Służby kolejnego państwa podejrzewają, że oprogramowanie firmy mogło wspierać rosyjski wywiad. Tym razem chodzi o klientów brytyjskiego banku Barclays, który w pakiecie z usługami dodawał subskrypcję na program. Za jego pośrednictwem Rosjanie mogli wykraść dane 2 mln klientów instytucji.

Choć oskarżeń pod adresem Kasperskiego przybywa, to polska administracja nie podjęła żadnych konkretnych decyzji w sprawie korzystania z oprogramowania. Co więcej, kolejne instytucje ogłaszają przetargi, które kończą się zakupem rosyjskiego antywirusa. 12 października TVP zakończyła postępowanie na 5120 licencji programu wartych łącznie 181 tys. zł. Nierozstrzygnięty pozostaje przetarg Centralnego Ośrodka Informatyki. Po otwarciu ofert 25 października okazało się, że najtańszą przedstawił Kaspersky. Za licencję na 4 lata chce 245 tys. zł. Następna w kolejności firma żąda 20 tys. więcej i tylko za 1,5 roku.

– Ewidentnie Rosjanie starają się odbić rynek, używając cen jako broni – komentują eksperci. Dyrektor departamentu bezpieczeństwa w COI tuż po otwarciu ofert zapytał resort cyfryzacji, co ma zrobić z tym fantem. Odpowiedzi jeszcze się nie doczekał.

Za to szefowa Ministerstwa Cyfryzacji Anna Streżyńska przed kilkoma dniami odpowiedziała na interpelację poselską dotyczącą rosyjskiego antywirusa, w której przyznała, że „resort nie ma narzędzi prawnych pozwalających na sprawdzanie, jakie oprogramowanie jest stosowane w poszczególnych podmiotach publicznych”. I podkreśliła, że prawo zamówień publicznych ma w tym wypadku decydujące znaczenie.

Z kolei kilka urzędów używających Kasperskiego zapytało Agencję Bezpieczeństwa Wewnętrznego, jak mają postępować z oprogramowaniem rosyjskiej firmy. Służby wciąż jednak nie wydały jednoznacznych dyspozycji.

Są prawne możliwości odrzucania ofert firmy Kaspersky Lab. Wymagałoby to jednak zajęcia stanowiska przez służby. Na razie zawierane są kolejne kontrakty.

We wrześniu Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych zakazał amerykańskim urzędom korzystania z oprogramowania antywirusowego rosyjskiej firmy Kaspersky Lab, a Kongres wydał te same zalecenia armii. Stało się to po nagłośnieniu informacji przekazanych przez wywiad Izraela, według którego oprogramowanie Kaspersky’ego było wykorzystywane przez rosyjskich hakerów.

Jak na razie informacje te nie zaniepokoiły polskiej administracji, która po ich ujawnieniu zawiera kolejne umowy na dostawę lub przedłużanie licencji na oprogramowanie Kaspersky’ego. Tylko w ostatnim miesiącu takich zamówień publicznych udzieliły województwa śląskie i łódzkie a także Telewizja Polska SA (patrz: grafika). Choć dokładnie nie wiadomo, jak wiele instytucji publicznych korzysta z rosyjskiego antywirusa, to bez wątpienia jest on bardzo popularny. Wśród użytkowników są prokuratury, sądy czy policja. Koniec roku to u wielu zamawiających okres odnawiania licencji, więc można spodziewać się kolejnych przetargów czy też mniej formalnych negocjacji (poniżej 30 tys. euro nie stosuje się przepisów o zamówieniach publicznych).

A gdzie dowody?

O zagrożenia związane z kupowaniem nowych licencji i korzystaniem ze starych zapytał ostatnio w interpelacji dr Paweł Pudłowski, poseł Nowoczesnej. Interesowało go także, czy przepisy ustawy – Prawo zamówień publicznych (t.j. Dz.U. z 2017 r. poz. 1579 ze zm.) pozwalają na eliminowanie ofert, które mogą stanowić zagrożenie. W odpowiedzi udzielonej przez Urząd Zamówień Publicznych wskazano, że taka podstawa prawna w przepisach istnieje. Stanowi ją obowiązujący od ponad roku art. 89 ust. 1 pkt 7d, który nakazuje odrzucić ofertę, gdy jej przyjęcie skutkowałoby naruszeniem bezpieczeństwa publicznego i istotnego interesu państwa, a tego bezpieczeństwa i interesu nie można zagwarantować w inny sposób. UZP zwraca przy tym uwagę, że zarówno ustalenie zagrożenia dla bezpieczeństwa publicznego (czy istotnego interesu państwa), jak i weryfikacja, czy odrzucenie oferty jest jedynym sposobem na uniknięcie tych zagrożeń, każdorazowo należy do samego zamawiającego.

– Problem w tym, że pojedynczy zamawiający, a zwłaszcza ci na niższych szczeblach, nie mają szans na ocenę tego zagrożenia. Jeśli wyeliminują ofertę Kaspersky’ego z przetargu, muszą liczyć się z tym, że firma odwoła się do KIO. A wówczas to zamawiający będzie musiał udowodnić na rozprawie, że bez odrzucenia oferty zagrożone byłyby bezpieczeństwo publiczne lub interes państwa – zwraca uwagę Artur Wawryło, ekspert Centrum Obsługi Zamówień Publicznych.

– Dowodem na takie zagrożenie raczej nie mogą być publikacje prasowe. Mogłyby je natomiast stanowić konkretne informacje przekazane przez stronę amerykańską czy izraelską, ale do ich uzyskania konieczne byłoby zaangażowanie władz państwa czy szefostwa służb – dodaje.

Spytaliśmy Agencję Bezpieczeństwa Wewnętrznego, czy podjęła jakieś kroki w celu wyjaśnienia zarzutów kierowanych pod adresem firmy Kaspersky Lab. Niestety z udzielonej nam odpowiedzi niewiele wynika.

„Polskie służby specjalne na bieżąco realizują ustawowe obowiązki, również te związane z zagrożeniami w cyberprzestrzeni. ABW podejmuje własne działania, a także korzysta z ustaleń służb partnerskich, w celu identyfikowania źródeł zagrożeń związanych z cyberprzestrzenią. Z racji ograniczeń prawnych szczegółowych informacji o działaniach służb nie podaje się do publicznej wiadomości” – taką informację przesłał nam Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych.

Brak podstaw do eliminacji

W praktyce polscy zamawiający nie dysponują w tym momencie argumentami, które uzasadniałyby odrzucanie ofert Kaspersky’ego. Sama firma przekonuje, że nie ma do tego żadnych podstaw.

– Wykluczanie jakichkolwiek podmiotów czy produktów z postępowań przetargowych bez zaistnienia racjonalnych i uzasadnionych przesłanek nie powinno mieć miejsca. Każdy podmiot powinien mieć prawo do świadomego wyboru produktów i dostawców wedle własnego uznania i potrzeb – mówi Piotr Kupczyk, dyrektor biura komunikacji z mediami Kaspersky Lab Polska.

– Firmie Kaspersky Lab nie przedstawiono żadnych dowodów wskazujących na jej zaangażowanie w rzekomy incydent, o którym poinformowały „Wall Street Journal” oraz „New York Times”. Jako firma prywatna Kaspersky Lab nigdy nie pomagał ani nie będzie pomagał żadnemu rządowi w działaniach cyberszpiegowskich. Nasze oprogramowanie nie posiada żadnych niejawnych możliwości, takich jak tylne furtki (backdoory) – zapewnia.

Odsyła jednocześnie do stanowisk prezentowanych przez służby innych państw unijnych. Federalny Urząd Bezpieczeństwa Teleinformatycznego w Niemczech (BSI) w komunikacie przesłanym do agencji Reuters 12 października napisał, że „nie ma żadnych planów ostrzegania przed korzystaniem z produktów Kaspersky Lab, ponieważ BSI nie posiada jakichkolwiek dowodów na niewłaściwe postępowanie tej firmy ani na jakiekolwiek słabości w jej oprogramowaniu. (...) Obecnie BSI nie posiada żadnych informacji, które mogłyby wskazywać na to, że działania opisane w mediach miały miejsce”.

Polscy urzędnicy chcieliby, aby nasze służby również zabrały oficjalne stanowisko w sprawie i przekazały jakiekolwiek wskazówki, jak traktować oprogramowanie dostarczane przez Kaspersky Lab. Bez nich pozostają zawieszeni w próżni, bo zdają sobie sprawę, że odrzucenie oferty skończy się wniesieniem odwołania do Krajowej Izby Odwoławczej.

Dużo większą swobodę mają natomiast przy zamówieniach poniżej 30 tys. euro, a wiele zakupów dotyczących licencji na oprogramowanie antywirusowe nie przekracza tej kwoty. Tu wystarczy skierować zapytanie ofertowe do wybranych dostawców oprogramowania, niekoniecznie już do wszystkich. A nawet jeśli dana instytucja ma wewnętrzne procedury zapewniające możliwość składania ofert, to i tak – przy ich ewentualnym odrzuceniu – nie musi obawiać się wniesienia odwołania do KIO.