W lipcu bieżącego roku amerykański rząd usunął oprogramowanie antywirusowe Kaspersky z centralnej listy usług administracji USA. Oznacza to, że tamtejsze urzędy nie będą mogły kupować nowych licencji rosyjskiego software’u, chociaż mogą dalej korzystać z wcześniej zainstalowanych jego wersji. Decyzja miała być spowodowana podejrzeniami o współpracę producenta z rosyjskimi służbami specjalnymi.

Dwa miesiące później amerykańskie restrykcje wobec rosyjskiego dostawcy poszły jeszcze dalej. Władze USA całkowicie zabroniły używania oprogramowania Kaspersky Lab w administracji centralnej i agencjach rządowych. Instytucje dostały 60 dni na opracowanie planu rezygnacji z produktu i 90 dni na wprowadzenie go w życie.

Oficjalne ostrzeżenia przed oprogramowaniem Kaspersky wystosowały również izraelskie i brytyjskie służby specjalne. Niedawno również brytyjska agenda rządowa ds. cyberbezpieczeństwa zaleciła instytucjom związanym z bezpieczeństwem narodowym rezygnację z programu rosyjskiej firmy. Jej przedstawiciele stanowczo zaprzeczają oskarżeniom. Jewgienij Kaspierski, twórca i szef firmy, określa wszelkie zarzuty mianem „paranoi”. Deklaruje udostępnienie kodów źródłowych oprogramowania w celu przeprowadzenia audytu przez zewnętrznych ekspertów. W mediach pojawiły się spekulacje, że Kaspersky mógł paść ofiarą walki konkurencyjnej.

 

Wątpliwości i pytania

Zawirowania wokół Kaspersky’ego odbiły się echem także w polskiej administracji publicznej. Antywirus tego producenta jest bowiem powszechnie wykorzystywany w urzędach i instytucjach publicznych naszego kraju. Pojawiły się pytania, co w takiej sytuacji polski sektor publiczny powinien zrobić? Jak zareagować na doniesienia z zagranicy?

Kontrowersje wokół rosyjskiego dostawcy spowodowały, że w niektórych urzędach zrodziły się pytania o możliwość wycofania z użytku jego narzędzia i przejścia na nowe oprogramowanie. Pozostałe instytucje nie dostrzegły jednak w zaistniałej sytuacji żadnego problemu i dalej podpisują umowy z Kasperskim, który wygrywa kolejne państwowe przetargi na terenie naszego kraju.

Na razie polskie władze nie zajęły w tej sprawie żadnego oficjalnego stanowiska. Ministerstwo Cyfryzacji w odpowiedzi na pytania CRN Polska orzekło, że „nie ma narzędzi ani prawnych, ani technicznych, by działać na takim polu”. Zdaniem rzecznika resortu problematyka ta „pozostaje raczej w zakresie działania służb specjalnych i to je należy o to dopytywać”. Agencja Bezpieczeństwa Wewnętrznego odpowiada jednak, że nie komentuje sprawy.

Pozostaje teoretyczne, jak widać, pytanie: jakie możliwości działania w zaistniałej sytuacji mają polscy urzędnicy na gruncie obowiązującego prawa. Przypadek Kaspersky’ego to dobry przyczynek do szerszego przyjrzenia się funkcjonującym w polskim sektorze publicznym procedurom cyberbezpieczeństwa.

 

Wszyscy na jednakowych zasadach

Jak wyjaśnia Marcin Maruta, wspólnik w kancelarii prawnej Maruta Wachta, nie ma obecnie osobnych regulacji prawnych dotyczących cyberbezpieczeństwa. Zaczynają się dopiero tworzyć, jak na przykład implementacja dyrektywy unijnej lub projekt polskiej ustawyo krajowym systemie cyberbezpieczeństwa.

Prawo nie daje więc na razie żadnych konkretnych rozwiązań. Mówi jedynie, że trzeba zachować należytą staranność – podkreśla mecenas.

W tej sytuacji przedstawicielom sektora publicznego pozostaje działanie na gruncie obowiązującego prawa zamówień publicznych. Generalnie nie pozwala ono na wykluczenie kogokolwiek z postępowania przetargowego. Każdy podmiot ma prawo złożyć ofertę w ogłoszonym konkursie i nikogo nie można z niego wyłączyć.

Nie znaczy to jednak, że urzędnicy nie mają możliwości reagowania na sytuacje, które w ich ocenie mogą stanowić zagrożenie dla bezpieczeństwa ochranianej przez nich placówki. Takie szanse daje Specyfikacja Istotnych Warunków Zamówienia.

– Można na przykład zażądać od dostawców złożenia oświadczeń o określonej treści lub poddania audytowi kodu źródłowego oferowanego oprogramowania – wyjaśnia Marcin Maruta.

Najważniejsze, aby wymagania były jednakowe dla wszystkich oferentów. Nie można ich stosować tylko wobec jednego lub kilku wybranych podmiotów.

Planowana weryfikacja musi objąć w jednakowym stopniu wszystkich przystępujących do zamówienia publicznego. Sposób jej przeprowadzenia musi być dostosowany do konkretnych, jednostkowych uwarunkowań i wymagań. Służby specjalne będą miały inne wymagania, urząd gminny inne, a operatorzy infrastruktury krytycznej jeszcze inne. Według specjalistów dobrze dobrane zapisy SIWZ-u mogą zapewnić właściwy poziom bezpieczeństwa. To skuteczniejszy sposób postępowania niż próba wykluczania kogokolwiek z przetargu.

 

Potrzebne mocne dowody

W szczególnych przypadkach prawo pozwala na wyłączenie wybranego podmiotu z zamówienia publicznego. Nie jest to jednak łatwe. Instytucja zamawiająca musi mieć do tego solidne podstawy. Powinna udowodnić, że wykluczona firma faktycznie będzie stanowić zagrożenie, bo na przykład wcześniej złamała umowę z innym podmiotem zamawiającym lub dopuściła się działań na jego szkodę.

Piotr Kupczyk

dyrektor Biura Komunikacji z Mediami, Kaspersky Lab Polska

Każdy podmiot powinien mieć prawo do świadomego wyboru produktów i dostawców wedle własnego uznania. Limitowanie oferty na podstawie niepotwierdzonych zarzutów czy insynuacji może pozbawić odbiorców możliwości zaopatrywania się w czołowe technologie dostępne na rynku. W przypadku branży cyberbezpieczeństwa jakość technologii ochrony i wsparcia technicznego ma znaczenie krytyczne. Jakiekolwiek kompromisy w tej materii mogą doprowadzić do poważnych konsekwencji związanych z atakami cyberprzestępczymi, a nawet cyberterrorystycznymi. Przestępcy informatyczni nie znają granic i tak samo powinna funkcjonować ochrona IT – bez sztucznych ograniczeń, takich jak na przykład niejasna sytuacja geopolityczna.

 

Pomocne mogą być w takiej sytuacji prawomocne wyroki sądowe, chociaż i one nie zawsze mogą być wystarczające dla uznania przez organ odwoławczy zasadności zastosowanego wyłączenia. Może się bowiem okazać, że wykluczony podmiot naprawił szkodę, podjął czynności naprawcze i w momencie ogłaszania przetargu przesłanek do jego wyłączenia już nie ma.

Tak czy inaczej, nie można zastosować wykluczenia tylko na podstawie podejrzeń czy przypuszczeń. Nierzetelność oferenta musi być udowodniona w sposób niebudzący wątpliwości. Na zasadzie „tutaj i teraz”, a więc w przypadku konkretnego przetargu dla konkretnego zamawiającego. Musi on mieć argumenty nie do podważenia. W przeciwnym razie jego decyzja może zostać przez sąd lub organ odwoławczy anulowana.

 

Rezygnacja musi być przemyślana

Instytucja publiczna może zrezygnować z posiadanego oprogramowania, gdy poweźmie podejrzenia co do jego niewłaściwego działania. Jeżeli urzędnicy zorientują się, że program przykładowo kradnie lub przekazuje na zewnątrz dane, mogą zaprzestać jego używania. Muszą się jednak liczyć z konsekwencjami takiej decyzji.

Otwarta pozostaje chociażby kwestia sposobu rozliczenia się z dostawcą. Czy i w jaki sposób można rozwiązać umowę? Czy i na jakich zasadach można dochodzić od dostawcy odszkodowania?

Do rozwiązania umowy musi być ważny powód. Takim może być niestaranne wykonanie umowy. Trzeba to jednak umieć udowodnić – mówi Marcin Maruta.

W sytuacji, gdy korzystający zapłacił z góry za licencje, może post factum zdecydować, czy będzie miał roszczenia do sprzedawcy. W postępowaniu odszkodowawczym będzie musiał jednak wskazać poniesione szkody. Zdaniem prawników łatwiej jest w takich przypadkach udowodnić szkody wizerunkowe niż szkody materialne. Jeśli użytkownik dysponuje dowodami na celowe, przestępcze działanie z wykorzystaniem zainstalowanego oprogramowania, wszczęte może zostać również postępowanie karne.

Rezygnacja z oprogramowania powinna być jednak dokładnie przemyślana. Najlepiej, gdyby urząd miał wcześniej opracowane procedury działania. Generalnie każdorazowo przed podjęciem decyzji informatycy wspólnie z prawnikami powinni ocenić skalę zagrożenia, m.in. ustalić, na ile wiarygodne są doniesienia i pojawiające się w mediach oskarżenia. Decyzja powinna być podjęta po analizie sytuacji i stwierdzeniu ponad wszelką wątpliwość działania na szkodę podmiotu korzystającego z oprogramowania.

Paweł Jurek

wicedyrektor ds. rozwoju, Dagma

Obecnie większość dobrej jakości rozwiązań antywirusowych wspiera proces wykrywania zagrożeń jakimiś elementami współpracy z chmurą. W związku z tym świadomi klienci, w szczególności przetwarzający poufne dane, zaczęli mocno brać pod uwagę pochodzenie dostawcy rozwiązań antywirusowych. Daje to pewną przewagę rozwiązaniom tworzonym na obszarze Unii Europejskiej.

 

Na własną odpowiedzialność

Jak instytucje publiczne w naszym kraju mogą przygotować się na sytuacje podobne do zawirowań z Kasperskim? Przede wszystkim nie mogą szukać rozwiązań dopiero po fakcie. Najlepszym wyjściem jest posiadanie zawczasu przygotowanego, zintegrowanego programu reagowania. Wynikające z wdrożonej polityki bezpieczeństwa procedury działania podpowiedzą, jak w konkretnej sytuacji należy się zachować.

Katarzyna Jarosz

Urząd Zamówień Publicznych

W pierwszej kolejności wskazać należy, że ustawa Prawo zamówień publicznych (Pzp) wskazuje mechanizmy prawne, dzięki którym zamawiający może kierować się bezpieczeństwem publicznym lub istotnym interesem bezpieczeństwa państwa przy wyborze oferty najkorzystniejszej w postępowaniu o udzielenie zamówienia publicznego. Ustawa Pzp nakłada bowiem na zamawiającego obowiązek odrzucenia oferty m.in. w sytuacji, gdy jej przyjęcie skutkowałoby naruszeniem bezpieczeństwa publicznego lub istotnego interesu bezpieczeństwa państwa. Jak wynika z treści art. 89 ust. 1 pkt 7d) ustawy Pzp, zamawiający zobowiązany jest odrzucić ofertę, jeżeli jej przyjęcie naruszałoby bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa, a tego bezpieczeństwa lub interesu nie można zagwarantować w inny sposób.

Jeżeli więc w postępowaniu zostanie złożona oferta, której przyjęcie naruszałoby z jakichś względów to bezpieczeństwo lub interes w sposób niepozwalający na jego ochronę za pomocą innych działań niż odrzucenie oferty, zamawiający na podstawie powołanego przepisu zobowiązany będzie odrzucić taką ofertę. Przy czym ustalenia, czy zachodzi podstawa do zastosowania omawianej przesłanki odrzucenia oferty, dokonuje każdorazowo sam zamawiający, uwzględniając specyfikę danego zamówienia.

Wskazać należy również na treść art. 145 ust. 1 ustawa Pzp, który daje zamawiającemu możliwość odstąpienia od umowy w sprawie zamówienia publicznego w razie zaistnienia istotnej zmiany okoliczności, powodującej, że wykonanie umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia umowy, lub gdy dalsze wykonywanie umowy może zagrozić istotnemu interesowi bezpieczeństwa państwa albo bezpieczeństwu publicznemu. Uprawnienie do odstąpienia od umowy w takim przypadku przysługuje zamawiającemu w terminie 30 dni od dnia uzyskania informacji o tych okolicznościach. Wykonawca zaś może w takim przypadku żądać wyłącznie wynagrodzenia należnego z tytułu wykonania części umowy.

Ewentualnie w kontekście przedstawionego zagadnienia można byłoby rozważyć wykluczenie wykonawcy z postępowania w oparciu treść art. 24 ust. 5 pkt 2) ustawy Pzp, zgodnie z którym zamawiający może wykluczyć wykonawcę, który w sposób zawiniony poważnie naruszył obowiązki zawodowe, co podważa jego uczciwość. W szczególności, gdy wykonawca w wyniku zamierzonego działania lub rażącego niedbalstwa nie wykonał lub nienależycie wykonał zamówienie, co zamawiający jest w stanie wykazać za pomocą stosownych środków dowodowych.

W opisanym przypadku kluczowe wydaje się zagadnienie dysponowania przez zamawiającego odpowiednimi środkami dowodowymi potwierdzającymi dopuszczenie się przez wykonawcę opisanego czynu, co umożliwi mu podjęcie odpowiednich kroków prawnych.

 

To ważne o tyle, że zagrożenia ze strony nowych technologii będą się wciąż pojawiać. Dzisiaj mogą to być luki w jednym tylko systemie, a jutro w kilku kolejnych. To wynika po części z samej natury cyfrowych narzędzi i ich stosowania w newralgicznych, z biznesowego i społecznego punktu widzenia, obszarach. Należy więc być przygotowanym na różnego rodzaju incydenty i mieć opracowane zawczasu sposoby działania w sytuacjach kryzysowych.

Oczywiście nikt w tym żadnego urzędu ani żadnej instytucji nie zastąpi. Każdy podmiot musi samodzielnie oszacować ryzyko związane z prowadzoną działalnością i podjąć decyzję, jakie procedury w jego sytuacji będą najskuteczniejsze. Te ustalenia mogą się potem przekładać na zapisy SIWZ-u, stanowiąc dodatkowe zabezpieczenie.

Ułatwieniem byłoby z pewnością stworzenie centralnego rejestru narzędzi dopuszczonych do użytkowania przez sektor publiczny. Takie rozwiązania są już stosowane w niektórych państwach, na przykład w Wielkiej Brytanii. W tym kierunku – a konkretnie certyfikowania produktów i usług z dziedziny cyberbezpieczeństwa – idą pomysły rozpatrywane w Unii Europejskiej. Komisja Europejska proponuje wprowadzenie akredytacji technologii informacyjno-komunikacyjnych pod kątem ich bezpieczeństwa. Jednak czy i kiedy takie rozwiązanie wejdzie w życie, na razie trudno powiedzieć.

 

Nowe podejście do prawa

Wraz z rozwojem technik IT zmienia się sposób regulowania funkcjonowania różnych obszarów państwa i biznesu. Ustawodawcy odchodzą od dokładnego określania wymaganych działań na rzecz wymuszania na użytkownikach systemów informatycznych postępowania adekwatnego do istniejących warunków i oszacowanego ryzyka. Sztandarowym przykładem takiej regulacji jest dzisiaj RODO.

W przyszłości podobnych przepisów będzie się z pewnością pojawiać coraz więcej. Przygotowany pod egidą Ministerstwa Cyfryzacji projekt ustawy o krajowym systemie cyberbezpieczeństwa również zawiera zapisy w podobnym duchu. Proponowane w nim uregulowania będą nakładały na wybrane podmioty konieczność dopasowania zabezpieczeń do poziomu oszacowanego ryzyka wynikającego z analizy różnorodnych czynników.

Pozostaje pytanie, czy przy takim podejściu nie będą potrzebne zmiany w prawie zamówień publicznych, które zagwarantują zamawiającym większą elastyczność działania w doborze rozwiązań adekwatnych do zdiagnozowanych jednostkowo zagrożeń.