Od 18 października 2018 r. zamówienia publiczne powyżej tzw. progów unijnych (czyli te największe) muszą być obowiązkowo udzielane z wykorzystaniem środków komunikacji elektronicznej (patrz: infografika). To ustawowe określenie w praktyce oznacza konieczność skorzystania z platform zakupowych umożliwiających składanie ofert przez internet. Organizatorzy przetargów mają do wyboru trzy możliwości.

Pierwsza to skorzystanie z miniPortalu, czyli bezpłatnego narzędzia, które zostało udostępnione przez Urząd Zamówień Publicznych. Nie jest ono zbyt rozbudowane, gdyż stworzono je w ostatniej chwili, jako rozwiązanie tymczasowe, kiedy okazało się, że nie uda się przygotować na czas docelowego rozwiązania: portalu e-Zamówienia (obecnie wciąż jest jeszcze tworzony na zlecenie Ministerstwa Cyfryzacji). Mimo tych ograniczeń miniPortal – głównie z powodu tego, że jest darmowy – cieszy się zdecydowanie największym zainteresowaniem zamawiających.

Druga opcja to własne, tworzone na zamówienie, platformy informatyczne. Tyle że stać na nie stosunkowo niedużą grupę zamawiających, najczęściej tych, którzy udzielają stosunkowo największej liczby zamówień.

I wreszcie ostatnia możliwość: skorzystanie z komercyjnych platform zakupowych (czyli oferowanych przez prywatne podmioty). Są one zwykle rozbudowane, ale bardziej intuicyjne i jednocześnie przez to łatwiejsze w obsłudze dla zamawiających niż nakładka miniPortal. Tę opcję wybrało chociażby 65 jednostek administracji rządowej, dla których już w kwietniu wykupiono dostęp do jednej z platform. W związku z uruchomieniem miniPortalu, który stał się darmową alternatywą dla komercyjnych narzędzi, ceny dostępu do tych ostatnich zmalały wielokrotnie. W tej chwili stać już na nie nawet średniej wielkości zamawiających. Na rynku można znaleźć już w sumie kilkanaście konkurujących ze sobą rozwiązań, z czego kilka najbardziej znanych (patrz: ramka).

Państwo umywa ręce

Każda z platform gwarantuje, że świadczy w pełni zgodne z przepisami usługi, a co najważniejsze, że są one bezpieczne i osoby postronne nie mają dostępu do przesyłanych za ich pośrednictwem informacji. Z pewnością tak właśnie jest, ale pytanie jest inne: czy ktokolwiek to kontroluje, czy te zapewnienia są prawdziwe?

Wyobraźmy sobie taki oto scenariusz: służby wywiadowcze obcego państwa zawiązują w Polsce za pośrednictwem podstawionych osób spółkę, która oferuje na polskim rynku dostęp do wyjątkowo taniej, a jednocześnie nadzwyczaj funkcjonalnej platformy zakupowej. Jak nietrudno się domyślić, szybko staje się ona narzędziem bardzo chętnie wykorzystywanym przez zamawiających. Wykonawcy walczący o zamówienia publiczne, chcąc nie chcąc, muszą z niej startować. Oferty są szyfrowane, ale nikt nie zdaje sobie sprawy z tego, że wspomniane już obce służby mogą je odszyfrowywać w dowolnym momencie. W ten sposób najściślejsze tajemnice przedsiębiorstwa, w tym również know-how, wyciekają za granicę.

Scenariusz rodem z filmu science fiction – ktoś powie. Ale czy realny? Czy państwo polskie zapewnia jakikolwiek nadzór nad działalnością platform zakupowych, który uniemożliwiałby wprowadzenie tego lub podobnego czarnego scenariusza w życie? Pytanie to zadaliśmy trzem resortom: spraw wewnętrznych i administracji, cyfryzacji oraz przedsiębiorczości i technologii. Żadne z nich nie odpowiedziało na nie wprost. Ale pośrednio z odpowiedzi wynika jedno: organy państwa nie sprawują żadnego nadzoru ani kontroli nad bezpieczeństwem komercyjnych platform zakupowych.

Tymczasem eksperci nie mają wątpliwości, że zarysowany przez nas scenariusz jest jak najbardziej możliwy. – Niestety ten scenariusz jest w pełni realistyczny. Państwo w żaden sposób nie kontroluje platform zakupowych, za pośrednictwem których są przecież przekazywane poufne informacje. Informacje warte bardzo duże pieniądze – stwierdza Michał Rogalski, ekspert zajmujący się tematyką zamówień w Polskiej Izbie Informatyki i Telekomunikacji. – Jestem jak najdalej od tego, by państwo mieszało się w biznes, ale uważam, że akurat w tym zakresie nadzór jest niezbędny. A nikt, poza organami państwa, nie jest w stanie go zapewnić – dodaje.

Również dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa i prywatności, nie ma złudzeń. – Opisany scenariusz na pierwszy rzut oka może wydawać się ekstremalny. Jednak historia zna przypadki, gdy przestępcy lub nawet osoby, co do których się podejrzewa, że działali z ramienia pewnych krajów, realizowali podobne scenariusze. Rejestrowano „podstawione” systemy lub nawet oprogramowanie podające się za w pełni „prawdziwe”, a w rzeczywistości umożliwiające później zdalny dostęp do systemów – mówi.– To jednak wciąż przypadki szczególne – zaznacza.

Nie wszyscy jednak eksperci podzielają te obawy. Zdaniem części z nich gra nie jest warta świeczki. – Samo założenie i zbudowanie portalu, który spełniałby wymogi techniczne, o których wspomniałem wcześniej tylko i wyłącznie w celu przejęcia tajemnicy przedsiębiorstwa firm startujących w przetargach – wymagałoby zaangażowania dużych nakładów finansowych i osobowych oraz spełnienia ram proceduralnych narzuconych przez organy państwowe. Portal taki musiałby również uwiarygodnić swoją pozycję na rynku. W związku z tym uważam, że nakład środków nie byłby współmierny do celu tego przedsięwzięcia – przekonuje Grzegorz Szajerka, dyrektor ds. ochrony danych osobowych w Grupie Prawnej Togatus.

To nie jest zwykła strona internetowa

Konstrukcja systemu platformy zamówień publicznych nie jest szczególnie trudnym przedsięwzięciem, powinna zostać jednak wykonana bardzo precyzyjnie i w przemyślany sposób. Nie chodzi tu bowiem o zwykłą stronę internetową z bazą danych zrobioną na zaliczenie przez grupę studentów politechniki. Przy świadczeniu takich usług stawka ryzyka jest dość wysoka, a system musi być właściwie zaprojektowany technicznie. Ponieważ platformy te mogą przetwarzać dane wrażliwe, muszą być one odpowiednio projektowane już od samego początku.

Preferowane powinny być więc rozwiązania szyfrujące dane przed ich przesłaniem do platformy obsługującej zamówienia w taki sposób, by ich odczytanie było możliwe jedynie przez oferentów. Także w drugą stronę: jedynie zamawiający powinien mieć dostęp do ofert. Same platformy nigdy nie powinny mieć wglądu w dane, a nawet w komunikację i proces składania ofert. To już kwestia prawidłowego projektu i wdrożenia właściwych rozwiązań technicznych, w tym – kryptograficznych. Platformy nie powinny też chcieć posiadać dostępu do ofert. Również dla własnego bezpieczeństwa.

Nie ulega wątpliwości, że warto rozważyć objęcie tego rodzaju projektów, będących na styku między państwem a tego typu platformami komercyjnymi, odpowiednimi wymogami, standardami, zasadami. Wypracowanie takich zasad byłoby pomocne także dla samego procesu dopuszczania do użytku platform. Zwłaszcza gdy może dochodzić do przetwarzania danych wrażliwych.

Warto rozważyć postawienie wymogu publicznego udostępnienia danych technicznych o projekcie systemu. W wersji minimum – jednostce koordynującej zatwierdzanie portali do użytku. Stanowiłoby to swego rodzaju sito, które umożliwi wyłuskanie projektów niebezpiecznych bądź wadliwie projektowanych. To przecież może być nie tylko kwestia cyberbezpieczeństwa, ale także bezpieczeństwa informacji państwa.

