Sygn. akt: KIO 2493/21
WYROK
z dnia 28
września 2021 r.
Krajowa Izba Odwoławcza - w składzie:
Przewodniczący: Ryszard Tetzlaff
Protokolant: Adam S
kowroński
po rozpoznaniu na rozprawie w dniu 23
września 2021 r. w Warszawie odwołania
wniesionego do Prezesa Krajowej Izby Odwoławczej w 23 sierpnia 2021 r. przez
wykonawc
ę COMTEGRA S.A., ul. Puławska 474, 02-884 Warszawa w postępowaniu
prowadzonym przez
Skarb Państwa - Państwowe Gospodarstwo Leśne Lasy
Państwowe, Zakład Informatyki Lasów Państwowych im. Stanisława Kostki
Wisińskiego Sękocin Stary, ul. Leśników 21C, 05-090 Raszyn
przy udziale wykonawcy Trafford IT Sp. z o.o. Sp. k., ul. Taneczna 18, 02-829 Warszawa
zgłaszającego swoje przystąpienie do postępowania odwoławczego po stronie
zamawiającego
orzeka:
umarza postępowanie w zakresie zarzutów dotyczących:
a) naruszenia art. 18 ust. 1, 2 i 3
Ustawy z dnia 11 września 2019 r. Prawo zamówień
publicznych (t.j. Dz. U. z 2021 r. poz. 1129) w
związku z art. 11 ust. 2 ustawy z dnia 16
kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2019 r. poz. 1010
i 1649) poprzez pozbawione podstaw faktycznych i prawnych zaniechanie uznania za
bezskuteczne zastrzeżenia jako tajemnicy przedsiębiorstwa treści złożonego przez
Trafford Załącznika - „Opis techniczny oferowanego rozwiązania”, z uwagi na jego
uwzględnienie i brak sprzeciwu,
b) naruszenia art. 226 ust.1 pkt 5 w zw. z art. 16 pkt 1 Ustawy
z dnia 11 września 2019 r.
Prawo zamówień publicznych (t.j. Dz. U. z 2021 r. poz. 1129) poprzez zaniechanie
odrzucenia oferty Trafford IT Sp. z o.o. Sp. k.
, pomimo, że zaoferowane
w p
ostępowaniu przez tego wykonawcę rozwiązanie nie spełnia wymagań
Zamawiającego zawartych w treści Specyfikacji Warunków Zamówienia w zakresie
zarzut
ów szczegółowych - numer: 3. Rozwiązanie nie pozwala na rozkład ruchu
opisany w OPZ; 5. Parametr
ów odrzucenia, 6. 7.2 AV; 7. Braku licencji; 10. Licencji; 11.
Skanowania Linuxa oraz 12.
Skanowania plików typów, z uwagi na ich wycofanie.
W pozostałym zakresie oddala odwołanie.
3. k
osztami postępowania obciąża COMTEGRA S.A., ul. Puławska 474, 02-884
Warszawa i:
zalicza w poczet kosztów postępowania odwoławczego kwotę 15 000 zł 00 gr
(słownie: piętnaście tysięcy złotych zero groszy) uiszczoną przez wykonawcę
COMTEGRA S.A., ul. Puławska 474, 02-884 Warszawa tytułem wpisu od
o
dwołania;
zasądza od wykonawcy COMTEGRA S.A., ul. Puławska 474, 02-884
Warszawa na rzecz Trafford IT Sp. z o.o. Sp. k., ul. Taneczna 18, 02-829
Warszawa
kwotę 3 600 zł 00 gr (słownie: trzy tysiące sześćset złotych zero
groszy) stanowiącą koszty postępowania odwoławczego poniesione z tytułu
wy
datków pełnomocnika.
Stosownie do art. 579 ust. 1 oraz ar
t. 580 ust.1 i 2 ustawy z dnia 11 września 2019 r. - Prawo
zamówień publicznych (Dz. U. z 2019 r. poz. 2019 z późn. zm.) na niniejszy wyrok – w
terminie 14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa
Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie.
Przewodniczący:
………………………………
Sygn. akt: KIO 2493/21
U z a s a d n i e n i e
Postępowanie o udzielenie zamówienia publicznego na: „Zakup systemu ochrony
antyspamowej i antywirusowej poczty LP -
postępowanie po unieważnieniu postępowania
DZ.270.29.2020”, Znak sprawy: DZ.270.119.2020 zostało wszczęte ogłoszeniem
w ogłoszeniem opublikowanym w Dzienniku Urzędowym Unii Europejskiej w dniu
18.06.2021 r. pod nr 2021/S 117-110582 przez:
Skarb Państwa - Państwowe Gospodarstwo
Leśne Lasy Państwowe, Zakład Informatyki Lasów Państwowych im. Stanisława Kostki
Wisińskiego Sękocin Stary, ul. Leśników 21C, 05-090 Raszyn dalej: „Zamawiającym”. Do
ww. postępowania o udzielenie zamówienia zastosowanie znajdują przepisy ustawy z dnia
11 września 2019 r. - Prawo zamówień publicznych (t. j. Dz. U. z 2019 r., poz. 2019 ze. zm.,
zwana dalej:
„NPzp” albo „ustawy Pzp” albo „Pzp”.
Dnia 11.08.2021 r. (e-mailem)
Zamawiający poinformował o wyborze oferty
najkorzystniejszej: Trafford IT Sp. z o.o. Sp. k., ul. Taneczna 18, 02-829 Warszawa zwanej
dalej:
„Trafford IT Sp. z o.o. Sp. k.” albo „Trafford” albo „Przystępującym”. Drugą pozycje
w rankingu złożonych ofert zajęła firma: COMTEGRA S.A., ul. Puławska 474, 02-884
Warszawa zwana dalej:
„COMTEGRA S.A.” albo „Odwołującym”.
W dniu 23.08.2021 r.
(wpływ do Prezesa KIO w wersji elektronicznej podpisane
podpisem cyfrowym za pośrednictwem elektronicznej skrzynki podawczej - ePUAP)
COMTEGRA S.A. wn
iosła odwołanie na czynności z 11.08.2021 r. Kopie odwołania
Z
amawiający otrzymał w dniu 23.08.2021 r. (e-mailem).
Zaskarżonym czynnościom zarzucił naruszenie następujących przepisów Pzp:
1) art. 226 ust.1 pkt 5 w zw. z art. 16 pkt 1 Pzp poprzez zaniechanie odrzucenia oferty
wykonawcy Trafford, pomimo, że zaoferowane w postępowaniu przez tego wykonawcę
rozwiązanie nie spełnia wymagań Zamawiającego zawartych w treści Specyfikacji Warunków
Z
amówienia zwanej dalej: „SWZ”,
2) art. 18 ust. 1, 2, i 3 Pzp w zw. z art. 11 ust. 2 ustawy z dnia 16 kwietnia 1993 r.
o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2019 r. poz. 1010 i 1649), poprzez
pozbawione podstaw faktycznych i prawnych zaniechanie uznania za bezskuteczne
zastrzeżenia jako tajemnicy przedsiębiorstwa treści złożonego przez Trafford Załącznika -
„Opis techniczny oferowanego rozwiązania”,
co skutkuje naruszeniem art. 239 ust.1 Pzp w zw. z art. 16 pkt 1 Pzp poprzez wadliwy wybór
oferty najkorzystniejszej w p
ostępowaniu. W oparciu o przedstawione wyżej zarzuty na
podstawie art. 554 ust. 1 i 3 Pzp wnos
ił o:
• merytoryczne rozpatrzenie oraz uwzględnienie niniejszego odwołania,
• dopuszczenie i przeprowadzenie dowodu z dokumentacji postępowania - na okoliczności
wskazane
niniejszym odwołaniem, a także o:
unieważnienie czynności wyboru oferty najkorzystniejszej jako obarczonej wadą mającą
wpływ na wynik postępowania,
2. powt
órzenie czynności oceny ofert w postępowaniu przy odrzuceniu oferty wykonawcy
Trafford
3. udos
tępnienie nieskutecznie zastrzeżonego Załącznika „Opis techniczny oferowanego
rozwiązania”,
co powoduje bezpośredni wpływ na wybór oferty najkorzystniejszej w postępowaniu.
Przedmiot zamówienia obejmuje zakup i wdrożenie w Państwowym Gospodarstwie
Leśnym Lasy Państwowe centralnego systemu ochrony środowiska pocztowego MS
Exchange wraz z niezbędną infrastrukturą sprzętową. Zakres przedmiotu zamówienia
obejmuje w szczególności dostawę kompletnego rozwiązania tj. licencji na oprogramowanie,
sprzętu wymaganego do sprawnego funkcjonowania systemu, pełnego serwisu producenta
dla dostarczonego sprzętu i oprogramowania, dostępu do aktualizacji sygnatur i list reputacji
przez okres 36 miesięcy (część obligatoryjna zamówienia).
Część obligatoryjna zamówienia obejmuje:
a) Prace organizacyjne i analityczne,
b)
Opracowanie projektu technicznego środowiska wdrożenia Rozwiązania,
c)
Dostawa Rozwiązania w części obejmującej sprzęt i licencje,
d)
Wdrożenie Rozwiązania,
e)
Opracowanie dokumentacji powdrożeniowej,
f) P
rzeprowadzenie warsztatów i szkoleń z zakresu Systemu,
g)
Zapewnienie wsparcia producenta dla wdrożonego Systemu,
h)
Zapewnienie wsparcia Wykonawcy dla wdrożonego Systemu,
i) Udzielenie gwarancji na System
Szczegółowy opis przedmiotu zamówienia, opis wymagań zamawiającego w zakresie
realizacji i odbioru określają:
1.4.1. opis przedmiotu zamówienia – Załącznik nr 1 do SWZ,
1.4.2. projektowane postanowienia umowy
– Załącznik nr 8 do SWZ.
Zgodnie z SWZ -
wszystkie wymagania określone w dokumentach wskazanych
powyżej stanowią wymagania minimalne, a ich spełnienie jest obligatoryjne. Niespełnienie
ww. wymagań minimalnych będzie skutkować odrzuceniem oferty jako niezgodnej
z warunkami zamówienia na podstawie art. 226 ust. 1 pkt 5 ustawy Pzp
Tre
ść oferty w postępowaniu.
Zamawiający wymagał od wykonawców złożenia jako oferty wypełnionego Załącznika
nr 2
– Wzór Formularza oferty. Dokument zawiera m.in. wymaganie odnoszące się do
konieczności identyfikacji co do tożsamości oferowanego rozwiązania. Zgodnie z SWZ
Zamawiający wymagał podania m.in. następujących informacji:
Ochrona przed niechcianą pocztą (spam), próbami oszustw i wyłudzeń (phising) oraz
złośliwym oprogramowaniem (malware) będzie realizowana poprzez rozwiązanie (należy
podać nazwę rozwiązania i krótki opis potwierdzający spełnienie wymagań OPZ):
Funkcje ochronne jako druga warstwa bezpieczeństwa. Główną rolą drugiego systemu jest
realizowanie dodatkowej ochrony przed złośliwym programowaniem w oparciu o tradycyjne
bazy sygnatur jak i również poprzez uruchamianie podejrzanego kodu w izolowanych
środowiskach wirtualnych (sandbox) będą realizowana poprzez rozwiązanie (należy podać
nazwę rozwiązania i krótki opis potwierdzający spełnienie wymagań OPZ):
Zamawiający nie wymagał złożenia w postępowaniu w powyższym zakresie żadnych
dodatkowych oświadczeń ani dokumentów w tym w szczególności przedmiotowych środków
dowodowych.
Dane zawarte w treści Formularza ofertowego jako jedyne wymagane,
identyfikowały przedmiot świadczenia w odniesieniu do zaoferowanego przez wykonawcę
rozwiązania. Uwzględniając charakter informacji jako stanowiących ofertę sensu stricte nie
istni
eje możliwość uzupełnienia ani też zmiany przedmiotu świadczenia wykonawcy w trybie
art. 128 Pzp, który nie dotyczy treści oferty. Zatem wykazanie przez Odwołującego, że
zaoferowane zidentyfikowane w ofercie w sposób jednoznaczny rozwiązanie nie spełnia
w
ymagań Zamawiającego obliguje do odrzucenia oferty w trybie art. 226 ust.1 pkt 5 Pzp.
Wykonawca Trafford w
złożonej ofercie zaoferował następujące rozwiązanie:
„1. Ochrona przed niechcianą pocztą (spam), próbami oszustw i wyłudzeń (phising)
oraz złośliwym oprogramowaniem (malware) będzie realizowana poprzez rozwiązanie
(należy podać nazwę rozwiązania i krótki opis potwierdzający spełnienie wymagań OPZ):
Producent: Forcepoint
Rozwiązanie: Forcepoint Email Security
Opis: Virus and malware Blocking, Spam Filtering, Content filtering, Email Archiving, DLP,
–
Virtual dla 27 000 użytkowników wraz z 36 miesięcznym wsparciem Producenta.
Opis oferowanego Rozwiązania, zawarty jest w dokumencie pt. „Opis techniczny
oferowanego rozwiązania”.
2. Funkcje ochronne jako druga warstwa bezpieczeństwa. Główną rolą drugiego systemu jest
realizowanie dodatkowej ochrony przed złośliwym programowaniem w oparciu o tradycyjne
bazy sygnatur jak i również poprzez uruchamianie podejrzanego kodu w izolowanych
środowiskach wirtualnych (sandbox) będą realizowana poprzez rozwiązanie (należy podać
nazwę rozwiązania i krótki opis potwierdzający spełnienie wymagań OPZ):
Producent: FireEye
Rozwiązanie: FireEye EX (ochrona maila) i CM (centralne zarządzanie)
Opis: Central Management 2500 Virtual Appliance (2 szt.), Security Equipment 3500EX-HW
EMAIL MPS (6 szt.), DTI 3500 EX 2-way sub-3 Year (6 szt.) , Attach/URL engine-49999-3
Year (dla 27 000 użytkowników) wraz z 36 miesięcznym wsparciem Producenta Opis
oferowanego Rozwiązania, zawarty jest w dokumencie pt. „Opis techniczny oferowanego
rozwiązania”.”
Treść oferty zawiera identyfikację zaoferowanych rozwiązań w sposób umożliwiający
ich weryfikację i ocenę pod kątem spełniania wymagań SWZ.
Wykonawca Tra
fford wraz z ofertą złożył dodatkowo niewymagany załącznik
zatytułowany jako „Opis techniczny oferowanego rozwiązania” jednak jego treść nie może
pozost
awać w niezgodności z danymi identyfikującymi przedmiot oferty zawartymi
w wymaganym Formularzu ofertowym.
Niezgodność zaoferowanego przez Trafford
rozwiązania z wymaganiami Zamawiającego. Wobec faktu, że Formularz ofertowy
identyfikuje co do tożsamości zaoferowane przez Trafford w postępowaniu rozwiązanie
możliwa była weryfikacja zaoferowanego rozwiązania pod kątem jego zgodności
z wymaganiami Zamawiającego zawartymi w OPZ SWZ. Zaoferowane rozwiązanie posiada
publicznie dostępną oraz pełną i szczegółową oficjalną dokumentację techniczną produktów
bezpośrednio od producenta, co powoduje, że weryfikacja zgodności rozwiązania z SWZ jest
możliwa. Odnosząc się do poszczególnych stwierdzonych przez Odwołującego
i udokumentowanych niezgodności zaoferowanego przez Trafford rozwiązania
z wymaganiami SWZ:
1. Brak skanowania exchange
W OPZ w części wymagania ogólne do systemu Zamawiający specyfikuje
funkcjonalność:
„2.6 rozwiązanie musi zapewniać filtrowanie poczty przychodzącej i wychodzącej (w tym
poczty wewnętrznej), przy czym musi istnieć możliwość przypisana odrębnych polityk dla
każdego z kierunków przesyłania poczty elektronicznej” oraz w punkcie 3 tej samej
specyfikacji” Rozwiązanie musi pracować jako gateway dla poczty elektronicznej (jako MTA -
Mail Transfer Agent). Dla ochrony poczty wewnętrznej (internal), której ruch nie przechodzi
przez gateway a za
myka się wewnątrz farmy serwerów pocztowych, wymagane jest
zastosowanie mechanizmu chroniącego pocztę bezpośrednio na serwerach Exchange.”.
Dodatkowo w odpowiedziach na pytania do SWZ z dnia 14 lipca 2021 r. Zamawiający
podtrzymuje swoje wymaganie
odnośnie skanowania poczty wewnętrznej:
Pytanie nr 1: „Czy Zamawiający pisząc o filtrowaniu poczty wewnętrznej wymaga
rozwiązania pozwalającego na filtrowanie pod kątem szkodliwej treści, spamu dla
wiadomości nie opuszczających serwerów Exchange?
Wyjaśnienia Zamawiającego: Zamawiający potwierdza, że wymaga rozwiązania
pozwalającego na filtrowanie pod kątem szkodliwej treści, spamu dla wiadomości nie
opuszczających serwerów Exchange.”
Analogicznie pytanie nr 33:
„Rozwiązania bazujące na bezpośredniej ochronie serwerów Exchange są często
elementem bardzo obciążającym farmę serwerów. Ponadto, ich funkcjonalność najczęściej
ogranicz
a się do klasy standardowego antywirusa i nie wspiera zaawansowanej analizy
bezpie
czeństwa jak na przykład sandbox, dodatkowa analiza URL czy antyphising. Czy
Zamawiający akceptuje rozwiązanie zewnętrzne, które nie wymaga instalacji na serwerach
Exchange, a tylko odpowiedniej konfiguracji i analizuje pocztę wewnętrzną z wykorzystaniem
wszystkich narz
ędzi bezpieczeństwa używanych do analizy poczty przychodzącej?
Wyjaśnienia Zamawiającego:
Zamawiający podtrzymuje zapisy SWZ. W punkcie II.3 OPZ opisał swoje
wymagania odnośnie środowiska nie wskazując sposób jego implementacji. Rozwiązanie
do ochron
y poczty wewnętrznej, nie może zmieniać wewnętrznego routingu przy
przepływie poczty wewnętrznej.”
Rozwiązanie zaproponowane przez Trafford nie posiada funkcji skanowania
bezpośrednio na serwerach Exchange, w wymaganym przez Zamawiającego zakresie, czyli:
„2.1 ochronę przed szkodliwą treścią (m.in. malware, wirusy etc.)
2.2 ochronę przed spamem
2.3 filtrowanie treści przesyłanej w poczcie elektronicznej (w tym załączniki)
2.4 ochronę przez niebezpiecznymi linkami URL w treści wiadomości
2.5 rozwiązanie musi umożliwiać kontrolę protokołu SMTP w tym szyfrowane wersje tego
protokołu: SSL i TLS.”
Rozwiązanie zaproponowane przez Trafford jest rozwiązaniem sieciowym,
pozwalającym na wyeksportowanie z serwerów exchange treści do skanowania, przez co
proces skanowania nie odbywa się na serwerach Exchange. Dodatkowo zaproponowane
rozwiązanie nie wykonuje skanowania, co najmniej w zakresie wskazanym w punktach: 2.2
oraz 2.3.
Powyższe oznacza niezgodność treści oferty z jednoznacznymi wymaganiami
Zamawiającego zawartymi w SWZ.
2. Rozwiązanie nie posiada wyszukiwania po zdefiniowanych parametrach
Zamawiający w punkcie 4 OPZ wskazał jakie parametry powinny być logowane oraz
po jakich parametrach powinno być możliwe wyszukiwanie wiadomości. Zgodne z SWZ:
„4.1 rozwiązanie powinno pozwalać na przeszukiwanie wiadomości email
z wykorzysta
niem parametrów minimum:
4.1.1 Nadawca
4.1.2 Odbiorca
4.1.3 Temat
4.1.4 Czas dostarczenia
4.1.5 Nazwa serwera
4.1.6 IP nadawcy
4.1.7 Załącznik
4.1.8 Nagłówek Message-ID
4.1.9 Sumie kontrolnej załącznika (min. MD5 i SHA256)”
p
rzy czym w odpowiedziach na pytania doprecyzował, że wyszukiwanie po sumie kontrolnej
załącznika może odbywać się jednocześnie po jednej z wymienionych funkcji skrótu.
Producent oprogramowania zaoferowanego przez Trafford, w dokumentacji:
Forcepoint Emai
l Security dla wersji 8.5.x z dnia 1 lipca 2021 r., dostępnej pod adresem:
https://www.websense.com/content/support/library/email/v85/email_help/email_help.pdf
(dalej jako: „Forcepoint – dokumentacja”) w sekcji „viewing and searching logs” na stronie 32,
3 i 34 (z ang. Przeglądanie i przeszukiwanie logów) podaje listę parametrów wyszukiwania
ograniczoną do: Received Date/Time, Subject, Sender Address, Sender IP, Recipient
Address, Analysis Result, Message Status, To:Header, From: Header, Spam Score,
Message Size (KB), Appliance (z ang. Czas i data otrzymania, Temat, Aders Nadawcy, IP
Nadawcy, Adres Odbiorcy
, Wynik Analizy, Status Wiadomości, Nagłówek Do, Nagłowek Od,
Wynik Spam, Wielkość Wiadomości, Urządzenia. Powyższe potwierdza, że zaoferowane
rozwiązanie nie posiada możliwości określonych w OPZ dla następujących parametrów:
Załącznik, Nagłówek Message-ID oraz Sumie kontrolnej załącznika.
3. Rozwiązanie nie pozwala na rozkład ruchu opisany w OPZ
Zamawiający opisał w SWZ dopuszczalne mechanizmy wysokiej dostępności
i ograniczył je do: „12.1 Redundancja każdego elementu systemu w obu centrach
przetwarzania Lasów Państwowych (activeactive z rozkładem obciążenia. Rozkład
obciążenia może być realizowany z wykorzystaniem konfiguracji DNS i rekordów MX).
12.2 Zastosowanie konfiguracji mieszanej z wykorzystaniem mechani
zmów wirtualizatora
i mechanizmów układu Active-Pasive oraz mechanizmów w układzie failover
12.3 Zastosowanie konfiguracji Active-
Passive, z synchronizacją danych na poziomie
klastrów/węzłów.”
Rozwiązanie zaproponowane przez Trafford bazuje na dostarczeniu dwóch
rozwiązań, które pracują w konfiguracji MTA, czyli są agentami przyjmującymi wiadomości,
wykonującymi zdefiniowane funkcje ochrony i przesyłającymi wiadomości dalej. Rozwiązania
te pracują liniowo. Poniżej w odwołaniu przedstawiono rysunek przedstawiający niniejsze
rozwiązanie.
W związku z specyfiką oparcia rozwiązania o 2 niezależne mechanizmy skanujące,
rozkład obciążenia dla mechanizmu 2 nie może być realizowany w oparciu o DNS i rekordy
MX.
Rekordy MX (Mail Exchange) są to rekordy DNS (Domain Name System), których
zad
aniem jest mapowanie nazwy domeny na nazwę serwera poczty oraz jego priorytet.
Ponieważ drugi z mechanizmów nie jest wystawiony bezpośrednio do sieci Internet to nie ma
możliwości realizacji rozkładu obciążenia w oparciu o wymagany mechanizm.
https://pl.wikipedia.org/wiki/Domain_Name_System
Dodatkowo, Zamawiający wymaga skanowania dla Exchange, które powinno
odbywać się na serwerach. Nie ma więc możliwości, aby działający serwer Exchange nie był
chroniony przez mechanizm uruchomiony na tym serwerze.
Natomiast rozwiązanie
proponowane przez Trafford, z wyniesionym mechanizmem skanowania Exchange nie
posiada mechanizmów równoważenia obciążenia z racji błędnie zaproponowanej
architektury systemu, co skutkuje podstawą odrzucenia oferty wobec niezgodności z SWZ.
4. Kwarantanna centralna.
Zamawiający w pkt. 30.6 OPZ wyspecyfikował swoje wymaganie wskazując że
„Kwarantanna oraz oznaczanie spamu. Kwarantanna znajduje się na serwerze
zarządzającym (brak potrzeby instalacji dodatkowego serwera kwarantanny).” Zaoferowane
przez Trafford IT rozwiązanie składa się z dwóch niezależnych mechanizmów skanowania
pracujących jako MTA (Mail Transfer Agent) co w konsekwencji powoduje, że to każde z nich
posiada własną kwarantannę. W związku z czym rozwiązanie nie posiada centralnej
kwarantanny co jest niezgodne z SWZ. Forcepoint
– dokumentacja str. 38.
5. Parametry odrzucenia.
Zamawiający w OPZ w pkt. 37 wskazuje: „37 Rozwiązanie musi umożliwiać:
37.1 monitorowanie i ogra
niczanie ilości połączeń z jednego adresu IP w określonym
przedziale czasu.
37.2 musi zapewniać opcję ograniczenia jednoczesnych aktywnych połączeń
37.3 musi zapewniać opcję ograniczenia maksymalnej ilości połączeń i wiadomości.
37.4 ograniczanie
maksymalnej liczby wiadomości przekazywanych za pomocą
pojedynczego połączenia SMTP”. Rozwiązanie zaoferowane przez Trafford nie pozwala na
zdefiniowanie ograniczenia połączeń i filtrowania połączeń po wskazanych parametrach.
Oficjalna i publicznie
dostępna oraz aktualna dokumentacja zaoferowanego rozwiązania
wskazuje możliwe parametry i są one ograniczone do: „Liczba wiadomości na połączenie
SMTP (s109), Maksymalna liczba wiadomości (109), Liczba jednoczesnych połączeń na IP
Jak widać lista jest znacząco mniejsza niż wymagana, co więcej o ile możliwe jest
monitorowanie liczby jednoczes
nych połączeń z IP to nie ma możliwości ograniczenia
połączeń IP z pojedynczego IP w jednostce czasu.
6. 7.2 AV.
W OPZ w pkt. 42 Zamawiający wymaga: „Rozwiązanie musi mieć możliwość
wyboru z co najmnie
j dwóch komercyjnych silników antywirusowych (na jednej platformie
sprzętowej) lub za pomocą dodatkowego urządzenia”. Żadne z rozwiązań oferowanych
przez Traffo
rd nie pozwala na wybór z dwóch komercyjnych rozwiązań. Każde z rozwiązań
posiada własny silnik antywirusowy, natomiast wymaganie mówi o możliwości wyboru, co za
tym idzie takiej możliwości nie ma. Forcepoint – dokumentacja str. 167 i 168.
7. Brak licencji.
W OPZ w pkt. 59 Zamawiający wymaga: „Rozwiązanie musi umożliwiać
opcjonalnie, oddzielnie licencjonowane, szyfrowanie symetryczne poczty dla wybranych
wiadomości, wykonywane bez potrzeby jakiejkolwiek ingerencji w klienta pocztowego oraz
bez potrzeby implementacji PKI.” Rozwiązanie zaproponowane przez Trafford nie daje
możliwości użycia dodatkowej licencji, funkcja nie występuje w żadnym z rozwiązań.
8. Sandboxing załączników jako funkcja bramki pocztowej.
W pkt. 81 OPZ Zamawiający wymaga, aby: „Funkcja sandboxingu dla plików
p
rzesyłanych pocztą elektroniczną musi być wbudowana w system ochrony poczty, nie
jest dopuszczalne stosowanie zewnętrznych systemów firm trzecich. Dopuszcza się
rozwiązanie w postaci dedykowanego urządzenia zintegrowanego z systemem poczty
elektroniczn
ej.” Rozwiązanie zaproponowane przez Trafford składa się z dwóch osobnych
systemów pracujących w trybie MTA, co oznacza że cała komunikacja mailowa jest
przekazywana szeregowo z jednego urządzenia do drugiego. Zamawiający natomiast
wymaga, aby pliki przes
yłane pocztą elektroniczną w postaci załączników były skanowane
przez mechanizm wbudowany w system ochrony poczty, czyli załączniki mają być
skanowane przez system bez stosowania zewnętrznych systemów firm trzecich. Należy to
rozumieć jako zastosowanie wbudowanych w rozwiązanie mechanizmów, które umożliwiają
poddanie załączników analizie. Co więcej, w odpowiedziach z dnia 14 lipca 2021
Zamawiający dwukrotnie odpowiedział na pytania wskazując, że nie wymaga aby
technologia całego systemu pochodziła od dwóch dostawców, natomiast zastrzegł że
podtrzymuje wymagania zawarte w SWZ.
Pytanie 2.
Czy Zamawiający wymaga aby całość rozwiązania pochodziła od jednego
producenta?
Wyjaśnienia Zamawiającego: Zamawiający nie wymaga aby całość rozwiązania pochodziła
od
jednego producenta. Dostarczone rozwiązanie musi obejmować swoim zakresem całość
zdefiniowanych przez zamawiającego wymagań o których mowa w Załączniku nr 1 do SWZ
– OPZ.
Pytanie 48.
W przypadku konieczności ochrony poczty, w topologii wskazanej przez
Zam
awiającego, z reguły stosuje się system złożony z rozwiązań różnych producentów.
Taka topologia jednocześnie podnosi poziom ochrony systemu pocztowego. W związku
z powyższym, prosimy o wykreślenie wymagania na dostarczenie mechanizmu chroniącego
pocztę bezpośrednio na serwerach Exchange lub dopuszczenie rozwiązania, w którym
ochrona poczty na bramie MTA realizowana jest przez system jednego producenta,
natomiast mechanizm chroniący pocztę bezpośrednio na serwerach Exchange przez system
drugi
ego producenta. Spełnienie całości powyższego wymagania, tak jak jest teraz opisane,
przez rozwiązanie jednego producenta, znacząco ogranicza konkurencję. Ewentualnie, czy
Zamawiający uzna jako spełniające wymagania rozwiązanie, w którym cała poczta, w tym
także wewnętrzna, przechodzi przez Gateway
Wyjaśnienia Zamawiającego: Zamawiający oczekuje dostawy i wdrożenia kompletnego
Rozwiązania spełniającego wymagania zawarte w OPZ i SWZ. Nie stawia wymogów
odnośnie konieczności dostawy Rozwiązania od dwóch różnych producentów.
9. Użycie chmury.
Zamawiający wielokrotnie w SWZ i OPZ zaznacza, że nie pozwala na transfer informacji
dotyczących plików, załączników wiadomości, funkcji skrótu ani innych metadanych do
serwerów producenta zlokalizowanych z chmurze obliczeniowej. Natomiast zaoferowane
rozwiązanie przez Trafford ma zdefiniowane w dokumentacji, że z zasobów chmurowych
korzysta. Pytanie 14.
Czy funkcja sandboxingu może być wykonywana na serwerach
producenta (w chmurze)?
Wyjaśnienia Zamawiającego: Zamawiający nie dopuszcza aby
jakiekolwiek dane ze środowiska Zamawiającego opuszczały lokalizacje Zamawiającego.
Pytanie 35.
Czy Zamawiający dopuszcza rozwiązania typu sandbox działające w chmurze,
czy też wyłącznie rozwiązania działające on-premise (instalowane lokalnie w infrastrukturze
Zamawiającego i nie przesyłające żadnych danych do chmury)?
Wyjaśnienia Zamawiającego: Zamawiający dopuszcza jedynie rozwiązanie działające on-
premise (instalowane lokalnie w infrastrukturze Zamawiającego i nie przesyłające żadnych
danych do chmury).
Natomiast głęboka analiza URLi, wymagana przez zamawiającego
w OPZ w punktach 98 do 102 jes
t wykonywana w zaoferowanym przez Trafford rozwiązaniu
w chmurze producenta Fireeye.
Powyższe znajduje bezpośrednie potwierdzenie
w dokumentacji producenta: https://learn.fireeye.com/tips-and-insights/enabling-fireeyes-
advanced-url-defense-feature/
„Hi I’m J. C. . I’m a Channel Engineer here at FireEye. In this video I’d like to share a
tip on how to enhance your security operations by enabling FireEye’s advanced URL defense
feature to increase the ability to find evil with FireEye’s email security. (…)
If email security is being managed by configuration management appliance then you
should enable it from the configuration manager. From the menu at the top select settings.
Then from the left hand column select advanced URL defense. Check the box to enable
advanced URL defense. Then select apply.
Now when Fire
Eye’s Email Security identifies the suspicious URL it redirects the URL
to our dynamic threat intelligence CLOUD for complete analysis.
” Tłum.
„Cześć, jestem J. C. . Jestem inżynierem kanału w FireEye. W tym filmie chciałbym
podzielić się wskazówką, jak ulepszyć operacje związane z bezpieczeństwem, włączając
zaawansowaną funkcję ochrony adresów URL FireEye, aby zwiększyć zdolność do
znajdowania zagrożeń dzięki bezpieczeństwu poczty e-mail FireEye. (…).
Jeśli zabezpieczenia poczty e-mail są zarządzane przez urządzenie do zarządzania
konfiguracją, należy je włączyć w menedżerze konfiguracji. Z menu u góry wybierz
ustawienia. Następnie z lewej kolumny wybierz zaawansowaną ochronę adresów URL.
Zaznac
z pole, aby włączyć zaawansowaną ochronę adresów URL. Następnie wybierz
Zastosuj.
Teraz, gdy FireEye Email Security zidentyfikuje podejrzany adres URL, przekierowuje
go do naszej dynamicznej CHMURY analizy zagrożeń w celu przeprowadzenia pełnej
analizy
”. Licencja dostarczona wraz z oprogramowaniem jest licencją typu two way (dwu
stronna/ dwu torowa) co oznacza, że część danych będzie automatycznie wysyłana do
producenta oprogramowania.
10. Licencje.
Zgodnie z wymogiem 73 OPZ:
Proponowane rozwiązanie musi być zaoferowane z możliwością instalacji systemu na
nieograniczonej liczbie maszyn wirtualnych
potwierdzonym przez Zamawiającego
odpowiedzią nr 47: Prosimy o usunięcie wymagania, gdyż wymaganie wyklucza rozwiązania
producentów licencjonowanych w inny sposób a jednocześnie spełniających pozostałe
wymagania funkcjonalne.
Wyjaśnienia Zamawiającego: Zamawiający podtrzymuje zapisy umieszczone w punkcie
II.73 OPZ.
Zamawiający wymaga, aby całe rozwiązanie a więc i każdy z jego komponentów
z osobna w ramach zaoferowanego modelu licencyjn
ego per skrzynka, pozwalał na
instalację systemu na nieograniczonej liczbie maszyn wirtualnych. Zaoferowane rozwiązanie
Fireeye a konkretnie komponent Central Management 2500 Virtual Appliance (2 szt.) jest
oferow
any w ilości 2ch sztuk czyli licencjonowany jest per ilość maszyn wirtualnych, a nie
w dowolnej ilości w obrębie zalicencjonowanych skrzynek, co potwierdza, że rozwiązanie to
nie spełnia wymogów Zamawiającego (przykładowa oferta od międzynarodowego dostawcy
licencji
fireeye
dostępna
pod
adresem:
https://www.shi.com/Products/ProductDetail.aspx?SHISystemID=ShiCommodity&ProductIdentity=327554 08
11. Skanowanie Linux
Zgodnie z wymogiem 89 OPZ:
Analiza dynamiczna musi być wykonywana
z wykorzystaniem różnych wersji systemów operacyjnych Microsoft Windows
(przynajmniej Windows 7 oraz Windows 10), i przynajmniej jednej wersji systemu Linux
oraz różnych aplikacji i różnych ich wersji (co najmniej FireFox, Chrome, IE, Adobe Reader,
Java JDK JRE, MS Office, RunDLL) potwierdzonym w odpowiedzi na pytania nr 50:
Informujemy, iż wymagania przedstawione w pkt 81 i 89 samodzielnie spełnia bardzo
ograniczona ilość rozwiązań. W przypadku konieczności analizy dynamicznej w zakresie
wskazanym przez Zamawia
jącego często stosuje się rozwiązania złożone z rozwiązań
różnych producentów. Czy w związku z powyższym Zamawiający dopuści rozwiązanie
składające się systemów dwóch producentów, które łącznie spełni wszystkie wymagania
Zamawiającego lub wykreśli wymaganie analizy dynamicznej systemu Linux oraz aplikacji
Chrome i Java JDK? Spełnienie całości powyższego wymagania przez rozwiązanie jednego
producenta znacząco ogranicza konkurencję.
Wyjaśnienia Zamawiającego: Zamawiający nie stawia wymogu dostawy Rozwiązania
od jednego producenta. Zamawiający wymaga aby Rozwiązanie spełniało wszystkie
wymagania opisane w OPZ i SWZ.
Zamawiający nie dopuszcza rozwiązań które nie posiadają analizy dynamicznej na
systemie Linux oraz aplikacji Chrome i Java JDK.
Rozwiązanie Fireeye zaoferowane przez
Trafford nie spełnia tego wymagania, gdyż oferuje wyłącznie analizę dynamiczną na
systemach Windows oraz MacOS:
https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/email/fireeye-ex-series.pdf
(Supports analysis against Microsoft Windows and Apple macOS X operating system
images; tłum. Obsługuje analizę obrazów systemu operacyjnego Microsoft Windows i Apple
macOS X).
Jednocześnie rozwiązanie Forcepoint Email Security nie zostało zaoferowane
z komponentem Forcepoint Advanced Malware Detection Appliance w wersji on-premise,
które oferuje wsparcie dla systemów Linux pod kątem analizy dynamicznej:
https://www.forcepoint.com/sites/default/files/resources/files/brochure_forcepoint_advanced_malware_detect ion_appliance_en.pdf
(str.
6: „The sandboxing
process begins with Forcepoint Advanced Malware Detection Appliance sending the file to
Cuckoo’s malware analysis system. Cuckoo can analyze the behavior of a wide array of
malicious files (executables, document exploits, Java applets), as well as malicious websites,
in Windows, OS X, Linux, and Android virtualized environment.” Tłum. Proces sandboxing’u
rozpoczyna się, gdy Forcepoint Advanced Malware Detection Appliance wysyła plik do
systemu anal
izy złośliwego oprogramowania firmy Cuckoo. Oprogramowanie Cuckoo potrafi
analizować zachowanie szerokiej gamy złośliwych plików (plików wykonywalnych, exploitów
w dokumentach, apletów Java), a także złośliwych stron internetowych w zwirtualizowanym
środowisku Windows, OS X, Linux i Android). Zatem pomimo zaoferowania dwóch rozwiązań
pokrywających się funkcjonalnie oferta Trafford nadal nie spełnia wymagań Zamawiającego
w zakresie skanowania z wykorzystaniem systemu Linux.
12. Skanowa
nie plików typów
Zgodnie z wymogiem 91 OPZ:
Rozwiązanie musi analizować co najmniej następujące
rodzaje plików: (Rozszerzenia używane przez pakiet OFFICE-np. DOC/DOCX, XLS/XLSX,
PPT/PPTX, oraz EXE, DLL, CHM, RAR, ACE, SCR, PDF, PUB, ZIP, MP3, 7Z, BZ, GZ, JAR,
MHT, RTF, CAB. p
otwierdzonym przez Zamawiającego w odpowiedzi na pytania nr 51
Dotyczy OPZ, p. II.91.
Czy Zamawiający uzna jako spełniające wymagania rozwiązanie,
w którym analizie nie są poddawane pliki ACE, SCR, PUB i MP3 lecz zamiast nich
analizowa
ne są inne często występujące pliki BAT, EML, HTA, ISO, JS, JSE, LNK, MSG,
MSI, MHTML, VBE, VBS, WSF, XML, XPS, XZ?
Wyjaśnienia Zamawiającego: Zamawiający w OPZ, p. II.91 umieścił minimalne
wymagania dotyczące analizy wskazanych formatów plików.
Zamaw
iający oczekuje spełnienia wymogów wsparcia dla wszystkich wymienionych
w OPZ formatów plików analizowanych dynamicznie w tym ACE, SCR, PUB i MP3,
jednocześnie formaty te nie są obsługiwane przez zaoferowane rozwiązanie marki Fireeye,
które wykonuje dynamiczną analizę plików:
https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/email/fireeye-ex-series.pdf
(strona druga:
https://www.fireeye.com/content/dam/fireeye-www/products/pdfs/pf/email/fireeye-ex-series.pdf
„URLs
embedded in emails, MS Office documents, PDF and archive files (ZIP, ALZIP, JAR), and
other file types
(Uuencoded, HTML”) oraz z dokumentacji integracyjnej technologii Fireeye
i Palo Alto
https://xsoar.pan.dev/docs/reference/playbooks/detonate-file---fire-eye-ax
- The detonation supports the
following file types - PE32, EXE, DLL, JAR, JS, PDF, DOC, DOCX, RTF, XLS, PPT, PPTX,
XML, ZIP, VBN, SEP, XZ, GZ, BZ2, TAR, MHTML, SWF, LNK, URL, MSI, JTD, JTT, JTDC,
JTTC, HWP, HWT, HWPX, BAT, HTA, PS1, VBS, WSF, JSE, VBE, CH
M.”. (tłum.
Uruchomienie próbki obsługuje następujące typy plików - PE32, EXE, DLL, JAR, JS, PDF,
DOC, DOCX, RTF, XLS, PPT, PPTX, XML, ZIP, VBN, SEP, XZ, GZ, BZ2, TAR, MHTML,
SWF, LNK, URL, MSI, JTD, JTT, JTDC, JTTC, HWP, HWT, HWPX, BAT, HTA, PS1, VBS,
WSF, JSE, VBE, CHM).
Powyższe potwierdza iż zaoferowane przez Trafford rozwiązanie nie
spełnia wymogów Zamawiającego.
13. Algorytmy DKIM
Zgodnie z wymogiem 16 OPZ:
Urządzenia muszą wspierać następujące mechanizmy kryptograficzne:
16.1 TLS: TLS w wersj
i przynajmniej 1.2 z możliwością zablokowania użycia starszych wersji
protokołu
16.2 DomainKeys Signing: 512-, 768-, 1024-, 1536- i 2048-bit RSA
Zamawiający wymaga, aby rozwiązanie wspierało mechanizmy kryptograficzne
opisane w OPZ o zdefiniowanej złożoności kryptograficznej. Rozwiązanie zaproponowane
przez Trafford nie spełnia wymagania dotyczącego długości kluczy, co jest opisane
w dokumentacji do produktu na stronach 117-120.
From the section DKIM Signing Keys, click the name of a key.
The Edit Signing Key page displays. The current private key displays in the text field.
2. Generate a new key; click the button Generate Key. Only 1024-bit keys are supported. A
new key is generated and displays in the text
field. (tłum. - Tylko 1024 bitowe klucze są
wspierane. Nowy klucz jest generowany i wyświetlony w polu tekstowym)
3. Click OK. The key is saved and displays in the section DKIM Signing Keys.
Zam
awiający wymaga w SWZ kluczy o różnej długości, a co najważniejsze kluczy
o większej długości, co z punktu bezpieczeństwa jest słuszne, ponieważ podpisy
i szyfrowanie wykonywane kluczami asymetrycznymi o długości 1024 bity są uznawane
w 2021r. za niebezpieczne i m
ożliwe do kompromitacji krypto-systemów opartych o takie
rozwiązania. Wskazane w treści odwołania niezgodności zaoferowanego rozwiązania
z wymaganiami Zamawiającego zawartymi w SWZ dotyczą niezgodności, które mają
charakter zasadniczy i nieusuwa
lny, dotyczą sfery niezgodności zobowiązania zamawianego
w SWZ oraz zobowiązania deklarowanego w ofercie. O niezgodności treści oferty z treścią
SWZ można mówić, uwzględniając pojęcie "oferta" zdefiniowane w art. 66 k.c., odnoszącym
się do oświadczeń woli, a więc w przypadku niezgodności oświadczenia woli wykonawcy
z oczekiwaniami zamawiającego, w odniesieniu do merytorycznego zakresu przedmiotu
zamówienia. W przedmiotowym postępowaniu z taką właśnie niezgodnością mamy do
czynienia.
Nieuprawnione uznanie
za skutecznie zastrzeżony jako tajemnica przedsiębiorstwa
załącznik do oferty Trafford „Opis techniczny oferowanego rozwiązania”. Wykonawca
Trafford poza identyfikacją zaoferowanego rozwiązania złożył dodatkowo wraz z ofertą
dokument oznaczony jako „Opis techniczny oferowanego rozwiązania”. Zamawiający nie
wymagał złożenia takiego dokumentu poprzestając na wymogu identyfikacji zaoferowanego
rozwiązania w treści Formularza oferty. Wraz z Załącznikiem Trafford złożył uzasadnienie
tajemnicy przedsiębiorstwa. Dokument zawiera ogólnikowe, gołosłowne i w żaden sposób
nie wykazane dowodowo oświadczenie, którego treść sprowadza się w istocie wyłącznie do
istnienia po stronie wykonawcy woli ochrony informacji. Uzasadnienie wskazuje
w szczególności, że:
- Zawi
era on istotne, z punktu widzenia konkurencyjności biznesu Trafford IT Sp. z o.o. S.K.
,dane o charakterze technicznym i technologicznym przedstawia bowiem koncepcję ochrony
poczty E-MAIL oraz
optymalnego przepływu ruchu pocztowego opracowanej dzięki
doświadczeniu, kompetencjom i specjalistycznej wiedzy inżynierów Trafford IT. Wskazał, że
to Zamawiający zidentyfikował w OPZ oraz wyjaśnieniach do SWZ zarówno swoje
wymagania odnośnie potrzeb jak również sposobu w jaki potrzeby te mają być przez
wykon
awców zrealizowane. W istocie rolą wykonawców było wyłącznie zaoferowanie
konkretnych istniejących i gotowych rozwiązań, które pokrywały wymagania SWZ.
Przedmiot zamówienia nie obejmuje opracowania przez wykonawców koncepcji realizacji
zamówienia – przedmiot zamówienia obejmuje wyłącznie przygotowanie opracowanie
samego
projektu
technicznego
środowiska
wdrożenia
Rozwiązania
zgodnego
z zaoferowanym rozwiązaniem – które jest jawne i zostało zidentyfikowane przez Trafford
w ofercie, w części niezastrzeżonej.
unikalność koncepcji polega na doborze oraz połączeniu kilku technologii i usług
programistycznych, które przy właściwej konfiguracji i parametryzacji pozwolą osiągnąć
zakładane cele projektu. Swoiste know-how zastosowane przez Trafford IT Sp. z o.o. S.K.
zostało wypracowane w wyniku poniesionych nakładów finansowych na budowę środowiska
Lab, serię testów i wdrożeń oraz budowę zespołu programistycznego.
Mamy do czynienia w ofercie Trafford z deklaracja wykonania zamówienia przy
zastosowaniu powszechni
e dostępnych i zidentyfikowanych rozwiązań. Rozwiązania te
posiadają pełną i publicznie jawną dokumentację techniczną. Zapewnienie o unikalności
koncepcji w
tej sytuacji ma służyć wyłącznie próbie ukrycia jednoznacznej niezgodności
treści oferty z SWZ. Zastosowanie w celu realizacji zamówienia zidentyfikowanych
w Formularzu ofertowym produktów nie może doprowadzić do zgodności z SWZ bez
względu na sposób ich zestawienia. Skoro zaoferowane rozwiązanie już pierwotnie jest
niezgodne z SWZ jego kompilacja z inn
ym także niezgodnym nie pozwala uzyskać
zgodności z wymaganiami Zamawiającego. Ponadto o ile faktycznie mamy do czynienia
z konkretną i unikalną koncepcją na potrzeby konkretnego projektu to ten niepowtarzalny
charakter (zdeterminowany unikalnymi potrzebami aktualnego Zamawiającego) skutkuje
brakiem możliwości wykorzystania tej koncepcji w innych projektach. Gdyby faktycznie sama
w sobie powyższa okoliczność była wystarczająca dla uzasadnienia tajemnicy
przedsiębiorstwa to w istocie zasadą udzielania zamówień publicznych byłaby nie jawność
ale jej brak.
Jak wynika z treści udostępnionego przez Zamawiającego uzasadnienia
tajemnicy przedsiębiorstwa, ma ono charakter ogólnikowy, lakoniczny, nie dotyczący
przedmiotowego postępowania. W szczególności nie zawierają żadnych konkretnych
uzasadnień ani tym bardziej jakichkolwiek dowodów świadczących za zasadnością ochrony
informa
cji. Powyższe wskazuje wprost, że uzasadnienie jest całkowicie sztampowe i nie
dotyczy ani aktualnego postępowania ani przedmiotu aktualnego zamówienia. Poza
zapewnieniem o przedsięwzięciu środków ochrony brak informacji jakie to konkretnie środki,
nie mówiąc już o dowodach (jakichkolwiek) że tak faktycznie jest. W zakresie środków
ochrony informacji Trafford ogranicza się do zapewnienia, że: dochował należytej
staranności i podjął niezbędne działania w celu zachowania poufności informacji, których
jawność zastrzegł. Zatem spełnił przesłanki wykazane w art. 11 ust. 4 UZNK. Trafford IT Sp.
z o.o. S.K. stosuje następujące zasady ochrony tajemnicy przedsiębiorstwa:
klauzule poufności w umowach z pracownikami i współpracownikami oraz osobami
i instytucjami współpracującymi,
klauzule poufności w umowach handlowych, które dotyczą kontrahentów, jak
i współpracowników oraz osób współpracujących z kontrahentami,
wdrożona Polityka Bezpieczeństwa nadzorująca i ograniczająca dostęp pracowników,
współpracowników, osób trzecich do umów objętych klauzulami poufności, poprzez
nadawanie stosownych uprawnień,
Monitoring i/lub ograniczenie dostępu do pomieszczeń, w których są przechowywane
dokumenty, umowy, oferty, informac
je stanowiące tajemnicę przedsiębiorstwa podmiotów
będących odbiorcami Trafford IT Sp. z o.o. S.K.
Jak potwierdza orzecznictwo KIO (sygn. akt: KIO 1632/17, KIO 1662/17, Wyrok KIO
z dni
a 1 września 2017 r.) treść uzasadnienia zawierająca przywołanie definicji tajemnicy
przedsiębiorstwa w ujęciu ustawy o zwalczaniu nieuczciwej konkurencji, przytoczone
fragmenty wyroków sądów, wyroków KIO i stanowiska doktryny nie są wystarczające dla
skut
ecznej ochrony informacji. To wykonawca w każdej poszczególnej sprawie powinien
wykazać, co i dlaczego stanowi tajemnicę przedsiębiorstwa tego wykonawcy, nie zaś
przedstawiać, co wg sądów czy doktryny może zostać uznane za tajemnicę
przedsiębiorstwa. Sama wola wykonawcy do ochrony informacji nie jest wystarczająca aby
informacje te skutecznie chronić w rozumieniu art. 18 ust. 3 Pzp. Wykonawca w złożonych
wyjaśnieniach prezentuje lakoniczne i pozbawione konkretnych przyczyn uzasadnienie
ochrony informacji, k
tóre nie może korzystać z ochrony, o której mowa w przepisach
powołanych w art. 18 ust.3 Pzp. Orzecznictwo KIO wskazuje wprost na obowiązek
odtajnienia nieskutecznie zastrzeżonych informacji. Wyrok KIO z dnia 2019-06-27 KIO
Izba stwierdziła, że Przystępujący nie sprostał ciężarowi wykazania żadnej z tych
przesłanek. Lektura uzasadnienia zastrzeżenia sporządzonego przez Przystępującego
prowadziła do wniosku, że znaczna jego część obejmowała przytoczenie poglądów doktryny
i orzecznictwa na temat nat
ury pojęcia tajemnica przedsiębiorstwa w rozumieniu UZNK.
Natomiast nieliczne fragmenty, które miały charakter merytoryczny, pozostały nad wyraz
ogólne, lakoniczne, niejasne. Co więcej, w uzasadnieniu, meritum sprawy poświęcono
zaledwie kilka akapitów (…)
nie wystarcza stwierdzenie, iż dana informacja ma charakter techniczny, handlowy czy
technologiczny, ale musi także ona przedstawiać pewną wartość gospodarczą dla
wykonawcy właśnie z tego powodu, że pozostanie poufna. Taka informacja może być dla
wykonawc
y źródłem jakichś zysków lub pozwalać mu na zaoszczędzenie określonych
kosztów.
W ocenie Izby, wykonawca w sposób lakoniczny i niewystarczający opisał wartość
gospodarczą zastrzeżonych informacji.
Analogicznie:
„Tym samym informacje przedłożone przez wykonawcę mogą pozostać
niejawne tylko w takim zakres
ie, w jakim wykonawca wywiązał się z ciężaru wykazania ich
niejawnego charakteru. Aby wykazać zasadność zastrzeżenia danych informacji jako
tajemnicy przedsiębiorstwa, Przystępujący zobowiązany był wykazać łącznie wystąpienie
przesłanek tajemnicy przedsiębiorstwa, o których mowa w art. 11 ust. 4 ustawy o zwalczaniu
nieuczciwej konkurencji. Dla owego „wykazania" nie wystarczą same deklaracje. Wykonawca
winien nie tylko wyjaśnić, ale także udowodnić ziszczenie się poszczególnych przesłanek
warunkujących uznanie danej informacji za tajemnicę przedsiębiorstwa. Wbrew twierdzeniom
Przystępującego „wykazanie", o którym mowa w art. 8 ust. 3 ZamPublU, oznacza
udowodnienie. Pod pojęciem „wykazania" należy rozumieć nie tylko złożenie oświadczenia,
że zastrzeżone informacje stanowią tajemnicę przedsiębiorstwa, ale również przedstawienie
stosownych dowodów na jego potwierdzenie" (wyrok KIO z dnia 16 lutego 2018 r. KIO
Należy stwierdzić, że zasadność odtajnienia uzasadnia nie tylko złożenie wyjaśnień
ogólnych, ale również brak przedłożenia dowodów uzasadniających podjęcie działań
mających na celu zachowanie informacji w poufności. W wyroku KIO z dnia 9 czerwca 2020
KIO 477/20, Izba wprost stwierdziła, że mimo iż zastrzeżone dokumenty (wyjaśnienia ceny)
co do zas
ady posiadały walor tajemnicy jednak w związku z brakiem dowodów odtajnieniu
podlegała cała ich treść. Analogicznie wyrok KIO 2469/19 z dnia 20 stycznia 2020 r. Jawność
postępowania jest zasadą postępowania o udzielenie zamówienia publicznego, czyli ma ona
pierwszorzędne znaczenie na wszystkich etapach postępowania. Wszelkie odstępstwa od tej
zasady muszą być uzasadnione i udowodnione. W szczególności wykonawca powinien
wskazać, jakiego rodzaju działania podjął w celu zachowania poufności zastrzeżonych
inf
ormacji, i jednocześnie złożyć dowody na ich podjęcie. Tym samym, jeżeli wykonawca
Trefford nie przedstawił dowodów potwierdzających zasadność utajnienia a na takie złożone
uzasadnienie nie wskazuje, odtajn
ieniu podlega całość złożonych informacji. Nie można
uznać za skuteczne zastrzeżenia jawności wyjaśnień jedynie w celu uniemożliwienia innym
wykonawcom weryfikacji prawidłowości oferty, a w konsekwencji weryfikacji działań
Zamawiającego polegających na ocenie oferty. Utrzymanie takiego zastrzeżenia, stanowi
naruszenie nie tylko art. 18 ust. 3 Pzp, ale również zasady równego traktowania
wykonawców i poszanowania zasad uczciwej konkurencji, o której mowa w art. 16 pkt 1 Pzp.
Przedstawione przez Trafford uza
sadnienie objęcia informacji jako tajemnica
p
rzedsiębiorstwa jest ogólne i w żaden sposób nie potwierdza zasadności poczynionego
utajnienia.
a)
wyjaśnienia tajemnicy przedstawione przez Trafford nie zawierają żadnych konkretów,
b)
przedstawione wyjaśnienia są na tyle ogólne, że nie sposób na ich podstawie ustalić
dlaczego konkretne informacje zawarte w dokumencie mają określony charakter,
uprawniający do przyjęcia, że ich zastrzeżenie było uzasadnione. Ich poziom ogólności jest
na tyle duży, że mogłyby one zostać przedstawione przez dowolnego wykonawcę
składającego uzasadnienie na dowolny przedmiot zamówienia,
c)
Wykonawca Trafford nie wykazał również, że podjęto w stosunku do zastrzeżonych
informacji konkretne środki mające na celu zachowanie informacji w poufności.
W uzasadnieniu wskazano, co prawda że wykonawca stosuje środki ochrony informacji, ale
twierdzen
ie to pozostaje gołosłowne, gdyż do uzasadnienia nie zostały dołączone żadne
dowody potwierdzające ich podjęcie.
J
ak wielokrotnie podkreślano w orzecznictwie KIO jedną z podstawowych zasad
udzielania zamówień publicznych, wyrażoną w art. 18 ustawy Pzp, jest jawność
postępowania o udzielenie zamówienia. Zasada ta gwarantuje transparentność
prowadzonego postępowania i pozwala na urzeczywistnienie zasad uczciwej konkurencji
i równego traktowania wykonawców. Odstępstwo od tej zasady, zgodnie z art. 18 ust. 3
ustawy Pzp, może mieć miejsce tylko w przypadkach określonych w ustawie (tak np. Izba
w wyroku z dnia 20 stycznia 2020 r. KIO 2469/19, z dnia 13 marca 2017 r. KIO 385/17).
W uzasadnieniu do poselskiego projektu ustawy o zmianie ustawy -
Prawo zamówień
publicznych (Sejm RP VII kadencji, nr druku: 1653) wskazano m.in.: "Wprowadzenie
obowiązku ujawniania informacji stanowiących podstawę oceny wykonawców (zmiana art. 8
ust. 3). Przepisy o zamówieniach publicznych zawierają ochronę tajemnic przedsiębiorstwa
wykonawcy ubiegającego się o udzielenie zamówienia. Mimo zasady jawności
postępowania, informacje dotyczące przedsiębiorstwa nie są podawane do publicznej
wiadomości. Jednakże, słuszny w swym założeniu przepis jest w praktyce patologicznie
nadużywany przez wykonawców, którzy zastrzegając informacje będące podstawą do ich
ocen
, czynią to ze skutkiem naruszającym zasady uczciwej konkurencji, tj. wyłącznie w celu
uniemożliwienia weryfikacji przez konkurentów wypełniania przez nich wymagań
zamawiającego. Realizacja zadań publicznych wymaga faktycznej jawności wyboru
wykonawcy. Stąd te dane, które są podstawą do dopuszczenia wykonawcy do udziału
w postępowaniu powinny być w pełni jawne".
Zgodnie z przepisem art. 18 ust. 3 ustawy Pzp to po stronie wykonawcy,
zastrzegającego informacje jako tajemnicę gospodarczą, leży ciężar dowodu w zakresie
wykazania, że zastrzeżone informacje w istocie spełniają wszystkie elementy konieczne dla
jej uznania za tajemnicę przedsiębiorcy w świetle art. 11 ust. 2 uznk (tak np. Izba w wyroku
z dnia 30 grudnia 2019 r. KIO 2537/19).
W orzecznictwie Krajowej Izby Odwoławczej
podkreśla się, że to na wykonawcy ciąży obowiązek przekonywującego i terminowego
wykazania, że zastrzegane przez niego informacje stanowią tajemnicę przedsiębiorstwa.
Podkreśla się, że „wykazać" oznacza coś więcej niż tylko „wyjaśnić". Zgodnie ze
stanowiskiem wyrażonym w wyroku Izby z dnia 17 grudnia 2019 r. KIO 2440/19 „Użyte przez
ustawodawcę w art. 8 ust. 3 zdanie pierwsze ustawy Prawo zamówień publicznych
sformułowanie zobowiązujące wykonawcę do „wykazania", że zastrzeżone informacje
stanowią tajemnicę przedsiębiorstwa należy rozumieć jako obowiązek „dowiedzenia", że
informacje te mają właśnie taki charakter. Podkreślić należy, że jawność postępowania jest
zasadą postępowania o udzielenie zamówienia publicznego, czyli ma ona pierwszorzędne
znaczenie na wszystkich etapach postępowania. Wszelkie odstępstwa od tej zasady muszą
być uzasadnione i udowodnione.
Złożenie gołosłownych wyjaśnień, bez wskazania konkretnych dowodów, nie może
być podstawą do jej ograniczenia. Przyjęcie odmiennej argumentacji pozwoliłoby
wykonawcom biorących udział w postępowaniach dokonywanie zastrzeżeń jawności
informacji zawartych
w ofertach w każdym przypadku, w którym takie zastrzeżenie uznaliby
za korzystne dla siebie, bez
konieczności poczynienia jakichkolwiek wcześniejszych starań
pozwalających na zachowanie poufności tychże informacji. Takie działanie prowadziłoby do
nagminnego naruszania zasady jawności postępowania i - jako takie - byłoby zjawiskiem
niekorzystnym i nie
bezpiecznym z punktu widzenia również takich zasad postępowania, jak
zachowanie uczciwej konkurencji i równego traktowania wykonawców.
W ocenie Odwołującego, lakoniczność uzasadnienia tajemnicy przedsiębiorstwa
dyskwalifikuje je jako skuteczne narzędzie ochrony informacji. Należy pamiętać, że mamy
do czynienia z wyjątkiem od zasady jawności postępowania i jak każdy wyjątek podlega on
wykładni zawężającej. Brak jakichkolwiek dowodów związanych z ochroną informacji
w organizacji T
rafford, uzasadnia obowiązek odtajnienia nieskutecznie zastrzeżonych
wyjaśnień ceny. Uzasadnienie tajemnicy wyjaśnień sprowadza się de facto do tezy, że skoro
są to informacje istotne dla przedsiębiorstwa, to ich ochrona ma niejako automatyczny
charakter.
Przeczy powyższemu orzecznictwo Izby. Podkreślenia wymaga, że to nie wola
ochrony informacji wykonawcy decyduje o skuteczności zastrzeżenia ale to czy wykazał
i udowodnił on powyższe składając informacje.
Ustawodawca
świadomie wprowadził do art. 18 ust. 3 Pzp obowiązek wykazania, że
zastrzegane informacje stanowią tajemnicę przedsiębiorstwa. Owo wykazanie dotyczy
przesłanek wynikających z definicji legalnej tajemnicy przedsiębiorstwa i jest warunkiem sine
qua non wyłączenia w stosunku do zastrzeżonych informacji zasady jawności postępowania
o udzielenie zamówienia publicznego, o której mowa w art. 18 Pzp. Nie może ulegać
wątpliwości, że to na podstawie przedstawianego przez wykonawcę uzasadnienia objęcia
określonych informacji tajemnicą przedsiębiorstwa, w którym wykonawca wykazuje
w odniesieniu do tych informacji spełnienie przesłanek tajemnicy przedsiębiorstwa,
zamawiający podejmuje decyzję o wyłączeniu jawności objętych zastrzeżeniem informacji.
S
tan wiedzy i świadomości zamawiającego, bądź jego poparte doświadczeniami przekonania
odnośnie charakteru zastrzeganych informacji są, w przekonaniu Odwołującego, bez
znaczenia.
Uzasadnienia objęcia spornych informacji tajemnicą przedsiębiorstwa
pozbawione jest cech w
ykazania, o którym mowa powyżej i nie mogły zostać uznane przez
Zamawiającego za skuteczne. Stanowią one lakoniczne przytoczenie ogólnikowych
argumentów, bez szczegółowego odniesienia zarówno do wszystkich elementów definicji
tajemnicy prz
edsiębiorstwa, jak i do wszystkich rodzajów zastrzeżonych informacji.
Dodatkowo, wykonawca odwołał się w uzasadnieniu do rzekomo stosowanych przez niego
środków ochrony informacji stanowiących tajemnicę przedsiębiorstwa, tym niemniej – przez
zaniechanie
załączenia dokumentów, na które się powoływał, bądź chociażby omówienia ich
treści – uniemożliwił Zamawiającemu ocenę wykazania przesłanki podjęcia w stosunku do
zastrzeganych informacji działań w celu utrzymania ich w poufności. W zakresie
odnoszącym się do kwestii wykazania/udowodnienia przyczyn żądanej ochrony informacji
Odwołujący wskazuje, za aktualnym orzecznictwem Izby: KIO 59/21, wyrok z dnia 4 lutego
2021 r. /
Zgodnie z wykładnią językową art. 18 ust. 3 p.z.p. to po stronie wykonawcy,
zastrzegaj
ącego informacje jako tajemnicę gospodarczą, leży ciężar dowodu w zakresie
wykazania, że zastrzeżone informacje w istocie spełniają wszystkie elementy konieczne dla
jej uznania za tajemnicę przedsiębiorcy w świetle art. 11 ust. 2 u.z.n.k. Art. 8 ust. 3 p.z.p.
wprost b
owiem wskazuje na kim spoczywa ciężar wykazania, iż dana informacja jest
tajemnicą przedsiębiorstwa - podmiotem tym jest wyłącznie zastrzegający, co bezpośrednio
skorelowane jest
z obowiązkiem zamawiającego w postaci ujawnienia informacji wadliwie,
lub sprzecznie
z prawem zastrzeżonych./; KIO 20/21, wyrok z dnia 3 lutego 2021 r.
Kluczową zasadą systemu zamówień publicznych jest jawność postępowania, która stanowi
jedno z narzędzi i gwarancji zachowania w postępowaniu zarówno uczciwej konkurencji, jak
i jego
przejrzystości. Norma art. 8 ust. 3 p.z.p. wprost wskazuje, iż jedną z przesłanek
skutecznego zastrzeżenia określonych informacji jako tajemnicy przedsiębiorstwa jest
wykazanie przez wykonawcę, że informacje te w rzeczywistości taką tajemnicę
przedsiębiorstwa stanowią. Oznacza to, że informacje złożone przez wykonawcę mogą
pozostać niejawne tylko w takim zakresie, w jakim wykonawca wywiązał się z ciężaru
wykazania ich niejawnego charakteru. Ustawodawca posłużył się w tym zakresie
sformułowaniem "wykazał", co z całą pewnością nie oznacza wyłącznie "oświadczenia", czy
"deklarowania", ale stanowi znacznie silniejszy wymóg "udowodnienia". Tym samym, aby
zastrzeżone przez wykonawcę informacje mogły zostać nieujawnione, wykonawca musi
najpierw "wyka
zać", czyli udowodnić, że w stosunku do tych informacji ziściły się wszystkie
przesłanki, o których mowa w art. 11 ust. 2 u.z.n.k. (…) Brak wyjaśnień lub złożenie
wyjaśnień ogólnikowych powinien być traktowany jako rezygnacja z przewidzianej w art. 8
ust. 3 p.z.p. ochr
ony, co z kolei aktualizuje po stronie Zamawiającemu obowiązek ujawnienia
nieskutecznie utajnionych informacji./; KIO 3483/20, wyrok z dnia 28 stycznia 2021 r. /Nie
chodzi o to, by wykonawca uzasadniając zastrzeżenie tajemnicy przedsiębiorstwa powoływał
się na jakiekolwiek środki dotyczące jakichkolwiek informacji, ale chodzi o środki chroniące
poufność konkretnie tego rodzaju informacji, jakie zostały w danym postępowaniu
zastrzeżone. (…) W art. 8 ust. 3 p.z.p. ustawodawca wyraźnie uzależnił zaniechanie
ujawnienia określonych informacji od tego, czy wykonawca "wykazał, iż zastrzeżone
informacje stanowią tajemnicę przedsiębiorstwa". Ustawodawca posłużył się w tym zakresie
sformułowaniem "wykazał", co z całą pewnością nie oznacza wyłącznie "oświadczenia", czy
"deklarowania", ale stanowi znacznie silniejszy wymóg "udowodnienia". Tym samym, aby
zastrzeżone przez wykonawcę informacje mogły zostać nieujawnione, wykonawca musi
najpierw "wykazać", czyli udowodnić, że w stosunku do tych informacji ziściły się wszystkie
przesłanki, o których mowa w art. 11 ust. 2 u.z.n.k. Zamawiający jest zatem zobowiązany do
dokonania -
w świetle art. 11 ust. 2 u.z.n.k. - oceny przedstawionego przez wykonawcę
uzasadnienia zastrzeżenia informacji i w zależności od wyniku tej oceny, podejmuje decyzję
o ujawnieniu bądź nieujawnieniu zastrzeżonych informacji. /; KIO 3370/20, wyrok z dnia 20
stycznia 2021 r. /
Regulacja art. 8 ust. 3 ustawy Pzp jednoznacznie stanowi o obowiązku
wykazania, czyli udowodnienia istnienia przesłanek uznania konkretnej informacji za
informację niejawną w rozumieniu ustawy znk. Wskazać należy ponadto, że faktycznie nie
istnieje możliwość realizacji przedmiotu zamówienia skutecznie chroniąc tajemnicę
przedsiębiorstwa bowiem dostęp do tej wiedzy będzie miał Zamawiający i jego cały personel
a także w przypadku zlecania utrzymania czy też rozwoju zaoferowanego rozwiązania
przepisy Pzp obligują Zamawiającego do identyfikacji posiadanego rozwiązania jako
warunku zgodnego z art. 99 Pzp OPZ. Zatem w fazie rea
lizacji zamówienia sposób realizacji
projektu stanie się jawny, co potwierdza jedynie, że wyłącznym celem ochrony jako tajemnicy
przedsiębiorstwa ma być niezezwolenie konkurentowi na weryfikację oferty pod kątem
zgodności z SWZ. / Podobnie w orzecznictwie: KIO 2498/18, wyrok z dnia 17 grudnia 2018 r.
Samo podanie parametrów technicznych, które są zawarte w specyfikacjach technicznych
produktów nie stanowi jeszcze ujawnienia wiedzy na temat działalności firmy, stosowanych
technolog
ii, materiałów czy rozwiązań technicznych, w szczególności w sytuacji, gdy
parametry te potwierdzają spełnianie wymagań określonych w SIWZ. Karty katalogowe
produktów, jak i specyfikacje techniczne to dokumenty powszechnie dostępne, przeznaczone
do nieogra
niczonego kręgu odbiorców./; KIO 2314/18, wyrok z dnia 23 listopada 2018 r. /Izba
nie dopatrzyła się przyczyn dla uznania za know-how wykonawcy samych nazw
oferowanego sprzętu/ (podobne stanowisko Izba zajęła m.in. w wyroku w sprawie KIO 91/15)
tak również: KIO 1878/19, wyrok z dnia 10 października 2019 r. /Nie mają zatem waloru
tajemnicy przedsiębiorstwa, ponieważ nie można za taką tajemnicę uznać nazw
standardowych produktów powszechnie dostępnych na rynku, reklamowanych, znanych
powszechnie i ujawnionych
w publicznych materiałach./ Podsumowując, w ocenie
Odwołującego złożonego uzasadnienia zastrzeżenia tajemnicy przedsiębiorstwa wyjaśnień
ceny nie można uznać za skuteczną podstawę ochrony w świetle art. 18 ust. 3 Pzp.
Zamawiający w dniu 24.08.2021 r. (e-mailem) wezwał wraz kopią odwołania, w trybie
art. 524 NPzp, uczestników postępowania przetargowego do wzięcia udziału
w postępowaniu odwoławczym.
W dniu 25.08.2021 r.
(wpływ do Prezesa KIO w wersji elektronicznej podpisane
podpisem cyfrowym za
pośrednictwem elektronicznej skrzynki podawczej - ePUAP) Trafford
IT Sp. z o.o. Sp. k. zgłosiła przystąpienie do postępowania odwoławczego po stronie
Zamawiającego wnosząc o oddalenie odwołania w całości.
W dniu 21.09.2021 r. (e-mailem podpisanym podp
isem cyfrowym) Zamawiający na
podstawie trybie art. 521 NPzp złożył odpowiedź na odwołanie. Stwierdził: „oświadczam, że
uwzględniam zarzuty zawarte w odwołaniu w całości. (…) W związku z powyższym wnoszę
o
umorzenie postępowania przed Krajową Izbą Odwoławczą w całości, w przypadku nie
wniesienia sprzeciwu przez przystępującego tj. Trafford IT Sp. z o.o. Sp.k.”.
Skład
orzekający Krajowej
Izby Odwoławczej
po zapoznaniu
się
z przedstawionymi poniżej dowodami, po wysłuchaniu oświadczeń, jak i stanowisk
stron (
Zamawiający nieobecny na posiedzeniu i rozprawie prawidłowo zawiadomiony)
oraz Przystępującego złożonych ustnie do protokołu w toku rozprawy, ustalił
i zważył, co następuje.
Skład orzekający Izby ustalił, że nie została wypełniona żadna z przesłanek
skutkujących odrzuceniem odwołania na podstawie art. 528 NPzp, a Wykonawca wnoszący
odwołanie posiadał interes w rozumieniu art. 505 ust. 1 NPzp, uprawniający do jego złożenia.
Odwołujący w rankingu złożonych ofert zajął drugie miejsce, w wypadku więc potwierdzenia
zarzutów, ma szansę na uzyskanie przedmiotowego zamówienia.
Skład orzekający Izby , działając zgodnie z art. 542 ust. 1 NPzp, dopuścił w niniejszej
sprawie dowody z: dokumentac
ji postępowania o zamówienie publiczne nadesłanej przez
Zamawiającego w formie elektronicznej, w tym w szczególności postanowień SWZ,
załącznika nr 1 do SWZ i Umowy, tj. Opis przedmiotu Zamówienia zwany dalej: „OPZ”,
odpowiedzi na pytania (pismo z 14.07.2021 r./ oraz oferty
Przystępującego wraz
z dokumentem
„Opis techniczny oferowanego rozwiązania”, jak i informacji o wyborze oferty
najkorzystniejszej z 11.08.2021 r.
W poczet materiału dowodowego Izba zaliczyła załączoną do pisma procesowego
złożonego na posiedzeniu przez Odwołującego na potwierdzenie okoliczności wskazanych
w
piśmie:
1) dokumentacje techniczna producenta oferowanego przez
Przystępującego rozwiązania –
Forcepoint; /
pełna wersja oryginalna – tłumaczenie fragmentów w zakresie przedmiotu sporu
w ramach
złożonego pisma/
2) dokumentacje techniczna producenta
oferowanego przez Przystępującego rozwiązania –
Fireeye
/pełna wersja oryginalna – tłumaczenie fragmentów w zakresie przedmiotu sporu
w ramach złożonego pisma/.
Dodatkowo w
poczet materiału dowodowego Izba zaliczyła załączone do pisma
procesowego złożonego na posiedzeniu przez Przystępującego na potwierdzenie
okoliczności wskazanych w piśmie:
wyciąg z dokumentacji techniczna producenta oferowanego przez Przystępującego
rozwiązania
Fireeye /
odnośnie - 2. Rozwiązanie nie posiada wyszukiwania po
zdefiniowanych parametrach, wers
ja oryginalna wraz z tłumaczeniem/;
wyciąg z dokumentacji techniczna producenta oferowanego przez Przystępującego
rozwiązania Fireeye /odnośnie – 4. Kwarantanny centralnej/;
wyciąg z dokumentacji techniczna producenta oferowanego przez Przystępującego
r
ozwiązania dokumentacja EMAIL SECURITY – SERVER EDITION – USER GUIDE –
RELEASE 9.1.pfe, str. 384
/odnośnie - 9. Użycie chmury/.
Nadto,
zaliczono do materiału dowodowego złożone na rozprawie przez
Przystępującego:
1) rysunek (schemat)
przedstawiający działanie mechanizmu exchange, tj. poczty wewnętrze
w zakresie zarzutu
dotyczącego - 1. Braku skanowania exchange;
2) dokument oficjalnego supp
ortu, czyli wsparcia producenta w zakresie możliwości
zaimplementowania klucza innego niż 1024 bity wraz z tłumaczeniem
w zakresie zarzutu
dotyczącego - 13. Algorytmy DKIM;
3) schemat przedstawia
jący przejście informacji z mechanizmu 1, 2, aż do mechanizmu 3
będącego funkcjonalnością mechanizmu 1.
Odnosząc się generalnie do podniesionych w treści odwołania zarzutów, stwierdzić
należy, że odwołanie nie zasługuje na uwzględnienie.
Odwołujący sformułował w odwołaniu następujące zarzuty naruszenia:
1) art. 226 ust.1 pkt 5 w zw. z art. 16 pkt 1 Pzp poprzez zaniechanie odrzucenia oferty
wykonawcy Trafford, pomimo, że zaoferowane w postępowaniu przez tego wykonawcę
rozwiązanie nie spełnia wymagań Zamawiającego zawartych w treści SWZ,
2) art. 18 ust. 1, 2, i 3 Pzp w zw. z art. 11 ust. 2 ustawy z dnia 16 kwietnia 1993 r.
o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2019 r. poz. 1010 i 1649), poprzez
pozbawione podstaw faktycznych i prawnych zaniechanie uznania za bezskuteczne
zastrzeżenia jako tajemnicy przedsiębiorstwa treści złożonego przez Trafford Załącznika -
„Opis techniczny oferowanego rozwiązania”,
co skutkuje naruszeniem art. 239 ust.1 Pzp w zw. z art. 16 pkt 1 Pzp poprzez wadli
wy wybór
oferty najkorzy
stniejszej w postępowaniu.
Izba dokonała następujących ustaleń odnośnie do przedmiotowego odwołania:
Izba przywołuje stan faktyczny wynikający z treści odwołania, pisma procesowego
Przystępującego oraz Odwołującego w szczególności przywołane postanowienia OPZ oraz
odpowiedzi na pytania.
Jednocześnie, należy zauważyć, że Przystępujący w ramach
swojego pisma procesowego
złożonego na posiedzeniu oraz na samym posiedzeniu złożył
sprzeciw wobec
uwzględnienia zarzutów odwołania przez Zamawiającego, za wyjątkiem -
zarzutu
naruszenia art. 18 ust. 1, 2 i 3 Ustawy z dnia 11 września 2019 r. Prawo zamówień
publicznych (t.j. Dz. U. z 2021 r. poz. 1129) w związku z art. 11 ust. 2 ustawy z dnia 16
kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2019 r. poz. 1010 i 1649)
poprzez pozbawione podstaw faktycznych i prawnych zaniechanie uznania za bezskuteczne
zastrzeżenia jako tajemnicy przedsiębiorstwa treści złożonego przez Trafford Załącznika -
„Opis techniczny oferowanego rozwiązania”. W konsekwencji, wobec braku sprzeciwu
odnośnie uwzględnienia odwołania w zakresie niniejszego zarzutu przez Zamawiającego –
post
ępowanie odwoławcze w zakresie tego zarzutu zostało umorzone i nie był on kierowany
na rozprawę. Dodatkowo, Odwołujący w toku posiedzenia wycofał odwołanie w zakresie
następujących zarzutów szczegółowych: zarzutu naruszenia art. 226 ust.1 pkt 5 w zw. z art.
16 pkt 1 Ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (t.j. Dz. U. z 2021
r. poz. 1129) poprzez zaniechanie odrzucenia oferty Trafford IT Sp. z o.o. Sp. k., pomi
mo, że
zaoferowane
w postępowaniu przez tego wykonawcę rozwiązanie nie spełnia wymagań
Zamawiającego zawartych w treści SWZ w zakresie zarzutów szczegółowych - numer: 3.
Rozwiązanie nie pozwala na rozkład ruchu opisany w OPZ; 5. Parametrów odrzucenia, 6. 7.2
AV; 7. Braku licencji; 10. Licencji; 11. Skanowania Linuxa oraz 12. Skanowania plików typów.
W konsekwencji, wobec
wycofania odwołania w zakresie wskazanych zarzutów –
postępowanie odwoławcze w zakresie tych zarzutów zostało umorzone. Ostatecznie
przedmiotem rozprawy
były następujące podtrzymane zarzutu, w zakresie których
uwzględnienia Przystępujący po stronie Zamawiającego wniósł sprzeciw, tj. zarzutu
naruszenia art. 226 ust.1 pkt 5 w zw. z art. 16 pkt 1 Ustawy z dnia 11 wr
ześnia 2019 r. Prawo
zamówień publicznych (t.j. Dz. U. z 2021 r. poz. 1129) poprzez zaniechanie odrzucenia
oferty Trafford IT Sp. z o.o. Sp. k., pomimo, że zaoferowane w postępowaniu przez tego
wykonawcę rozwiązanie nie spełnia wymagań Zamawiającego zawartych w treści SWZ
w zakresie zarzutów szczegółowych: 1. Braku skanowania exchange; 2. Rozwiązanie nie
posiada wyszukiwania po zdefiniowanych parametrach; 4. Kwarantanny centralnej; 8.
Sandboxing załączników jako funkcja bramki pocztowej; 9. Użycie chmury oraz 13.
Algorytmy DKIM.
Do pozostałych kwestiach Izba odniesie się w ramach poszczególnych zarzutów.
Biorąc pod uwagę stan rzeczy ustalony w toku postępowania (art. 552 ust.1 NPzp),
oceniając wiarygodność i moc dowodową, po wszechstronnym rozważeniu zebranego
materiału (art. 542 ust. 1 NPzp), Izba stwierdziła co następuje.
Z uwagi na charakter
sformułowanych zarzutów Izba odniesie się do nich łącznie
stwierdzając że podlegają one oddaleniu. Jednocześnie zastrzegając, że Izba za wyrokiem
SO w Warszawie z 25.08.2015 r., sygn. akt: XXIII Ga 1072/15: " (
…) ma prawo podzielić
zarzuty i wartościową argumentację jednego z uczestników, zgodnie z zasadą swobodnej
oceny dowodów, co słusznie zauważył uczestnik w odpowiedzi na skargę."). Nadto,
zwracając uwagę, że w orzecznictwie KIO wskazuje się na obowiązek interpretowania
wszelkich nie
ścisłości na korzyść wykonawców, bowiem to Zamawiający, jako gospodarz
postępowania, zobowiązany jest do należytego opracowania dokumentacji przetargowej,
której brzmienie powinno być jasne, m.in. w wyroku z dnia 21.11.2017 r. o sygn. akt KIO
2336/17, w kt
órym Izba orzekła: "Zgodnie z orzecznictwem Krajowej Izby Odwoławczej,
wszelkie niejasności, nieścisłości treści Specyfikacji Istotnych Warunków Zamówienia należy
rozpatrywać na korzyść wykonawcy", w wyroku z dnia 16.04.2015 r. o sygn. akt KIO 660/15:
"obo
wiązuje swoista "święta" zasada, że wszelkie niejasności, dwuznaczności, niezgodności
postanowień SIWZ należy rozpatrywać na korzyść wykonawców.”, w wyroku z 24.10.2018 r.,
sygn. akt: KIO 2100/18
, zgodnie z którym "w przypadku możliwości interpretacji zapisów
SIW
Z w różny sposób, wszelkie niejasności, które mogą odnosić się do złożonych
w postępowaniu ofert, odczytywać należy na korzyść wykonawców" (Tak również, m.in.
w uchwale z 03.08.2017 r., sygn. akt KIO/KD 38/17 oraz wyroku SO w Szczecinie
z 07.03.2018 r., sygn. akt: VIII Ga 102/18).
Analogiczne stanowisko zajmują sądy
powszechne
– np. SO w Nowym Sączu w wyroku z 18.03.2015 r. o sygn. akt: III Ca 70/15
uznał, iż: "Zapisy w SIWZ (...) muszą mieć charakter precyzyjny i jednoznaczny,
a wątpliwości powstałe na tym tle muszą być rozstrzygane na korzyść wykonawcy.
Obow
iązek takiego formułowania i tłumaczenia ma na celu realizację zasady uczciwej
konkurencji i równego traktowania wszystkich wykonawców przystępujących do przetargu
(...).".
W
zględem zarzutu - 13. Algorytmy DKIM.
Izba oddaliła zarzut w tym zakresie, gdyż Przystępujący złożył na rozprawie dowód
potwierdzający oficjalny suport producenta, czyli wsparcia producenta w zakresie możliwości
zaimplementowania klucza innego
niż 1024 bity. Jednocześnie wszelkiego rodzaju
wątpliwości Odwołującego należy rozwiać zważywszy nadanie przedłożonej informacji przez
producenta
– Article Number, czyli Numeru KB. Odnośnie kwestii produktu Open SSL,
wyjaśnienia przedstawione na rozprawie przez Przystępującego nie zostały zanegowane
przez
Odwołującego. Nadto, należy potwierdzić, że zgodnie z odpowiedzią na pytanie 11
Zamawiający jednoznacznie stwierdził, że po stronie Wykonawcy jest dostarczenie
kompletnej infrastruktury w tym wszelkich
niezbędnych licencji. /Załącznika nr 1 do SWZ pkt
Czy Zamawiający dostarcza licencje Vmware lub innego systemu wirtualizacyjnego?
Jeżeli tak to jaki to będzie system? Wyjaśnienia Zamawiającego: Zamawiający nie dostarcza
licencji. Po stronie Wykonawcy jest dostarczenie kompletnej infrastruktury w tym wszelkich
niezbędnych licencji./
Biorąc powyższe pod uwagę, Izba uznała jak na wstępie.
Względem zarzutu – 9. Użycie chmury.
Izba oddaliła zarzut w tym zakresie. Zgodnie z wyjaśnieniami Przystępującego
z rozprawy, u
znał Przystępujący, że Zamawiający zabronił przesyłania całych plików (Rozdz.
II pkt 80) je
dnocześnie wskazując, że kontrola reputacji musi odbywać się na podstawie
unikalnych metadanych
własnościowych pliku /Kontrola reputacji musi odbywać się na
podstawie unikalnych metadanych
własnościowych pliku, nie jest dopuszczalne, aby
sprawdzenie reputacyjne wymuszało przesłanie pliku na zewnątrz systemu kontroli poczty./
Stwierdził, że badanie reputacji w jego wypadku ma miejsce poprzez metadane pliku (funkcje
skrótu, rozmiar, czy też typ pliku) bez przesyłania całego pliku do ogólnoświatowej bazy
reputacji
. Wskazywał także, że zgodnie z pkt 79
Rozdz. II ta
ka kontrola miała odbywać się
w
ogólnoświatowej bazie reputacji /Kontrola reputacji dla plików i adresów URL musi
odbywać się w ogólnoświatowej bazie reputacji./ W konsekwencji negując tezę
Odwołującego, że nic nie powinno być wysyłane. W ocenie Izby, stanowisko przedstawione
przez
Przystępującego na rozprawie, jak i w złożonym piśmie jest zasadne. Nie zmieniają
tego odpowiedzi na pytanie 14 /
Załącznika nr 1 do SWZ pkt 81.Czy funkcja sandboxingu
może być wykonywana na serwerach producenta (w chmurze)? Wyjaśnienia
Zamawiającego: Zamawiający nie dopuszcza aby jakiekolwiek dane ze środowiska
Zamawiającego opuszczały lokalizacje Zamawiającego/ i 35 /Załącznika nr 1 do SWZ II ust.
Czy Zamawiający dopuszcza rozwiązania typu sandbox działające w chmurze, czy też
wyłącznie rozwiązania działające on-premise (instalowane lokalnie w infrastrukturze
Zamawiającego i nie przesyłające żadnych danych do chmury)? Wyjaśnienia
Zamawiającego: Zamawiający dopuszcza jedynie rozwiązanie działające on-premise
(instalowane lokalnie
w infrastrukturze Zamawiającego i nie przesyłające żadnych danych
do chmury)./.
Rozwiązanie zaproponowane przez Odwołującego na rozprawie niejako
w odpowiedzi na stanowisko
Przystępującego jest jednym z możliwych obok rozwiązania
Przystępującego uwzględniając postanowienia OPZ (pkt 79-83 Rozdz. II: „79 Kontrola
reputacji
dla plików i adresów URL musi odbywać się w ogólnoświatowej bazie reputacji.
80 Kontrola reputacji musi odbywać się na podstawie unikalnych metadanych
własnościowych pliku, nie jest dopuszczalne, aby sprawdzenie reputacyjne wymuszało
przesłanie pliku na zewnątrz systemu kontroli poczty. 81 Funkcja sandboxingu dla plików
przesyłanych pocztą elektroniczną musi być wbudowana w system ochrony poczty, nie jest
dopuszczalne stosowanie zewnętrznych systemów firm trzecich. Dopuszcza się rozwiązanie
w postaci dedykowanego urządzenia zintegrowanego z systemem poczty elektronicznej. 82
Analiza statyczna i dynamiczna muszą się odbywać w na dostarczonych urządzeniach – nie
jest dopuszczalne wysyłanie plików do analizy poza siedzibę Zamawiającego. 83
Rozwiązanie powinno umożliwiać uruchomienie nie mniej niż 56 maszyn wirtualnych
wykonujących analizę jednocześnie. Zamawiający poprzez liczbę 56 określa ilość
dostępnych maszyn wirtualnych, która ma być dostępna do analizy nawet w przypadku
awarii jednego z urządzeń analizujących.”). Ewentualne wątpliwości, które mogłyby zaistnieć
wobec jednoznacznej
treści pkt 80, że kontrola reputacji musi odbywać się na podstawie
unikalnych metadanych własnościowych należy rozpatrzeć na korzyść Przystępującego.
Biorąc powyższe pod uwagę, Izba uznała jak na wstępie.
Względem zarzutu – 1. Braku skanowania Exchange.
Izba oddaliła zarzut w tym zakresie, uznając zasadność stanowiska Przystępującego,
iż w świetle odpowiedzi na pytanie 1 i 33 tylko proces filtrowania i ochrony miał odbywać się
na serwerach exchange. /Pytanie nr 1:
„Czy Zamawiający pisząc o filtrowaniu poczty
wewnętrznej wymaga rozwiązania pozwalającego na filtrowanie pod kątem szkodliwej treści,
spamu dla wiadomości nie opuszczających serwerów Exchange? Wyjaśnienia
Zamawiającego: Zamawiający potwierdza, że wymaga rozwiązania pozwalającego na
fil
trowanie pod kątem szkodliwej treści, spamu dla wiadomości nie opuszczających serwerów
Exchange". Pytanie nr 33:
„Rozwiązania bazujące na bezpośredniej ochronie serwerów
Exchange są często elementem bardzo obciążającym farmę serwerów. Ponadto, ich
funkcjon
alność najczęściej ogranicza się do klasy standardowego antywirusa i nie wspiera
zaawansowanej analizy bezpieczeństwa jak na przykład sandbox, dodatkowa analiza URL
czy antyphising. Czy Zamawiający akceptuje rozwiązanie zewnętrzne, które nie wymaga
instala
cji na serwerach Exchange, a tylko odpowiedniej konfiguracji i analizuje pocztę
wewnętrzną z wykorzystaniem wszystkich narzędzi bezpieczeństwa używanych do analizy
poczty przychodzącej? Wyjaśnienia Zamawiającego: Zamawiający podtrzymuje zapisy SWZ.
W punkc
ie II. 3 OPZ opisał swoje wymagania odnośnie środowiska nie wskazując sposób
jego implementacji. Rozwiązanie do ochrony poczty wewnętrznej, nie może zmieniać
wewnętrznego routingu przy przepływie poczty wewnętrznej"./. Jednocześnie przedstawione
rozwiązanie przez Przystępującego na rozprawie, jak i w ramach złożonego rysunku
(schematu)
mieści się w wytycznych Zamawiającego. Nie ulega zmianie wewnętrzny
routingu,
gdyż wiadomość dociera do odbiorcy. Wykorzystywany jest mechanizm kopii
oryginalnej
wiadomości. Następuje analiza przez mechanizm 1 i 2 równolegle, a następnie
kasowana jest wiadomość na serwerze Exchange u odbiorcy, który je otrzymał. Należy
zauważyć, że Zamawiający w odpowiedzi na pytanie 33 nie określał sposobu implementacji
wymaga
odnośnie środowiska, a funkcja ochronna następuje niezwłocznie po wykryciu
zagrożenia, tj. niebezpiecznej wiadomości. Ocenę powyższego nie zmienia pkt 2.6 /2.6
rozwiązanie musi zapewniać filtrowanie poczty przychodzącej i wychodzącej (w tym poczty
wewnętrznej), przy czym musi istnieć możliwość przypisana odrębnych polityk dla każdego
z kierunków przesyłania poczty elektronicznej.) oraz pkt 3 zdanie drugie /Dla ochrony poczty
wewnętrznej (internal), której ruch nie przechodzi przez gateway a zamyka się wewnątrz
farmy serwerów pocztowych, wymagane jest zastosowanie mechanizmu chroniącego pocztę
bezpośrednio na serwerach Exchange./ Rozdz. II OPZ, ewentualne wątpliwości w świetle
odpowiedzi na pytanie 33 i braku wskazania sposobu implementacji i nie zmienieniu
wewnętrznego routingu należy rozpatrzeć na korzyść Przystępującego.
Biorąc powyższe pod uwagę, Izba uznała jak na wstępie.
Względem zarzutu – 2. Rozwiązanie nie posiada wyszukiwania po zdefiniowanych
parametrach.
Izba oddaliła zarzut w tym zakresie, uznając zasadność stanowiska Przystępującego,
iż skoro mechanizm 1 przekazuje wiadomość do mechanizmu 2, to wszystkie wiadomości
podlegają analizę według wymaganych przez Zamawianego kryteriów. W konsekwencji
okoliczność, że mechanizm 1 nie ma możliwości wyszukiwania po zdefiniowanych przez
Zamawiającego parametrach we wskazanym zakresie jest irrelewantny, gdyż spełnia ta
funkcjonalność mechanizm 2, a całe rozwiązanie ma charakter rozwiązania kompleksowego.
Biorąc powyższe pod uwagę, Izba uznała jak na wstępie.
Względem zarzutu – 4. Kwarantanny centralnej.
Izba oddaliła zarzut w tym zakresie. W tym wypadku, Przystępujący wskazywał na
rozprawie na
możliwość wyłączenia na etapie wdrożenia produktów kwarantanny w jednym
z produktów (mechanizmów), przy jednoczesnym pozostawieniu możliwości oznaczenia
nagłówka wiadomości odpowiednim znacznikiem, a następnie przesłania takiej wiadomości
do kolejnego produktu (mechanizmu), kt
óry także dodaje kolejny nagłówek i przesyła do
kwarantanny centralnej w mechanizmie 1. W ocenie Izby,
biorąc pod uwagę pkt 69 Rozdz. II
OPZ /
Licencje na bramki przyjmujące pocztę powinny posiadać opcję skalowania w celu
uzyskania większej wydajności na kolejne maszyny wirtualne w środowisku wirtualnym
będącym w posiadaniu Zamawiającego bez ponoszenia dodatkowych kosztów./, jak i pkt 2
Rozdz. I /Zakres prac obejmuje: 1) Prace organizacyjne i analityczne; 2) Opracowanie
projektu technicznego środowiska wdrożenia Rozwiązania; 3) Dostawa Rozwiązania
w części obejmującej sprzęt i licencje; 4) Wdrożenie Rozwiązania; 5) Opracowanie
dokumentacji powdrożeniowej; 6) Przeprowadzenie warsztatów i szkoleń z zakresu Systemu;
7) Zapewnienie wsparcia producenta dla wdrożonego Systemu; 8) Zapewnienie wsparcia
Wykonawcy
dla wdrożonego Systemu; 9) Udzielenie gwarancji na System/ oraz pkt 6 ppkt 2
Rozdz. I /
W ramach wdrożenia Wykonawca wykona co najmniej: (…) 2) Instalację
dostarczonego rozwiązania, konfigurację i parametryzację/ OPZ dotyczący wdrożenia,
tj.
obowiązek Wykonawcy instalacji dostarczonego rozwiązania, konfiguracji i jego
parametryzacji, brak jest podstaw do negowania zaprezentowanego przez
Przystępującego
na rozprawie rozwiązania.
Biorąc powyższe pod uwagę, Izba uznała jak na wstępie.
Względem zarzutu – 8. Sandboxing załączników jako funkcja bramki pocztowej.
Izba oddaliła zarzut w tym zakresie. Izba podkreśla, że Przystępujący nie negował, że
tylko jeden z jego
mechanizmów, które zostały zaoferowane, tj. mechanizm 2 ma funkcje
sandbo
xingu. Podnosił przy tym, że zaoferował rozwiązanie kompleksowe, tj. dwa
mechanizmy
, które jako całość spełniają wszystkie funkcjonalności, w tym także funkcje
sandboxingu
. Podnosił także, że zaoferowane rozwiązanie nie musiało pochodzić od jednego
producenta. Wskazyw
ał na odpowiedź na pytanie 15 /Załącznika nr 1 do SWZ pkt 81. Czy
system sandboxingu musi być tego samego producenta co rozwiązanie ochrony poczty?
Wyjaśnienia Zamawiającego: System sandboxingu nie musi pochodzić od tego samego
producenta co r
ozwiązanie ochrony poczty. Zamawiający oczekuje dostawy kompletnego
rozwiązania realizującego funkcje opisane w OPZ./. W ocenie Izby, w świetle przytoczonej
powyżej odpowiedzi na pytanie 15, gdzie stwierdza się, że - System sandboxingu nie musi
pochodzić od tego samego producenta co rozwiązanie ochrony poczty, a Zamawiający
oczekuje
dostawy kompletnego rozwiązania - brak jest podstaw do zanegowania rozwiązania
zaprezentowanego przez
Przystępującego na rozprawie.
Biorąc powyższe pod uwagę, Izba uznała jak na wstępie.
W tym stanie rzeczy, Izba oddaliła odwołanie na podstawie art. 553 zdanie pierwsze
i art. 554 ust. 1 pkt 1 Pzp oraz orzek
ła jak w sentencji.
O kosztach postępowania orzeczono stosownie do wyniku na podstawie art. 557 Pzp
oraz art. 575 Pzp, z uwzględnieniem postanowień Rozporządzenia Prezesa Rady Ministrów
w sprawie szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania
oraz wysokości i sposobu pobierania wpisu od odwołania z dnia 30 grudnia 2020 r. (Dz.U.
z 2020 r. poz. 2437) w oparciu o
§ 8 ust. 2 zdanie pierwsze rozporządzenia wskazanego
powyżej obciążając kosztami Odwołującego.
Przewodniczący:
………………………………