Sygn. akt KIO 350/21
WYROK
z dnia 22 marca 2021 r.
Krajowa Izba Odwoławcza - w składzie:
Przewodniczący:
Monika Kawa-
Ogorzałek
Członkowie:
Danuta Dziubińska
Andrzej Niwicki
Protokolant:
Adam Skowroński
po rozpoznaniu na rozprawie w dniu 9 marca 2021r., w Warszawi
e odwołania wniesionego
do Prezesa Krajowej Izby Odwoławczej w dniu 1 lutego 2021 r. przez wykonawcę
ubiegającego się o udzielenie zamówienia NTT Technology Sp. z o.o. z siedzibą w
Warszawie
w postępowaniu prowadzonym przez Centrum Informatyki Resortu Finansów
z siedzibą w Radomiu
przy udziale:
wykonawcy
IMMITIS Sp. z o.o. z siedzibą w Bydgoszczy zgłaszającego przystąpienia do
postępowania odwoławczego po stronie odwołującego
oraz
przy udziale wykonawcy
Integrale IT Sp. z o.o. z siedzibą w Poznaniu zgłaszającego
przystąpienia do postępowania odwoławczego po stronie odwołującego
oraz
przy udziale wykonawcy
PRZP Systemy Informacyjne Sp. z o.o. z siedzibą w Połańcu
zgłaszającego przystąpienia do postępowania odwoławczego po stronie odwołującego
oraz
przy udziale wykonawcy
Towarzystwo Handlowe Alplast Sp. z o.o. Sp.k. z siedzibą w
Niekaninie
zgłaszającego przystąpienia do postępowania odwoławczego po stronie
odwołującego
oraz
przy udziale wykonawcy
Computex Sp. z o.o. Sp.k. z siedzibą w Warszawie
zgłaszającego przystąpienia do postępowania odwoławczego po stronie zamawiającego
Sygn. akt KIO 350/21
oraz
przy udziale wykonawcy
Egida IT Solutions Sp. z o.o. z siedzibą w Warszawie
zgłaszającego przystąpienia do postępowania odwoławczego po stronie zamawiającego
oraz
przy udziale wykonawcy
GALAXY Systemy Informatyczne Sp. z o.o. z siedzibą w
Zielonej Górze zgłaszającego przystąpienia do postępowania odwoławczego po stronie
zamawiającego
oraz
przy udziale wykonawcy
INTARIS Sp. z o.o. z siedzibą w Warszawie zgłaszającego
przystąpienia do postępowania odwoławczego po stronie zamawiającego
oraz
przy udziale wykonawcy
MAXTO ITS Sp. z o.o. Sp. k z siedzibą w Modlniczce
zgłaszającego przystąpienia do postępowania odwoławczego po stronie zamawiającego
oraz
przy udziale wykonawcy SUNTAR Sp. z o.o. z
siedzibą w Tarnowie zgłaszającego
przystąpienia do postępowania odwoławczego po stronie zamawiającego
oraz
przy udziale wykonawcy
MBA System Sp. z o.o. z siedzibą w Warszawie zgłaszającego
przystąpienia do postępowania odwoławczego po stronie zamawiającego
orzeka:
1. oddala odwołanie;
2. Kosztami postępowania obciąża Odwołującego i zalicza w poczet kosztów postępowania
odwoławczego kwotę 15 000 zł 00 gr (słownie: piętnaście tysięcy złotych zero groszy)
uiszczoną przez Odwołującego tytułem wpisu od odwołania.
Sygn. akt KIO 350/21
St
osownie do art. 579 i 580 ust. 1 i 2 ustawy z dnia 11 września 2019 r. - Prawo
zamówień publicznych (Dz. U. z 2019 r., poz. 2019 ze zm.) na niniejszy wyrok - w terminie
14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej
Izby Odwoławczej do Sądu Okręgowego w Warszawie.
Przewodniczący :
………………………………
Członkowie:
………………………………
………………………………
Sygn. akt KIO 350/21
UZASADNIENIE
Zamawiający - Centrum Informatyki Resortu Finansów z siedzibą w Radomiu
prowadzi na podstawie przepisów ustawy z dnia 29 stycznia 2004 r. Prawo zamówień
publicznych (t. j. Dz. U. z 2019 r., poz. 1843 ze zm.; dalej: „Pzp”) postępowanie o zawarcie
umowy ramowej w trybie przetargu nieograniczonego na: „Dostawę komputerów typu AiO
wraz z oprogramowaniem, komputerów stacjonarnych wraz z oprogramowaniem i tabletów
graficznych wraz z oprogramowaniem”.
Ogłoszenie o zamówieniu zostało opublikowane w Dzienniku Urzędowym Unii
Europejskiej w dniu 28 grudnia 2020r., pod numerem 2020/S 252-635428.
Szacunkowa wartość zamówienia jest wyższa od kwot wskazanych w przepisach
wykonawczych wydanych na podstawie art. 11 ust. 8 Pzp.
W dniu 1 lutego 2021 r.
– wykonawca NTT Technology spółka z ograniczoną
odpowiedzialnością z siedzibą w Warszawie (dalej: „Odwołujący”) wniósł do Prezesa
Krajowej Izby Odwoławczej odwołanie wobec treści specyfikacji istotnych warunków
zamówienia (dalej: „SIWZ”) zarzucając Zamawiającemu naruszenie art. 90 ust. 1 ustawy z
dnia 11 września 2019r. Przepisy wprowadzające ustawę – prawo zamówień publicznych w
zw. z art. 7 ust. 1 w zw. z art. 29 ust. 1 ust. 2 i ust. 3 Pzp poprzez: wprowadzenie do SIWZ
wymogu w zakresie płyty głównej: „Wbudowany w płytę główną dedykowany moduł
sprzętowy szyfrujący w standardzie TPM w wersji min. 2.0 z certyfikatem TCG tzw. Hardware
TPM”, podczas gdy jest to wymóg naruszający zasadę uczciwej konkurencji, ograniczający w
sposób nieuzasadniony dostęp do zamówienia znacznej części wykonawcom, prowadzący
do nieuzasadnionego uprzywilejowania ni
ektórych wykonawców, a co za tym idzie niezgody
z Pzp.
W oparciu tak sformułowany zarzut Odwołujący wniósł o nakazanie Zamawiającemu
przywrócenia brzmienia SIWZ sprzed modyfikacji, tj. zmianę postanowień SIWZ z wersji
obecnej: „Wbudowany w płytę główną dedykowany moduł sprzętowy szyfrujący w
standardzie TPM w wersji min. 2.0 z certyfikatem TCG tzw. Hardware TPM
” na
„Zintegrowany z płytą główną moduł TPM 2.0”.
Uzasadniając powyższy zarzut Odwołujący wskazał, że Zamawiający w dniu 21
stycznia 2021 r. w Tomie III SIWZ -
OPIS MINIMALNYCH WYMAGAŃ TECHNICZNYCH
dokonał zmiany wymogu w zakresie płyty głównej sprzętu będącego przedmiotem
postępowania z zapisu „zintegrowany z płytą główną moduł TPM 2.0” na „wbudowany w
Sygn. akt KIO 350/21
płytę główną dedykowany moduł sprzętowy szyfrujący w standardzie TPM w wersji min. 2.0 z
certyfikatem TCG tzw. Hardware TPM”.
Według Odwołującego Zamawiający dokonując ww. zmiany diametralnie ograniczył
możliwości zastosowania alternatywnych, równoważnych rozwiązań dostępnych na rynku, a
co za tym id
zie znacząco ograniczył krąg wykonawców zdolnych do złożenia w
przedmiotowym postepowaniu oferty niepodlegającej odrzuceniu jako niezgodnej z SIWZ.
Podkreślił, że wprowadzone postanowienie wymusza zastosowanie rozwiązań które są
przestarzałe i nie wspierane przez większość producentów płyt głównych, ponieważ
zdecydowana większość producentów sprzętu ogranicza się do rozwiązań typu fTPM
(firmeware TPM) i nie oferuje modułu wymaganego przez Zamawiającego w aktualnej wersji
SIWZ. Odwołujący wyjaśnił, że fTPM to implementacja modułu TPM 2.0 oparta na
oprogramowaniu układowym. Platforma obsługuje wymagania firmy Microsoft dotyczące
modułu trusted platform 2.0 (fTPM), a ponadto rozwiązanie fTPM jest rozwiązaniem
rekomendowanym przez firmę Microsoft. Wyjaśni, że rozwiązanie typu fTPM obsługuje m. in.
przechowywanie poświadczeń i zarządzanie kluczami oraz wszelkie inne funkcje typowe dla
najpopularniejszych systemów operacyjnych (Windows 8 i Windows® 10). Zaletą
rozwiązania fTPM jest możliwość ciągłej jego aktualizacji, co powoduje iż nie starzeje się on
tak jak sprzętowy układ. Odwołujący wyjaśnił również, że w przypadku rozwiązania
wymaganego aktualnie przez Zamawiającego w przypadku uszkodzenia samego układu
należy wymienić całą płytę główną komputera, co może niewątpliwie narazić w przyszłości
zamawiającego na dodatkowe koszty, podczas gdy w przypadku fTPM awarie płyty głównej
można rozwiązać systemowo bez wymiany uszkodzonej płyty.
Ponadto Odwołujący podkreślił, że pod względem bezpieczeństwa użytkowania oba
rozw
iązania, tj. TPM oraz fTPM są dokładnie identyczne, a posługując się nomenklaturą Pzp
są rozwiązaniami równoważnymi, ponieważ z punktu widzenia użytkownika, rozwiązanie
oparte o hardwareowy moduł wlutowany w płytę główną daje dokładnie taki sam efekt jak
r
ozwiązanie typu fTPM (firmeware TPM). Użytkownik w BIOS komputera widzi urządzenie
TPM 2.0, które może włączyć lub wyłączyć i z użyciem tego urządzenia może pomyślnie
przeprowadzić szyfrowanie dysku. Odwołujący dodał również, że samo urządzenie TPM nie
szy
fruje, ale służy do przechowywania kluczy szyfrujących. Efekt zastosowania TPM
sprzętowego czy fTPM jest dokładnie taki sam.
Odwołujący podkreślił, że zrozumiałym jest niechęć Zamawiającego do rozwiązania w
którym chip TPM wkłada się na tzw. piny wyprowadzone z płyty głównej i można ten moduł
usunąć, ale rozwiązanie fTPM nie używa w ogóle tego modułu, a całe rozwiązanie jest
sprzętowo – programowe jest wbudowane w płytę główną i nieusuwalne. Ponadto podkreślił,
Sygn. akt KIO 350/21
że najważniejszym aspektem rozwiązań fTPM jest ich dostępność w płytach głównych
większości producentów. Aktualnie jest to rozwiązanie stosowane powszechnie przez
producentów płyt głównych i wspierane przez producentów procesorów takich jak Intel i AMD
oraz producenta oprogramowania Microsoft. Rozwiązania sprzętowe hardware TPM są
używane natomiast przez międzynarodowych producentów komputerów i zapis taki ich
faworyzuje.
Powyższy zapis stanowi więc utrudnienie konkurencji i prowadzi do preferowania
producentów międzynarodowych, którzy używają mechanizmu Hardware TPM. Wyjaśnił, że
wyrażony w art. 29 ust. 2 Pzp zakaz utrudniania uczciwej konkurencji przy opisywaniu
przedmiotu zamówienia zostanie naruszony, gdy przy jego dokonaniu Zamawiający użyje
określeń czy parametrów wskazujących na konkretnego producenta lub konkretny produkt.
Działaniem wbrew ww. zasadzie jest również na tyle rygorystyczne określenie wymagań w
zakresie przedmiotu zamówienia, że nie jest to uzasadnione potrzebami Zamawiającego, a
jednocześnie ogranicza krąg wykonawców zdolnych do wykonania zamówienia. Zdaniem
Odwołującego Zamawiający w niniejszym postępowaniu naruszył zasadę uczciwej
konkurencji poprzez wymóg oferowania tego typu rozwiązań technicznych, które wskazują
wyłącznie na określony, wąski krąg producentów sprzętu komputerowego, eliminując
jednocześnie z postępowania pozostałych. Zamawiający dokonując modyfikacji SIWZ w dniu
21 stycznia 2021r. nie tyle zmienił wymagania techniczne na inne, co dokonał zawężenia
rozwiązań, które można skutecznie zaoferować w przedmiotowym postępowaniu.
Rozwiązanie w zakresie płyty głównej wymagane przez Zamawiającego po zmianie SIWZ
zawierało się w wymogu SIWZ w brzmieniu przed zmianą, tj. mogło zostać skutecznie
zaoferowane również przed zmianą SIWZ. Natomiast po zmianie SIWZ, wykonawcy mogą
zao
ferować w zakresie płyty głównej wyłącznie jedno rozwiązanie techniczne, tj. wbudowany
w płytę główną dedykowany moduł sprzętowy szyfrujący w standardzie TPM w wersji min.
2.0 z certyfikatem TCG tzw. Hardware TPM. Jedocześnie wykonawcy zostali pozbawieni
m
ożliwości zaoferowania innych wariantów technicznych płyty głównej, które spełniały
pierwotny wymóg.
Zamawiający w odpowiedzi na odwołanie z dnia 8 marca 2021r. wniósł o jego
oddalenie. Na wstępie wyjaśnił, że TPM (Trusted Platform Module) to mikroukład
umożliwiający korzystanie ze wszystkich zaawansowanych funkcji zabezpieczeń (w
przypadku systemów Windows jest to np. szyfrowanie dysków funkcją BitLocker). Służy on
do zabezpieczania danych przed nieupoważnionym dostępem w przypadku kradzieży lub
zagubien
ia urządzenia, zarówno w komputerach stacjonarnych, notebookach jak też
Sygn. akt KIO 350/21
komputerach typu All i One. Układ TPM, w sposób bezpieczny przechowuje unikalny klucz
szyfrujący i znacząco utrudnia dostęp do danych komputera niepowołanym osobom.
Wymaganie aby urządzenia, których dostawę obejmuje przedmiotowe zamówienie,
posiadały opisywane zabezpieczenie, uzasadnione jest koniecznością ochrony danych
znajdujących się na komputerze, w sytuacji, gdy komputer (PC/Notebook/All in One) trafi w
niepowołane ręce w wyniku kradzieży czy tez bezprawnego dostępu, w takiej sytuacji, dane
zawarte na nośnikach są praktycznie niemożliwe do odczytania dzięki szyfrowaniu.
Podkreślił, że układy TPM poza bezpiecznym przechowywaniem kluczy szyfrujących,
zapewniają skuteczną ochronę certyfikatom i hasłom używanym do logowania się do
systemu
– jest to pewniejsza metoda niż przechowywanie ich na dysku twardym.
Wymaganie posiadania układów TPM, jest stosowane w zakresie sprzętu posiadanego przez
Zamawiającego, jako jedno z niezbędnych zabezpieczeń urządzeń komputerowych, będące
w zgodzie z polityką bezpieczeństwa.
Rozwiązanie wymagane przez Zamawiającego jest rozwiązaniem stricte sprzętowym –
do płyty głównej montowany jest mikroukład, który zapewnia bezpieczne przechowywanie
kluczy szyfrujących, oraz skuteczną ochronę certyfikatom i hasłom używanym do logowania
się do systemu. Natomiast rozwiązanie wnioskowane przez Odwołującego, tj. dopuszczenia
ochrony wyłącznie w standardzie FTPM stanowi rozwiązanie działające jedynie w warstwie
aplikacyjn
ej, nie stanowi fizycznego elementu (jak przy rozwiązaniu TPM). W związku z
powyższym, w celu złamania zabezpieczenia wprowadzonego w standardzie FTMP i
uzyskania dostępu do danych, wystarczające jest jedynie znalezienia luki w
oprogramowaniu. Takie ataki
są najprostsze do przeprowadzenia i nie wymagają posiadania
specjalistycznego sprzętu, dlatego też FTPM stanowi rozwiązanie znacznie mniej
bezpieczne.
Zamawiający podkreślił, że w przeciwieństwie do rozwiązania fTPM, rozwiązanie
Hardware TPM (tzw. „kostka”) działa w warstwie fizycznej dlatego nie jest podatna na ataki
softwareowe co znacząco zwiększa bezpieczeństwo danych.
Zamawiający wyjaśnił dodatkowo, że wymagania w przedmiotowym zakresie
podyktowane są także doświadczeniami Resortu Finansów – zgodnie z którym rozwiązanie
szyfrujące oparte na warstwie software – TruCrypt czyli aplikacyjnej zostało „złamane” –
zhakowane, w rezultacie czego wszystkie komputery wykorzystujące tę technologię straciły
jeden z poziomów zabezpieczeń. Zdarzenie takie nie miałoby miejsca gdyby komputery były
zabezpieczone w standardzie TPM.
Zamawiający zauważył również, że z uwagi na zmiany społeczno – gospodarcze
wywołane pandemią COVID – 19, w sferze administracji publicznej, upowszechniła się praca
Sygn. akt KIO 350/21
zdalna, do której wykonywania pracownicy Zamawiającego używają sprzętu (w tym
komputerów) udostępnionego przez Zamawiającego. Konieczne jest przy tym zapewnienie
dla całego sprzętu wykorzystywanego w resorcie finansów jednolitości w zakresie poziomu
zabezpieczeń. Należy zauważyć, że w celu świadczenia pracy zdalnej wydawane są nie
tylko komputery przenośne, ale z powodu dużego zapotrzebowania również komputery
stacjonarne. Szyfrowanie dysków jest jednym z niezbędnych wymagań dopuszczających
zastosowanie sprzętu komputerowego do pracy zdalnej. Zamawiający oświadczył również,
że wymaganie w zakresie TPM, zostało wprowadzone dla każdego z kupowanych
Produktów - Sprzętu, jako główne rozwiązanie szyfrujące Zamawiającego, zatem
wprowadzanie innych standardów miałoby negatywny wpływ także na standaryzację obsługi
sprzętu i tym samym na świadczone wewnętrznie usługi wsparcia informatycznego.
Aktualnie Resort Finansów liczy ponad 60 000 pracowników, z których każdy posiada
przynajmniej jedną jednostkę komputerową, dlatego też tak ważna jest standaryzacja
pozwalająca zapewnić odpowiedni poziom bezpieczeństwa informatycznego. W Resorcie
Finansów wykorzystanie TPM zostało określone w procedurze przygotowania komputerów
które będą wykorzystywane poza siedzibą MF.
Zamawiający wskazał, że nie sposób również zgodzić się z twierdzeniem iż
rozwiązanie TPM, ogranicza konkurencję zarówno pomiędzy produktami jak i wykonawcami.
Rozwiązanie to stosuje wielu producentów komputerów m. in. DELL,HP, Lenovo, Apple,
Acer, ASUS, Fujitsu (również serwery), Gigabyte (płyty główne), , Intel, IBM, Toshiba, MSI
posiadających w swojej ofercie w sumie kilkadziesiąt sztuk sprzętu w których TPM jest
standardem w linii biznesowej.
Odnosząc się natomiast, do wymogu zgodności rozwiązania TPM ze standardem TCG,
Zamawiający wskazał, że wprowadzenie tego standardu, niejako dopełnia rozwiązanie TPM,
bowiem umożliwia certyfikowanym dyskretnym modułom TPM zabezpieczenie się w
większym stopniu przed atakami fizycznymi.
Odnosząc się natomiast do twierdzenia Odwołującego, że wprowadzonym zapisem
diametralnie ograniczył możliwości zastosowania alternatywnych, równoważnych rozwiązań
dostępnych na rynku, a co za tym idzie znacząco ograniczył krąg wykonawców Zamawiający
podkreślił, że rozwiązanie TPM, certyfikowane przez TCG, jest rozwiązaniem powszechnym i
nawet jeśli istnieją produkty posiadające zabezpieczenia w standardzie TPM i nie
posiadające jednocześnie certyfikacji TCG, to stanowią one niewielki odsetek produktów
oferowanym na rynku. Należy przy tym wskazać, że Odwołujący nie wykazał, jakie produkty
zostały wyeliminowane przez zamawiającego poprzez doprecyzowanie postanowień SIWZ.
Sygn. akt KIO 350/21
Zamawiający nie podzielił również stanowiska Odwołującego jakoby zmiana SIWZ
wymuszała od wykonawców zastosowanie rozwiązań które są przestarzałe i nie wspierane
przez większość producentów płyt głównych oraz, jakoby zdecydowana większość
producentów sprzętu ograniczała się do rozwiązań typu fTPM (firmeware TPM) i nie
oferowała modułu wymaganego przez zamawiającego w aktualnej wersji SIWZ. FTPM to
implementacj
a modułu TPM 2.0 oparta na oprogramowaniu układowym. Zamawiający
wskazał bowiem, że rozwiązanie TPM nie może być uznane za przestarzałe bądź
niewspierane przez producentów płyt głównych. Rozwiązanie to jest w dalszym ciągu
rozwijane i powstają jego kolejne wersje, nie ma również statusu end of life. Nie jest też
prawdą, iż wiodący producenci rezygnują z wykorzystania TPM w produkowanych przez
siebie produktach, bowiem jak wskazano wyżej wśród producentów komputerów
wyposażonych w układy zgodne z TPM, wymienić można m. in.: Apple, Acer, ASUS, Dell,
Fujitsu (również serwery), Gigabyte (płyty główne), HP, Intel, Lenovo/IBM, Toshiba, MSI.
Wobec powyższego należy uznać, że wiodący producenci w dalszym ciągu wykorzystują
rozwiązanie TPM.
Zamawiający podkreślił również, że rozwiązania aplikacyjne – softweare’owe są
bardziej podatne na włamania. W zakresie bezpieczeństwa, znaczenia nie ma bowiem,
wyłącznie efekt, ale również sposób jego osiągnięcia. Wyłączenie modułu TMP w BIOS-ie
nie spowoduje automatycznego dostępu do zaszyfrowanych danych, gdyż klucze
pozwalające na ich rozszyfrowanie znajdują się w mikroukładzie TPM. Zamawiający
wsk
azał, że rozwiązanie TPM można porównać do sejfu niedostępnego dla kogokolwiek
oprócz systemu, który się do tych kluczy odwołuje w celu odszyfrowania danych.
Pozostawienie kwestii zabezpieczeń wyłącznie w wersji aplikacyjnej obarczone jest ryzykiem
nie pow
ołanego dostępu, tym samym zwiększając ryzyko w zakresie bezpieczeństwa, na
które zamawiający pozwolić sobie nie może.
Zamawiający podkreślił również, że celem wymagań zawartych w SIWZ jest
zapewnienie odpowiedniego poziomu bezpieczeństwa, nie zaś preferowanie rozwiązań
konkretnych producentów czy konkretnych produktów mogące ograniczać konkurencję.
Podkreślił, że przeprowadzona przez niego analiza rynku wskazuje na powszechność i
szeroką dostępność rozwiązania TMP, znajdującego odzwierciedlenie w liczbie produktów
oraz producentów wykorzystujących to rozwiązanie. Z informacji zawartych na stronie
Microsoft, wynika iż: „Moduły TPM są pasywne: odbierają polecenia i zwracają odpowiedzi.
Aby w pełni wykorzystać zalety modułu TPM, producent OEM musi dokładnie zintegrować
sprzęt systemowy i oprogramowanie układowe z modułem TPM, aby wysyłać mu polecenia i
reagować na jego odpowiedzi. Moduły TPM zostały pierwotnie zaprojektowane, aby
Sygn. akt KIO 350/21
zapewnić korzyści w zakresie bezpieczeństwa i prywatności właścicielowi i użytkownikom
platformy, ale nowsze wersje mogą zapewnić korzyści w zakresie bezpieczeństwa i
prywatności samego sprzętu systemowego. Jednak zanim będzie można go użyć w
zaawansowanych scenariuszach, należy udostępnić moduł TPM. System Windows 10
automatycznie udos
tępnia moduł TPM, ale jeśli użytkownik planuje ponowną instalację
systemu operacyjnego, może być konieczne wyczyszczenie modułu TPM przed ponowną
instalacją, aby system Windows mógł w pełni wykorzystać moduł TPM”. Powyższe przeczy
więc twierdzeniom Odwołującego, iż Microsoft nie wykorzystuje tego rozwiązania.
Zamawiający stwierdził również, że okolicznością uzasadniającą zastosowanie
rozwiązania TPM jest także to, że producenci komputerów, wdrażają moduł TPM jako
składnik zaufanej platformy komputerowej, takiej jak komputer, tablet lub telefon. Zaufane
platformy komputerowe wykorzystują moduł TPM do obsługi scenariuszy dotyczących
prywatności i bezpieczeństwa, których samo oprogramowanie (w tym rozwiązanie fTPM) nie
jest w stanie osiągnąć. W szczególności oprogramowanie nie może wiarygodnie zgłosić
obecności złośliwego oprogramowania podczas procesu uruchamiania systemu. Ścisła
integracja między modułem TPM a platformą zwiększa przejrzystość procesu uruchamiania i
wspiera ocenę stanu urządzenia, umożliwiając wiarygodne pomiary i raportowanie
oprogramowania, które uruchamia urządzenie. Wdrożenie modułu TPM jako części zaufanej
platformy komputerowej zapewnia sprzętowe źródło zaufania - to znaczy zachowuje się w
zaufany sposób. Na przykład, jeśli klucz przechowywany w module TPM ma właściwości,
które uniemożliwiają eksportowanie klucza, klucz ten nie może opuścić modułu TPM, co
przekłada się na większe bezpieczeństwo gwarantowane przez to rozwiązanie w stosunku
do innych rozwiązań.
Również dla konsumentów końcowych zastosowanie rozwiązania TPM ma znaczenie.
TPM jest używany w Windows Hello, Windows Hello dla firm, a w przyszłości będzie
składnikiem wielu innych kluczowych funkcji zabezpieczeń w systemie Windows. TPM
zabezpiecza kod PIN, pomaga w szyfrowaniu haseł i opiera się na naszej ogólnej historii
korzystania z systemu Windows 10, aby zapewnić bezpieczeństwo jako kluczowy filar.
Korzystanie z systemu Windows w systemie z modułem TPM zapewnia wyższy poziom
ochrony.
Zamawiający podkreślił, że również zgodnie z najnowszymi „Rekomendacjami Prezesa
Urzędu Zamówień Publicznych dotyczącymi udzielania zamówień publicznych na dostawę
zestawów komputerowych” z marca 2021r., wymaganie nie tylko jest właściwe, ale forma
wymagania
przyjęta
przez
Zamawiającego,
wskazana
jest
jako rozwiązanie
rekomendowane.
Sygn. akt KIO 350/21
Powyższe, w ocenie Zamawiającego potwierdza prawidłowość zastosowanych wymagań.
Przystępujący po stronie Zamawiającego - wykonawca Egida IT Solutions Sp. z o.o. z
siedzibą w Warszawie w piśmie z dnia 8 marca 2021r. wniósł o oddalenie odwołania jako
bezzasadnego.
Krajowa Izba Odwoławcza uwzględniając dokumentację z przedmiotowego
postępowania o udzielenie zamówienia publicznego, jak również oświadczenia,
stanowiska stron złożone w trakcie rozprawy, ustaliła i zważyła, co następuje:
Odwołanie nie zasługiwało na uwzględnienie.
Mając na uwadze treść art. 92 ust. 2 ustawy z dnia 11 września 2019 r. Przepisy
wprowadzające ustawę - Prawo zamówień publicznych (Dz.U. z 2019 poz. 2020), do
postępowań odwoławczych oraz postępowań toczących się wskutek wniesienia skargi do
sądu, o których mowa w ustawie uchylanej w art. 89, wszczętych po dniu 31 grudnia 2020 r.,
dotyczących postępowań o udzielenie zamówienia wszczętych przed dniem 1 stycznia
2021r., stosuje się przepisy ustawy, o której mowa w art. 1, Izba do postępowania
odwoławczego w przedmiotowej sprawie zastosowała przepisy ustawy z dnia 11 września
2019 r. -
Prawo zamówień publicznych (Dz. U. z 2019 r., poz. 2019 ze zm., dalej jako
„ustawa nPzp”). Do rozpoznania odwołania zastosowanie natomiast znajdowały przepisy
Pzp obowiązujące w dacie wszczęcia postępowania o udzielenie zamówienia.
Izba dopuściła do udziału w postępowaniu wykonawców zgłaszających swoje
przystąpienie do postępowania odwoławczego po stronie Odwołującego oraz
Zamawiającego, stwierdzając, iż spełnione zostały przesłanki, o których mowa w art. 525 ust.
3 ustawy nPzp. Izba stwierdziła, iż nie została wypełniona żadna z przesłanek
skutkujących odrzuceniem odwołania na podstawie art. 528 ustawy nPzp i skierowała
sprawę na rozprawę.
Izba dopuściła i przeprowadziła dowody z treści SIWZ, odwołania, odpowiedzi na
odwołanie oraz pisma procesowego Przystępującego Egida, a także dowodów złożonych na
rozprawie przez uczestników postępowania:
dowodów złożonych przez Przystępującego INTARIS – wydruk i tłumaczenie ze
strony
internetowej:
https://docs.microsoft.com/en-us/windows/security,information-
Sygn. akt KIO 350/21
protection/tpm/tpm-recommendations
, wydruk i tłumaczenie broszury TPM 2.0 – krótki
wstęp”
„Rekomendacji Prezesa Urzędu Zamówień Publicznych dotyczących zamówień na
zestawy komputerowe”,
dowodów złożonych przez Przystępującego MBA – „Funkcje modułow TPM 1.2 i
”, wydruku ze strony internetowej www.mazowieckie.kas.gov.pl
Izba zważyła:
Na wstępie podkreślić należy, że Izba zgodnie z art. 555 nPzp Izba nie może orzekać
co do zarzutów, które nie były zawarte w odwołaniu. W związku z powyższym Izba będąc
związana powyższym przepisem, rozpoznała tylko zarzuty sformułowane przez
Odwołującego w odwołaniu, w konsekwencji czego Izba nie rozpoznała zarzutów
dotyczących konieczności posiadania certyfikatu TCG, bowiem zarzut ten został podniesiony
przez Odwołującego dopiero na rozprawie. Ponadto wskazać należy, że argumenty i
stanowisko dotyczące możliwości zaoferowania zabezpieczenia opartego na rozwiązaniu
INTEL PTT również wykraczały poza zakres odwołania, w którym Odwołujący dążył do
wykazania równoważności rozwiązania TPM i fTPM. Ponadto podkreślić należy, że z
odwołania nie wynikało również, że Odwołujący kwestionuje zapis dotyczący „dedykowania
modułu sprzętowego” jako zapis uniemożliwiający złożenie oferty w postępowaniu.
Podsumowując, Izba w składzie orzekającym pominęła przy orzekaniu powyższe i
orzekła tylko w granicach wynikających z odwołania.
Przechodząc więc do merytorycznego rozpoznania zarzutów wskazać należy, że
zgodnie z art. 29 ust. 2 Pzp przedmiotu zamówienia nie można opisywać w sposób, który
mógłby utrudniać uczciwą konkurencję. Stosownie do art. 7 ust. 1 Pzp Zamawiający
przygotowuje i przeprowadza postępowanie o udzielenie zamówienia w sposób
zapewniający zachowanie uczciwej konkurencji i równe traktowanie wykonawców oraz
zgodnie z zasadami proporcj
onalności i przejrzystości.
W ocenie Izby w rozpoznawanym stanie faktycznym Odwołujący nie zdołał wykazać,
aby zaskarżone postanowienie opisu przedmiotu zamówienia naruszało przytoczone wyżej
przepisy Pzp. W pierwszej kolejności podkreślić należy, że odwołania dotyczące
postanowień SIWZ, tak jak dotyczące każdej innej czynności lub zaniechania
Zamawiającego, służą ochronie wykonawców przed działaniami niezgodnymi z przepisami
prawa, a Izba może uwzględnić odwołanie wyłącznie w sytuacji, gdy stwierdzi naruszenie
Sygn. akt KIO 350/21
przez Zamawiającego przepisów ustawy mające wpływ lub mogące mieć istotny wpływ na
wynik postępowania (art. 554 ust. 1 pkt 1 Pzp). Nie korzystają zatem z ochrony prawnej
dążenia wykonawców ukierunkowane jedynie na ukształtowanie takiej treści SIWZ, która
pozwoli na złożenie oferty na korzystniejszych warunkach, jeżeli zaskarżona treść SIWZ nie
stoi w sprzeczności z przepisami prawa. Kolejno podkreślić należy, że Zamawiający, jako
podmiot dokonujący zakupów, jest uprawniony do określenia swoich oczekiwań dotyczących
przedmiotu zamówienia, jego cech i funkcjonalności. Każde z takich wymagań w większym
lub mniejszym stopniu ogranicza konkurencję, jednak tak długo, jak wymagania te są
podyktowane obiektywnie uzasadnionymi potrzebami Zamawiającego, a ich celem nie jest
zawężenie kręgu wykonawców mogących je wykonać, to Zamawiający jest uprawniony do
ich sformułowania. Nie jest natomiast celem systemu zamówień publicznych i obowiązującej
w nim zasady uczciwej konkurencji, umożliwienie uzyskania zamówienia wszystkim
wykonawcom działającym w danej branży, bez względu na to, jakie cechy i właściwości ma
przedmiot zamówienia, który mogą lub chcą zaoferować i bez uwzględnienia potrzeb
Zamawiającego. To bowiem Zamawiający jest uprawniony do określenia tego co, zamierza
nabyć i jeśli tylko nie stawia wymagań, które mają za cel ograniczenie konkurencji, nie zaś
zrealizowanie jego potrzeb, to nie można mu w drodze środków ochrony prawnej
nakazywać, aby nabył produkty lub rozwiązania, które jego potrzeb nie zaspokoją. Natomiast
okoliczność, że dany wykonawca nie jest w stanie dostarczyć produktów spełniających
wymagania określone przez Zamawiającego, nie może być automatycznie utożsamiana z
naruszeniem konkurencji. Tym bardziej nie można utożsamiać z takim naruszeniem sytuacji,
w której wykonawca jest w stanie dostarczyć produkty zgodne z wymaganiami
Zamawiającego, ale zaoferowanie innych produktów pozwoliłoby na złożenie korzystniejszej
(np. bardziej konkurencyjnej cenowo) oferty.
W ocenie Izby w rozpoznawanej sprawie Za
mawiający przedstawił konkretne i
racjonalne uzasadnienie do wprowadzenia do OPZ zaskarżonego wymagania, co w ocenie
składu orzekającego pozwala uznać to wymaganie za mające oparcie w jego uzasadnionych
potrzebach, nie zaś za podyktowane dążeniem do ograniczenia konkurencji. Co istotne
również w rozpoznawanej sprawie - Odwołujący, na którym zgodnie z art. 534 ust. 1 zd. 1
nPzp spoczywał ciężar dowodu, nie przedstawił żadnych dowodów podważających
twierdzenia Zamawiającego w tym zakresie.
Podkreślić należy, że bezsporne między stronami jest, że na rynku funkcjonują
rozwiązania techniczne TPM sprzętowego jak też fTPM, czyli TPM aplikacyjny, softwearowy.
Zdaniem Odwołującego Zamawiający dopuszczając możliwość zaoferowania rozwiązania
fTPM uzyskałby taki sam efekt i poziom zabezpieczenia jak przy zastosowaniu wymaganego
Sygn. akt KIO 350/21
przez siebie TPM sprzętowego. Natomiast Zamawiający wskazywał, że rozwiązanie przez
niego żądane jest rozwiązaniem zapewniającym wyższy poziom zabezpieczenia i ochrony
danych przed nieupoważnionym dostępem do nich w przypadku kradzieży lub zagubienia
urządzenia, zarówno w komputerach stacjonarnych, notebookach jak też komputerach typu
All i One.
Zgodnie ze stanowiskiem Zamawiającego, układy TPM poza bezpiecznym
przechowywaniem kluczy szyfrujących, zapewniają skuteczną ochronę certyfikatom i hasłom
używanym do logowania się do systemu. Ponadto, jak wskazał Zamawiający wymaganie
posiadania układów TPM, jest stosowane w zakresie sprzętu posiadanego przez
Zamawiającego, jako jedno z niezbędnych zabezpieczeń urządzeń komputerowych, będące
w zgodzie z polityką bezpieczeństwa. Zdaniem Zamawiającego również żądane przez niego
rozwiązanie jest rozwiązaniem stricte sprzętowym, który zapewnia bezpieczne
przechowywanie kluczy szyfrujących, oraz skuteczną ochronę certyfikatom i hasłom
używanym do logowania się do systemu. Natomiast rozwiązanie wnioskowane przez
Odwołującego, tj. dopuszczenia ochrony wyłącznie w standardzie fTPM stanowi rozwiązanie
działające jedynie w warstwie aplikacyjnej, nie stanowi fizycznego elementu (jak przy
rozwiązaniu TPM). W związku z powyższym, w celu złamania zabezpieczenia
wprowadzonego w standardzie fTMP i uzyskania dostępu do danych, wystarczające jest
jedynie znalezienia luki w oprogramowaniu. Takie ataki są najprostsze do przeprowadzenia i
nie wymagają posiadania specjalistycznego sprzętu, dlatego też fTPM stanowi rozwiązanie
znacznie mniej bezpieczne. Zamawiający wyjaśnił również, że w przeciwieństwie do
rozwiązania fTPM, rozwiązanie Hardware TPM działa w warstwie fizycznej dlatego nie jest
podatne na ataki softwareowe, co znacząco zwiększa bezpieczeństwo danych.
Ponadto podkreślić należy, że z dowodu przedłożonego przez Przystępującego
Intaris wynika, że: „wbudowany TPM zapewnia najwyższy poziom bezpieczeństwa (…).
Celem tego poz
iomu jest zapewnienie, że urządzenie, które chroni, działa w ten sposób aby
nie dać się zhakować nawet wyrafinowanymi metodami. Aby to osiągnąć, zaprojektowano i
wbudowano chip w celu zapewnienia najwyższego poziomu bezpieczeństwa, który jest
odporny na ma
nipulacje przy chipie, w tym sondowanie go i zamrażanie za pomocą różnego
rodzaju wyrafinowanych ataków”. Natomiast fTPM: „jest zaimplementowany w chronionym
oprogramowaniu. Kod działa na głównym procesorze, więc oddzielny chip nie jest
wymagany. Podczas d
ziałania jak każdy inny program kod jest chroniony w środowisku
wykonawczym zwanym zaufanym środowiskiem wykonawczym (TEE), które jest oddzielone
od reszty programów uruchomionych na CPU. W ten sposób mogą to być sekrety, takie jak
Sygn. akt KIO 350/21
klucze prywatne wymagane
przez TPM, ale nie powinny być dostępne dla innych, mogą być
przechowywane w TEE, tworząc bardziej utrudniony dostęp dla hakerów.
Oprócz braku odporności na manipulacje, wadą TEE lub oprogramowania
układowego TPM jest to, że w tym przypadku TPM jest zależny od wielu dodatkowych
aspektów zapewniających jego bezpieczeństwo, w tym działania systemu TEE, błędy w
kodzie aplikacji działającej w TEE itp.”
Uwzględniając powyższe wyjaśnienia Zamawiającego, a także dowody przedłożone
przez Przystępujących po stronie Zamawiającego, Izba w składzie orzekającym stwierdziła,
że decyzję Zamawiającego o wprowadzeniu wymagania dotyczącego żądania aby
oferowane urządzenia posiadały wbudowany w płytę główną dedykowany moduł sprzętowy
szyfrujący w standardzie TPM w wersji min. 2.0 z certyfikatem TCG tzw. Hardware TPM
należy uznać za podyktowaną dążeniem do zapewnienia najwyższego poziomu ochrony
danym zawartym na zamawianych urządzeniach, tj. w stopniu uniemożliwiającym ich
pozyskanie przez osoby nieuprawnione.
Podkreślić należy, że Zamawiający uzasadnił swoją decyzję o niedopuszczeniu
określonego rozwiązania technicznego, tj. proponowanego przez Odwołującego rozwiązania
fTPM, natomiast Odwołujący, na którym spoczywał ciężar dowodu, że zaskarżone
postanowienia SIWZ narusza prze
pisy Pzp, nie zdołał podważyć zasadności takiego
rozwiązania. Odwołujący nie udowodnił w żaden sposób, że brak jest istotnych różnic
pomiędzy poziomem zabezpieczenia urządzeń. Ponadto wbrew twierdzeniom Odwołującego
Zamawiający wykazał, że rozwiązanie TPM sprzętowe nie ogranicza konkurencji zarówno
pomiędzy produktami jak i wykonawcami. Rozwiązanie to, jak wskazał Zamawiający stosuje
wielu producentów komputerów m. in. DELL, HP, Lenovo, Apple, Acer, ASUS, Fujitsu
(również serwery), Gigabyte (płyty główne), Intel, IBM, Toshiba, MSI posiadających w swojej
ofercie w sumie kilkadziesiąt sztuk sprzętu w których TPM jest standardem w linii
biznesowej. Odwołujący natomiast nie przedłożył żadnego dowodu potwierdzającego
niemożność nabycia przez niego płyty głównej spełniającej wymagania Zamawiającego, np.
od swojego partnera biznesowego Gigabyte, który jak wskazywał Zamawiający takie płyty
oferuje. Twierdzenie Odwołującego co do trudności pozyskania takiego dowodu od ww.
podmiotu Izba uznała za nieudowodnione, bowiem po pierwsze zauważyć należy, że
Odwołujący miał ponad miesiąc czasu na pozyskanie takiego oświadczenia, a po drugie nie
uprawdopodobnił, że o takie oświadczenie w ogóle występował. Zauważyć również należy,
że zgodnie z „Rekomendacjami Prezesa Urzędu Zamówień Publicznych dotyczącymi
udzielania zamówień publicznych na dostawę zestawów komputerowych” z marca 2021,
Sygn. akt KIO 350/21
wprowadzone do SIWZ wymaganie nie tylko jest właściwe, ale forma wymagania przyjęta
przez Zamawiającego wskazana jest jako rozwiązanie rekomendowane.
W konsekwencji powyższych rozważań Izba stwierdziła, że Odwołujący nie podważył
uzasadnionych potrzeb Zamawiającego wyrażonych w opisie przedmiotu zamówienia i za
nieuzasadnione uznała zarzuty naruszenia art. 29 ust. 1 i 2 w zw. z art. 7 ust. 1 Pzp.
Mając na uwadze powyższe orzeczono jak w sentencji.
O kosztach postępowania odwoławczego Izba orzekła na podstawie art. 557 i 575
Pzp z 2019 r. w zw. z § 8 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów w sprawie
szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania oraz
wysokości i sposobu pobierania wpisu od odwołania z dnia 30 grudnia 2020 r. (Dz. U. z
2020r. poz. 2437).
Przewodniczący:……………………………..
Członkowie: ……………………………..
……………………………..
Otrzymuj raz w tygodniu aktualne informacje
o zmianach w prawie oraz komentarzach ekspertów
Otrzymasz darmowy e-book w prezencie!
„6 pytań o znowelizowane przepisy Pzp"