Instytucje publiczne, samorządowe czy przedsiębiorcy coraz częściej stają się ofiarami ataków cyberprzestępców. Cyberprzestępcy nagminnie wykorzystują podatności zabezpieczeń systemów do przejęcia kontroli nad urządzeniami i systemami teleinformatycznymi. Zagrożenia dla cyberbezpieczeństwa nierzadko wynikają z nieodpowiednich zabezpieczeń fizycznych czy rozwiązań organizacyjnych (np. brak szkoleń kadry i niska świadomość na temat zagrożeń). Braki w zakresie rozwiązań technicznych czy proceduralnych mogą prowadzić do utraty kontroli nad elementami infrastruktury wykorzystywanej do cyberbezpieczeństwa. Nieadekwatność posiadanych środków do aktualnych zagrożeń może natomiast skutkować poważnymi konsekwencjami w postaci utraty integralności, poufności, dostępności oraz autentyczności przetwarzanych danych (w tym danych osobowych, danych objętych tajemnicą przedsiębiorstwa), a w konsekwencji – pozbawieniem możliwości świadczenia usług.
Należy zaznaczyć, że ustawa – Prawo zamówień publicznych z 11 września 2019 r. (dalej: „pzp”) zawiera liczne wyłączenia dotyczące jej stosowania w przypadku zamówień, których przedmiot stanowią dostawy i usługi w dziedzinach obronności i bezpieczeństwa. Co do zasady pzp jest stosowana w przypadku, gdy wartość tego rodzaju zamówienia jest równa lub przekracza określone progi unijne (art. 2 ust. 1 pkt 3 pzp). Ponadto nie wszystkie podmioty obowiązane do stosowania ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (dalej: „uksc”) będą objęte obowiązkiem stosowania zasad dotyczących zamówień publicznych (na przykład nie każdy operator usługi kluczowej będzie posiadał status jednostki sektora finansów publicznych, nie każdy będzie też państwową jednostką organizacyjną). Niezależnie od przyjętej procedury należy wskazać istotne elementy dla każdego zamówienia dotyczącego cyberbezpieczeństwa, nawet gdy nie podlega ono obowiązkom dotyczącym zamówień publicznych.
Ważna jest Infrastruktura
Aby zrozumieć, czym jest cyberbezpieczeństwo, można sięgnąć do definicji zawartej w art. 2 pkt 4 uksc, zgodnie z którą przez „cyberbezpieczeństwo” należy rozumieć „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. W uproszczeniu chodzi o zapewnienie takich rozwiązań (m.in. technicznych), które zabezpieczą systemy IT przed dokonaniem w nich modyfikacji w sposób nieuprawniony, ujawnieniem danych podmiotom nieupoważnionym oraz zapewnią stały dostęp do systemów.
W zakres szeroko rozumianego cyberbezpieczeństwa powinny zatem wchodzić wszelkie technologie, procesy i rozwiązania organizacyjne stosowane w celu ochrony sieci teleinformatycznych, urządzeń, jak również danych (osobowych i nieosobowych) przed niepożądanymi działaniami takimi jak uszkodzenia infrastruktury i danych, nieautoryzowany dostęp, kradzież danych, utrata kontroli nad systemami i danymi. Do działań związanych z cyberbezpieczeństwem będą się zaliczały wszelkie zamówienia przeprowadzane w celu zapewnienia bezpieczeństwa IT (np. bezpieczeństwo sieci, bezpieczeństwo aplikacji, zabezpieczenia baz danych), które wymagają wdrożenia odpowiednich rozwiązań technicznych (m.in. oprogramowania), jak również zapewnienia prawidłowej organizacji i zarządzania (np. prowadzenie szkoleń pracowników, opracowanie procedur czy wykonanie audytów). Wymaga przy tym podkreślenia, że obowiązek zapewnienia bezpieczeństwa IT nie dotyczy wyłącznie podmiotów wymienionych w ustawie o Krajowym Systemie Cyberbezpieczeństwa (tj. operatorzy usług kluczowych, dostawcy usług cyfrowych, podmioty publiczne), może się też wiązać z koniecznością realizacji obowiązków wskazanych w RODO. Podobnie cyberbezpieczeństwo nie ogranicza się do działań podejmowanych w celu zapewnienia obronności i bezpieczeństwa państwa, lecz dotyczy zabezpieczania danych i ciągłości funkcjonowania organizacji.
Potrzeby zamawiającego
Zgodnie z treścią art. 17 pzp zamówienie powinno zostać udzielone w sposób zapewniający najlepszą jakość uzasadnioną charakterem zamówienia w ramach środków planowanych na realizację w celu uzyskania najlepszych efektów. Jednocześnie procedura związana z udzieleniem zamówienia powinna zapewniać bezstronność i obiektywizm.
W rzeczywistości przygotowaniu postępowania, jak również wyborowi najkorzystniejszej oferty, nierzadko towarzyszą liczne wątpliwości. W szczególności dotyczą one znalezienia równowagi pomiędzy wybraniem oferty optymalnej cenowo a zapewnieniem rozwiązań (m.in. technologii) adekwatnych do potrzeb zamawiającego. Problem ten nabiera znaczenia w przypadku planowania zamówienia, którego przedmiot stanowi infrastruktura do cyberbezpieczeństwa, albowiem dostępne na rynku rozwiązania nie tylko są zróżnicowane pod względem rodzaju i liczby funkcjonalności, lecz także zakresu świadczenia usług. Zarówno dostawy, jak i usługi dotyczące cyberbezpieczeństwa zazwyczaj będą się wiązały ze specjalistyczną wiedzą, kompetencjami czy unikalnymi rozwiązaniami technologicznymi, w związku z czym nakłady finansowe mogą okazać się istotnym czynnikiem decyzyjnym odnośnie do tego, czy warto ponieść wydatki na rozwój własnych struktur i stworzenie wewnętrznego Security Operation Center (SOC), czy też lepiej skorzystać z takich rozwiązań w ramach outsourcingu.
Przy dokonywaniu interpretacji art. 17 pzp nie powinna ujść uwadze treść dyrektywy 2014/24, odnosząca się do pojęcia „kryteriów udzielenia zamówienia”. Treść motywu 89 dyrektywy 2014/24 wskazuje na konieczność dokonania oceny ofert pod kątem najlepszej relacji jakości do ceny. W tym celu zamawiający powinien określić kryteria ekonomiczne i jakościowe dotyczące przedmiotu zamówienia, na podstawie których dokona oceny i wyboru oferty optymalnie odpowiadającej jego potrzebom (motyw 92 dyrektywy 2014/24). Oznacza to, że zamawiający, planując zamówienie, powinien w każdym przypadku uwzględniać swoje rzeczywiste potrzeby, jak również specyfikę danego zamówienia. W przypadku infrastruktury do cyberbezpieczeństwa w określeniu rzeczywistych potrzeb przydatne może okazać się przeprowadzenie analizy ryzyka związanego z przetwarzaniem konkretnego rodzaju danych czy świadczeniem konkretnych usług przez zamawiającego. Na jej podstawie zamawiający powinien być w stanie zidentyfikować potencjalne niepożądane zdarzenia oraz ich następstwa, a także rozeznać się, jakie rozwiązania odpowiednie do stwierdzonych problemów (potencjalnych incydentów zagrażających cyberbezpieczeństwu) oferowane są na rynku.
Optymalne rozwiązania
W przypadku planowania zamówienia, którego przedmiotem jest infrastruktura do cyberbezpieczeństwa, niewątpliwie istotne znaczenie dla zamawiającego powinny mieć takie kwestie jak zastosowana technologia, funkcjonalności oprogramowania czy integracja z już wykorzystywanym oprogramowaniem. Zapewnienie cyberbezpieczeństwa wymaga bowiem zastosowania narzędzi informatycznych umożliwiających m.in. rejestrowanie zgłoszeń incydentów, analizę kodu szkodliwego oprogramowania, badanie odporności systemów informacyjnych na przełamanie lub ominięcie zabezpieczeń, zabezpieczanie informacji potrzebnych do analizy po zaistniałym incydencie. Nie można także zapominać o wadze stosowanych zabezpieczeń technicznych budynków. Nawet najdroższe oprogramowanie nie spełni bowiem swojej funkcji, jeżeli pomieszczenie ulegnie spaleniu, zalaniu lub zniszczeniu w wyniku działań włamywaczy. Należy zatem pamiętać o zapewnieniu odpowiedniej klasy odporności ogniowej ścian i stropów pomieszczenia, odpowiedniej klasy odporności pożarowej budynków czy szaf, a także zamków i drzwi. Podobnie istotne jest wdrożenie systemu kontroli dostępu monitorującego wszystkie wejścia i wyjścia kontrolowanego obszaru, rozpoznającego osoby uprawnione np. w wyniku odczytu identyfikatora.
Odnośnie do zamówienia dotyczącego świadczenia usług w zakresie cyberbezpieczeństwa należy pamiętać, że dotyczy ono usług specjalistycznych. W tym przypadku istotne znaczenie będą miały kryteria dotyczące m.in. doświadczenia wykonawcy i zaangażowanego przez niego personelu czy posiadane przez wykonawcę wymagane certyfikaty z zakresu cyberbezpieczeństwa. Warto także zwrócić uwagę na koncepcje świadczenia usług. Istotnym elementem jest zapewnienie sobie właściwego określenia SLA (service level agreement), w tym m.in. czasu prowadzenia monitoringu, czasu i liczby reakcji na wykryty incydent oraz maksymalnej liczby incydentów przeznaczonych do obsługi w określonym czasie (np. w ciągu godziny).
