiska lub zespoły ds. bezpieczeństwa, odciążone od zadań administracyjnych. Ich rolą byłyby poszukiwanie nowych rozwiązań, weryfikacja systemów i analiza architektury bezpieczeństwa. Tylko podejście holistyczne pozwala uniknąć efektu domina, w którym awaria jednego elementu może zagrozić całej infrastrukturze.

Podmioty publiczne muszą systematycznie aktualizować wiedzę z zakresu cyberbezpieczeństwa i zarządzania ryzykiem, aby skutecznie odpowiadać na pojawiające się wyzwania. Ponadto, ważny jest nie tylko sam zakup rozwiązania, lecz także jego odpowiednia konfiguracja i bieżące utrzymanie. Często obserwujemy duże zaangażowanie zamawiającego na etapie wdrożenia, ale po podpisaniu protokołu odbioru zainteresowanie maleje i systemy pozostają bez należytej opieki. A to już jest bardzo niebezpieczne.

W jaki sposób instytucje mogą efektywnie zdobywać wiedzę?

G.J.: Jako firma integratorska, sami musimy zdawać liczne egzaminy technologiczne wymagane przez naszych partnerów – producentów rozwiązań. Skoro w przetargach, słusznie, stawia się wymagania posiadania określonych certyfikacji przez ekspertów wykonawcy, dlaczego nie stosować podobnych wymogów wobec pracowników podmiotu zamawiającego?

Wielokrotnie spotkałem się z argumentacją, że udział w szkoleniu organizowanym przez konkretnego producenta może prowadzić do jego faworyzowania w przyszłych postępowaniach. Jednak na rynku dostępne są zarówno certyfikaty powiązane z określonymi technologiami, jak i certyfikaty neutralne, ogólne, takie jak CISSP. Te nie skupiają się na rozwiązaniach jednego dostawcy.

Praktyką, którą często proponujemy, a z której klienci rzadko korzystają, jest Proof of Concept, czyli test koncepcyjny. Jeśli zamawiający rozważa wdrożenie jakiegoś produktu, nie musi od razu ogłaszać przetargu. Można najpierw przeprowadzić testy demonstracyjne i zdobyć praktyczną wiedzę w zakresie jego wykorzystania.

Kolejną kwestią są finanse. Środki często znajdują się na zakup nowego sprzętu czy systemów, ale brakuje budżetów na rozwój kompetencji personelu. Może nadszedł czas, aby to zmienić?

Czy w zespołach specjalistycznych odpowiedzialnych za cyberbezpieczeństwo nie należałoby zwiększyć nacisku na aspekty formalno-prawne, aby mogły one lepiej kontrolować przebieg przetargów, a nie tylko reagować na incydenty?

Przemysław Nowak (P.N.): Samo zwiększanie nacisku na kwestie formalno-prawne nie wydaje się konieczne. Aby dobrze przygotować przetarg IT, niezbędna jest przede wszystkim specjalistyczna wiedza i znajomość specyfiki działania danej instytucji.

Po stronie zamawiającego musi być osoba, która potrafi przygotować precyzyjną specyfikację techniczną i określić wymagania zarówno dla wykonawców, jak i dla samego produktu. Jeśli organizacja nie dysponuje takimi kompetencjami wewnętrznie – co jest częste, zwłaszcza w mniejszych jednostkach administracji – konieczne jest wsparcie ze strony zewnętrznych specjalistów.

G.J.: Należy jednak pamiętać, że nawet jeśli eksperci zewnętrzni zaprojektują rozwiązanie, musi ono być użyteczne dla zamawiającego. Dlatego kluczowe jest, aby osoby po stronie klienta rozumiały, czemu dane rozwiązanie ma służyć. Współpraca między zamawiającym a wykonawcą jest absolutnie kluczowa.

Czy publikując przetarg, zamawiający mogą utajnić pewne informacje, w szczególności dotyczące posiadanej infrastruktury? Czy specyfikacja musi być zawsze w pełni jawna?

P.N.: Zasadą jest jawność postępowania przetargowego. Zamawiający jest zobowiązany opublikować pełną specyfikację na stronie internetowej, zawierającą wszystkie informacje dotyczące zamawianego rozwiązania. Jednak nie wszystkie one muszą być ujawnione. Przepisy pozwalają na ograniczenie dostępu do danych poufnych lub objętych tajemnicą. Prawo przewiduje także sytuacje, w których możliwe jest objęcie poufnością jedynie części informacji.

Jeszcze do niedawna z tej możliwości korzystały głównie wybrane jednostki administracji publicznej, zwłaszcza podczas rozbudowy dużych systemów IT. Chciały uniknąć podawania szczegółów dotyczących istniejącej infrastruktury. Obecnie jednak wielu zamawiających sięga po to rozwiązanie nawet w przetargach nieograniczonych. Nie publikują pełnej specyfikacji na stronie internetowej.

Chodzi o informacje, które choć formalnie nie podlegają klauzuli wynikającej z ustawy o ochronie informacji niejawnych, to po ich ujawnieniu mogłyby narazić daną instytucję na negatywne konsekwencje, np. ułatwiając atak hakerski. W praktyce zamawiający często korzystają z tej możliwości przy zamówieniach IT związanych z infrastrukturą krytyczną.

Oczywiście Prawo Zamówień Publicznych poza przetargiem nieograniczonym oferuje inne formuły postępowania, które pozwalają na przekazywanie określonych informacji tylko ograniczonemu kręgowi wykonawców. Tryby takie jak negocjacje (z ogłoszeniem lub bez) czy dialog konkurencyjny, a w szczególności zamówienie z wolnej ręki umożliwiają prowadzenie rozmów z potencjalnymi wykonawcami, przekazywanie kluczowych informacji czy doprecyzowanie zarówno wymagań zamawiającego, jak i ofert dostawców dopiero na późniejszych etapach. Ich wykorzystanie jest jednak ograniczone, gdyż muszą zostać spełnione określone przesłanki ustawowe. W praktyce tryby te znajdują łatwiejsze zastosowanie przy budowie lub rozbudowie systemów IT, niż przy tworzeniu infrastrukturalnych rozwiązań z zakresu cyberbezpieczeństwa.

„Aby dobrze przygotować przetarg IT, niezbędna jest przede wszystkim specjalistyczna wiedza i znajomość specyfiki działania danej instytucji. Po stronie zamawiającego musi być osoba, która potrafi przygotować precyzyjną specyfikację techniczną i określić wymagania zarówno dla wykonawców, jak i dla samego produktu” – Przemysław Nowak, radca prawny, Axians.

Jakie inne akty prawne mają kluczowe znaczenie dla zapewnienia bezpieczeństwa zamówień publicznych?

P.N.: Wciąż czekamy na nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa wdrażającą dyrektywę NIS2. Będzie ona miała istotny wpływ na bezpieczeństwo zamówień publicznych. Równocześnie obowiązują już inne regulacje dotyczące bezpieczeństwa, a wkrótce dołączy do nich dyrektywa CER dotycząca odporności podmiotów krytycznych. W sektorze finansowym stosowane jest też rozporządzenie DORA, choć jego wpływ na zamówienia publiczne jest ograniczony. Zamówienia na dostawy i usługi informatyczne będą musiały uwzględniać te przepisy.

Problemem jest pewna fragmentaryzacja tych regulacji. Przykładowo DORA jest rozporządzeniem unijnym, które obowiązuje bezpośrednio w krajach członkowskich w formie, w jakiej zostało przyjęte. Natomiast NIS2 i CER to dyrektywy, które wymagają implementacji do prawa krajowego. Oznacza to, że sposób ich wdrożenia będzie różnił się w poszczególnych krajach. Będzie także różny w stosunku do rozporządzenia DORA, co wynika z treści dyrektyw. Będziemy mieli zatem często różne wymagania dotyczące cyberbezpieczeństwa, być może nawet w sytuacjach bardzo do siebie podobnych.

Nie zmienia to faktu, że regulacje te z pewnością pozytywnie wpłyną na stopień bezpieczeństwa zamówień realizowanych na podstawie Prawa Zamówień Publicznych.

Jakie zmiany prawne mogłyby zwiększyć bezpieczeństwo zamówień?

P.N.: Poczekajmy na wdrożenie wspomnianych dyrektyw. Już samo to będzie ogromną zmianą dla rynku. Przy tej okazji, w ramach dostosowywania krajowej strategii cyberbezpieczeństwa, można rozważyć powołanie centralnej jednostki. Mogłaby ona być wzorowana na europejskiej ENISA, ale mieć bardziej praktyczny charakter i być dostosowana do polskich realiów oraz specyfiki sektora publicznego.

Byłoby to miejsce, do którego w szczególności mniejsze jednostki zobowiązane do stosowania zamówień publicznych – np. samorządu terytorialnego – niemające własnych kompetencji ani specjalistycznej wiedzy, mogłyby zwracać się po wsparcie eksperckie. Taka instytucja mogłaby pomagać w konsultowaniu specyfikacji przetargowych i innych kwestii związanych z bezpieczeństwem.

Taka centralna jednostka, zatrudniająca wyspecjalizowanych ekspertów ds. cyberbezpieczeństwa z zapewnionymi odpowiednimi warunkami pracy i wynagrodzeniem, mogłaby być realnym wsparciem dla wielu niedofinansowanych aktualnie podmiotów, takich jak spółki komunalne czy samorządy.