Brak zaufania do mechanizmów bezpieczeństwa, w tym poufności ofert, praktycznie przekreśla cały system zamówień

Czy wykonawców interesuje bezpieczeństwo platform zakupowych, za pośrednictwem których muszą składać oferty?

W trakcie szkoleń, które prowadzę, pytają mnie o to zarówno wykonawcy, jak i zamawiający. Wątpliwości dotyczą m.in. procesu szyfrowania ofert: na jakim poziomie i za pomocą jakich narzędzi proces ten następuje? Jakimi algorytmami szyfrującymi są zabezpieczane oferty? Gdzie fizycznie odbywa się proces szyfrowania? Czy i kto ma dostęp do niezaszyfrowanej oferty przed jej „wgraniem” na platformę już w postaci zaszyfrowanej? Jaki podmiot obsługuje faktycznie proces szyfrowania i jak wygląda ścieżka odszyfrowywania ofert? Gdzie faktycznie są deponowane oferty, jak i cała dokumentacja postępowania? Jaki jest poziom bezpieczeństwa teleinformatycznego systemów zakupowych przed ingerencjami nieuprawnionymi nie tylko na poziomie z zewnątrz, ale i z wewnątrz tego systemu (są to rozwiązania najczęściej modułowe budowane z udziałem podwykonawców)? Pytań jest całe mnóstwo.

Może to efekt pewnego przewrażliwienia?

Można śmiało powiedzieć, że bezpieczeństwo, w szczególności ofert, w postępowaniach przetargowych to absolutny priorytet. Brak zaufania do mechanizmów bezpieczeństwa, w tym poufności ofert, praktycznie przekreśla cały system. Wiarygodność narzędzi informatycznych stosowanych w celu przeprowadzenia postępowania jest podstawą funkcjonowania tego systemu.

Elektronizacja procesu ofertowania oraz komunikacji pomiędzy zamawiającym a wykonawcami, poza automatyzacją procesów i ich przyspieszeniem oraz likwidacją wielu barier, w tym dotyczących czasu przesyłania ofert, niesie za sobą zupełnie nowe zagrożenia. Można do nich zaliczyć kwestię ochrony poufności ofert do terminu ich otwarcia.

Przepisy narzucają jednak pewne wymagania, również w zakresie bezpieczeństwa, które muszą spełnić zamawiający, a tym samym wybierane przez nich platformy.

Co prawda przepisy samej ustawy – Prawo zamówień publicznych, jak i rozporządzenia w sprawie środków komunikacji elektronicznej rzeczywiście formułują wytyczne w zakresie m.in. koniecznego poziomu bezpieczeństwa platform, to jednak brakuje narzędzi, które pozwoliłyby zweryfikować, czy faktycznie spełniają one te wymagania. Nikt tego nie sprawdza, nikt nie kontroluje. Podejmując decyzje o wyborze platformy, zamawiający nie zawsze zwracają uwagę na kwestie bezpieczeństwa, a gdy już to robią, to w zasadzie muszą zawierzyć informacjom przekazanym im przez administratorów platform.

Co więcej, w ostatnim czasie lawinowo wręcz wzrasta liczba komercyjnych portali zakupowych oferujących zamawiającym możliwość prowadzenia postępowań w pełni elektronicznych. Problem tkwi nie w tym, że rynek jest tak szeroki, bo to oczywiście sprzyja konkurencyjności i obniżaniu kosztów korzystania przez zamawiających z takich usług, ale właśnie w tym, czy te narzędzia są bezpieczne. Pamiętajmy, że chodzi tu o bezpieczeństwo rynku zamówień publicznych mającego w sumie znaczny, bo ponad 9-proc. udział w PKB, z czego większość z tego portfela musi być teraz realizowana z użyciem portali elektronicznych.

Co zatem zrobić, by poprawić bezpieczeństwo?

Zacząłbym od postawienia pytania: czy przygotowując się na pełną elektronizację największych zamówień publicznych, czegoś nie przeoczono? Z jednej strony podjęto decyzję o komercjalizacji tych procesów i ich decentralizacji, ale z drugiej, być może nie do końca świadomie, zezwolono na funkcjonowanie niezweryfikowanych, niesprawdzonych pod względem bezpieczeństwa narzędzi teleinformatycznych. Nie formułuję przy tym zarzutów wobec konkretnych platform, ale zadaję pytanie: czy ktokolwiek odpowiada za ich bezpieczeństwo na poziomie instytucjonalnym? Wydaje się, że nie można tu pozwolić sobie działanie, które będzie uznane za nieprofesjonalne.

Jak zmienić ten stan? Co zatem pana zdaniem należałoby zrobić?

Potrzebna jest pilna debata publiczna w tym zakresie z przedstawicielami instytucji odpowiedzialnych za te procesy, tak aby problem uregulować systemowo – i to jak najszybciej. Być może należy opracować mechanizm akredytacji systemów oferowanych przez firmy prowadzące portale zakupowe, wskazać organ odpowiedzialny za wydawanie akredytacji oraz poddawać kontroli firmy oferujące platformy, a nawet pomyśleć nad narzędziami, które pozwoliłyby na blokowanie prawa do obsługi postępowań o zamówienie publiczne w sytuacji, gdy dany podmiot naruszałby zasady akredytacji. ©℗

fot. Materiały prasowe

Artur Wawryło prawnik, prowadzi Kancelarię Zamówień Publicznych