Postanowienie KIO 2423/23 z 30 sierpnia 2023
Najważniejsze informacje dla przetargu
- Rozstrzygnięcie
- umorzono
- Zamawiający
- Sąd Apelacyjny w Krakowie reprezentowany przez pełnomocnika - Centrum Zakupów dla Sądownictwa Instytucję Gospodarki Budżetowej
- Powiązany przetarg
- Brak połączenia
- Podstawa PZP
- art. 520 Pzp
Strony postępowania
- Odwołujący
- SOFTINET sp. z o.o.
- Zamawiający
- Sąd Apelacyjny w Krakowie reprezentowany przez pełnomocnika - Centrum Zakupów dla Sądownictwa Instytucję Gospodarki Budżetowej
Treść orzeczenia
- sygn. akt
- KIO 2423/23
POSTANOWIENIE z dnia 30 sierpnia 2023 r.
Krajowa Izba Odwoławcza - w składzie:
- Przewodniczący
- Monika Banaszkiewicz Członkowie:
Marek Bienias Adriana Urbanik
Protokolant:Mikołaj Kraska po rozpoznaniu na posiedzeniu niejawnym z udziałem stron w dniu 30 sierpnia 2023 r. w Warszawie odwołania wniesionego do Prezesa Krajowej Izby Odwoławczej w dniu 14 sierpnia 2023 r. przez wykonawcę SOFTINET sp. z o.o. z siedzibą w Warszawie w postępowaniu prowadzonym przez Sąd Apelacyjny w Krakowie reprezentowany przez
pełnomocnika - Centrum Zakupów dla Sądownictwa Instytucję Gospodarki Budżetowej, przy udziale wykonawcy STRYVE CEE sp. z o.o. z siedzibą w Warszawie zgłaszającego przystąpienie do postępowania odwoławczego po stronie odwołującego
- umorzyć postępowanie odwoławcze, 2.nakazać zwrot z rachunku bankowego Urzędu Zamówień Publicznych na rzecz wykonawcy SOFTINET sp. z o.o. z siedzibą w Warszawie, kwoty 13 500 zł (słownie: trzynaście tysięcy pięćset złotych zero groszy), tytułem zwrotu 90% uiszczonego wpisu.
Stosownie do art. 579 ust. 1 i art. 580 ust. 1 i 2 ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (t.j.
Dz.U. z 2023 r. poz. 1605) na niniejsze postanowienie – w terminie 14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie.
- Przewodniczący
- …………………….………..
- Członkowie
- ……………………………… ………………………………
- Sygn. akt
- KIO 2423/23
Zamawiający – Sąd Apelacyjny w Krakowie reprezentowany przez pełnomocnika - Centrum Zakupów dla Sądownictwa Instytucję Gospodarki Budżetowej, prowadzi z odpowiednim zastosowaniem przepisów ustawy z dnia 11 września 2019 r. Prawo zamówień publicznych (t.j. Dz.U. z 2023 r. poz. 1605, dalej: „ustawa Pzp”) postępowanie o udzielenie zamówienia publicznego w trybie przetargu nieograniczonego pn. „Dostawa rozwiązania informatycznego obejmującego funkcjonalność rozszerzonego wykrywania i reakcji na zagrożenia w różnych warstwach zabezpieczeń, zapewniająca kompleksową ochronę środowiska informatycznego przed atakami oraz świadczenie innych usług towarzyszących” nr post.: W ZP-421-5/2023. Ogłoszenie o zamówieniu zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej numer 2023/S 149-471902 z dnia 4 sierpnia 2023 r.
Informację stanowiącą podstawę do wniesienia odwołania odwołujący powziął w dniu 4 sierpnia 2023 r. – dzień zamieszczenia ogłoszenia w Dzienniku Urzędowym Unii Europejskiej numer 2023/S 149-471902.
W dniu 14 sierpnia 2023 r. do Prezesa Krajowej Izby Odwoławczej wpłynęło odwołanie wykonawcySOFTINET sp. z o.o. z siedzibą w Warszawie wobec postanowień treści Specyfikacji Warunków Zamówienia (dalej: „SW Z”), sporządzonych przez zamawiającego w zakresie:
I wymagań technicznych dot. oferowanego rozwiązania – załącznik nr 2 do SWZ Opis Przedmiotu Zamówienia [ZARZUT#1]:
- pkt 2 ppkt 7 załącznika nr 2 do SWZ Opis Przedmiotu Zamówienia (dalej jako:
„OPZ”) w zakresie sformułowania następujących wymogów [ZARZUT#1.1]:
„Cały System, wraz z gromadzonymi danymi analitycznymi musi być szyfrowany kluczami szyfrującymi wygenerowanymi i zarządzanymi przez Odbiorcę i w taki sposób, aby była możliwość w każdej chwili odwołania bądź zmiany użytych kluczy szyfrujących"
- pkt 2 ppkt 10 OPZ i sformułowania następujących wymogów [ZARZUT#1.2]:
„Wszystkie składniki Systemu MUSZĄ być konfigurowalne i zarządzane przez jeden spójny interfejs. Nie dopuszcza się, aby składniki Systemu posiadały
oddzielne pulpity/konsole do zarządzania konkretnymi funkcjami bezpieczeństwa, a dostęp do nich realizowany jest przez pojedyncze logowanie (Single Sign-On)”.
- pkt 2 ppkt 14 OPZ i sformułowania następujących wymogów [ZARZUT#1.3]:
„System MUSI umożliwiać przypisywanie użytkowników do grup użytkowników”.
- pkt 2 ppkt 25 OPZ i sformułowania następujących wymogów [ZARZUT#1.4]:
„System MUSI umożliwiać skonfigurowanie okna czasu, po którym użytkownik zostanie automatycznie wylogowany z Systemu oraz posiadać możliwość automatycznego zawieszania kont użytkowników, którzy nie logowali się dłużej niż określona liczba dni”.
- pkt 2 ppkt 31 OPZ i sformułowania następujących wymagań [ZARZUT#1.5]:
„System MUSI posiadać możliwość określenia strefy czasowej wykorzystywanej do reprezentowania znaczników czasowych w interfejsie zarządzania oraz formatu tego znacznika co najmniej w takim zakresie, aby uwidaczniał on strefę czasową”.
- pkt 2 ppkt 32 lit a-c OPZ i sformułowania następujących wymogów [ZARZUT#1.6]:
„System MUSI posiadać możliwość instalacji oprogramowania agenta co najmniej dla następujących Systemów operacyjnych i środowisk: a) Windows 7, 8, 10 i 11 (włącznie ze środowiskiem Persistent oraz Non-Persistent VDI) b) Windows Server 2012 R2, 2016 standard i core, 2019 standard i core oraz 2022, c) Linux i. Red Hat Enterprise Linux 7, 8 i 9 ii. SUSE Linux Enterprise Server 11, 12 i 15”.
- pkt 2 ppkt 33 lit a i b OPZ i sformułowania następujących wymogów [ZARZUT#1.7]:
„System MUSI umożliwiać wygenerowanie i pobranie pakietu instalacyjnego: a) W formacie msi dla Systemów Windows, b) W formacie rpm, deb i sh dla Systemów Linux,”.
- pkt 2 ppkt 34 OPZ i sformułowania następujących wymogów [ZARZUT#1.8]:
„Pakiet instalacyjny agenta dla Systemów Windows, macOS, Linux i klastrów Kubernetes MUSI posiadać możliwość: a) Przypisanie do hosta nieusuwalnego znacznika (w procesie instalacji agenta) , który może być wykorzystany do tworzenia dynamicznych grup hostów i określenia zakresu dostępu jaki posiada rola użytkownika, b) Wyłączenia opcji wykonywania skryptów, c) Wyłączenia opcji pobierania plików, d) Wyłączenia opcji dostępu do linii poleceń.”.
- pkt 2 ppkt 38 OPZ i sformułowania następujących wymogów [ZARZUT#1.9]:
„System MUSI posiadać możliwość skonfigurowania manualnej i automatycznej aktualizacji agenta dla wskazanych grup hostów. Polityka automatycznej konfiguracji agenta MUSI umożliwiać określenie takich parametrów jak: a) Dnia tygodnia i zakresu czasu, w którym wykonywana jest aktualizacja, b) Maksymalnej liczby równolegle aktualizowanych agentów, c) Możliwość zdefiniowania zakresu: tylko aktualizacje naprawcze, tylko aktualizacje naprawcze w ramach wskazanej nowej wersji, najnowsza wersja, najnowsza przedostatnia wersja, d) Opóźnienie aktualizacji o wskazaną liczbę dni od publikacji nowej wersji, e) Globalnego limitu na wykorzystanie pasma przy bezpośrednim pobieraniu z Systemu, f) Źródła aktualizacji agenta”.
- pkt 2 ppkt 40 OPZ i sformułowania następujących wymogów [ZARZUT#1.10]:
„System MUSI umożliwiać różnicowanie konfiguracji agenta i modułów bezpieczeństwa poprzez przypisanie rożnych profili konfiguracyjnych do wybranych grup hostów lub pojedynczych hostów”.
- pkt 2 ppkt 58 OPZ i sformułowania następujących wymogów [ZARZUT#1.11]:
„System dla każdego wprowadzonego pojedynczego i złożonego wskaźnika kompromitacji MUSI wygenerować alarm(-y):
a) jeśli znacznik został odszukany w historycznych danych telemetrycznych (zgromadzonych przed dodaniem wskaźnika) b) jeśli znacznik zostanie odszukany w nowych danych telemetrycznych”.
- pkt 2 ppkt 61 OPZ i sformułowania następujących wymogów [ZARZUT#1.12]:
„System MUSI umożliwiać globalne blokowanie uruchamiania/ładowania plików binarnych z wykorzystaniem funkcji skrótu SHA256”.
- pkt 2 ppkt 66 OPZ i sformułowania następujących wymogów [ZARZUT#1.13]:
„W ramach incydentu System MUSI umożliwiać grupowanie: a) powiązanych z incydentem użytkowników, b) Hostów, c) Plików, d) Domen, e) Adresów IP”.
- pkt 2 ppkt 69 OPZ i sformułowania następujących wymogów [ZARZUT#1.14]:
„System MUSI umożliwiać zarządzanie incydentami co najmniej w następującym zakresie: a) Przypisanie incydentu do analityka, b) Zmianę stanu incydentu: badany, false positive, true positive, duplikat, testy, c) Dodawanie notatek, d) Komunikacja z innymi analitykami, e) Raportowanie czasu MTTR."
- pkt 2 ppkt 72 lit. a, c, e, i-k, t ppkt i-ii, v oraz y OPZ i sformułowania następujących wymogów [ZARZUT#1.15]:
„Agent dla Systemów operacyjnych z rodziny Windows: a) MUSI posiadać możliwość pobierania aktualizacji agenta i aktualizacji modułów bezpieczeństwa: i. Bezpośrednio z Systemu, ii. Od innych hostów w tej samej podsieci (peer-to-peer). (…) c) MUSI umożliwiać: i. Ukrycie ikony agenta w zasobniku Systemowym, ii. Wyłączenie powiadomień o zablokowanych zagrożeniach, iii. Wyłączenie powiadomień o załączeniu i wyłączeniu izolacji sieciowej, iv. Wyłączenie powiadomień o nawiązaniu zdalnego połączenia konsolowego, v. Użycie komunikatów i powiadomień w języku Polskim, vi. Zarządzanie host firewallem hosta z wykorzystaniem Windows Filtering Platform, vii. Kontrolę urządzeń pamięci masowej na porcie USB w zakresie dopuszczenia dostępu do pamięci, dostępu w trybie tylko do odczytu i pełnego dostępu, viii. Weryfikację stanu szyfrowania dysków, ix. Wyszukiwanie plików po skrócie SHA256 i po ścieżce włączając w to pliki, ktore zostały usunięte, x. Usuwanie plików po SHA256 i po wskazaniu ścieżki do pliku, (…) e) powinien posiadać wbudowany moduł obsługujący skrypty python w wersji 3.7 lub nowszy i możliwość uruchamiania wbudowanych i własnych skryptow python. (…) i) MUSI posiadać możliwość blokowania uruchamiania programów z zewnętrznej pamięci masowej podłączonej na porcie USB i z napędów optycznych. j) MUSI posiadać możliwość blokowania uruchamiania programów ze wskazanych lokalizacji w Systemie plików. k) MUSI posiadać możliwość blokowania uruchamiania programów z zasobów sieciowych poza wybranymi ścieżkami. (…) t) MUSI zapewnić ochronę przed znanymi i nieznanymi złośliwymi plikami
binarnymi umożliwiając skonfigurowanie co najmniej następujących mechanizmów: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza terytorium Unii Europejskiej), (…) v) MUSI zapewnić ochronę przed znanymi i nieznanymi złośliwymi makrami co najmniej w plikach Microsoft Word i Microsoft Excel umożliwiając skonfigurowanie co najmniej następujące mechanizmy: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza terytorium Unii Europejskiej), iii. Lokalna analiza statyczna. (…) y) MUSI posiadać możliwość manualnego wyłączenia izolacji sieciowej w przypadku, gdy agent utracił łączność z Systemem. Wyłączenie izolacji sieciowej MUSI być zabezpieczone hasłem. Każdy host MUSI posiadać własne hasło, tak aby można było je podać bezpiecznie użytkownikowi bez obawy, że inni użytkownicy zaczną wyłączać agenta. Hasło MUSI być automatycznie rotowane przez System nie rzadziej niż co dwa tygodnie”.
- pkt 2 ppkt 73 lit. a, c, e, k ppkt i-ii, n OPZ i sformułowania następujących wymogów [ZARZUT#1.16]:
„Agent dla Systemów operacyjnych z rodziny macOS: a) MUSI posiadać możliwość pobierania aktualizacji agenta i aktualizacji modułów bezpieczeństwa: i. Bezpośrednio z Systemu, ii. Od innych hostów w tej samej podsieci (peer-to-peer). (…) c) MUSI umożliwiać: i. Ukrycie ikony agenta w zasobniku Systemowym, ii. Wyłączenie powiadomień o zablokowanych zagrożeniach, iii. Wyłączenie powiadomień o załączeniu i wyłączeniu izolacji sieciowej, iv. Wyłączenie powiadomień o nawiązaniu zdalnego połączenia konsolowego, v. Użycie komunikatów i powiadomień w języku Polskim, vi. Zarządzanie firewallem hosta, vii. Kontrolę urządzeń pamięci masowej na porcie USB w zakresie dopuszczenia dostępu do pamięci, dostępu w trybie tylko do odczytu i pełnego dostępu, viii. Weryfikację stanu szyfrowania dysków, ix. Wyszukiwanie plików po skrócie SHA256 i po ścieżce włączając w to pliki, które zostały usunięte, x. Usuwanie plików po SHA256 i po ścieżce. (…) e) powinien posiadać wbudowany moduł obsługujący skrypty python w wersji 3.7 lub nowszy i możliwość uruchamiania wbudowanych i własnych skryptów python. (…) k) MUSI zapewnić ochronę przed znanymi i nieznanymi złośliwymi plikami binarnymi wykorzystując co najmniej następujące mechanizmy: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza terytorium Unii Europejskiej), (…) n) MUSI posiadać możliwość manualnego wyłączenia izolacji sieciowej w przypadku, gdy agent utracił łączność z Systemem. Wyłączenie izolacji sieciowej
MUSI być zabezpieczone hasłem. Każdy host MUSI posiadać własne hasło, tak aby można było je podać bezpiecznie użytkownikowi bez obawy, że inni użytkownicy zaczną wyłączać agenta. Hasło MUSI być automatycznie rotowane przez System nie rzadziej niż co dwa tygodnie”.
- pkt 2 ppkt 74 lit. a, e, k ppkt i-ii, n OPZ i sformułowania następujących wymogów [ZARZUT#1.17]:
„Agent dla Systemów operacyjnych z rodziny Linux i klastrów Kubernetes: a) MUSI posiadać możliwość pobierania aktualizacji agenta i aktualizacji modułów bezpieczeństwa: i. Bezpośrednio z Systemu, ii. Z komponentu pośredniczącego, iii. Od innych hostów w tej samej podsieci (peer-to-peer). (…) e) MUSI posiadać wbudowany moduł obsługujący skrypty python w wersji 3.7 lub nowszy i możliwość uruchamiania wbudowanych i własnych skryptow python. (…) k) MUSI zapewnić ochronę przed znanymi i nieznanymi złośliwymi plikami binarnymi wykorzystując co najmniej następujące mechanizmy: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza; (…) n) MUSI posiadać możliwość manualnego wyłączenia izolacji sieciowej w przypadku, gdy agent utracił łączność z Systemem. Wyłączenie izolacji sieciowej MUSI być zabezpieczone hasłem. Każdy host MUSI posiadać własne hasło, tak aby można było je podać bezpiecznie użytkownikowi bez obawy, że inni użytkownicy zaczną wyłączać agenta. Hasło MUSI być automatycznie rotowane przez System nie rzadziej niż co dwa tygodnie”.
- pkt 2 ppkt 76 lit. e i g OPZ i sformułowania następujących wymogów [ZARZUT#1.18]:
„76. Agent dla Systemów operacyjnych iOS: (…) e) MUSI zapewniać ochronę przed podejrzanymi połączeniami głosowymi (ochrona przeciw vishingowa), (…) g) MUSI mieć opcję okresowego przypominania o konieczności restartu telefonu.”.
W zakresie powyższych postanowień SWZ odwołujący zarzucił zamawiającemu naruszenie:
- art. 99 ust. 1 i ust. 4 w zw. z art. 16 pkt 1 i 3 PZP poprzez opisanie przedmiotu zamówienia w sposób niejednoznaczny, niewyczerpujący i nieuwzględniający wszystkich okoliczności mających wpływ na sporządzenie oferty przez wykonawców oraz w sposób uniemożliwiający uczciwą konkurencję, naruszający zasadę równego traktowania wykonawców oraz nieproporcjonalny do przedmiotu zamówienia, poprzez sformułowanie powyższych wymagań, w sposób który wprost wskazuje na rozwiązanie oferowane przez jednego producenta – Palo Alto Networks, Inc. (dalej: „Palo Alto Networks”) i rozwiązanie Palo Alto Cortex XDR– co w konsekwencji prowadzi do uniemożliwienia złożenia konkurencyjnej oferty przez wykonawców oferujących rozwiązania w pełni zgodne z wymaganiami i potrzebami Zamawiającego.
Stawiając powyższe zarzuty odwołujący wniósł o nakazanie zamawiającemu:
- modyfikacji wymagania z pkt 2 ppkt 7 OPZ poprzez jego usunięcie z treści SWZ;
- modyfikacji wymagania z pkt 2 ppkt 10 OPZ poprzez jego usunięcie z treści SWZ.
- modyfikacji wymagań z pkt 2 ppkt 14 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją lub jego usunięcie:
„System MUSI umożliwiać przypisywanie użytkowników do grup
użytkowników zarządzanie uprawnieniami pojedynczych jak i wielu użytkowników”.
- modyfikacji wymagań z pkt 2 ppkt 25 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją lub jego usunięcie:
„System MUSI umożliwiać skonfigurowanie okna czasu, po którym użytkownik zostanie automatycznie wylogowany z Systemu oraz posiadać możliwość automatycznego zawieszania kont użytkowników zawieszania lub kasowania kont użytkowników, którzy nie logowali się dłużej niż̇ określona liczba dni”.
- modyfikacji wymagań z pkt 2 ppkt 31 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją lub jego usunięcie:
„System MUSI posiadać możliwość określenia strefy czasowej wykorzystywanej do reprezentowania znaczników czasowych w interfejsie zarządzania oraz formatu tego znacznika co najmniej w takim zakresie, aby uwidaczniał on strefę czasową wykorzystywać lokalną strefę czasową do reprezentowania znaczników czasowych w interfejsie zarzadzania.
- modyfikacji wymagań z pkt 2 ppkt 32 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją lub jego usunięcie:
„System MUSI posiadać możliwość instalacji oprogramowania agenta co najmniej dla następujących Systemów operacyjnych i środowisk: a) Windows 7, 8, 10 i 11 (włącznie ze środowiskiem Persistent oraz Non-Persistent VDI) b) Windows Server 2012 R2, 2016 standard i core, 2019 standard i core oraz 2022, c) Linux i. Red Hat Enterprise Linux 7, 8 i 9 ii. SUSE Linux Enterprise Server 11, 12 i 15 iii. Ubuntu 18.04 LTS, 20.04 LTS i 22.04 LTS iv. Oracle Linux 6 i 7 v. CentOS 6,7 i 8 vi. Debian 9, 10 i 11 d) macOS 11.x, 12.x i 13.x e) środowisko klastrów Kubernetes f) Android 10,11 i 12 g) iOS 15.x i 16.x”.
- modyfikacji wymagań z pkt 2 ppkt 33 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„System MUSI umożliwiać wygenerowanie i pobranie pakietu instalacyjnego: a) W formacie msi dla Systemów Windows, b) W formacie rpm i deb i sh dla Systemów Linux,”.
- modyfikacji wymagań z pkt 2 ppkt 34 OPZ poprzez jego usunięcie z treści SWZ.
- modyfikacji wymagań z pkt 2 ppkt 38 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„System MUSI posiadać możliwość skonfigurowania manualnej i automatycznej aktualizacji agenta dla wskazanych grup hostów. Polityka automatycznej konfiguracji agenta MUSI umożliwiać określenie takich parametrów jak: a) Dnia tygodnia i zakresu czasu, w którym wykonywana jest aktualizacja, b) Maksymalnej liczby równolegle aktualizowanych agentów, c) Możliwość zdefiniowania zakresu: tylko aktualizacje naprawcze, tylko aktualizacje naprawcze w ramach wskazanej nowej wersji, najnowsza wersja, najnowsza przedostatnia wersja, d) Opóźnienie aktualizacji o wskazaną liczbę dni od publikacji nowej wersji, e) Globalnego limitu na wykorzystanie pasma przy bezpośrednim pobieraniu z Systemu, f) Źródła aktualizacji agenta”.
- modyfikacji wymagań z pkt 2 ppkt 40 OPZ poprzez jego usunięcie z treści SWZ
- modyfikacji wymagań z pkt 2 ppkt 58 OPZ poprzez zmianę treści wymagań
zgodnie z poniższą propozycją lub usunięcie pkt 2 ppkt 58 lit. a:
„System dla każdego wprowadzonego pojedynczego i złożonego wskaźnika kompromitacji MUSI wygenerować alarm(-y) pozwalać na: a) sprawdzenie czy nie występował on w historycznych danych telemetrycznych (zgromadzonych przed dodaniem wskaźnika) b) wygenerowanie alarmu jeśli znacznik zostanie odszukany w nowych danych telemetrycznych."
- modyfikacji wymagań z pkt 2 ppkt 61 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„System MUSI umożliwiać globalne blokowanie uruchamiania/ładowania plikow binarnych z wykorzystaniem funkcji skrótu MD5 lub SHA1 lub SHA256”.
- modyfikacji wymagań z pkt 2 ppkt 66 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„W ramach incydentu System MUSI umożliwiać grupowanie System MUSI umożliwiać, dla konkretnego incydentu, wyświetlenie listy: a) powiązanych z incydentem użytkowników, b) Hostów, c) Plików, d) Domen, e) Adresów IP”.
- modyfikacji wymagań z pkt 2 ppkt 69 OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„System MUSI umożliwiać, dla konkretnego incydentu, wyświetlenie listy W ramach incydentu System MUSI umożliwiać grupowanie: a) powiązanych z incydentem użytkowników, b) Hostów, c) Plików, d) Domen, e) Adresów IP”.
- modyfikacji wymagań z pkt 2 ppkt 72 lit. a, c, e, i-k, t ppkt i-ii, v oraz y OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„Agent dla Systemów operacyjnych z rodziny Windows: a) MUSI posiadać możliwość pobierania aktualizacji agenta i aktualizacji modułów bezpieczeństwa: i. Bezpośrednio z Systemu, ii. Od innych hostów w tej samej podsieci (peer-to-peer). (…) c) MUSI umożliwiać: i. Ukrycie ikony agenta w zasobniku Systemowym, ii. Wyłączenie powiadomień o zablokowanych zagrożeniach, iii. Wyłączenie powiadomień o załączeniu i wyłączeniu izolacji sieciowej, iv. Wyłączenie powiadomień o nawiązaniu zdalnego połączenia konsolowego, v. Użycie komunikatów i powiadomień w języku Polskim lub angielskim, vi. Zarządzanie host firewallem hosta z wykorzystaniem Windows Filtering Platform, vii. Kontrolę urządzeń pamięci masowej na porcie USB w zakresie dopuszczenia dostępu do pamięci, dostępu w trybie tylko do odczytu i pełnego dostępu, viii. Weryfikację stanu szyfrowania dysków, ix. Wyszukiwanie plików po skrócie SHA256 i po ścieżce włączając w to pliki, które zostały usunięte, x. Usuwanie plików po SHA256 i po wskazaniu ścieżki do pliku, (…) e) powinien posiadać wbudowany moduł obsługujący języki skryptowe skrypty python w wersji 3.7 lub nowszy i możliwość uruchamiania wbudowanych i własnych skryptów python.
(…) i) MUSI posiadać możliwość zatrzymania programów uruchomionych blokowania uruchamiania programów z zewnętrznej pamięci masowej podłączonej na porcie USB i z napędów optycznych. j) MUSI posiadać możliwość zatrzymania programów uruchomionych blokowania uruchamiania programów ze wskazanych lokalizacji w Systemie plików. k) MUSI posiadać możliwość zatrzymania programów uruchomionych blokowania uruchamiania programów z zasobów sieciowych poza wybranymi ścieżkami. (…) t) MUSI zapewnić ochronę przed znanymi i nieznanymi złośliwymi plikami binarnymi umożliwiając skonfigurowanie co najmniej następujących mechanizmów: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza terytorium Unii Europejskiej), (…) v) MUSI zapewnić ochronę co najmniej dla plików Microsoft Word i Microsoft Excel zawierających znane i nieznane złośliwe makra przed znanymi i nieznanymi złośliwymi makrami co najmniej w plikach Microsoft Word i Microsoft Excel umożliwiając skonfigurowanie co najmniej następujących mechanizmów: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza terytorium Unii Europejskiej), iii. Lokalna analiza statyczna. (…) y) MUSI posiadać możliwość manualnego wyłączenia izolacji sieciowej w przypadku, gdy agent utracił łączność z Systemem. Wyłączenie izolacji sieciowej MUSI być zabezpieczone hasłem. Każdy host MUSI posiadać własne hasło, tak aby można było je podać bezpiecznie użytkownikowi bez obawy, że inni użytkownicy zaczną wyłączać agenta. Hasło MUSI być automatycznie rotowane przez System nie rzadziej niż co dwa tygodnie”.
- modyfikacji pkt 2 ppkt 73 lit. a, c, e, k ppkt i-ii, n OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„Agent dla Systemów operacyjnych z rodziny macOS: a) MUSI posiadać możliwość pobierania aktualizacji agenta i aktualizacji modułów bezpieczeństwa: i. Bezpośrednio z Systemu, ii. Od innych hostów w tej samej podsieci (peer-to-peer). (…) c) MUSI umożliwiać: i. Ukrycie ikony agenta w zasobniku Systemowym, ii. Wyłączenie powiadomień o zablokowanych zagrożeniach, iii. Wyłączenie powiadomień o załączeniu i wyłączeniu izolacji sieciowej, iv. Wyłączenie powiadomień o nawiązaniu zdalnego połączenia konsolowego, v. Użycie komunikatów i powiadomień w języku Polskim lub angielskim, vi. Zarządzanie firewallem hosta, vii. Kontrolę urządzeń pamięci masowej na porcie USB w zakresie dopuszczenia dostępu do pamięci, dostępu w trybie tylko do odczytu i pełnego dostępu, viii. Weryfikację stanu szyfrowania dysków, ix. Wyszukiwanie plików po skrócie SHA256 i po ścieżce włączając w to pliki, które zostały usunięte,
x. Usuwanie plików po SHA256 i po ścieżce. (…) e) powinien posiadać wbudowany moduł obsługujący języki skryptowe skrypty python w wersji 3.7 lub nowszy i możliwość uruchamiania wbudowanych i własnych skryptów python. (…) k) MUSI zapewnić ochronę przed znanymi i nieznanymi złośliwymi plikami binarnymi wykorzystując co najmniej następujące mechanizmy: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza terytorium Unii Europejskiej), (…) n) MUSI posiadać możliwość manualnego wyłączenia izolacji sieciowej w przypadku, gdy agent utracił łączność z Systemem. Wyłączenie izolacji sieciowej MUSI być zabezpieczone hasłem. Każdy host MUSI posiadać własne hasło, tak aby można było je podać bezpiecznie użytkownikowi bez obawy, że inni użytkownicy zaczną wyłączać agenta. Hasło MUSI być automatycznie rotowane przez System nie rzadziej niż co dwa tygodnie”.
- modyfikacji pkt 2 ppkt 74 lit. a, e, k ppkt i-ii, n OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„Agent dla Systemów operacyjnych z rodziny Linux i klastrów Kubernetes: a) MUSI posiadać możliwość pobierania aktualizacji agenta i aktualizacji modułów bezpieczeństwa: i. Bezpośrednio z Systemu, ii. Z komponentu pośredniczącego, iii. Od innych hostów w tej samej podsieci (peer-to-peer). (…) e) MUSI posiadać wbudowany moduł obsługujący języki skryptowe skrypty python w wersji 3.7 lub nowszy i możliwość uruchamiania wbudowanych i własnych skryptów python. (…) k) MUSI zapewnić ochronę przed znanymi i nieznanymi złośliwymi plikami binarnymi wykorzystując co najmniej następujące mechanizmy: i. Weryfikacja sha256 w bazie threat intelligence producenta Systemu, ii. Analiza dynamiczna w sandboxie producenta Systemu (nie dopuszcza się uruchomienia funkcji sandbox bezpośrednio na chronionym host oraz poza terytorium Unii Europejskiej); (…) n) MUSI posiadać możliwość manualnego wyłączenia izolacji sieciowej w przypadku, gdy agent utracił łączność z Systemem. Wyłączenie izolacji sieciowej MUSI być zabezpieczone hasłem. Każdy host MUSI posiadać własne hasło, tak aby można było je podać bezpiecznie użytkownikowi bez obawy, że inni użytkownicy zaczną wyłączać agenta. Hasło MUSI być automatycznie rotowane przez System nie rzadziej niż co dwa tygodnie”.
- modyfikacji pkt 2 ppkt 76 lit. e i g OPZ poprzez zmianę treści wymagań zgodnie z poniższą propozycją:
„76. Agent dla Systemów operacyjnych iOS: (…) e) MUSI zapewniać ochronę przed podejrzanymi połączeniami głosowymi (ochrona przeciw vishingowa), (…) g) MUSI mieć opcję okresowego przypominania o konieczności restartu telefonu”.
II. Kryteriów oceny ofert [Zarzut #2]
- Rozdział XIII pkt 2 lit b SWZ oraz pkt II.2.5) Ogłoszenia o zamówieniu [Zarzut #2.1] „Funkcjonalność F1 oferowanego Systemu” (F1) – w zakresie jakim Zamawiający przyzna dodatkowe 20 pkt „na podstawie oświadczenia Wykonawcy w Formularzu ofertowym oraz złożonego wraz z ofertą przedmiotowego środka dowodowego, wskazanego w Rozdz. IX pkt 2 ppkt 2.2.1. SWZ, w następujący sposób: - oferowany System zostanie uruchomiony w chmurze publicznej na terenie Polski (tj. chmura musi być hostowana w Polsce), a wszystkie elementy Systemu wykorzystywane przez Odbiorcę i Jednostki pozostaną w Polsce - 20 punktów - oferowany System zostanie uruchomiony w chmurze publicznej na terenie Unii Europejskiej - 0 punktów”.
- Rozdział XIII pkt 2 lit d SWZ oraz pkt II.2.5) Ogłoszenia o zamówieniu [Zarzut #2.2] „Funkcjonalność F3 oferowanego Systemu” (F3) – w zakresie jakim Zamawiający przyzna dodatkowe 5 pkt „na podstawie oświadczenia Wykonawcy w Formularzu ofertowym oraz złożonego wraz z ofertą przedmiotowego środka dowodowego, wskazanego w Rozdz. IX pkt 2 ppkt 2.2.1. SWZ, w następujący sposób: - oferowany System posiada opcję dystrybucji aktualizacji agenta w trybie peer-to-peer, celem zmniejszenia obciążenia łączy WAN i Internet - 5 punktów - oferowany System nie posiada ww. funkcjonalności - 0 punktów”.
18
- Rozdział XIII pkt 2 lit f SWZ oraz pkt II.2.5) Ogłoszenia o zamówieniu [Zarzut #2.3] „Funkcjonalność F5 oferowanego Systemu” (F5) – w zakresie jakim Zamawiający przyzna dodatkowe 5 pkt „na podstawie oświadczenia Wykonawcy w Formularzu ofertowym oraz złożonego wraz z ofertą przedmiotowego środka dowodowego, wskazanego w Rozdz. IX pkt 2 ppkt 2.2.1. SWZ, w następujący sposób: - oferowany System umożliwia uruchamianie skryptów python 3.x na MacOS, Linux oraz Windows na pojedynczej stacji roboczej lub ich grupach. Funkcjonalność musi być wbudowana w agenta i nie może wymagać dodatkowej instalacji środowiska uruchomieniowego python 3.x.- 5 punktów - oferowany System nie posiada ww. funkcjonalności - 0 punktów”.
W zakresie powyższego postanowienia SWZ odwołujący zarzucił zamawiającemu naruszenie następujących przepisów:
- art. 240 ust. 1 i 2 w zw. z art. 241 ust. 1 w zw. z art. 242 ust. 2 pkt 1-6 w zw. z art. 16 pkt 1-3 PZP poprzez wprowadzenie niejednoznacznych, niezrozumiałych i dyskryminacyjnych kryteriów oceny ofert we wskazanym powyżej zakresie, które zostało sformułowane: a) w sposób jednoznacznie faworyzujący rozwiązania określonego producenta (Palo Alto), który jest jedynym podmiotem spełniającym ww. kryteria, b) w sposób uniemożliwiający uzyskanie punktacji w omawianym kryteriach przez producentów, którzy oferują równoważne usługi chmurowe zlokalizowane w Unii Europejskiej lub na terenie EW G (Europejskiej Wspólnoty Gospodarczej), c) w sposób uniemożliwiający prawidłowe porównanie ofert.
- art. 16 pkt 1-3 PZP poprzez prowadzenie Postępowania w sposób naruszający zasadę uczciwej konkurencji i równego traktowania wykonawców ze względu na opisanie kryteriów oceny ofert w sposób, który bezpodstawnie preferuje jednego producenta oprogramowania i uniemożliwia złożenie konkurencyjnych ofert wykonawcom, którzy oferują odpowiadające potrzebom Zamawiającego równoważne rozwiązania.
Stawiając powyższe zarzuty odwołujący wnosił o nakazanie Zamawiającemu:
- dokonania modyfikacji SWZ poprzez usunięcie kryterium F1.
- dokonania modyfikacji SWZ poprzez usunięcie kryterium F3.
- dokonania modyfikacji SWZ poprzez usunięcie kryterium F5.
Odwołujący wnosił ponadto o:
- zasądzenie od zamawiającego na rzecz odwołującego zwrotu kosztów postępowania odwoławczego, w tym zwrotu kosztów wynagrodzenia pełnomocnika, zgodnie z fakturą, która zostanie przedłożona na rozprawie,
- dopuszczenie i przeprowadzenie dowodów na okoliczności wskazane w treści odwołania oraz dowodów, które
zostaną złożone przez Odwołującego na rozprawie.
Skład orzekający Krajowej Izby Odwoławczej, wyznaczony do rozpoznania niniejszej sprawy ustalił i zważył, co następuje:
Izba stwierdziła, że nie ma podstaw do odrzucenia odwołania, a także, że odwołujący posiada interes we wniesieniu odwołania.
Izba postanowiła dopuścić do udziału w postępowaniu odwoławczym wykonawcę STRYVE CEE sp. z o.o. z siedzibą w Warszawie, zgłaszającego przystąpienie do postępowania odwoławczego po stronie odwołującego.
W dniu 29 sierpnia 2023 r. (tj. przed dniem 30 sierpnia 2023 r., na który został wyznaczony termin posiedzenia) do akt sprawy wpłynęło pismo pełnomocnika Odwołującego, w którym oświadczył on, że cofa w całości odwołanie z dnia 14 sierpnia 2023 r. oraz wnosi o zwrot 90% wpisu od odwołania.
Mając powyższe na uwadze, Izba zważyła i ustaliła, co następuje:
Odwołujący złożył oświadczenie o cofnięciu odwołania, które zostało podpisane przez osobę umocowaną do podjęcia tej czynności, a jak stanowi art. 520 ustawy Pzp, odwołujący może cofnąć odwołanie do czasu zamknięcia rozprawy, a cofnięte odwołanie nie wywołuje skutków prawnych, jakie ustawa wiąże z wniesieniem odwołania do Prezesa Izby.
Biorąc pod uwagę powyższe, Izba uznała, że zachodzą podstawy do umorzenia postępowania odwoławczego w oparciu o art. 568 pkt 1 ustawy Pzp, w myśl którego Izba umarza postępowanie odwoławcze, w formie postanowienia, w przypadku cofnięcia odwołania.
Zgodnie z § 9 ust. 1 pkt 3 lit. a rozporządzenia w sprawie szczegółowych rodzajów kosztów postępowania odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania (Dz.U. z 2020 r. poz. 2437):
W przypadku umorzenia postępowania odwoławczego przez Izbę w całości na skutek cofnięcia odwołania przed otwarciem rozprawy najpóźniej w dniu poprzedzającym dzień, na który został wyznaczony termin rozprawy lub posiedzenia z udziałem stron lub uczestników postępowania odwoławczego - odwołującemu zwraca się 90% wpisu; w takim przypadku Izba orzeka o dokonaniu zwrotu odwołującemu z rachunku Urzędu kwoty uiszczonej tytułem wpisu, w wysokości stanowiącej 90% jego wartości.
Wobec powyższego orzeczono, jak w sentencji.
- Przewodniczący
- ………………………….
- Członkowie
- …………………………. …………………………
Sprawdź nowe przetargi z podobnym ryzykiem
Ten wyrok pomaga ocenić spór po fakcie. Alert przetargowy pozwala wychwycić podobny problem na etapie SWZ, pytań, badania oferty albo decyzji o odwołaniu.
Podobne orzeczenia
Orzeczenia z największą wspólną podstawą PZP
- KIO 1992/26umorzono12 maja 2026Wspólna podstawa: art. 520 Pzp, art. 568 pkt 1 Pzp (2 wspólne przepisy)
- KIO 1547/26umorzono8 maja 2026Wspólna podstawa: art. 520 Pzp, art. 568 pkt 1 Pzp (2 wspólne przepisy)
- KIO 1651/26oddalono12 maja 2026Wspólna podstawa: art. 520 Pzp, art. 568 pkt 1 Pzp (2 wspólne przepisy)
- KIO 1925/26umorzono12 maja 2026Wspólna podstawa: art. 520 Pzp
- KIO 1594/26umorzono12 maja 2026Wykonanie w formule Projektuj-Buduj zadania polegającego na opracowaniu dokumentacji projektowej i wykonaniu na jej podstawie robót budowlanych polegających na przebudowie i rozbudowie Stadionu Miejskiego przy Al. Zygmuntowskich 5 w LublinieWspólna podstawa: art. 568 pkt 1 Pzp
- KIO 1483/26umorzono12 maja 2026Wspólna podstawa: art. 568 pkt 1 Pzp
- KIO 1554/26umorzono12 maja 2026Wykonanie w formule Projektuj-Buduj zadania polegającego na opracowaniu dokumentacji projektowej i wykonaniu na jej podstawie robót budowlanych polegających na przebudowie i rozbudowie Stadionu Miejskiego przy Al. Zygmuntowskich 5 w LublinieWspólna podstawa: art. 568 pkt 1 Pzp
- KIO 1670/26umorzono12 maja 2026Wspólna podstawa: art. 568 pkt 1 Pzp
Powiązane wyroki
Inne orzeczenia z udziałem tego samego składu orzekającego.
- KIO 1576/26umorzono7 maja 2026ten sam składLetnie oczyszczanie ulic – kompleks A
- KIO 1656/26umorzono5 maja 2026ten sam skład
- KIO 1337/26umorzono4 maja 2026ten sam skład
- KIO 1227/26oddalono4 maja 2026ten sam składWrzosy I" w Pszowie dla SRK Oddział Kopalnie Węgla Kamiennego w Całkowitej Likwidacji
- KIO 1622/26umorzono4 maja 2026ten sam skład
- KIO 1314/26umorzono29 kwietnia 2026ten sam skład