KIO 2021/16
-
Data orzeczenia:
-
Organ orzekający:
-
Skład sędziowski:
-
Protokolanci:Łukasz Listkiewicz
Powołane przepisy:
Dodatkowe informacje:
-
Sprawy przywołane w treści orzeczenia:
Pełny tekst orzeczenia
Sygn. akt KIO 2021/16
Sygn. akt: KIO 2021/16
WYROK
z dnia 14 listopada 2016 r.
Krajowa Izba Odwoławcza - w składzie:
Przewodniczący: Renata Tubisz
Protokolant: Łukasz Listkiewicz
po rozpoznaniu na rozprawie w dniu 8 listopada 2016 r. w Warszawie odwołania
wniesionego do Prezesa Krajowej Izby Odwoławczej w dniu 24 października 2016 r. przez
odwołującego: Integrated Solutions Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa
postępowaniu prowadzonym przez zamawiającego: Ministerstwo Finansów ul.
Świętokrzyska 12; 00-916 Warszawa
z udziałem przystępującego po stronie zamawiającego: Dimension Data Polska Sp. z
o.o. ul. Sienna 73; 00-833 Warszawa
orzeka
1. uwzględnia odwołanie i nakazuje zamawiającemu unieważnienie czynności wyboru
oferty najkorzystniejszej, odrzucenie oferty wykonawcy wybranego, dokonanie
ponownego badania, oceny ofert i wyboru oferty najkorzystniejszej.
2. kosztami postępowania obciąża Dimension Data Polska Sp. z o.o. ul. Sienna 73; 00-
833 Warszawa
i
2.1. zalicza w poczet kosztów postępowania odwoławczego kwotę 15.000 zł 00 gr
(słownie: piętnaście tysięcy złotych zero groszy) uiszczoną przez Integrated Solutions
Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa tytułem wpisu od odwołania,
2.2. zasądza od Dimension Data Polska Sp. z o.o. ul. Sienna 73; 00-833 Warszawa
kwotę 15.000 zł 00 gr (słownie: piętnaście tysięcy złotych zero groszy) na rzecz
Sygn. akt KIO 2021/16
Integrated Solutions Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa stanowiącą
koszty postępowania odwoławczego poniesione z tytułu wpisu od odwołania.
Stosownie do art. 198a i 198b ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień
publicznych (t.j. Dz. U. z 2015 r. poz. 2164 ze zm.) na niniejszy wyrok - w terminie 7 dni od
dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby
Odwoławczej do Sądu Okręgowego w Warszawie
Przewodniczący: ……………
Sygn. akt KIO 2021/16
Uzasadnienie
W dniu 24.10.2016 r. do Prezesa Krajowej Izby Odwoławczej ul. Postępu 17 a 02-676
Warszawa wniesione zostało odwołanie w postępowaniu prowadzonym przez
Zamawiającego: Ministerstwo Finansów ul. Świętokrzyska 12; 00-916 Warszawa zwane
dalej „zamawiający”.
Odwołanie zostało wniesione przez oferenta Integrated Solutions Sp. z o. o. ul.
Skierniewicka 10a; 01-230 Warszawa zwanego dalej „odwołującym”.
Ogłoszenie o zamówieniu opublikowane zostało w Dzienniku Urzędowym Unii Europejskiej
w dniu 20.04.2016 r. pod numerem 2016/S 077-136424.
Postępowanie o udzielenie zamówienia publicznego prowadzone przez zamawiającego w
trybie przetargu nieograniczonego dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa
dla Infrastruktury Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy
R/151/I5/DS/B/579.
Odwołanie dotyczy części II przedmiotu zamówienia.
Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia
20.10.2016 roku.
Odwołanie wniesiono na zaniechanie dokonania czynności, do której zamawiający był
zobowiązany na podstawie ustawy Pzp to jest zaniechania odrzucenia oferty złożonej przez
Dimension Data Polska Sp. z o. o. zwanej w toku postępowania odwoławczego
„przystępującym po stronie zamawiającego” lub ”wykonawcą wybranym” lub „zgłaszającym
sprzeciw”.
Naruszenie pzp nastąpiło w postępowaniu o udzielenie zamówienia publicznego na „Zakup i
wdrożenie systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa
Finansów”.
Podstawę wniesienia odwołania stanowił art. 180 ust. 1 ustawy z dnia 29 stycznia 2004 r.
Prawo zamówień publicznych, zwanej dalej „ustawą Pzp” lub „pzp”.
Odwołujący posiada interes w uzyskaniu zamówienia, ponieważ na część II zamówienia
złożone zostały dwie oferty w tym oferta odwołującego oraz wykonawcy
wybranego/przystępującego w sprawie.
Sygn. akt KIO 2021/16
W związku powyższym jest podmiotem uprawnionym do złożenia środka ochrony prawnej w
rozumieniu art. 179 ust. 1 pzp.
Zarzuty odniesione do art. 89 ust. 1 pkt 2) pzp - poprzez zaniechanie odrzucenia oferty
złożonej przez wykonawcę wybranego, pomimo tego, iż treść jego oferty nie odpowiada
treści specyfikacji istotnych warunków zamówienia (SIWZ). Zarzut odwołujący precyzuje do
nie spełnienia wymagań opisanych w SIWZ w odniesieniu do systemu kontrolowanego
dostępu do zasobów sieciowych (SKD).
W związku z przedstawionymi zarzutami odwołujący żąda: unieważnienia wyboru oferty
najkorzystniejszej, odrzucenia oferty złożonej przez wykonawcę wybranego, dokonania
ponownej czynności badania i oceny ofert, dokonania ponownej czynności wyboru oferty
najkorzystniejszej.
O wyborze najkorzystniejszej oferty zamawiający powiadomił wykonawców w dniu
14.10.2016 r. Wobec czego termin na wniesienie odwołania, o którym mowa w art. 182 ust. 1
pkt 1) pzp odwołujący dochował wnosząc odwołanie w dniu 24 października 2016 roku. W
tym samym dniu kopię odwołania przesłał zamawiającemu. Odwołanie nie podlega
odrzuceniu w myśl art.189 ust.2 pzp
Przedstawiając uzasadnienie faktyczne przywołano załącznik nr 7 do umowy - Opis
środowiska zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych - w
tabeli 2 - Lista urządzeń zamawiającego, wskazał listę urządzeń, z którymi będzie
współpracował oferowany system SKD (System kontrolowanego dostępu do zasobów
sieciowych), przy czym dla urządzeń końcowych (klienckich) zamawiający wskazał, iż
system będzie działał z następującymi urządzeniami:1) komputery PC pracujące pod
kontrolą systemu Windows 7/8/10 w liczbie 2300 sztuk,2) Drukarki sieciowe w liczbie 250
sztuk,
3)Telefony VoIP AASTRA 67571 IP Phone w liczbie 50 sztuk, 4) Tablety z systemem
operacyjnym Windows 8/10, Android, iOS w liczbie 400 sztuk ,
5)Smartfony/telefony GSM z systemem operacyjnym Windows Phone/10, Android, iOS w
liczbie 400 sztuk, co wskazuje na sumaryczną liczbę urządzeń końcowych systemu SKD
wynoszącą 3400 sztuk
Jednocześnie Zamawiający w załączniku nr 3 Załącznika E do SIWZ Wzory umów dla
Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów
sieciowych (SKD)” w tabeli 1, wierszu 18, str. 57, wymaga by system SKD zapewnił obsługę
minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z
punktu widzenia użytkownika końcowego.
Sygn. akt KIO 2021/16
Jednocześnie Zamawiający w załączniku "D" do SIWZ (wykaz cech oferowanych produktów)
w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) - w wierszu lp. 9 -
wskazał jednoznacznie, iż system, cyt: "SKD dynamicznie i automatycznie musi
rozpoznawać rodzaj oraz producenta sprzętu i na tej podstawie przydzielać do
odpowiedniego profilu zdefiniowanego wcześniej w SKD, w szczególności musi zapewniając
co najmniej: dynamiczną klasyfikację każdego sprzętu, który jest podłączany so sieci LAN
MF ", po czym zamawiający wymienia wraz ze szczegółowym opisem realizacji celu
wszystkie funkcjonalności jakie ma realizować SKD.Odwołujący we wniesionym odwołaniu
na szczególną uwagę zwrócił na pierwsze z wymagań w brzmieniu cyt: "dynamiczną
klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne
rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który
łączy się z siecią LAN MF)," oraz "identyfikowanie i klasyfikacja rodzaju i typu sprzętu
niezależnie od tożsamości użytkownika", a także pozostałe wymagania wskazane w lp. 9
ww. załącznika.
Według twierdzeń odwołującego dla realizacji tych wymagań niezbędne jest wyposażenie
systemu SKD w dodatkową licencję/subskrypcję Cisco ISE Endpoint Plus Subscription
License, zwaną dalej „Plus", w liczbie odpowiadającej maksymalnej liczbie przyłączanych
urządzeń do sieci zamawiającego, która według zamawiającego wynosi nie mniej niż 3400
sztuk. Realizacja ww. funkcjonalności przez system SKD z wykorzystaniem wyłącznie
podstawowych licencji typu „Base” (L-ISE-BSE-3500 Cisco Identity Services Engine 3500
EndPoint Base License) w liczbie 3500 sztuk, które zaoferował wykonawca wybrany -
stanowiącą część składową oferty tego Wykonawcy, tabela, Ip. 13 - nie jest możliwa do
zrealizowania, tj. nie spełnia opisanych wymagań zamawiającego.
Zdaniem odwołującego powyższe wskazuje, że treść oferty złożonej przez wykonawcę
wybranego nie odpowiada treści SIWZ.
Odwołujący zwrócił uwagę, że wykonawca wybrany zaoferował zaledwie 250 licencji „Plus"
(L-ISE-PLS-S-250) - Szczegółowa specyfikacja oferowanego systemu SKD stanowiącą
część składową oferty tegoż Wykonawcy, tabela, lp. 14 - przy jednoczesnym zaoferowaniu
3500 licencji „Base" lp. 13. Odwołujący uważa, że tak skonfigurowany system nie będzie w
stanie realizować opisanych wyżej wymagań zamawiającego, dla więcej niż 250
jednocześnie podłączonych do niego urządzeń (tj. zaledwie nieco ponad 7% z ogólnej liczby
jaką planuje podłączyć zamawiający w swojej sieci LAN nadzorowanej przez SKD.
Dla realizacji wszystkich opisanych wyżej wymagań SIWZ wymagane jest zastosowanie dla
nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" dzięki
wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z
jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP, czytników kodów
Sygn. akt KIO 2021/16
kreskowych itp. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe
przypisanie odpowiadających im, zdefiniowanych polityk bezpieczeństwa. Reasumując
odwołujący stwierdza, żeby zrealizować wszystkie opisane wyżej wymagania
zamawiającego, w szczególności „dynamiczną klasyfikację każdego sprzętu, który jest
podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD
musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie
i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika” - wymagane jest
zapewnienie licencji „Plus" dla wszystkich urządzeń jakie będą podpięte do sieci
zamawiającego tj. co najmniej 3400 licencji w modelu subskrypcyjnym, co wynika z liczby
urządzeń jaką posiada zamawiający i planuje włączyć do sieci kontrolowanej przez system
SKD (załącznik nr 7, tabela nr 2), czyli nawet 3500 sztuk na co wskazuje Zamawiający
(załącznik „D” do SIWZ (wykaz cech oferowanych produktów) w pkt. II System
kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp. 18 - wyciąg z tabeli
3. Treść oferty złożonej przez wykonawcę wybranego - niezależnie od jej niezgodności z
SIWZ opisanej w pkt 2 powyżej - nie odpowiada treści SIWZ jeszcze z innego powodu.
Otóż, oferta ta nie spełnia wymagań stawianych przez Zamawiającego w odniesieniu do
systemu SKD umożliwiających jego wdrożenie i realizację określonych przez Zamawiającego
zadań. Zamawiający w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory umów dla Części
II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów
sieciowych (SKD)” w tabeli 1, wierszu 23, str. 58 oraz załącznik „D” - wykaz cech
oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)) wskazuje
na wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z
interfejsami do dwóch przełączników Cisco WS-C6513-E stawiając określone i jednoznaczne
wymogi - zob. wyciągi z tabeli, lp. 23 obu w.w dokumentów.
Wyżej wymienione karty liniowe będą służyły do podłączenia oferowanych urządzeń systemu
SKD (Cisco ISE) i w związku z tym muszą wspierać wszystkie funkcjonalności jakie przed
systemem SKD postawił Zamawiający - zob. Wyciąg z tabeli „Opis sposobu spełnienia
wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego
dostępu do zasobów sieciowych.” załącznika „D”, lp. 28 :
Wykonawca, w ramach SKD, musi dostarczyć, zaprojektować i wdrożyć funkcjonalność
zapewniającą segmentację sieci LAN, która musi spełniać łącznie wszystkie następujące
wymagania;
a)musi ciągle, na bieżąco i automatycznie segmentować sieć na grupy użytkowników i
pojedynczych użytkowników,
b)zarządzanie segmentacją musi odbywać się z poziomu interfejsu graficznego.
Sygn. akt KIO 2021/16
Tymczasem Wykonawca DDP zaoferował karty liniowe WS-C6848-TX-2T C6k-48-port
10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 - zob. Szczegółową specyfikację
oferowanego systemu SKD stanowiącą część składową oferty tego Wykonawcy, tabela, lp.
Zaoferowane przez Wykonawcę DDP karty nie pozwalają realizować funkcjonalności
systemu SKD opisanych przez Zamawiającego w załączniku „D” w tabeli „Opis sposobu
spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu
kontrolowanego dostępu do zasobów sieciowych.” lp 28 zamieszczonych poniżej - wyciąg z
załącznika D: [uwaga - wskazane wymagania są wynikiem modyfikacji SIWZ z dnia
22.06.2016 r.]
Warunkiem realizacji funkcjonalności TrustSec Security Group Tag (SGT) jest wsparcie dla
niej przez oferowane rozwiązanie SKD oraz urządzenia sieciowe (przełączniki). Według
Zamawiającego urządzenia sieciowe, które posiada wspierają mechanizmy TrustSec
Security Group Tag (SGT). Zamawiający wymaga by system SKD został dostarczony w
postaci fizycznych appliances (dedykowane urządzenia) -zob. Załącznik nr 3 do Umowy i
odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych
produktów - w tabeli wiersz 22, str. 52, które zostaną podłączone do 2 sztuk centralnych
przełączników sieciowych Zamawiającego z rodziny Cisco Catalyst 6513-E. Warunkiem
podłączenia systemu SKD jest wyposażenie ww. przełączników w karty linowe będące
przedmiotem dostawy w tym postępowaniu - zob. Załącznik nr 3 do Umowy i odpowiadający
mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w
tabeli wiersz 23, str. 52. Jednak by system SKD mógł zrealizować stawiane mu wymogi w
zakresie TrustSec Security Group Tag (SGT) musi zostać podłączony do urządzeń
wspierających mechanizmy TrustSec Security Group Tag (SGT) poprzez karty liniowe
również wspierające tą technologię. W przypadku jeśli system SKD zostanie podłączony do
urządzeń wspierających mechanizm TrustSec Security Group Tag (SGT) przez karty liniowe
zainstalowane w tych urządzeniach lecz nie wspierające mechanizmów TrustSec Security
Group Tag (SGT) nie będzie można skorzystać na systemie SKD z tych funkcjonalności w
zakresie TrustSec Security Group Tag (SGT). Karta liniowa nie wspierająca mechanizmów
SGT uniemożliwi komunikacje i zastosowanie mechanizmów SGT pomiędzy urządzeniami
systemu SKD a przełącznikami sieciowymi wspierającymi mechanizmy SGT. Oznacza to, że
zarówno modularny przełącznik sieciowy jak i jego karta liniowa oraz podłączony poprzez nią
system SKD (Cisco ISE) musi wspierać architekturę SGT by można było zrealizować wymogi
zamawiającego.
Tymczasem wykonawca wybrany zaoferował do każdego z przełączników Cisco Catalyst
6513-E wyposażonego w moduł zarządzający w wersji SUP-2T kartę liniową WS-X6848-TX-
Sygn. akt KIO 2021/16
2T (C6k-48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4) - zob. wiersz 16 (ostatni)
II System kontrolowanego dostępu do zasobów sieciowych (SKD) z oferty DDP, nie
wspierającą mechanizmów TrustSec Security Group Tag (SGT), co oznacza iż system SKD
nie będzie w stanie zrealizować zadań jakie postawił mu zamawiający. Oznacza to, że treść
oferty złożonej przez Wykonawcę DDP nie odpowiada treści SIWZ.
4. Mając na względzie powyższe odwołujący wnosi o uwzględnienie odwołania.
W dniu 7 listopada 2016 r. przystępujący złożył pismo procesowe, w którym wniósł o
oddalenie odwołania w całości uznając zarzuty odwołującego za bezzasadne.
Przystępujący w piśmie tym odniósł się do podniesionych przez odwołującego zarzutów w
odwołaniu z dnia 24 października 2016 r.
1. Przystępujący stwierdza, że stanowisko odwołującego, sprowadza się w zasadzie do
dwóch ogólnie skonstruowanych technicznych zarzutów dotyczących rzekomej niezgodności
oferty przystępującego z SIWZ: 1) zarzutu odnoszącego się do rzekomej niemożliwości
spełnienia przez ofertę złożoną przez przystępującego wymagań SIWZ z uwagi na
zaoferowanie licencji typu „base" w liczbie sztuk 3500, zamiast jak postuluje odwołujący
zaoferowania licencji typu „plus" w ilości sztuk nie mniejszej niż 3400; 2)zarzutu
odnoszącego się do rzekomej niemożliwości spełnienia przez ofertę złożoną przez
Przystępującego wymagań SIWZ z uwagi na to, iż zaoferowane przez Przystępującego karty
liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
wskazane w tabeli Ip. 16 Szczegółowej specyfikacji oferowanego systemu SKD, stanowiącej
część składową oferty Przystępującego nie pozwalają realizować funkcjonalności systemu
SKD 1.4.Przy czym z treści odwołania nie można wywnioskować jakie konkretnie zarzuty
stawia ofercie Wykonawcy Odwołujący. Odwołujący nie wskazuje na czym konkretnie polega
zarzucana niezgodność z wymienionymi przez odwołującego wymaganiami, które postawił
zamawiający określając przedmiot zamówienia, nie wskazuje również żadnego dowodu na
poparcie swoich ogólnych twierdzeń.
2. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania licencji typu
„Base", zamiast licencji typu „Plus" w ilości sztuk nie mniejszej niż 3400
2.1. Bezspornym jest ilość i rodzaj posiadanych urządzeń końcowych przez
Zamawiającego wskazanych w treści załącznika nr 7 do Umowy - Opis środowiska
Zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych - w tabeli 2 - lista
urządzeń Zamawiającego (strona 2,3 Odwołania).
Podstawową zarzutu w zakresie licencji jest twierdzenie, iż ilość wyspecyfikowanych przez
Zamawiającego urządzeń końcowych w połączeniu z wymaganiami określonymi w treści
Sygn. akt KIO 2021/16
załącznika nr 3 Załącznika E do SIWZ Wzoru Umowy dla Części II - Szczegółowy opis
wymagań dla systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" w tabeli 1,
wierszu 18, str. 57, w Załączniku „D" do SIWZ (wykaz cech oferowanych produktów) w pkt II
- System kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp.9 (tabele ze
str. 3,4,5 odwołania IS) determinuje zakupienie licencji „plus" dla wszystkich
wyspecyfikowanych urządzeń końcowych.
2.2. Odwołujący wskazuje na str. 3 Odwołania dwa podstawowe wymogi Zamawiającego,
których jego zdaniem nie spełnia konfiguracja przyjęta w ofercie Wykonawcy i których
niespełnienie ma wpływ zdaniem odwołującego na spełnienie pozostałych wymagań
postawionych w SIWZ, mianowicie:
1) wymóg, by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów
jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika
końcowego (Załącznik Nr 3 Załącznika E do SIWZ Wzór Umowy dla Części II - Szczegółowy
opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych „(SKD)" w
tabeli 1, wierszu 18, str. 57);
2) wymóg, by system SKD zapewniał „dynamiczną klasyfikację każdego sprzętu, który
jest podłączany do sieci LAN MF (automatyczne rozpoznanie sprzętu, wg. „sygnatur" - SKD
musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie
i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika"
Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do
SIWZ Wzoru Umowy dal Części II - Szczegółowy opis wymagań dla systemu
kontrolowanego dostępu do zasobów sieciowych (SKD)" wskazał, iż,,...nie narzuca
zastosowania jednego rozwiązania, spełnia wymogi SIWZ, a wskazuje jedynie
parametry/minimalne wymagania, które każdy z wykonawców winien jest spełnić.", wskazał
również, iż „...dopuszcza się stosowanie rozwiązań składających się z kilku komponentów
przy zachowaniu spełnienia wymagań opisanych " w tabeli 1.
Zatem, zgodnie z intencją zamawiającego wskazaną powyżej, to wykonawca miał za
zadanie dobrać odpowiednio komponenty pasujące do wymagań wskazanych przez
zamawiającego. Z żadnego zapisu SIWZ nie wynika, iż wykonawcy zobligowani byli do
zakupu licencji „Plus" w ilości odpowiadającej ilości posiadanych przez zamawiającego
urządzeń końcowych - tzn. w ilości nie mniejszej niż 3400 sztuk. Odwołujący nie wykazał, że
treść któregoś z wymagań na to wskazuje, nie wskazał także żadnego dowodu na poparcie
swojej tezy.
Wykonawca pragnie podkreślić, iż jego oferta spełnia wszystkie wymagania postawione
przez zamawiającego, w tym dwa ww., zaś spełnienie przytaczanych przez odwołującego w
odwołaniu wymagań możliwe jest na podstawie konfiguracji wskazanej w Szczegółowej
Sygn. akt KIO 2021/16
specyfikacji oferowanego systemu SKD, która stanowi część składową oferty Wykonawcy,
tzn. poprzez zaoferowanie 3500 sztuk licencji „Base" (Ip. 13 specyfikacji oferty - L-ISE- BSE-
3500 = Cisco Identity Services Engine 3500 Endpoint Base License) oraz poprzez
zaoferowanie 250 sztuk licencji „Plus" (Ip. 14 specyfikacji oferty - licencja L- ISE-PLS-S-250=
Cisco ISE 250 Endpoint Plus Subscription License).
Zaoferowanie przez Wykonawcę 3500 sztuk licencji typu „Base" umożliwia zgodnie z
wymogiem wymienionym w ppkt 2.2.,pkt 1) powyżej obsługę minmum 3500 sprzętów
jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika
końcowego, przygotowana przez Wykonawcę konfiguracja (3500 licencji „Base" + 250 sztuk
licencji typu „Plus) zapewnia dynamiczną klasyfikację każdego sprzętu, który podłączany jest
do sieci LAN MF (wymóg wskazany w ppkt 2.2., pkt 2) powyżej.
Zamawiający posiada dwa rodzaje urządzeń końcowych (3400 szt.)
A. urządzenia nieinteligentne/urządzeń bez (oprogramowania) suplikanta/urządzeń typu
non - user,, na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z Załącznika
„D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego
dostępu do zasobów sieciowych (SKD) w wierszu lp.9 w treści „...kontrolę dostępu do sieci
LAN MF, sprzętu typu non-user, co najmniej kamery, drukarki...", które posiada w ilości sztuk
250.
B. urządzenia inteligentne/urządzenia (z oprogramowaniem) z suplikanta/urządzenia
typu user na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z ww.
Załącznika „D"
do SIWZ „...kontrolę dostępu do sieci LAN MS sprzętu typu user-devices..." które posiada w
ilości sztuk 3150.
Zatem dynamiczne rozpoznawanie/klasyfikacja każdego sprzętu, o którym mowa w
wymaganiu z ppkt 2.2.,pkt 2) powyżej będzie odbywać się w następujący sposób:
A. dla sprzętu inteligentnego rozpoznawanie/klasyfikacja będzie odbywać się przy użyciu
zaoferowanej licencji typu „Base", wg. sygnatury określonej w certyfikacie
uwierzytelniającym, który posiada każde urządzenie inteligentne. Certyfikatu nie da się
podrobić oraz nie da się zrobić jego kopii. Zamawiający zaznaczył, że dla każdego
urządzenia „user-devices". poprzez serwer uwierzytelniający wydawany będzie jeden
certyfikat, który z definicji jest jednoznacznie przypisany tylko do jednego urządzenia w
relacji 1 do 1. Wydawanie certyfikatu dla urządzenia, który go jednoznacznie identyfikuje z
założenia jest operacją, która musi zostać zaksięgowana i w której można zawrzeć pełne
informacje o urządzeniu. Licencja typu „Base" w umożliwia rozpoznawanie i klasyfikację
podłączanych urządzeń na podstawie prezentowanych przez nich cech. Zaoferowany
Sygn. akt KIO 2021/16
system SKD zapewnia ciągle weryfikowanie tożsamości podłączonych urządzeń poprzez ich
odpytywanie po określonym czasie o ponowne uwierzytelnienie się",
B. dla sprzętu nieinteligentnego, który nie posiada certyfikatu identyfikacja i klasyfikacja
rodzaju sprzętu nastąpi niezależnie od tożsamości użytkownika przy użyciu zaoferowanej
licencji typu „Plus" (250 sztuk) na podstawie profilowania generowanego przez nich ruchu.
2.3. Reasumując, w celach rozpoznawania/klasyfikacji urządzeń inteligentnych posiadanych
przez Zamawiającego w ilości 3150 sztuk - uwierzytelniających się z wykorzystaniem
certyfikatu nie ma potrzeby zakupu licencji „Plus", gdyż nie ma potrzeby profilowania ruchu,
od urządzenia które będzie posiadać certyfikat wydany przez system SKD, ponieważ takie
urządzenia w momencie podłączenia do sieci przedstawi się certyfikatem, który
jednoznacznie identyfikuje urządzenie końcowe.
Na podstawie postawionych przez Zamawiającego wymagań i wymaganych mechanizmów
uwierzytelniania, zgodnie z oczekiwaniami Zamawiającego dla urządzeń nieinteligentnych
Wykonawca wykupił licencję „Plus" umożliwiającą profilowanie urządzeń na podstawie
profilowania ruchu, do czego niezbędna jest licencja „Plus" tylko dla urządzeń końcowych,
które nie mogą być uwierzytelnione za pomocą sygnatury zapisanej w certyfikacie.
Podkreślenia wymaga fakt, iż IS w treści Odwołania na str. 7 de facto przyznaje, iż licencje
typu „Plus" są potrzebne do rozpoznania urządzeń nieinteligentnych w rodzaju drukarek,
kamer IP, czytników kodów kreskowych itp.
Żeby zrealizować wszystkie opisane wyżej wymagania Zamawiającego wymagane jest
zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna"
dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu
sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP.
czytników kodów kreskowych up. system ma do czynienia, a po ich zidentyfikowaniu będzie
możliwe przypisanie opowiadających im, zdefiniowanych polityk bezpieczeństwa.
Zamawiający wskazał że posiada 250 sztuk urządzeń nieinteligentnych i w związku z tym
Wykonawca w specyfikacji oferty zawarł licencję L-ISE-PLS-S-250, która zapewnia
profilowanie urządzeń końcowych w ilości 250 sztuk co jest równoważne ilości drukarek
wskazanych przez Zamawiającego. W związku z powyższym, za całkowicie pozbawione
merytorycznych podstaw należy uznać stwierdzenie odwołującego, iż skonfigurowany przez
Wykonawcę system SKD w oparciu o 250 licencji „Plus" przy jednoczesnym zaoferowaniu
3500 licencji „Base" nie będzie w stanie realizować wymagań opisanych przez
Zamawiającego dla więcej niż 250 jednocześnie podłączonych do niego urządzeń
końcowych.
Sygn. akt KIO 2021/16
Podkreślenia wymaga fakt, iż zaproponowane przez Przystępującego licencje typu „Base" w
ilości sztuk 3500 mają charakter jednorazowy, tzn. zamawiający nie musi przedłużać
odpłatnie ich subskrypcji po okresie 3 lat, jak ma to miejsce w przypadku 3500 sztuk licencji
„Plus" zaoferowanych przez Odwołującego. Przystępujący nie twierdzi, iż nie można było
stworzyć konfiguracji dla przedmiotowego zamówienia na bazie 3500 licencji „Plus",
natomiast w świetle wymagań postawionych przez Zamawiającego i kanonów tzw. „dobrych
praktyk" taka konfiguracja jest absolutnie zbędna przy rozpoznawaniu urządzeń
inteligentnych, co zostało wykazane powyżej.
2.4. Odwołujący nie wykazał związku pomiędzy swoimi twierdzeniami, a wymaganiami
zamawiającego, nie wykazał, które wymaganie wskazuje na obligatoryjność zaoferowania
dla wszystkich urządzeń końcowych posiadanych przez Zamawiającego licencji typu „Plus",
nie przedstawił żadnego dowodu na poparcie swoich nieskonkretyzowanych zarzutów.
3. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania kart liniowych
WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
3.1. Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do
SIWZ Wzoru Umowy dla Części II - Szczegółowy opis wymagań dla systemu
kontrolowanego dostępu do zasobów sieciowych (SKD)" Ip. 28 wskazał następujące
wymaganie „Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej
na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security
Group Tag). Wykonawca potwierdza, iż jego oferta spełnia to wymaganie, jak również
wymagania z SIWZ, które przytoczył odwołujący w treści Odwołania: wymóg dostarczenia
wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch
przełączników Cisco WS-C6513E zgodnie z wymogami określonymi w Załączniku nr 3
Załącznika E do SIWZ Wzór Umowy dla części II - Szczegółowy Opis wymagań dla
.;systemu kontrolowanego dostępu do zasobów sieciowych „SKD" w tabeli 1, wierszu 23, str.
58 oraz Załącznik „D" - wykaz cech oferowanych produktów dla II System kontrolowanego
dostępu do zasobów (SKD)), przytoczonych przez Odwołującego w treści Odwołania.
Na podstawie twierdzeń odwołującego, które jak wykaże poniżej przystępujący w zakresie
dot. lit. B i C są błędne odwołujący skonstruował ogólny zarzut, iż zaoferowane przez
wykonawcę wybranego karty liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod:
fabric enabled RJ-45 DFC4 „nie wspierają mechanizmów TrustSec Security Group Tag
(SGT), co oznacza, iż system SKD nie będzie w stanie zrealizować zadań jakie postawił mu
zamawiający. Powyższy zarzut opiera się na błędnym założeniach przyjętych w wywodzie.
3.3. Błędne założenie z ppkt 3.2 lit. B powyżej.
Zgodnie oficjalną z dokumentacją producenta oferowanego rozwiązania SKD, będącą
opisem architektury systemu (Configuration Guide - Cisco TrustSec Switch Configuration
Sygn. akt KIO 2021/16
Guide) dostępnej pod adresem internetowym producenta firmy Cisco Systems: http://www.^
er. htm I, (dowód: rysunek poniżej)
podłączenie Cisco ISE do sieci poprzez przełącznik sieciowy (Ang. switch) nie wymaga
mechanizmów SGT na tym podłączeniu, a zatem założenie odwołującego wskazane w ppkt
3.2 lit. B powyżej jest całkowicie błędne. Poniżej została przedstawiona topologia sieciowa
dla systemu SKD z wykorzystaniem Cisco ISE (na rysunku opisany jako Authentication
Server). Połączenia oznaczone jako „Protected" określają połączenia przenoszące
informacje SGT.
Błędne założenie z ppkt 3.2 lit. C powyżej.
Zgodnie z informacjami zawartymi na ww. stronie internetowej Cisco Systems w
przytoczonym powyżej oficjalnym dokumencie producenta rozwiązania, informacje o SGT są
przekazywane z serwera ISE (Authentication server) do urządzeń sieciowych wspierających
mechanizmy SGT za pośrednictwem protokołu RADIUS:
Zatem, z dokumentów dostępnych publicznie na oficjalnych stronach producenta
rozwiązania wynika, iż System SKD przekazuje informacje o TrustSec Security Group Tag
(SGT) do urządzeń sieciowych wspierających mechanizmy SGT za pomocą protokołu
RADIUS, a co za tym idzie nie musi być bezpośrednio podłączony do sieci poprzez interfejsy
wspierające mechanizmy SGT, co skutkuje nieprawdziwością założenia z ppkt 3.2 lit. C
powyżej. Zgodnie z zasadami dobrych praktyk inżynierskich dla wdrożeń tego typu
systemów zalecane jest, aby serwer uwierzytelniający (w tym przypadku Cisco ISE) był
podłączony do sieci poprzez link, który nie wymaga uwierzytelniania, w szczególności nie
musi być wsparcia dla SGT na kartach liniowych WS-C6848-TX-2T zaoferowanych przez
Wykonawcę jako dodatkowe wyposażenie przełącznika Cisco Catalyst serii 6500. Powyższe
wskazuje, iż nie jest wymagane wsparcie dla SGT na bezpośrednim linku do serwera Cisco
ISE, aby zapewnić funkcjonalność SGT dla urządzeń końcowych podłączonych do
sieci.3.5.Ponadto, zgodnie z wymaganiem zamawiającego zawartym w SIWZ (załącznik nr 3
Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu
kontrolowanego dostępu do zasobów sieciowych (SKD) w tabeli 1, wierszu 23: Wykonawca
zaoferował karty WS-C6848-TX-2T zawierające taką liczbę portów fizycznych, która zapewni
podłączenie przełączników WS-C6513-E ze sprzętem dla SKD, tj. serwerami Cisco ISE
SNS- 3515-K9. Zaoferowana karta nie ogranicza funkcjonalności przełączników WS-C6513-
E oraz posiadanej przez Zamawiającego gwarancji na ww. przełączniki oraz nie ogranicza
funkcjonalności całego Systemu Kontroli Dostępu, w szczególności funkcjonalności TrustSec
Security Group Tag ponieważ, zgodnie z przytoczoną dokumentacją, połączenie pomiędzy
przełącznikiem WS-C6513-E a serwerem Cisco ISE nie wykorzystuje SGT.
Sygn. akt KIO 2021/16
3.6. Z uwagi na powyższe, nie prawdziwe i nie poparte jakimikolwiek dowodami jest
twierdzenie odwołującego, iż zaoferowane przez wykonawcę wybranego karty nie pozwalają
realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D"
w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla
oferowanego Systemu kontrolowanego dostępu do
zasobów sieciowych" Ip. 28 - wyciąg z załącznika D. Wykonawca zaoferował wymagane
przez zamawiającego karty liniowe w ilości i o parametrach zgodnych z opisem wskazanym
w SIWZ, które nie uniemożliwiają realizacji funkcjonalności wymaganej przez
Zamawiającego - Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi
pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec
Security Group Tag) oraz spełnienia wszystkich związanych z nią wymagań. W treści
wymagań SIWZ nie ma wymogu, że każde urządzenie, w tym karta liniowa musi wspierać
(SGT).
Podsumowanie stanowiska przystępującego.
4.1. Przystępujący pragnie podkreślić, iż jako jeden z wiodących podmiotów na rynku we
wdrażaniu systemów podobnych do zamawianego przez Ministerstwo Finansów systemu
posiada ogromną wiedzę na temat projektowania, wdrażania systemów odpowiadających
swą charakterystyką systemowi SKD, budowanych w oparciu o urządzenia posiadane i
zamawiane przez zamawiającego, w tym urządzenia firmy Cisco Systems. Wykonawca
tworząc konfigurację oferty pod przedmiotowe zamówienie wykorzystał swój know-how
nabyty w skutek realizacji tego typu projektów także o zasięgu międzynarodowym dla
klientów z branży finansowej, którzy posiadają podobne strukturalnie rozwiązania do
wymaganych przez zamawiającego. Wyrywkowe supozycje wskazane w odwołaniu, które są
merytoryczną podstawą de facto dwóch zarzutów nie ostają się w świetle dostępnej wiedzy
wysoko wykwalifikowanej kadry inżynierskiej przystępującego. Uwzględnienie Odwołania
prowadziłoby do odrzucenia oferty Przystępującego, która w pełni spełnia wszelkie
wymagania Zamawiającego postawione w SIWZ oraz potencjalnie zmuszałoby
Zamawiającego do wyboru oferty, która oferuje nadmiarowe z punktu widzenia wymagań
SIWZ rozwiązania i której wartość przekracza budżet Zamawiającego o kwotę prawie 900
000 zł.
4.2. Podkreślenia wymaga, iż odwołanie nie zawiera skonkretyzowanych zarzutów, zaś
blankietowe stwierdzenia o niezgodności oferty z danymi z danymi wymaganiami SIWZ.
Krajowa Izba Odwoławcza nie raz wypowiadała się na temat obowiązku skonkretyzowania
zarzutów odwołania, czego przykładem może być choćby treść Wyroku Krajowej Izby
Odwoławczej przy Prezesie Urzędu Zamówień Publicznych z dnia 15 stycznia 2016 r. KIO
2737/15 Aby podważyć ocenę zamawiającego, należy wskazać i udowodnić jej niezgodność
Sygn. akt KIO 2021/16
z prawem (np. przez niezgodność z postanowieniami SIWZ). W ramach postępowania
odwoławczego odwołujący ma obowiązek postawić konkretne zarzuty w zakresie
niezgodności z prawem czynności zamawiającego, które następnie ma obowiązek
udowodnić, a nie zgłaszać swoje wątpliwości co do potencjalnie niezgodnych z prawem
czynności zamawiającego, czy też ewentualne postulaty, w sprawie których Izba miałaby
prowadzić jakieś ogólne postępowanie wyjaśniające czy ogólną ocenę ich zasadności.
4.3. Odwołanie nie ostaje się również w swej treści obowiązkowi związanemu z ciężarem
dowodowym, który spoczywa na odwołującym i który został określony w art. 190 ust.l ustawy
Prawo zamówień publicznych i o którym wspomina choćby treść Wyroku Krajowej Izby
Odwoławczej z dnia 20 czerwca 2016 r. (sygn. akt KIO: 960/16 „Stosownie do podstawowej
zasady wynikającej z art. 6 k.c, znajdującej swe odzwierciedlenie w art. 190 ust. 1 ustawy
Pzp, ciężar dowodu w zakresie okoliczności faktycznych spoczywa na tym, który ze swoich
twierdzeń wywodzi skutek prawny. W rozpoznawanej sprawie takim obowiązkiem
dowodowym obciążony był odwołujący. Tym samym to on winien udowodnić, że
kwestionowane przez niego czynności zamawiającego zostały dokonane wbrew przepisom
ustawy Pzp przywołanym w odwołaniu. Jak to zauważyła Izba w orzeczeniu KIO 54/12:
"Zgodnie z art. 190 ust. 1 ustawy p.z.p. strony są obowiązane wskazywać dowody dla
stwierdzenia faktów, z których wywodzą skutki prawne. Ciężar dowodu, zgodnie z art. 6 k.c.
w zw. z art. 14 ustawy p.z.p. spoczywa na osobie, która z danego faktu wywodzi skutki
prawne.".... Tym samym, w rozpoznawanej sprawie, to odwołujący winien wykazać m.in., że
treść złożonej przez Przystępującego oferty nie odpowiada treści SIWZ. A zatem, z uwagi na
normę prawną wypływającą z przepisu art. 89 ust. 1 pkt 2) ustawy Pzp, koniecznym było
wykazanie przez odwołującego rzeczywistej treści oferty złożonej przez przystępującego, jak
również odpowiedniej treści SIWZ i jej znaczenia (wykazanie faktycznie postawionych przez
Zamawiającego, istotnych w kontekście stawianego zarzutu, wymagań odnoszących się do
przedmiotu zamówienia), z którą treść tejże oferty należałoby zestawić, a następnie
wykazanie, że rozbieżności między tymi dwoma dokumentami, w takim wymiarze, jaki ustalił
on ich zaistnienie i opisał je w odwołaniu, faktycznie miały miejsce. Pamiętać również przy
tym należy o powoływanym przepisie art. 190 ust. 5 ustawy Pzp, z którego wynika, że w
każdym innym przypadku niż określone w tymże przepisie koniecznym jest przedstawienie
przez stronę twierdzącą dowodów dla stwierdzenia faktów, z których wywodzi ona
skutki prawne. Niesprostanie w rozpoznanej sprawie przez odwołującego obowiązkowi
dowodowemu pociągać musiało uznanie, że zarzuty przez niego podnoszone są
niezasadne, a tym samym odwołanie, jako takie, podlega oddaleniu."
Sygn. akt KIO 2021/16
Nie sposób uznać, iż odwołujący przedstawił jakiekolwiek dowody na poparcie swoich tez
wskazanych w odwołaniu, a contrario przystępujący w przedmiotowym piśmie przedstawił
dowody na nieprawdziwość tez wysuwanych przez odwołującego.
4.4. W świetle odpowiedzi popartych dowodami na nieprawdziwe twierdzenia wysuwane w
Odwołaniu przystępujący wnosi o oddalenie odwołania jako oczywiście bezzasadnego.
Krajowa Izba Odwoławcza ustaliła i zważyła co następuje
Izba ustaliła
Do Prezesa Krajowej Izby Odwoławczej odwołanie wpłynęło bezpośrednio w dniu
24.10.2016 r. za pismem z dnia 24.10.2016 roku.
Ogłoszenie o zamówieniu opublikowane zostało w Dzienniku Urzędowym Unii Europejskiej
w dniu 20.04.2016 r. pod numerem 2016/S 077-136424.
Postępowanie o udzielenie zamówienia publicznego prowadzone jest w trybie przetargu
nieograniczonego i dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa dla Infrastruktury
Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy R/151/I5/DS/B/579.
Zamówienie podzielone jest na dwie części (I i II).
Odwołanie dotyczy części II, której z krótkiego opisu wynika, że przedmiotem jest: sprzedaż i
dostawa oprogramowania antywirusowego dla środowiska wirtualnego; integracja systemów
silnego uwierzytelnienia; dostawa i wdrożenie System kontrolowanego dostępu do zasobów
sieciowych; asysta techniczna dla wymienionych systemów.
Szacunkowa wartość bez VAT 1.500.000 i 3.000 000 EUR.
Czas trwania rozpoczęcie dnia 07.12.2016 r. i zakończenie dnia 06.06.2018 roku.
Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia
20.10.2016 roku.
Przedmiotem odwołania jest zaniechanie odrzucenia oferty na podstawie art.89 ust.1 pkt 2
pzp złożonej przez wykonawcę, którego oferta została wybrana przez zamawiającego jako
najkorzystniejsza.
Sygn. akt KIO 2021/16
Wykonawca wybrany zgłosił pismem z dnia 26 października 2016 roku przystąpienie do
postępowania odwoławczego po stronie zamawiającego.
Z kolei zamawiający pismem z dnia 7 listopada 2016 roku złożył odpowiedź na odwołanie, w
którym uwzględnił w całości zarzuty przedstawione w odwołaniu.
W dniu rozprawy na posiedzenie z udziałem stron stawił się przystępujący, który do
protokołu wniósł sprzeciw na uwzględnienie odwołania przez zamawiającego.
Postępowanie o udzielenie zamówienia publicznego prowadzone przez zamawiającego w
trybie przetargu nieograniczonego dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa
dla Infrastruktury Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy
R/151/I5/DS/B/579.
Odwołanie dotyczy części II przedmiotu zamówienia.
Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia
20.10.2016 roku.
Odwołanie wniesiono na zaniechanie dokonania czynności, do której zamawiający był
zobowiązany na podstawie ustawy Pzp to jest zaniechania odrzucenia oferty złożonej przez
Dimension Data Polska Sp. z o. o. zwanej w toku postępowania odwoławczego
„przystępującym po stronie zamawiającego” lub ”wykonawcą wybranym” lub „zgłaszającym
sprzeciw”.
Naruszenie pzp nastąpiło w postępowaniu o udzielenie zamówienia publicznego na „Zakup i
wdrożenie systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa
Finansów”.
Podstawę wniesienia odwołania stanowił art. 180 ust. 1 ustawy z dnia 29 stycznia 2004 r.
Prawo zamówień publicznych, zwanej dalej „ustawą Pzp” lub „pzp”.
Odwołujący posiada interes w uzyskaniu zamówienia, ponieważ na część II zamówienia
złożone zostały dwie oferty w tym oferta odwołującego oraz wykonawcy
wybranego/przystępującego w sprawie.
W związku powyższym jest podmiotem uprawnionym do złożenia środka ochrony prawnej w
rozumieniu art. 179 ust. 1 pzp.
Zarzuty odniesione do art. 89 ust. 1 pkt 2) pzp - poprzez zaniechanie odrzucenia oferty
złożonej przez wykonawcę wybranego, pomimo tego, iż treść jego oferty nie odpowiada
treści specyfikacji istotnych warunków zamówienia (SIWZ). Zarzut odwołujący precyzuje do
nie spełnienia wymagań opisanych w SIWZ w odniesieniu do systemu kontrolowanego
dostępu do zasobów sieciowych (SKD).
Sygn. akt KIO 2021/16
W związku z przedstawionymi zarzutami odwołujący żąda: unieważnienia wyboru oferty
najkorzystniejszej, odrzucenia oferty złożonej przez wykonawcę wybranego, dokonania
ponownej czynności badania i oceny ofert, dokonania ponownej czynności wyboru oferty
najkorzystniejszej.
O wyborze najkorzystniejszej oferty zamawiający powiadomił wykonawców w dniu
14.10.2016 r. Wobec czego termin na wniesienie odwołania, o którym mowa w art. 182 ust. 1
pkt 1) pzp odwołujący dochował wnosząc odwołanie w dniu 24 października 2016 roku. W
tym samym dniu kopię odwołania przesłał zamawiającemu. Odwołanie nie podlega
odrzuceniu w myśl art.189 ust.2 pzp
Odwołujący przedstawiając uzasadnienie faktyczne powołał się na załącznik nr 7 do umowy -
Opis środowiska zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych -
w tabeli 2 - Lista urządzeń zamawiającego, wskazał listę urządzeń, z którymi będzie
współpracował oferowany system SKD (System kontrolowanego dostępu do zasobów
sieciowych), przy czym dla urządzeń końcowych (klienckich) zamawiający wskazał, iż
system będzie działał z następującymi urządzeniami:1) komputery PC pracujące pod
kontrolą systemu Windows 7/8/10 w liczbie 2300 sztuk,2) Drukarki sieciowe w liczbie 250
sztuk,3)Telefony VoIP AASTRA 67571 IP Phone w liczbie 50 sztuk, 4 Tablety z systemem
operacyjnym Windows 8/10, Android, iOS w liczbie 400 sztuk,
5) Smartfony / telefony GSM z systemem operacyjnym Windows Phone/10, Android, IOS w
liczbie 400 sztuk, co wskazuje na sumaryczną liczbę urządzeń końcowych systemu SKD
wynoszącą 3400 sztuk
Jednocześnie Zamawiający w załączniku nr 3 Załącznika E do SIWZ Wzory umów dla
Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów
sieciowych (SKD)” w tabeli 1, wierszu 18, str. 57, wymaga by system SKD zapewnił obsługę
minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z
punktu widzenia użytkownika końcowego.
Jednocześnie Zamawiający w załączniku "D" do SIWZ (wykaz cech oferowanych produktów)
w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) - w wierszu lp. 9 -
wskazał jednoznacznie, iż system, cyt: "SKD dynamicznie i automatycznie musi
rozpoznawać rodzaj oraz producenta sprzętu i na tej podstawie przydzielać do
odpowiedniego profilu zdefiniowanego wcześniej w SKD, w szczególności musi zapewniając
co najmniej: dynamiczną klasyfikację każdego sprzętu, który jest podłączany so sieci LAN
MF ", po czym zamawiający wymienia wraz ze szczegółowym opisem realizacji celu
wszystkie funkcjonalności jakie ma realizować SKD.Odwołujący we wniesionym odwołaniu
Sygn. akt KIO 2021/16
na szczególną uwagę zwrócił na pierwsze z wymagań w brzmieniu cyt: "dynamiczną
klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne
rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który
łączy się z siecią LAN MF)," oraz "identyfikowanie i klasyfikacja rodzaju i typu sprzętu
niezależnie od tożsamości użytkownika", a także pozostałe wymagania wskazane w lp. 9
ww. załącznika.
Według twierdzeń odwołującego dla realizacji tych wymagań niezbędne jest wyposażenie
systemu SKD w dodatkową licencję/subskrypcję Cisco ISE Endpoint Plus Subscription
License, zwaną dalej „Plus", w liczbie odpowiadającej maksymalnej liczbie przyłączanych
urządzeń do sieci zamawiającego, która według zamawiającego wynosi nie mniej niż 3400
sztuk. Realizacja ww. funkcjonalności przez system SKD z wykorzystaniem wyłącznie
podstawowych licencji typu „Base” (L-ISE-BSE-3500 Cisco Identity Services Engine 3500
EndPoint Base License) w liczbie 3500 sztuk, które zaoferował wykonawca wybrany -
stanowiącą część składową oferty tego Wykonawcy, tabela, Ip. 13 - nie jest możliwa do
zrealizowania, tj. nie spełnia opisanych wymagań zamawiającego.
Zdaniem odwołującego powyższe wskazuje, że treść oferty złożonej przez wykonawcę
wybranego nie odpowiada treści SIWZ.
Odwołujący zwrócił uwagę, że wykonawca wybrany zaoferował zaledwie 250 licencji „Plus"
(L-ISE-PLS-S-250) - Szczegółowa specyfikacja oferowanego systemu SKD stanowiącą
część składową oferty tegoż Wykonawcy, tabela, lp. 14 - przy jednoczesnym zaoferowaniu
3500 licencji „Base" lp. 13. Odwołujący uważa, że tak skonfigurowany system nie będzie w
stanie realizować opisanych wyżej wymagań zamawiającego, dla więcej niż 250
jednocześnie podłączonych do niego urządzeń (tj. zaledwie nieco ponad 7% z ogólnej liczby
jaką planuje podłączyć zamawiający w swojej sieci LAN nadzorowanej przez SKD.
Dla realizacji wszystkich opisanych wyżej wymagań SIWZ wymagane jest zastosowanie dla
nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" dzięki
wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z
jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP, czytników kodów
kreskowych itp. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe
przypisanie odpowiadających im, zdefiniowanych polityk bezpieczeństwa. Reasumując
odwołujący stwierdza, żeby zrealizować wszystkie opisane wyżej wymagania
zamawiającego, w szczególności „dynamiczną klasyfikację każdego sprzętu, który jest
podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD
musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie
i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika” - wymagane jest
zapewnienie licencji „Plus" dla wszystkich urządzeń jakie będą podpięte do sieci
Sygn. akt KIO 2021/16
zamawiającego tj. co najmniej 3400 licencji w modelu subskrypcyjnym, co wynika z liczby
urządzeń jaką posiada zamawiający i planuje włączyć do sieci kontrolowanej przez system
SKD (załącznik nr 7, tabela nr 2), czyli nawet 3500 sztuk na co wskazuje Zamawiający
(załącznik „D” do SIWZ (wykaz cech oferowanych produktów) w pkt. II System
kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp. 18 - wyciąg z tabeli
„SKD musi zapewnić obsługę min.3 500sztuk. sprzętu jednocześnie włączanych do sieci
LAN MF bez opóźnienia z punktu widzenia użytkowników końcowych”.
3. Odwołujący niezależnie od niezgodności z SIWZ opisanej powyżej to jest w zakresie
licencji PLUS uważa, że oferta wykonawcy wybranego nie odpowiada treści SIWZ jeszcze z
innego powodu. Oferta nie spełnia wymagań stawianych przez zamawiającego w odniesieniu
do systemu SKD umożliwiających jego wdrożenie i realizację określonych przez
zamawiającego zadań. Zamawiający w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory
umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do
zasobów sieciowych (SKD)” w tabeli 1, wierszu 23, str. 58 oraz załącznik „D” - wykaz cech
oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)) wskazuje
na wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z
interfejsami do dwóch przełączników Cisco WS-C6513-E stawiając określone i jednoznaczne
wymogi - jak wyciąg z tabeli, lp. 23 obu w.w dokumentów: „Każda z dostarczonych kart
liniowych z interfejsami do dwóch przełączników Cisco WS-C 6513-E(2 sztuki) musi zawierać
taką liczbę portów fizycznych, która zapewni podłączanie przełączników WS-C6513-E ze
sprzętem (hardware) dla SKD, o którym mowa w wierszu Tabeli powyżej oraz dostarczona
karta nie może ograniczać funkcjonalności przełączników oraz posiadanej przez
Zamawiającego gwarancji na ww. przełączniki.”
Wyżej wymienione karty liniowe będą służyły do podłączenia oferowanych urządzeń systemu
SKD (Cisco ISE) i w związku z tym muszą wspierać wszystkie funkcjonalności jakie przed
systemem SKD postawił Zamawiający - zob. Wyciąg z tabeli „Opis sposobu spełnienia
wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego
dostępu do zasobów sieciowych.” załącznika „D”, lp. 28 :”Wykonawca, w ramach SKD, musi
dostarczyć, zaprojektować i wdrożyć funkcjonalność zapewniającą segmentację sieci LAN,
która musi spełniać łącznie wszystkie następujące wymagania: a)musi ciągle, na bieżąco i
automatycznie segmentować sieć na grupy użytkowników i pojedynczych użytkowników,
b)zarządzanie segmentacją musi odbywać się z poziomu interfejsu graficznego, będącego
częścią SKDtzn.dostęp administratora do panelu zarządzania funkcjonalnością musi
odbywać się z poziomu SKD c)…”.
Sygn. akt KIO 2021/16
Tymczasem wykonawca wybrany zaoferował karty liniowe WS-C6848-TX-2T C6k-48-port
10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 - Szczegółowa specyfikację oferowanego
systemu SKD stanowiącą część składową oferty tego Wykonawcy, tabela, lp. 16
Według odwołującego zaoferowane przez wykonawcę wybranego karty nie pozwalają
realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D”
w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla
oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych.” lp 28
zamieszczonych poniżej - wyciąg z załącznika D: [- wskazane wymagania są wynikiem
modyfikacji SIWZ z dnia 22.06.2016 r.]
Warunkiem realizacji funkcjonalności TrustSec Security Group Tag (SGT) jest wsparcie dla
niej przez oferowane rozwiązanie SKD oraz urządzenia sieciowe (przełączniki). Według
zamawiającego urządzenia sieciowe, które posiada wspierają mechanizmy TrustSec
Security Group Tag (SGT). Zamawiający wymaga by system SKD został dostarczony w
postaci fizycznych appliances (dedykowane urządzenia) - Załącznik nr 3 do Umowy i
odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych
produktów - w tabeli wiersz 22, str. 52, które zostaną podłączone do 2 sztuk centralnych
przełączników sieciowych Zamawiającego z rodziny Cisco Catalyst 6513-E. Warunkiem
podłączenia systemu SKD jest wyposażenie ww. przełączników w karty linowe będące
przedmiotem dostawy w tym postępowaniu -. Załącznik nr 3 do Umowy i odpowiadający mu
fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w tabeli
wiersz 23, str. 52. Jednak by system SKD mógł zrealizować stawiane mu wymogi w zakresie
TrustSec Security Group Tag (SGT) musi zostać podłączony do urządzeń wspierających
mechanizmy TrustSec Security Group Tag (SGT) poprzez karty liniowe również wspierające
tą technologię. W przypadku jeśli system SKD zostanie podłączony do urządzeń
wspierających mechanizm TrustSec Security Group Tag (SGT) przez karty liniowe
zainstalowane w tych urządzeniach lecz nie wspierające mechanizmów TrustSec Security
Group Tag (SGT) nie będzie można skorzystać na systemie SKD z tych funkcjonalności w
zakresie TrustSec Security Group Tag (SGT). Karta liniowa nie wspierająca mechanizmów
SGT uniemożliwi komunikacje i zastosowanie mechanizmów SGT pomiędzy urządzeniami
systemu SKD a przełącznikami sieciowymi wspierającymi mechanizmy SGT. Oznacza to, że
zarówno modularny przełącznik sieciowy jak i jego karta liniowa oraz podłączony poprzez nią
system SKD (Cisco ISE) musi wspierać architekturę SGT by można było zrealizować wymogi
Zamawiającego.
Wykonawca wybrany zaoferował do każdego z przełączników Cisco Catalyst 6513-E
wyposażonego w moduł zarządzający w wersji SUP-2T kartę liniową WS-X6848-TX-2T (C6k-
48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4) - wiersz 16 (ostatni) II System
Sygn. akt KIO 2021/16
kontrolowanego dostępu do zasobów sieciowych (SKD) z oferty wykonawcy wybranego, nie
wspierającą mechanizmów TrustSec Security Group Tag (SGT), co oznacza iż system SKD
nie będzie w stanie zrealizować zadań jakie postawił mu Zamawiający. Oznacza to, że treść
oferty złożonej przez Wykonawcę DDP nie odpowiada treści SIWZ.
Mając na względzie powyższe odwołujący wnosi o uwzględnienie odwołania.
Przystępujący z kolei odpierając zarzuty odwołującego przedstawia je i stwierdza, że są to
dwa ogólnie skonstruowane techniczne zarzuty dotyczących rzekomej niezgodności oferty
przystępującego z SIWZ: 1) zarzut odnoszący się do rzekomej niemożliwości spełnienia
przez ofertę złożoną przez przystępującego wymagań SIWZ z uwagi na zaoferowanie licencji
typu „base" w liczbie sztuk 3500, zamiast jak postuluje odwołujący zaoferowania licencji typu
„plus" w ilości sztuk nie mniejszej niż 3400; 2)zarzutu odnoszącego się do rzekomej
niemożliwości spełnienia przez ofertę złożoną przez przystępującego wymagań SIWZ z
uwagi na to, iż zaoferowane przez przystępującego karty liniowe WS-X6848-TX-2T C6K 48-
port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 nie pozwalają realizować
funkcjonalności systemu SKD Kwitując zarzuty odwołującego stwierdza przystępujący, że z
treści odwołania nie można wywnioskować jakie konkretnie zarzuty stawia odwołujący
ofercie wykonawcy wybranemu/przystępującemu. Odwołujący nie wskazuje na czym
konkretnie polega zarzucana niezgodność z wymienionymi przez odwołującego
wymaganiami, które postawił zamawiający określając przedmiot zamówienia, nie wskazuje
również żadnego dowodu na poparcie swoich ogólnych twierdzeń. Potwierdza, że istnieje
1)wymóg, by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów jednocześnie
włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego
(Załącznik Nr 3 Załącznika E do SIWZ Wzór Umowy dla Części II - Szczegółowy opis
wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych „(SKD)" w tabeli 1,
wierszu 18, str. 57);
2)wymóg, by system SKD zapewniał „dynamiczną klasyfikację każdego sprzętu, który jest
podłączany do sieci LAN MF (automatyczne rozpoznanie sprzętu, wg. „sygnatur" - SKD musi
wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie i
klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika". Nie mniej zwraca
uwagę, że zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3
Załącznika E do SIWZ Wzoru Umowy dal Części II - Szczegółowy opis wymagań dla
systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" wskazał, iż,,...nie narzuca
zastosowania jednego rozwiązania, spełnia wymogi SIWZ, a wskazuje jedynie
parametry/minimalne wymagania, które każdy z wykonawców winien jest spełnić.", wskazał
Sygn. akt KIO 2021/16
również, iż „...dopuszcza się stosowanie rozwiązań składających się z kilku komponentów
przy zachowaniu spełnienia wymagań opisanych " w tabeli 1.
Zgodnie z intencją zamawiającego wskazaną powyżej, to wykonawca miał za zadanie
dobrać odpowiednio komponenty pasujące do wymagań wskazanych przez zamawiającego.
Z żadnego zapisu SIWZ nie wynika, iż wykonawcy zobligowani byli do zakupu licencji „Plus"
w ilości odpowiadającej ilości posiadanych przez Zamawiającego urządzeń końcowych - tzn.
w ilości nie mniejszej niż 3400 sztuk. Odwołujący nie wykazał, że treść któregoś z wymagań
na to wskazuje, nie wskazał także żadnego dowodu na poparcie swojej tezy tak twierdzi
wykonawca wybrany/ przystępujący w sprawie.
Wykonawca pragnie podkreślić, iż jego oferta spełnia wszystkie wymagania postawione
przez zamawiającego, w tym dwa ww., zaś spełnienie przytaczanych przez odwołującego w
odwołaniu wymagań możliwe jest na podstawie konfiguracji wskazanej w Szczegółowej
specyfikacji oferowanego systemu SKD, która stanowi część składową oferty Wykonawcy,
tzn. poprzez zaoferowanie 3500 sztuk licencji „Base" (Ip. 13 specyfikacji oferty - L-ISE- BSE-
3500 = Cisco Identity Services Engine 3500 Endpoint Base License) oraz poprzez
zaoferowanie 250 sztuk licencji „Plus" (Ip. 14 specyfikacji oferty - licencja L- ISE-PLS-S-250=
Cisco ISE 250 Endpoint Plus Subscription License).
Zaoferowanie przez Wykonawcę 3500 sztuk licencji typu „Base" umożliwia zgodnie z
wymogiem wymienionym w ppkt 2.2.,pkt 1) powyżej obsługę minimum 3500 sprzętów
jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika
końcowego, przygotowana przez Wykonawcę konfiguracja (3500 licencji „Base" + 250 sztuk
licencji typu „Plus) zapewnia dynamiczną klasyfikację każdego sprzętu, który podłączany jest
do sieci LAN MF (wymóg wskazany w ppkt 2.2., pkt 2) powyżej. Ponadto w swojej
odpowiedzi podkreślił, że zamawiający posiada dwa rodzaje urządzeń końcowych (3400
szt.).
Zamawiający posiada dwa rodzaje urządzeń końcowych (3400 szt.)
A. urządzenia nieinteligentne/urządzeń bez (oprogramowania) suplikanta/urządzeń typu
non - user,, na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z Załącznika
„D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego
dostępu do zasobów sieciowych (SKD) w wierszu lp.9 w treści „...kontrolę dostępu do sieci
LAN MF, sprzętu typu non-user, co najmniej kamery, drukarki...", które posiada w ilości sztuk
250.
B. urządzenia inteligentne/urządzenia (z oprogramowaniem) z suplikanta/urządzenia
typu user na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z ww.
Załącznika „D"
Sygn. akt KIO 2021/16
do SIWZ „...kontrolę dostępu do sieci LAN MS sprzętu typu user-devices..." które posiada w
ilości sztuk 3150.
Zatem dynamiczne rozpoznawanie/klasyfikacja każdego sprzętu, o którym mowa w
wymaganiu z ppkt 2.2.,pkt 2) powyżej będzie odbywać się w następujący sposób:
A. dla sprzętu inteligentnego rozpoznawanie/klasyfikacja będzie odbywać się przy użyciu
zaoferowanej licencji typu „Base", wg. sygnatury określonej w certyfikacie
uwierzytelniającym, który posiada każde urządzenie inteligentne. Certyfikatu nie da się
podrobić oraz nie da się zrobić jego kopii. Zamawiający zaznaczył, że dla każdego
urządzenia „user-devices". poprzez serwer uwierzytelniający wydawany będzie jeden
certyfikat, który z definicji jest jednoznacznie przypisany tylko do jednego urządzenia w
relacji 1 do 1. Wydawanie certyfikatu dla urządzenia, który go jednoznacznie identyfikuje z
założenia jest operacją, która musi zostać zaksięgowana i w której można zawrzeć pełne
informacje o urządzeniu. Licencja typu „Base" w umożliwia rozpoznawanie i klasyfikację
podłączanych urządzeń na podstawie prezentowanych przez nich cech. Zaoferowany
system SKD zapewnia ciągle weryfikowanie tożsamości podłączonych urządzeń poprzez ich
odpytywanie po określonym czasie o ponowne uwierzytelnienie się",
B. dla sprzętu nieinteligentnego, który nie posiada certyfikatu identyfikacja i klasyfikacja
rodzaju sprzętu nastąpi niezależnie od tożsamości użytkownika przy użyciu zaoferowanej
licencji typu „Plus" (250 sztuk) na podstawie profilowania generowanego przez nich ruchu.
2.3. Reasumując, w celach rozpoznawania/klasyfikacji urządzeń inteligentnych posiadanych
przez Zamawiającego w ilości 3150 sztuk - uwierzytelniających się z wykorzystaniem
certyfikatu nie ma potrzeby zakupu licencji „Plus", gdyż nie ma potrzeby profilowania ruchu,
od urządzenia które będzie posiadać certyfikat wydany przez system SKD, ponieważ takie
urządzenia w momencie podłączenia do sieci przedstawi się certyfikatem, który
jednoznacznie identyfikuje urządzenie końcowe.
Na podstawie postawionych przez zamawiającego wymagań i wymaganych mechanizmów
uwierzytelniania, zgodnie z oczekiwaniami zamawiającego dla urządzeń nieinteligentnych
wykonawca wykupił licencję „Plus" umożliwiającą profilowanie urządzeń na podstawie
profilowania ruchu, do czego niezbędna jest licencja „Plus" tylko dla urządzeń końcowych,
które nie mogą być uwierzytelnione za pomocą sygnatury zapisanej w certyfikacie.
Podkreślenia wymaga fakt, iż IS w treści Odwołania na str. 7 de facto przyznaje, iż licencje
typu „Plus" są potrzebne do rozpoznania urządzeń nieinteligentnych w rodzaju drukarek,
kamer IP, czytników kodów kreskowych itp.
Żeby zrealizować wszystkie opisane wyżej wymagania Zamawiającego wymagane jest
zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna"
Sygn. akt KIO 2021/16
dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu
sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP.
czytników kodów kreskowych up. system ma do czynienia, a po ich zidentyfikowaniu będzie
możliwe przypisanie opowiadających im, zdefiniowanych polityk bezpieczeństwa.
Zamawiający wskazał że posiada 250 sztuk urządzeń nieinteligentnych i w związku z tym
Wykonawca w specyfikacji oferty zawarł licencję L-ISE-PLS-S-250, która zapewnia
profilowanie urządzeń końcowych w ilości 250 sztuk co jest równoważne ilości drukarek
wskazanych przez zamawiającego. W związku z powyższym, za całkowicie pozbawione
merytorycznych podstaw należy uznać stwierdzenie odwołującego, iż skonfigurowany przez
wykonawcę system SKD w oparciu o 250 licencji „Plus" przy jednoczesnym zaoferowaniu
3500 licencji „Base" nie będzie w stanie realizować wymagań opisanych przez
Zamawiającego dla więcej niż 250 jednocześnie podłączonych do niego urządzeń
końcowych.
Podkreślenia wymaga fakt, iż zaproponowane przez Przystępującego licencje typu „Base" w
ilości sztuk 3500 mają charakter jednorazowy, tzn. zamawiający nie musi przedłużać
odpłatnie ich subskrypcji po okresie 3 lat, jak ma to miejsce w przypadku 3500 sztuk licencji
„Plus" zaoferowanych przez Odwołującego. Przystępujący nie twierdzi, iż nie można było
stworzyć konfiguracji dla przedmiotowego zamówienia na bazie 3500 licencji „Plus",
natomiast w świetle wymagań postawionych przez Zamawiającego i kanonów tzw. „dobrych
praktyk" taka konfiguracja jest absolutnie zbędna przy rozpoznawaniu urządzeń
inteligentnych, co zostało wykazane powyżej.
2.4. Odwołujący nie wykazał związku pomiędzy swoimi twierdzeniami, a wymaganiami
Zamawiającego, nie wykazał, które wymaganie wskazuje na obligatoryjność zaoferowania
dla wszystkich urządzeń końcowych posiadanych przez Zamawiającego licencji typu „Plus",
nie przedstawił żadnego dowodu na poparcie swoich nieskonkretyzowanych zarzutów.
3. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania kart liniowych
WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
3.1. Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do
SIWZ Wzoru Umowy dla Części II - Szczegółowy opis wymagań dla systemu
kontrolowanego dostępu do zasobów sieciowych (SKD)" Ip. 28 wskazał następujące
wymaganie „Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej
na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security
Group Tag). Wykonawca potwierdza, iż jego oferta spełnia to wymaganie, jak również
wymagania z SIWZ, które przytoczył odwołujący w treści Odwołania: wymóg dostarczenia
wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch
przełączników Cisco WS-C6513E zgodnie z wymogami określonymi w Załączniku nr 3
Sygn. akt KIO 2021/16
Załącznika E do SIWZ Wzór Umowy dla części II - Szczegółowy Opis wymagań dla
.;systemu kontrolowanego dostępu do zasobów sieciowych „SKD" w tabeli 1, wierszu 23, str.
58 oraz Załącznik „D" - wykaz cech oferowanych produktów dla II System kontrolowanego
dostępu do zasobów (SKD)), przytoczonych przez Odwołującego w treści Odwołania.
Odwołujący skonstruował ogólny zarzut, iż zaoferowane przez wykonawcę wybranego karty
liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
„nie wspierają mechanizmów TrustSec Security Group Tag (SGT), co oznacza, iż system
SKD nie będzie w stanie zrealizować zadań jakie postawił mu zamawiający. Powyższy
zarzut opiera się na błędnym założeniach przyjętych w wywodzie.
3.3. Błędne założenie z ppkt 3.2 lit. B powyżej.
Zgodnie oficjalną z dokumentacją producenta oferowanego rozwiązania SKD, będącą
opisem architektury systemu (Configuration Guide - Cisco TrustSec Switch Configuration
Guide) dostępnej pod adresem internetowym producenta firmy Cisco Systems: http://www.^
er. htm I, (dowód: rysunek poniżej)
podłączenie Cisco ISE do sieci poprzez przełącznik sieciowy (Ang. switch) nie wymaga
mechanizmów SGT na tym podłączeniu, a zatem założenie odwołującego wskazane w ppkt
3.2 lit. B powyżej jest całkowicie błędne. Poniżej została przedstawiona topologia sieciowa
dla systemu SKD z wykorzystaniem Cisco ISE (na rysunku opisany jako Authentication
Server). Połączenia oznaczone jako „Protected" określają połączenia przenoszące
informacje SGT.
Błędne założenie z ppkt 3.2 lit. C powyżej.
Zgodnie z informacjami zawartymi na ww. stronie internetowej Cisco Systems w
przytoczonym powyżej oficjalnym dokumencie producenta rozwiązania, informacje o SGT są
przekazywane z serwera ISE (Authentication server) do urządzeń sieciowych wspierających
mechanizmy SGT za pośrednictwem protokołu RADIUS:
Zatem, z dokumentów dostępnych publicznie na oficjalnych stronach producenta
rozwiązania wynika, iż System SKD przekazuje informacje o TrustSec Security Group Tag
(SGT) do urządzeń sieciowych wspierających mechanizmy SGT za pomocą protokołu
RADIUS, a co za tym idzie nie musi być bezpośrednio podłączony do sieci poprzez interfejsy
wspierające mechanizmy SGT, co skutkuje nieprawdziwością założenia z ppkt 3.2 lit. C
powyżej. Zgodnie z zasadami dobrych praktyk inżynierskich dla wdrożeń tego typu
systemów zalecane jest, aby serwer uwierzytelniający (w tym przypadku Cisco ISE) był
podłączony do sieci poprzez link, który nie wymaga uwierzytelniania, w szczególności nie
musi być wsparcia dla SGT na kartach liniowych WS-C6848-TX-2T zaoferowanych przez
Wykonawcę jako dodatkowe wyposażenie przełącznika Cisco Catalyst serii 6500. Powyższe
wskazuje, iż nie jest wymagane wsparcie dla SGT na bezpośrednim linku do serwera Cisco
Sygn. akt KIO 2021/16
ISE, aby zapewnić funkcjonalność SGT dla urządzeń końcowych podłączonych do
sieci.3.5.Ponadto, zgodnie z wymaganiem zamawiającego zawartym w SIWZ (załącznik nr 3
Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu
kontrolowanego dostępu do zasobów sieciowych (SKD) w tabeli 1, wierszu 23: Wykonawca
zaoferował karty WS-C6848-TX-2T zawierające taką liczbę portów fizycznych, która zapewni
podłączenie przełączników WS-C6513-E ze sprzętem dla SKD, tj. serwerami Cisco ISE
SNS- 3515-K9. Zaoferowana karta nie ogranicza funkcjonalności przełączników WS-C6513-
E oraz posiadanej przez Zamawiającego gwarancji na ww. przełączniki oraz nie ogranicza
funkcjonalności całego Systemu Kontroli Dostępu, w szczególności funkcjonalności TrustSec
Security Group Tag ponieważ, zgodnie z przytoczoną dokumentacją, połączenie pomiędzy
przełącznikiem WS-C6513-E a serwerem Cisco ISE nie wykorzystuje SGT.
3.6. Z uwagi na powyższe, nie prawdziwe i nie poparte jakimikolwiek dowodami jest
twierdzenie odwołującego, iż zaoferowane przez wykonawcę wybranego karty nie pozwalają
realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D"
w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla
oferowanego Systemu kontrolowanego dostępu do
zasobów sieciowych" Ip. 28 - wyciąg z załącznika D. Wykonawca zaoferował wymagane
przez zamawiającego karty liniowe w ilości i o parametrach zgodnych z opisem wskazanym
w SIWZ, które nie uniemożliwiają realizacji funkcjonalności wymaganej przez
Zamawiającego - Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi
pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec
Security Group Tag) oraz spełnienia wszystkich związanych z nią wymagań. W treści
wymagań SIWZ nie ma wymogu, że każde urządzenie, w tym karta liniowa musi wspierać
(SGT).
Podsumowując swoje stanowisko przystępujący w szczególności zwrócił uwagę na
następujące zagadnienia dowodowe w sprawie.
4.1. Przystępujący pragnie podkreślić, iż jako jeden z wiodących podmiotów na rynku we
wdrażaniu systemów podobnych do zamawianego przez Ministerstwo Finansów systemu
posiada ogromną wiedzę na temat projektowania, wdrażania systemów odpowiadających
swą charakterystyką systemowi SKD, budowanych w oparciu o urządzenia posiadane i
zamawiane przez zamawiającego, w tym urządzenia firmy Cisco Systems. Wyrywkowe
supozycje wskazane w odwołaniu, które są merytoryczną podstawą de facto dwóch zarzutów
nie ostają się w świetle dostępnej wiedzy wysoko wykwalifikowanej kadry inżynierskiej
przystępującego. Uwzględnienie Odwołania prowadziłoby do odrzucenia oferty
Przystępującego, która w pełni spełnia wszelkie wymagania Zamawiającego postawione w
SIWZ oraz potencjalnie zmuszałoby Zamawiającego do wyboru oferty, która oferuje
Sygn. akt KIO 2021/16
nadmiarowe z punktu widzenia wymagań SIWZ rozwiązania i której wartość przekracza
budżet Zamawiającego o kwotę prawie 900 000 zł.
4.2. Podkreślenia wymaga, iż odwołanie nie zawiera skonkretyzowanych zarzutów, zaś
blankietowe stwierdzenia o niezgodności oferty z danymi z danymi wymaganiami SIWZ. W
ramach postępowania odwoławczego odwołujący ma obowiązek postawić konkretne zarzuty
w zakresie niezgodności z prawem czynności zamawiającego, które następnie ma
obowiązek udowodnić.
4.3. Odwołanie nie ostaje się również w swej treści obowiązkowi związanemu z ciężarem
dowodowym, który spoczywa na odwołującym i który został określony w art. 190 ust.1
ustawy Prawo zamówień publicznych. Stosownie do podstawowej zasady wynikającej z art.
6 k.c, znajdującej swe odzwierciedlenie w art. 190 ust. 1 ustawy Pzp, ciężar dowodu w
zakresie okoliczności faktycznych spoczywa na tym, który ze swoich twierdzeń wywodzi
skutek prawny. W rozpoznawanej sprawie takim obowiązkiem dowodowym obciążony był
odwołujący. A zatem, z uwagi na normę prawną wypływającą z przepisu art. 89 ust. 1 pkt 2)
ustawy Pzp, koniecznym było wykazanie przez odwołującego rzeczywistej treści oferty
złożonej przez przystępującego, jak również odpowiedniej treści SIWZ i jej znaczenia
(wykazanie faktycznie postawionych przez Zamawiającego, istotnych w kontekście
stawianego zarzutu, wymagań odnoszących się do przedmiotu zamówienia), Niesprostanie
w rozpoznanej sprawie przez odwołującego obowiązkowi dowodowemu pociągać musiało
uznanie, że zarzuty przez niego podnoszone są niezasadne, a tym samym odwołanie, jako
takie, podlega oddaleniu."
Nie sposób uznać, iż odwołujący przedstawił jakiekolwiek dowody na poparcie swoich tez
wskazanych w odwołaniu, a contrario przystępujący w przedmiotowym piśmie przedstawił
dowody na nieprawdziwość tez wysuwanych przez odwołującego.
W świetle odpowiedzi popartych dowodami na nieprawdziwe twierdzenia wysuwane w
Odwołaniu przystępujący wnosi o oddalenie odwołania jako oczywiście bezzasadnego.
Izba zważyła
Na podstawie przeprowadzonego na rozprawie postępowania wyjaśniającego i
dowodowego, uwzględniając prezentowane stanowiska stron oraz przystępującego w
pismach jak i na rozprawie Izba zważyła jak poniżej.
Odwołanie zasługuje na uwzględnienie.
Sygn. akt KIO 2021/16
W związku z uwzględnieniem odwołania w dniu rozprawy (07.11.2016 r.) przez
zamawiającego i zgłoszeniem sprzeciwu przez przystępującego po stronie zamawiającego to
jest wykonawcy wybranego Izba, rozpoznała merytoryczne zarzuty odwołania.
Odwołujący oparł zarzut o art.89 ust.1 pkt 2 pzp twierdząc, że treść oferty wykonawcy
wybranego jest sprzeczna z treścią SIWZ, z uwagi na zaoferowane nieodpowiednie ilości
licencji PLUS CISCO i karty liniowe.
Jak przyznały obie strony w postępowaniu odwoławczym przed Izbą niesporną okolicznością
jest, że zamawiający żądając przedstawienia oferowanego przedmiotu zamówienia nie
określił parametrów urządzeń a tylko wymagane minimalne funkcjonalności systemu kontroli
dostępu (SKD) do systemu teleinformatycznego zamawiającego. Przystępujący/wykonawca
wybrany argumentował, że jego rozwiązanie jako firmy specjalistycznej w tego rodzaju
zamówieniach jest rozwiązaniem zapewniającym osiągnięcie oczekiwanych funkcjonalności
a czemu zaprzeczył nie tylko odwołujący ale również zamawiający uwzględniając odwołanie
przed rozprawą. Przedmiotem sporu były dwa zagadnienia techniczne związane z dostawą
systemu kontroli dostępu. Pierwszym z nich była kwestia koniecznych licencji PLUS a
zwłaszcza ich ilości, które zapewniałyby badanie sprzętu korzystającego z zasobu sieci
informatycznej zamawiającego. Różnica zdań polegała na tym, że wykonawca wybrany
uzależnił rodzaj licencji w zależności od rodzaju sprzętu dzieląc go na tzw. inteligentny i nie
inteligentny. Co do rodzaju sprzętu i jego ilości w bazie zamawiającego między stronami
postępowania odwoławczego nie istniał spór. Na całkowitą ilość posiadanego sprzętu to jest
3.400 urządzeń 250 posiadało miano sprzętu non – user czyli nie inteligentnego. W związku
z tym według wiedzy posiadanej przez wykonawcę wybranego zaoferował on na sprzęt nie
inteligentny licencję typu PLUS a na pozostały sprzęt licencje BASE. Takie stanowisko
według wykonawcy przystępującego jest słuszne, ponieważ nigdzie w SIWZ zamawiający
nie wymagał konkretnej licencji i zapewnienie wymaganych funkcjonalności należało do
oceny wykonawcy. Z kolei odwołujący powołując się również na SIWZ uważał, że na cały
sprzęt to jest 3.400 sztuk i planowanych do rozbudowy 100 sztuk (łącznie 3.500 sztuk)
należy zaoferować zarówno licencje podstawową to jest BASE jak i licencję bardziej
rozwiniętą technologicznie służącą do profilowania urządzeń to jest PLUS. Stanowisko to
słusznie odwołujący wywodził z samych postanowień SIWZ przywołując na rozprawie
ostatnie zdanie nad tabelą Załącznika nr 3 do Umowy pn. Szczegółowy opis wymagań dla
Systemu kontrolowanego dostępu do zasobów sieciowych (SKD) Wymagania minimalne
(Tabela 1) o treści „SKD musi zapewniać redundantne uwierzytelnianie, autoryzację i
profilowanie sprzętu dołączonego do sieci zarządzanego z zastosowaniem jednego
Sygn. akt KIO 2021/16
wspólnego interfejsu, przy czym dopuszcza się stosowanie rozwiązań składających się z
kilku komponentów przy zachowaniu spełniania wymagań opisanych poniżej.” W tej samej
tabeli w L.p. 9 Profilowanie opis wymagania brzmi „SKD (System Kontroli Dostępu)
dynamicznie i automatycznie musi rozpoznawać rodzaj oraz producenta sprzętu i na tej
podstawie przydzielać do odpowiedniego profilu zdefiniowanego wcześniej w SKD, w
szczególności musi zapewnić co najmniej: ósmy akapit: automatyczna, ciągła i bieżąca
analiza informacji pochodzących z(…) i w wyniku tej analizy automatyczne, ciągłe i bieżące
profilowanie sprzętu końcowego. Na rozprawie: „Pan P.Z. przeczy twierdzeniom
pełnomocnika przystępującego, który wyjaśniał dzisiaj, że sprzęt inteligentny nie musi być
profilowany, a profilowanie dotyczy tylko sprzętu nieinteligentnego. Na okoliczność, iż każdy
sprzętu powinien być profilowany przywołuje ostatnie zdanie nad tabelą 1, z którego wynika,
że SKD musi zapewniać redundantne uwierzytelnianie, autoryzację i profilowanie sprzętu
dołączonego do sieci zarządzanego z zastosowaniem jednego wspólnego interfejsu. Nie ma
tu podziału na rodzaj sprzętu. W akapicie ósmym zaczynającym się „automatyczna, ciągła i
bieżąca analiza” kończy się ciągłe i bieżące profilowanie sprzętu bez podziału na jego rodzaj
i dlatego potrzebujemy licencji Plus. Pan M.D. zwraca uwagę na treść załącznika nr 7, który
określa jakie zamawiający ma urządzenia i w tej tabeli drukarki sieciowe sztuk 250, a łączna
liczba urządzeń wynosi 3400 i biorąc pod uwagę załącznik D pkt 18, z którego wynika że
system SKD ma zapewnić obsługę minimum 3500 sztuk, a nie można mieć pewności, że
zwiększona liczba sprzętu o 100 sztuk będzie inteligentna i przyjmując interpretację
przystępującego, który uważa że tylko dla nieinteligentnych trzeba licencji Plus.
Asekuracyjnie nawet niespełniony jest wymóg 350 bo oferuje się 250 licencji Plus”.
Powyższe postanowienia SIWZ, przywoływane na rozprawie, wskazują jednoznacznie, że
koncepcja wykonawcy wybranego zaoferowania licencji PLUS tylko dla urządzeń tzw. nie
inteligentnych nie znajduje uzasadnienia. Tym samym słuszne jest stanowisko
odwołującego i popierającego go zamawiającego wskutek uwzględnienia odwołania, że
profilowany ma być każdy sprzęt zarówno tzw. inteligentny jak i tzw. nie inteligentny. Czyli
oferta wykonawcy wybranego jest sprzeczna z treścią SIWZ skoro odwołujący co jest
bezspornym w sprawie ofertuje 250 licencji CISCO PLUS a nie 3.500 sztuk.
O słuszności zarzutu odwołującego świadczy również okoliczność, że oferta w związku z
przewidzianą rozbudową ilości urządzeń o kolejne 100 sztuk nie obejmowała zaoferowania
kolejnych 100 licencji PLUS. Należy bowiem brać pod uwagę, że zamawiający może
rozszerzyć beza sprzętową o urządzenia nie inteligentne. Wówczas chociażby z tego
powodu oferta jest sprzeczna z treścią SIWZ, ponieważ oferta zwiera 250 licencji PLUS a nie
co najmniej 350 licencji PLUS, przy założeniu, że urządzenia inteligentne tej licencji nie
wymagają (pkt 18 zał. Nr 3 do umowy SKD musi zapewnić obsługę minimum 3.500 sztuk
Sygn. akt KIO 2021/16
sprzętu jednocześnie włączanych do sieci LAN MF bez opóźnienia z punktu widzenia
użytkowników końcowych).
Stanowisko odwołującego zostało potwierdzone również odpowiedzią udzieloną przed
przedstawicieli CISCO zarówno przedstawicielstwa w Polsce (T.J. email) jak i
zagranicznego (P.C. email). Przedstawicielom tym zadano pytania dotyczące zarówno co do
właściwej licencji jak i drugiego zarzutu kart liniowych z interfejsami w kontekście wymagań
SIWZ. W ocenie Izby odpowiedzi były jednoznaczne w obydwu przypadkach ich udzielenia
to jest „Do zrealizowania „profilowania” urządzeń i na tej podstawie tworzenia polityk jest
wymagana subskrypcyjna licencja ISE PLUS (tabela 1 poniższego źródła) np. aby
jednocześnie profilować (i tworzyć na tej podstawie polityki) 1000 licencji ISE PLUS oraz
1000 licencji ISE BASE (ISE BASE jest wymagane do zainstalowania licencji PLUS, tabela 1
poniższego źródła).” Czy też „Karty „WS-X6848-TX-2T=” SGT nie obsługują”. Udzielone
odpowiedzi są o tyle znaczące dla wyjaśnienia sprawy, że zostały wydane na podstawie
przedstawionych treści SIWZ. W sprawie nie ma znaczenia podnoszona okoliczność, braku
udokumentowania upoważnienia do udzielenia odpowiedzi chociażby z racji, że są to
oświadczenia wiedzy i woli a przystępujący nie wykazał, że Panowie J. i C. nie są
przedstawicielami producenta CISCO.
Izba z kolei nie uznała za wiarygodne dowody przedłożone przez przystępującego ze stron
internetowych producenta CISCO. Po pierwsze stanowią one wyrywkowe tłumaczenia tekstu
w j. angielskim i nie można ocenić ich przydatności dla wyjaśnienia sprawy w związku z
pozostałą nie przetłumaczoną częścią informacji producenta. Po drugie nie odnoszą się do
postanowień SIWZ w zakresie wymaganych minimalnych funkcjonalności.
W tym stanie rzeczy odwołanie zasługuje na uwzględnienie. Bowiem odwołujący udowodni
sprzeczności treści oferty z treścią SIWZ w zakresie wskazanym w odwołaniu.
O kosztach orzeczono stosownie do wyniku sprawy zgodnie z art. 192 ust.9 i 10 ustawy oraz §
3 pkt 1 w związku z § 5 ust.2 pkt2) rozporządzenia Prezesa Rady Ministrów z dnia 15 marca
2010r. w sprawie wysokości i sposobu pobierania wpisu od odwołania oraz rodzajów kosztów
w postępowaniu odwoławczym i sposobu ich rozliczania (Dz. U. 2010r. nr 41 poz.238)
zaliczając uiszczony wpis przez odwołującego w kwocie 15.000,00 zł. w koszty postępowania
odwoławczego i zasądzając od przystępującego na rzecz odwołującego kwotę 15.000,00
złotych jako koszty obejmujące uiszczony wpis odwołującego.
Sygn. akt KIO 2021/16
Pełnomocnik odwołującego oświadczył, że nie składa rachunku z tytułu zastępstwa
procesowego w sprawie.
Przewodniczący: ……………………
.
Sygn. akt: KIO 2021/16
WYROK
z dnia 14 listopada 2016 r.
Krajowa Izba Odwoławcza - w składzie:
Przewodniczący: Renata Tubisz
Protokolant: Łukasz Listkiewicz
po rozpoznaniu na rozprawie w dniu 8 listopada 2016 r. w Warszawie odwołania
wniesionego do Prezesa Krajowej Izby Odwoławczej w dniu 24 października 2016 r. przez
odwołującego: Integrated Solutions Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa
postępowaniu prowadzonym przez zamawiającego: Ministerstwo Finansów ul.
Świętokrzyska 12; 00-916 Warszawa
z udziałem przystępującego po stronie zamawiającego: Dimension Data Polska Sp. z
o.o. ul. Sienna 73; 00-833 Warszawa
orzeka
1. uwzględnia odwołanie i nakazuje zamawiającemu unieważnienie czynności wyboru
oferty najkorzystniejszej, odrzucenie oferty wykonawcy wybranego, dokonanie
ponownego badania, oceny ofert i wyboru oferty najkorzystniejszej.
2. kosztami postępowania obciąża Dimension Data Polska Sp. z o.o. ul. Sienna 73; 00-
833 Warszawa
i
2.1. zalicza w poczet kosztów postępowania odwoławczego kwotę 15.000 zł 00 gr
(słownie: piętnaście tysięcy złotych zero groszy) uiszczoną przez Integrated Solutions
Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa tytułem wpisu od odwołania,
2.2. zasądza od Dimension Data Polska Sp. z o.o. ul. Sienna 73; 00-833 Warszawa
kwotę 15.000 zł 00 gr (słownie: piętnaście tysięcy złotych zero groszy) na rzecz
Sygn. akt KIO 2021/16
Integrated Solutions Sp. z o.o. ul. Skierniewicka 10a; 01-230 Warszawa stanowiącą
koszty postępowania odwoławczego poniesione z tytułu wpisu od odwołania.
Stosownie do art. 198a i 198b ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień
publicznych (t.j. Dz. U. z 2015 r. poz. 2164 ze zm.) na niniejszy wyrok - w terminie 7 dni od
dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa Krajowej Izby
Odwoławczej do Sądu Okręgowego w Warszawie
Przewodniczący: ……………
Sygn. akt KIO 2021/16
Uzasadnienie
W dniu 24.10.2016 r. do Prezesa Krajowej Izby Odwoławczej ul. Postępu 17 a 02-676
Warszawa wniesione zostało odwołanie w postępowaniu prowadzonym przez
Zamawiającego: Ministerstwo Finansów ul. Świętokrzyska 12; 00-916 Warszawa zwane
dalej „zamawiający”.
Odwołanie zostało wniesione przez oferenta Integrated Solutions Sp. z o. o. ul.
Skierniewicka 10a; 01-230 Warszawa zwanego dalej „odwołującym”.
Ogłoszenie o zamówieniu opublikowane zostało w Dzienniku Urzędowym Unii Europejskiej
w dniu 20.04.2016 r. pod numerem 2016/S 077-136424.
Postępowanie o udzielenie zamówienia publicznego prowadzone przez zamawiającego w
trybie przetargu nieograniczonego dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa
dla Infrastruktury Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy
R/151/I5/DS/B/579.
Odwołanie dotyczy części II przedmiotu zamówienia.
Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia
20.10.2016 roku.
Odwołanie wniesiono na zaniechanie dokonania czynności, do której zamawiający był
zobowiązany na podstawie ustawy Pzp to jest zaniechania odrzucenia oferty złożonej przez
Dimension Data Polska Sp. z o. o. zwanej w toku postępowania odwoławczego
„przystępującym po stronie zamawiającego” lub ”wykonawcą wybranym” lub „zgłaszającym
sprzeciw”.
Naruszenie pzp nastąpiło w postępowaniu o udzielenie zamówienia publicznego na „Zakup i
wdrożenie systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa
Finansów”.
Podstawę wniesienia odwołania stanowił art. 180 ust. 1 ustawy z dnia 29 stycznia 2004 r.
Prawo zamówień publicznych, zwanej dalej „ustawą Pzp” lub „pzp”.
Odwołujący posiada interes w uzyskaniu zamówienia, ponieważ na część II zamówienia
złożone zostały dwie oferty w tym oferta odwołującego oraz wykonawcy
wybranego/przystępującego w sprawie.
Sygn. akt KIO 2021/16
W związku powyższym jest podmiotem uprawnionym do złożenia środka ochrony prawnej w
rozumieniu art. 179 ust. 1 pzp.
Zarzuty odniesione do art. 89 ust. 1 pkt 2) pzp - poprzez zaniechanie odrzucenia oferty
złożonej przez wykonawcę wybranego, pomimo tego, iż treść jego oferty nie odpowiada
treści specyfikacji istotnych warunków zamówienia (SIWZ). Zarzut odwołujący precyzuje do
nie spełnienia wymagań opisanych w SIWZ w odniesieniu do systemu kontrolowanego
dostępu do zasobów sieciowych (SKD).
W związku z przedstawionymi zarzutami odwołujący żąda: unieważnienia wyboru oferty
najkorzystniejszej, odrzucenia oferty złożonej przez wykonawcę wybranego, dokonania
ponownej czynności badania i oceny ofert, dokonania ponownej czynności wyboru oferty
najkorzystniejszej.
O wyborze najkorzystniejszej oferty zamawiający powiadomił wykonawców w dniu
14.10.2016 r. Wobec czego termin na wniesienie odwołania, o którym mowa w art. 182 ust. 1
pkt 1) pzp odwołujący dochował wnosząc odwołanie w dniu 24 października 2016 roku. W
tym samym dniu kopię odwołania przesłał zamawiającemu. Odwołanie nie podlega
odrzuceniu w myśl art.189 ust.2 pzp
Przedstawiając uzasadnienie faktyczne przywołano załącznik nr 7 do umowy - Opis
środowiska zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych - w
tabeli 2 - Lista urządzeń zamawiającego, wskazał listę urządzeń, z którymi będzie
współpracował oferowany system SKD (System kontrolowanego dostępu do zasobów
sieciowych), przy czym dla urządzeń końcowych (klienckich) zamawiający wskazał, iż
system będzie działał z następującymi urządzeniami:1) komputery PC pracujące pod
kontrolą systemu Windows 7/8/10 w liczbie 2300 sztuk,2) Drukarki sieciowe w liczbie 250
sztuk,
3)Telefony VoIP AASTRA 67571 IP Phone w liczbie 50 sztuk, 4) Tablety z systemem
operacyjnym Windows 8/10, Android, iOS w liczbie 400 sztuk ,
5)Smartfony/telefony GSM z systemem operacyjnym Windows Phone/10, Android, iOS w
liczbie 400 sztuk, co wskazuje na sumaryczną liczbę urządzeń końcowych systemu SKD
wynoszącą 3400 sztuk
Jednocześnie Zamawiający w załączniku nr 3 Załącznika E do SIWZ Wzory umów dla
Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów
sieciowych (SKD)” w tabeli 1, wierszu 18, str. 57, wymaga by system SKD zapewnił obsługę
minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z
punktu widzenia użytkownika końcowego.
Sygn. akt KIO 2021/16
Jednocześnie Zamawiający w załączniku "D" do SIWZ (wykaz cech oferowanych produktów)
w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) - w wierszu lp. 9 -
wskazał jednoznacznie, iż system, cyt: "SKD dynamicznie i automatycznie musi
rozpoznawać rodzaj oraz producenta sprzętu i na tej podstawie przydzielać do
odpowiedniego profilu zdefiniowanego wcześniej w SKD, w szczególności musi zapewniając
co najmniej: dynamiczną klasyfikację każdego sprzętu, który jest podłączany so sieci LAN
MF ", po czym zamawiający wymienia wraz ze szczegółowym opisem realizacji celu
wszystkie funkcjonalności jakie ma realizować SKD.Odwołujący we wniesionym odwołaniu
na szczególną uwagę zwrócił na pierwsze z wymagań w brzmieniu cyt: "dynamiczną
klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne
rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który
łączy się z siecią LAN MF)," oraz "identyfikowanie i klasyfikacja rodzaju i typu sprzętu
niezależnie od tożsamości użytkownika", a także pozostałe wymagania wskazane w lp. 9
ww. załącznika.
Według twierdzeń odwołującego dla realizacji tych wymagań niezbędne jest wyposażenie
systemu SKD w dodatkową licencję/subskrypcję Cisco ISE Endpoint Plus Subscription
License, zwaną dalej „Plus", w liczbie odpowiadającej maksymalnej liczbie przyłączanych
urządzeń do sieci zamawiającego, która według zamawiającego wynosi nie mniej niż 3400
sztuk. Realizacja ww. funkcjonalności przez system SKD z wykorzystaniem wyłącznie
podstawowych licencji typu „Base” (L-ISE-BSE-3500 Cisco Identity Services Engine 3500
EndPoint Base License) w liczbie 3500 sztuk, które zaoferował wykonawca wybrany -
stanowiącą część składową oferty tego Wykonawcy, tabela, Ip. 13 - nie jest możliwa do
zrealizowania, tj. nie spełnia opisanych wymagań zamawiającego.
Zdaniem odwołującego powyższe wskazuje, że treść oferty złożonej przez wykonawcę
wybranego nie odpowiada treści SIWZ.
Odwołujący zwrócił uwagę, że wykonawca wybrany zaoferował zaledwie 250 licencji „Plus"
(L-ISE-PLS-S-250) - Szczegółowa specyfikacja oferowanego systemu SKD stanowiącą
część składową oferty tegoż Wykonawcy, tabela, lp. 14 - przy jednoczesnym zaoferowaniu
3500 licencji „Base" lp. 13. Odwołujący uważa, że tak skonfigurowany system nie będzie w
stanie realizować opisanych wyżej wymagań zamawiającego, dla więcej niż 250
jednocześnie podłączonych do niego urządzeń (tj. zaledwie nieco ponad 7% z ogólnej liczby
jaką planuje podłączyć zamawiający w swojej sieci LAN nadzorowanej przez SKD.
Dla realizacji wszystkich opisanych wyżej wymagań SIWZ wymagane jest zastosowanie dla
nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" dzięki
wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z
jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP, czytników kodów
Sygn. akt KIO 2021/16
kreskowych itp. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe
przypisanie odpowiadających im, zdefiniowanych polityk bezpieczeństwa. Reasumując
odwołujący stwierdza, żeby zrealizować wszystkie opisane wyżej wymagania
zamawiającego, w szczególności „dynamiczną klasyfikację każdego sprzętu, który jest
podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD
musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie
i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika” - wymagane jest
zapewnienie licencji „Plus" dla wszystkich urządzeń jakie będą podpięte do sieci
zamawiającego tj. co najmniej 3400 licencji w modelu subskrypcyjnym, co wynika z liczby
urządzeń jaką posiada zamawiający i planuje włączyć do sieci kontrolowanej przez system
SKD (załącznik nr 7, tabela nr 2), czyli nawet 3500 sztuk na co wskazuje Zamawiający
(załącznik „D” do SIWZ (wykaz cech oferowanych produktów) w pkt. II System
kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp. 18 - wyciąg z tabeli
3. Treść oferty złożonej przez wykonawcę wybranego - niezależnie od jej niezgodności z
SIWZ opisanej w pkt 2 powyżej - nie odpowiada treści SIWZ jeszcze z innego powodu.
Otóż, oferta ta nie spełnia wymagań stawianych przez Zamawiającego w odniesieniu do
systemu SKD umożliwiających jego wdrożenie i realizację określonych przez Zamawiającego
zadań. Zamawiający w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory umów dla Części
II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów
sieciowych (SKD)” w tabeli 1, wierszu 23, str. 58 oraz załącznik „D” - wykaz cech
oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)) wskazuje
na wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z
interfejsami do dwóch przełączników Cisco WS-C6513-E stawiając określone i jednoznaczne
wymogi - zob. wyciągi z tabeli, lp. 23 obu w.w dokumentów.
Wyżej wymienione karty liniowe będą służyły do podłączenia oferowanych urządzeń systemu
SKD (Cisco ISE) i w związku z tym muszą wspierać wszystkie funkcjonalności jakie przed
systemem SKD postawił Zamawiający - zob. Wyciąg z tabeli „Opis sposobu spełnienia
wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego
dostępu do zasobów sieciowych.” załącznika „D”, lp. 28 :
Wykonawca, w ramach SKD, musi dostarczyć, zaprojektować i wdrożyć funkcjonalność
zapewniającą segmentację sieci LAN, która musi spełniać łącznie wszystkie następujące
wymagania;
a)musi ciągle, na bieżąco i automatycznie segmentować sieć na grupy użytkowników i
pojedynczych użytkowników,
b)zarządzanie segmentacją musi odbywać się z poziomu interfejsu graficznego.
Sygn. akt KIO 2021/16
Tymczasem Wykonawca DDP zaoferował karty liniowe WS-C6848-TX-2T C6k-48-port
10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 - zob. Szczegółową specyfikację
oferowanego systemu SKD stanowiącą część składową oferty tego Wykonawcy, tabela, lp.
Zaoferowane przez Wykonawcę DDP karty nie pozwalają realizować funkcjonalności
systemu SKD opisanych przez Zamawiającego w załączniku „D” w tabeli „Opis sposobu
spełnienia wymagań, w tym kryteriów równoważności dla oferowanego Systemu
kontrolowanego dostępu do zasobów sieciowych.” lp 28 zamieszczonych poniżej - wyciąg z
załącznika D: [uwaga - wskazane wymagania są wynikiem modyfikacji SIWZ z dnia
22.06.2016 r.]
Warunkiem realizacji funkcjonalności TrustSec Security Group Tag (SGT) jest wsparcie dla
niej przez oferowane rozwiązanie SKD oraz urządzenia sieciowe (przełączniki). Według
Zamawiającego urządzenia sieciowe, które posiada wspierają mechanizmy TrustSec
Security Group Tag (SGT). Zamawiający wymaga by system SKD został dostarczony w
postaci fizycznych appliances (dedykowane urządzenia) -zob. Załącznik nr 3 do Umowy i
odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych
produktów - w tabeli wiersz 22, str. 52, które zostaną podłączone do 2 sztuk centralnych
przełączników sieciowych Zamawiającego z rodziny Cisco Catalyst 6513-E. Warunkiem
podłączenia systemu SKD jest wyposażenie ww. przełączników w karty linowe będące
przedmiotem dostawy w tym postępowaniu - zob. Załącznik nr 3 do Umowy i odpowiadający
mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w
tabeli wiersz 23, str. 52. Jednak by system SKD mógł zrealizować stawiane mu wymogi w
zakresie TrustSec Security Group Tag (SGT) musi zostać podłączony do urządzeń
wspierających mechanizmy TrustSec Security Group Tag (SGT) poprzez karty liniowe
również wspierające tą technologię. W przypadku jeśli system SKD zostanie podłączony do
urządzeń wspierających mechanizm TrustSec Security Group Tag (SGT) przez karty liniowe
zainstalowane w tych urządzeniach lecz nie wspierające mechanizmów TrustSec Security
Group Tag (SGT) nie będzie można skorzystać na systemie SKD z tych funkcjonalności w
zakresie TrustSec Security Group Tag (SGT). Karta liniowa nie wspierająca mechanizmów
SGT uniemożliwi komunikacje i zastosowanie mechanizmów SGT pomiędzy urządzeniami
systemu SKD a przełącznikami sieciowymi wspierającymi mechanizmy SGT. Oznacza to, że
zarówno modularny przełącznik sieciowy jak i jego karta liniowa oraz podłączony poprzez nią
system SKD (Cisco ISE) musi wspierać architekturę SGT by można było zrealizować wymogi
zamawiającego.
Tymczasem wykonawca wybrany zaoferował do każdego z przełączników Cisco Catalyst
6513-E wyposażonego w moduł zarządzający w wersji SUP-2T kartę liniową WS-X6848-TX-
Sygn. akt KIO 2021/16
2T (C6k-48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4) - zob. wiersz 16 (ostatni)
II System kontrolowanego dostępu do zasobów sieciowych (SKD) z oferty DDP, nie
wspierającą mechanizmów TrustSec Security Group Tag (SGT), co oznacza iż system SKD
nie będzie w stanie zrealizować zadań jakie postawił mu zamawiający. Oznacza to, że treść
oferty złożonej przez Wykonawcę DDP nie odpowiada treści SIWZ.
4. Mając na względzie powyższe odwołujący wnosi o uwzględnienie odwołania.
W dniu 7 listopada 2016 r. przystępujący złożył pismo procesowe, w którym wniósł o
oddalenie odwołania w całości uznając zarzuty odwołującego za bezzasadne.
Przystępujący w piśmie tym odniósł się do podniesionych przez odwołującego zarzutów w
odwołaniu z dnia 24 października 2016 r.
1. Przystępujący stwierdza, że stanowisko odwołującego, sprowadza się w zasadzie do
dwóch ogólnie skonstruowanych technicznych zarzutów dotyczących rzekomej niezgodności
oferty przystępującego z SIWZ: 1) zarzutu odnoszącego się do rzekomej niemożliwości
spełnienia przez ofertę złożoną przez przystępującego wymagań SIWZ z uwagi na
zaoferowanie licencji typu „base" w liczbie sztuk 3500, zamiast jak postuluje odwołujący
zaoferowania licencji typu „plus" w ilości sztuk nie mniejszej niż 3400; 2)zarzutu
odnoszącego się do rzekomej niemożliwości spełnienia przez ofertę złożoną przez
Przystępującego wymagań SIWZ z uwagi na to, iż zaoferowane przez Przystępującego karty
liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
wskazane w tabeli Ip. 16 Szczegółowej specyfikacji oferowanego systemu SKD, stanowiącej
część składową oferty Przystępującego nie pozwalają realizować funkcjonalności systemu
SKD 1.4.Przy czym z treści odwołania nie można wywnioskować jakie konkretnie zarzuty
stawia ofercie Wykonawcy Odwołujący. Odwołujący nie wskazuje na czym konkretnie polega
zarzucana niezgodność z wymienionymi przez odwołującego wymaganiami, które postawił
zamawiający określając przedmiot zamówienia, nie wskazuje również żadnego dowodu na
poparcie swoich ogólnych twierdzeń.
2. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania licencji typu
„Base", zamiast licencji typu „Plus" w ilości sztuk nie mniejszej niż 3400
2.1. Bezspornym jest ilość i rodzaj posiadanych urządzeń końcowych przez
Zamawiającego wskazanych w treści załącznika nr 7 do Umowy - Opis środowiska
Zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych - w tabeli 2 - lista
urządzeń Zamawiającego (strona 2,3 Odwołania).
Podstawową zarzutu w zakresie licencji jest twierdzenie, iż ilość wyspecyfikowanych przez
Zamawiającego urządzeń końcowych w połączeniu z wymaganiami określonymi w treści
Sygn. akt KIO 2021/16
załącznika nr 3 Załącznika E do SIWZ Wzoru Umowy dla Części II - Szczegółowy opis
wymagań dla systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" w tabeli 1,
wierszu 18, str. 57, w Załączniku „D" do SIWZ (wykaz cech oferowanych produktów) w pkt II
- System kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp.9 (tabele ze
str. 3,4,5 odwołania IS) determinuje zakupienie licencji „plus" dla wszystkich
wyspecyfikowanych urządzeń końcowych.
2.2. Odwołujący wskazuje na str. 3 Odwołania dwa podstawowe wymogi Zamawiającego,
których jego zdaniem nie spełnia konfiguracja przyjęta w ofercie Wykonawcy i których
niespełnienie ma wpływ zdaniem odwołującego na spełnienie pozostałych wymagań
postawionych w SIWZ, mianowicie:
1) wymóg, by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów
jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika
końcowego (Załącznik Nr 3 Załącznika E do SIWZ Wzór Umowy dla Części II - Szczegółowy
opis wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych „(SKD)" w
tabeli 1, wierszu 18, str. 57);
2) wymóg, by system SKD zapewniał „dynamiczną klasyfikację każdego sprzętu, który
jest podłączany do sieci LAN MF (automatyczne rozpoznanie sprzętu, wg. „sygnatur" - SKD
musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie
i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika"
Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do
SIWZ Wzoru Umowy dal Części II - Szczegółowy opis wymagań dla systemu
kontrolowanego dostępu do zasobów sieciowych (SKD)" wskazał, iż,,...nie narzuca
zastosowania jednego rozwiązania, spełnia wymogi SIWZ, a wskazuje jedynie
parametry/minimalne wymagania, które każdy z wykonawców winien jest spełnić.", wskazał
również, iż „...dopuszcza się stosowanie rozwiązań składających się z kilku komponentów
przy zachowaniu spełnienia wymagań opisanych " w tabeli 1.
Zatem, zgodnie z intencją zamawiającego wskazaną powyżej, to wykonawca miał za
zadanie dobrać odpowiednio komponenty pasujące do wymagań wskazanych przez
zamawiającego. Z żadnego zapisu SIWZ nie wynika, iż wykonawcy zobligowani byli do
zakupu licencji „Plus" w ilości odpowiadającej ilości posiadanych przez zamawiającego
urządzeń końcowych - tzn. w ilości nie mniejszej niż 3400 sztuk. Odwołujący nie wykazał, że
treść któregoś z wymagań na to wskazuje, nie wskazał także żadnego dowodu na poparcie
swojej tezy.
Wykonawca pragnie podkreślić, iż jego oferta spełnia wszystkie wymagania postawione
przez zamawiającego, w tym dwa ww., zaś spełnienie przytaczanych przez odwołującego w
odwołaniu wymagań możliwe jest na podstawie konfiguracji wskazanej w Szczegółowej
Sygn. akt KIO 2021/16
specyfikacji oferowanego systemu SKD, która stanowi część składową oferty Wykonawcy,
tzn. poprzez zaoferowanie 3500 sztuk licencji „Base" (Ip. 13 specyfikacji oferty - L-ISE- BSE-
3500 = Cisco Identity Services Engine 3500 Endpoint Base License) oraz poprzez
zaoferowanie 250 sztuk licencji „Plus" (Ip. 14 specyfikacji oferty - licencja L- ISE-PLS-S-250=
Cisco ISE 250 Endpoint Plus Subscription License).
Zaoferowanie przez Wykonawcę 3500 sztuk licencji typu „Base" umożliwia zgodnie z
wymogiem wymienionym w ppkt 2.2.,pkt 1) powyżej obsługę minmum 3500 sprzętów
jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika
końcowego, przygotowana przez Wykonawcę konfiguracja (3500 licencji „Base" + 250 sztuk
licencji typu „Plus) zapewnia dynamiczną klasyfikację każdego sprzętu, który podłączany jest
do sieci LAN MF (wymóg wskazany w ppkt 2.2., pkt 2) powyżej.
Zamawiający posiada dwa rodzaje urządzeń końcowych (3400 szt.)
A. urządzenia nieinteligentne/urządzeń bez (oprogramowania) suplikanta/urządzeń typu
non - user,, na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z Załącznika
„D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego
dostępu do zasobów sieciowych (SKD) w wierszu lp.9 w treści „...kontrolę dostępu do sieci
LAN MF, sprzętu typu non-user, co najmniej kamery, drukarki...", które posiada w ilości sztuk
250.
B. urządzenia inteligentne/urządzenia (z oprogramowaniem) z suplikanta/urządzenia
typu user na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z ww.
Załącznika „D"
do SIWZ „...kontrolę dostępu do sieci LAN MS sprzętu typu user-devices..." które posiada w
ilości sztuk 3150.
Zatem dynamiczne rozpoznawanie/klasyfikacja każdego sprzętu, o którym mowa w
wymaganiu z ppkt 2.2.,pkt 2) powyżej będzie odbywać się w następujący sposób:
A. dla sprzętu inteligentnego rozpoznawanie/klasyfikacja będzie odbywać się przy użyciu
zaoferowanej licencji typu „Base", wg. sygnatury określonej w certyfikacie
uwierzytelniającym, który posiada każde urządzenie inteligentne. Certyfikatu nie da się
podrobić oraz nie da się zrobić jego kopii. Zamawiający zaznaczył, że dla każdego
urządzenia „user-devices". poprzez serwer uwierzytelniający wydawany będzie jeden
certyfikat, który z definicji jest jednoznacznie przypisany tylko do jednego urządzenia w
relacji 1 do 1. Wydawanie certyfikatu dla urządzenia, który go jednoznacznie identyfikuje z
założenia jest operacją, która musi zostać zaksięgowana i w której można zawrzeć pełne
informacje o urządzeniu. Licencja typu „Base" w umożliwia rozpoznawanie i klasyfikację
podłączanych urządzeń na podstawie prezentowanych przez nich cech. Zaoferowany
Sygn. akt KIO 2021/16
system SKD zapewnia ciągle weryfikowanie tożsamości podłączonych urządzeń poprzez ich
odpytywanie po określonym czasie o ponowne uwierzytelnienie się",
B. dla sprzętu nieinteligentnego, który nie posiada certyfikatu identyfikacja i klasyfikacja
rodzaju sprzętu nastąpi niezależnie od tożsamości użytkownika przy użyciu zaoferowanej
licencji typu „Plus" (250 sztuk) na podstawie profilowania generowanego przez nich ruchu.
2.3. Reasumując, w celach rozpoznawania/klasyfikacji urządzeń inteligentnych posiadanych
przez Zamawiającego w ilości 3150 sztuk - uwierzytelniających się z wykorzystaniem
certyfikatu nie ma potrzeby zakupu licencji „Plus", gdyż nie ma potrzeby profilowania ruchu,
od urządzenia które będzie posiadać certyfikat wydany przez system SKD, ponieważ takie
urządzenia w momencie podłączenia do sieci przedstawi się certyfikatem, który
jednoznacznie identyfikuje urządzenie końcowe.
Na podstawie postawionych przez Zamawiającego wymagań i wymaganych mechanizmów
uwierzytelniania, zgodnie z oczekiwaniami Zamawiającego dla urządzeń nieinteligentnych
Wykonawca wykupił licencję „Plus" umożliwiającą profilowanie urządzeń na podstawie
profilowania ruchu, do czego niezbędna jest licencja „Plus" tylko dla urządzeń końcowych,
które nie mogą być uwierzytelnione za pomocą sygnatury zapisanej w certyfikacie.
Podkreślenia wymaga fakt, iż IS w treści Odwołania na str. 7 de facto przyznaje, iż licencje
typu „Plus" są potrzebne do rozpoznania urządzeń nieinteligentnych w rodzaju drukarek,
kamer IP, czytników kodów kreskowych itp.
Żeby zrealizować wszystkie opisane wyżej wymagania Zamawiającego wymagane jest
zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna"
dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu
sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP.
czytników kodów kreskowych up. system ma do czynienia, a po ich zidentyfikowaniu będzie
możliwe przypisanie opowiadających im, zdefiniowanych polityk bezpieczeństwa.
Zamawiający wskazał że posiada 250 sztuk urządzeń nieinteligentnych i w związku z tym
Wykonawca w specyfikacji oferty zawarł licencję L-ISE-PLS-S-250, która zapewnia
profilowanie urządzeń końcowych w ilości 250 sztuk co jest równoważne ilości drukarek
wskazanych przez Zamawiającego. W związku z powyższym, za całkowicie pozbawione
merytorycznych podstaw należy uznać stwierdzenie odwołującego, iż skonfigurowany przez
Wykonawcę system SKD w oparciu o 250 licencji „Plus" przy jednoczesnym zaoferowaniu
3500 licencji „Base" nie będzie w stanie realizować wymagań opisanych przez
Zamawiającego dla więcej niż 250 jednocześnie podłączonych do niego urządzeń
końcowych.
Sygn. akt KIO 2021/16
Podkreślenia wymaga fakt, iż zaproponowane przez Przystępującego licencje typu „Base" w
ilości sztuk 3500 mają charakter jednorazowy, tzn. zamawiający nie musi przedłużać
odpłatnie ich subskrypcji po okresie 3 lat, jak ma to miejsce w przypadku 3500 sztuk licencji
„Plus" zaoferowanych przez Odwołującego. Przystępujący nie twierdzi, iż nie można było
stworzyć konfiguracji dla przedmiotowego zamówienia na bazie 3500 licencji „Plus",
natomiast w świetle wymagań postawionych przez Zamawiającego i kanonów tzw. „dobrych
praktyk" taka konfiguracja jest absolutnie zbędna przy rozpoznawaniu urządzeń
inteligentnych, co zostało wykazane powyżej.
2.4. Odwołujący nie wykazał związku pomiędzy swoimi twierdzeniami, a wymaganiami
zamawiającego, nie wykazał, które wymaganie wskazuje na obligatoryjność zaoferowania
dla wszystkich urządzeń końcowych posiadanych przez Zamawiającego licencji typu „Plus",
nie przedstawił żadnego dowodu na poparcie swoich nieskonkretyzowanych zarzutów.
3. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania kart liniowych
WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
3.1. Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do
SIWZ Wzoru Umowy dla Części II - Szczegółowy opis wymagań dla systemu
kontrolowanego dostępu do zasobów sieciowych (SKD)" Ip. 28 wskazał następujące
wymaganie „Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej
na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security
Group Tag). Wykonawca potwierdza, iż jego oferta spełnia to wymaganie, jak również
wymagania z SIWZ, które przytoczył odwołujący w treści Odwołania: wymóg dostarczenia
wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch
przełączników Cisco WS-C6513E zgodnie z wymogami określonymi w Załączniku nr 3
Załącznika E do SIWZ Wzór Umowy dla części II - Szczegółowy Opis wymagań dla
.;systemu kontrolowanego dostępu do zasobów sieciowych „SKD" w tabeli 1, wierszu 23, str.
58 oraz Załącznik „D" - wykaz cech oferowanych produktów dla II System kontrolowanego
dostępu do zasobów (SKD)), przytoczonych przez Odwołującego w treści Odwołania.
Na podstawie twierdzeń odwołującego, które jak wykaże poniżej przystępujący w zakresie
dot. lit. B i C są błędne odwołujący skonstruował ogólny zarzut, iż zaoferowane przez
wykonawcę wybranego karty liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod:
fabric enabled RJ-45 DFC4 „nie wspierają mechanizmów TrustSec Security Group Tag
(SGT), co oznacza, iż system SKD nie będzie w stanie zrealizować zadań jakie postawił mu
zamawiający. Powyższy zarzut opiera się na błędnym założeniach przyjętych w wywodzie.
3.3. Błędne założenie z ppkt 3.2 lit. B powyżej.
Zgodnie oficjalną z dokumentacją producenta oferowanego rozwiązania SKD, będącą
opisem architektury systemu (Configuration Guide - Cisco TrustSec Switch Configuration
Sygn. akt KIO 2021/16
Guide) dostępnej pod adresem internetowym producenta firmy Cisco Systems: http://www.^
er. htm I, (dowód: rysunek poniżej)
podłączenie Cisco ISE do sieci poprzez przełącznik sieciowy (Ang. switch) nie wymaga
mechanizmów SGT na tym podłączeniu, a zatem założenie odwołującego wskazane w ppkt
3.2 lit. B powyżej jest całkowicie błędne. Poniżej została przedstawiona topologia sieciowa
dla systemu SKD z wykorzystaniem Cisco ISE (na rysunku opisany jako Authentication
Server). Połączenia oznaczone jako „Protected" określają połączenia przenoszące
informacje SGT.
Błędne założenie z ppkt 3.2 lit. C powyżej.
Zgodnie z informacjami zawartymi na ww. stronie internetowej Cisco Systems w
przytoczonym powyżej oficjalnym dokumencie producenta rozwiązania, informacje o SGT są
przekazywane z serwera ISE (Authentication server) do urządzeń sieciowych wspierających
mechanizmy SGT za pośrednictwem protokołu RADIUS:
Zatem, z dokumentów dostępnych publicznie na oficjalnych stronach producenta
rozwiązania wynika, iż System SKD przekazuje informacje o TrustSec Security Group Tag
(SGT) do urządzeń sieciowych wspierających mechanizmy SGT za pomocą protokołu
RADIUS, a co za tym idzie nie musi być bezpośrednio podłączony do sieci poprzez interfejsy
wspierające mechanizmy SGT, co skutkuje nieprawdziwością założenia z ppkt 3.2 lit. C
powyżej. Zgodnie z zasadami dobrych praktyk inżynierskich dla wdrożeń tego typu
systemów zalecane jest, aby serwer uwierzytelniający (w tym przypadku Cisco ISE) był
podłączony do sieci poprzez link, który nie wymaga uwierzytelniania, w szczególności nie
musi być wsparcia dla SGT na kartach liniowych WS-C6848-TX-2T zaoferowanych przez
Wykonawcę jako dodatkowe wyposażenie przełącznika Cisco Catalyst serii 6500. Powyższe
wskazuje, iż nie jest wymagane wsparcie dla SGT na bezpośrednim linku do serwera Cisco
ISE, aby zapewnić funkcjonalność SGT dla urządzeń końcowych podłączonych do
sieci.3.5.Ponadto, zgodnie z wymaganiem zamawiającego zawartym w SIWZ (załącznik nr 3
Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu
kontrolowanego dostępu do zasobów sieciowych (SKD) w tabeli 1, wierszu 23: Wykonawca
zaoferował karty WS-C6848-TX-2T zawierające taką liczbę portów fizycznych, która zapewni
podłączenie przełączników WS-C6513-E ze sprzętem dla SKD, tj. serwerami Cisco ISE
SNS- 3515-K9. Zaoferowana karta nie ogranicza funkcjonalności przełączników WS-C6513-
E oraz posiadanej przez Zamawiającego gwarancji na ww. przełączniki oraz nie ogranicza
funkcjonalności całego Systemu Kontroli Dostępu, w szczególności funkcjonalności TrustSec
Security Group Tag ponieważ, zgodnie z przytoczoną dokumentacją, połączenie pomiędzy
przełącznikiem WS-C6513-E a serwerem Cisco ISE nie wykorzystuje SGT.
Sygn. akt KIO 2021/16
3.6. Z uwagi na powyższe, nie prawdziwe i nie poparte jakimikolwiek dowodami jest
twierdzenie odwołującego, iż zaoferowane przez wykonawcę wybranego karty nie pozwalają
realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D"
w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla
oferowanego Systemu kontrolowanego dostępu do
zasobów sieciowych" Ip. 28 - wyciąg z załącznika D. Wykonawca zaoferował wymagane
przez zamawiającego karty liniowe w ilości i o parametrach zgodnych z opisem wskazanym
w SIWZ, które nie uniemożliwiają realizacji funkcjonalności wymaganej przez
Zamawiającego - Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi
pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec
Security Group Tag) oraz spełnienia wszystkich związanych z nią wymagań. W treści
wymagań SIWZ nie ma wymogu, że każde urządzenie, w tym karta liniowa musi wspierać
(SGT).
Podsumowanie stanowiska przystępującego.
4.1. Przystępujący pragnie podkreślić, iż jako jeden z wiodących podmiotów na rynku we
wdrażaniu systemów podobnych do zamawianego przez Ministerstwo Finansów systemu
posiada ogromną wiedzę na temat projektowania, wdrażania systemów odpowiadających
swą charakterystyką systemowi SKD, budowanych w oparciu o urządzenia posiadane i
zamawiane przez zamawiającego, w tym urządzenia firmy Cisco Systems. Wykonawca
tworząc konfigurację oferty pod przedmiotowe zamówienie wykorzystał swój know-how
nabyty w skutek realizacji tego typu projektów także o zasięgu międzynarodowym dla
klientów z branży finansowej, którzy posiadają podobne strukturalnie rozwiązania do
wymaganych przez zamawiającego. Wyrywkowe supozycje wskazane w odwołaniu, które są
merytoryczną podstawą de facto dwóch zarzutów nie ostają się w świetle dostępnej wiedzy
wysoko wykwalifikowanej kadry inżynierskiej przystępującego. Uwzględnienie Odwołania
prowadziłoby do odrzucenia oferty Przystępującego, która w pełni spełnia wszelkie
wymagania Zamawiającego postawione w SIWZ oraz potencjalnie zmuszałoby
Zamawiającego do wyboru oferty, która oferuje nadmiarowe z punktu widzenia wymagań
SIWZ rozwiązania i której wartość przekracza budżet Zamawiającego o kwotę prawie 900
000 zł.
4.2. Podkreślenia wymaga, iż odwołanie nie zawiera skonkretyzowanych zarzutów, zaś
blankietowe stwierdzenia o niezgodności oferty z danymi z danymi wymaganiami SIWZ.
Krajowa Izba Odwoławcza nie raz wypowiadała się na temat obowiązku skonkretyzowania
zarzutów odwołania, czego przykładem może być choćby treść Wyroku Krajowej Izby
Odwoławczej przy Prezesie Urzędu Zamówień Publicznych z dnia 15 stycznia 2016 r. KIO
2737/15 Aby podważyć ocenę zamawiającego, należy wskazać i udowodnić jej niezgodność
Sygn. akt KIO 2021/16
z prawem (np. przez niezgodność z postanowieniami SIWZ). W ramach postępowania
odwoławczego odwołujący ma obowiązek postawić konkretne zarzuty w zakresie
niezgodności z prawem czynności zamawiającego, które następnie ma obowiązek
udowodnić, a nie zgłaszać swoje wątpliwości co do potencjalnie niezgodnych z prawem
czynności zamawiającego, czy też ewentualne postulaty, w sprawie których Izba miałaby
prowadzić jakieś ogólne postępowanie wyjaśniające czy ogólną ocenę ich zasadności.
4.3. Odwołanie nie ostaje się również w swej treści obowiązkowi związanemu z ciężarem
dowodowym, który spoczywa na odwołującym i który został określony w art. 190 ust.l ustawy
Prawo zamówień publicznych i o którym wspomina choćby treść Wyroku Krajowej Izby
Odwoławczej z dnia 20 czerwca 2016 r. (sygn. akt KIO: 960/16 „Stosownie do podstawowej
zasady wynikającej z art. 6 k.c, znajdującej swe odzwierciedlenie w art. 190 ust. 1 ustawy
Pzp, ciężar dowodu w zakresie okoliczności faktycznych spoczywa na tym, który ze swoich
twierdzeń wywodzi skutek prawny. W rozpoznawanej sprawie takim obowiązkiem
dowodowym obciążony był odwołujący. Tym samym to on winien udowodnić, że
kwestionowane przez niego czynności zamawiającego zostały dokonane wbrew przepisom
ustawy Pzp przywołanym w odwołaniu. Jak to zauważyła Izba w orzeczeniu KIO 54/12:
"Zgodnie z art. 190 ust. 1 ustawy p.z.p. strony są obowiązane wskazywać dowody dla
stwierdzenia faktów, z których wywodzą skutki prawne. Ciężar dowodu, zgodnie z art. 6 k.c.
w zw. z art. 14 ustawy p.z.p. spoczywa na osobie, która z danego faktu wywodzi skutki
prawne.".... Tym samym, w rozpoznawanej sprawie, to odwołujący winien wykazać m.in., że
treść złożonej przez Przystępującego oferty nie odpowiada treści SIWZ. A zatem, z uwagi na
normę prawną wypływającą z przepisu art. 89 ust. 1 pkt 2) ustawy Pzp, koniecznym było
wykazanie przez odwołującego rzeczywistej treści oferty złożonej przez przystępującego, jak
również odpowiedniej treści SIWZ i jej znaczenia (wykazanie faktycznie postawionych przez
Zamawiającego, istotnych w kontekście stawianego zarzutu, wymagań odnoszących się do
przedmiotu zamówienia), z którą treść tejże oferty należałoby zestawić, a następnie
wykazanie, że rozbieżności między tymi dwoma dokumentami, w takim wymiarze, jaki ustalił
on ich zaistnienie i opisał je w odwołaniu, faktycznie miały miejsce. Pamiętać również przy
tym należy o powoływanym przepisie art. 190 ust. 5 ustawy Pzp, z którego wynika, że w
każdym innym przypadku niż określone w tymże przepisie koniecznym jest przedstawienie
przez stronę twierdzącą dowodów dla stwierdzenia faktów, z których wywodzi ona
skutki prawne. Niesprostanie w rozpoznanej sprawie przez odwołującego obowiązkowi
dowodowemu pociągać musiało uznanie, że zarzuty przez niego podnoszone są
niezasadne, a tym samym odwołanie, jako takie, podlega oddaleniu."
Sygn. akt KIO 2021/16
Nie sposób uznać, iż odwołujący przedstawił jakiekolwiek dowody na poparcie swoich tez
wskazanych w odwołaniu, a contrario przystępujący w przedmiotowym piśmie przedstawił
dowody na nieprawdziwość tez wysuwanych przez odwołującego.
4.4. W świetle odpowiedzi popartych dowodami na nieprawdziwe twierdzenia wysuwane w
Odwołaniu przystępujący wnosi o oddalenie odwołania jako oczywiście bezzasadnego.
Krajowa Izba Odwoławcza ustaliła i zważyła co następuje
Izba ustaliła
Do Prezesa Krajowej Izby Odwoławczej odwołanie wpłynęło bezpośrednio w dniu
24.10.2016 r. za pismem z dnia 24.10.2016 roku.
Ogłoszenie o zamówieniu opublikowane zostało w Dzienniku Urzędowym Unii Europejskiej
w dniu 20.04.2016 r. pod numerem 2016/S 077-136424.
Postępowanie o udzielenie zamówienia publicznego prowadzone jest w trybie przetargu
nieograniczonego i dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa dla Infrastruktury
Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy R/151/I5/DS/B/579.
Zamówienie podzielone jest na dwie części (I i II).
Odwołanie dotyczy części II, której z krótkiego opisu wynika, że przedmiotem jest: sprzedaż i
dostawa oprogramowania antywirusowego dla środowiska wirtualnego; integracja systemów
silnego uwierzytelnienia; dostawa i wdrożenie System kontrolowanego dostępu do zasobów
sieciowych; asysta techniczna dla wymienionych systemów.
Szacunkowa wartość bez VAT 1.500.000 i 3.000 000 EUR.
Czas trwania rozpoczęcie dnia 07.12.2016 r. i zakończenie dnia 06.06.2018 roku.
Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia
20.10.2016 roku.
Przedmiotem odwołania jest zaniechanie odrzucenia oferty na podstawie art.89 ust.1 pkt 2
pzp złożonej przez wykonawcę, którego oferta została wybrana przez zamawiającego jako
najkorzystniejsza.
Sygn. akt KIO 2021/16
Wykonawca wybrany zgłosił pismem z dnia 26 października 2016 roku przystąpienie do
postępowania odwoławczego po stronie zamawiającego.
Z kolei zamawiający pismem z dnia 7 listopada 2016 roku złożył odpowiedź na odwołanie, w
którym uwzględnił w całości zarzuty przedstawione w odwołaniu.
W dniu rozprawy na posiedzenie z udziałem stron stawił się przystępujący, który do
protokołu wniósł sprzeciw na uwzględnienie odwołania przez zamawiającego.
Postępowanie o udzielenie zamówienia publicznego prowadzone przez zamawiającego w
trybie przetargu nieograniczonego dotyczy „Zakupu i wdrożenia systemów bezpieczeństwa
dla Infrastruktury Teleinformatycznej Ministerstwa Finansów” oznaczone nr sprawy
R/151/I5/DS/B/579.
Odwołanie dotyczy części II przedmiotu zamówienia.
Wpis od odwołania w wysokości 15.000 zł został wniesiony na rachunek UZP dnia
20.10.2016 roku.
Odwołanie wniesiono na zaniechanie dokonania czynności, do której zamawiający był
zobowiązany na podstawie ustawy Pzp to jest zaniechania odrzucenia oferty złożonej przez
Dimension Data Polska Sp. z o. o. zwanej w toku postępowania odwoławczego
„przystępującym po stronie zamawiającego” lub ”wykonawcą wybranym” lub „zgłaszającym
sprzeciw”.
Naruszenie pzp nastąpiło w postępowaniu o udzielenie zamówienia publicznego na „Zakup i
wdrożenie systemów bezpieczeństwa dla Infrastruktury Teleinformatycznej Ministerstwa
Finansów”.
Podstawę wniesienia odwołania stanowił art. 180 ust. 1 ustawy z dnia 29 stycznia 2004 r.
Prawo zamówień publicznych, zwanej dalej „ustawą Pzp” lub „pzp”.
Odwołujący posiada interes w uzyskaniu zamówienia, ponieważ na część II zamówienia
złożone zostały dwie oferty w tym oferta odwołującego oraz wykonawcy
wybranego/przystępującego w sprawie.
W związku powyższym jest podmiotem uprawnionym do złożenia środka ochrony prawnej w
rozumieniu art. 179 ust. 1 pzp.
Zarzuty odniesione do art. 89 ust. 1 pkt 2) pzp - poprzez zaniechanie odrzucenia oferty
złożonej przez wykonawcę wybranego, pomimo tego, iż treść jego oferty nie odpowiada
treści specyfikacji istotnych warunków zamówienia (SIWZ). Zarzut odwołujący precyzuje do
nie spełnienia wymagań opisanych w SIWZ w odniesieniu do systemu kontrolowanego
dostępu do zasobów sieciowych (SKD).
Sygn. akt KIO 2021/16
W związku z przedstawionymi zarzutami odwołujący żąda: unieważnienia wyboru oferty
najkorzystniejszej, odrzucenia oferty złożonej przez wykonawcę wybranego, dokonania
ponownej czynności badania i oceny ofert, dokonania ponownej czynności wyboru oferty
najkorzystniejszej.
O wyborze najkorzystniejszej oferty zamawiający powiadomił wykonawców w dniu
14.10.2016 r. Wobec czego termin na wniesienie odwołania, o którym mowa w art. 182 ust. 1
pkt 1) pzp odwołujący dochował wnosząc odwołanie w dniu 24 października 2016 roku. W
tym samym dniu kopię odwołania przesłał zamawiającemu. Odwołanie nie podlega
odrzuceniu w myśl art.189 ust.2 pzp
Odwołujący przedstawiając uzasadnienie faktyczne powołał się na załącznik nr 7 do umowy -
Opis środowiska zamawiającego Systemu kontrolowanego dostępu do zasobów sieciowych -
w tabeli 2 - Lista urządzeń zamawiającego, wskazał listę urządzeń, z którymi będzie
współpracował oferowany system SKD (System kontrolowanego dostępu do zasobów
sieciowych), przy czym dla urządzeń końcowych (klienckich) zamawiający wskazał, iż
system będzie działał z następującymi urządzeniami:1) komputery PC pracujące pod
kontrolą systemu Windows 7/8/10 w liczbie 2300 sztuk,2) Drukarki sieciowe w liczbie 250
sztuk,3)Telefony VoIP AASTRA 67571 IP Phone w liczbie 50 sztuk, 4 Tablety z systemem
operacyjnym Windows 8/10, Android, iOS w liczbie 400 sztuk,
5) Smartfony / telefony GSM z systemem operacyjnym Windows Phone/10, Android, IOS w
liczbie 400 sztuk, co wskazuje na sumaryczną liczbę urządzeń końcowych systemu SKD
wynoszącą 3400 sztuk
Jednocześnie Zamawiający w załączniku nr 3 Załącznika E do SIWZ Wzory umów dla
Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do zasobów
sieciowych (SKD)” w tabeli 1, wierszu 18, str. 57, wymaga by system SKD zapewnił obsługę
minimum 3500 sztuk sprzętów jednocześnie włączonych do sieci LAN MF bez opóźnień z
punktu widzenia użytkownika końcowego.
Jednocześnie Zamawiający w załączniku "D" do SIWZ (wykaz cech oferowanych produktów)
w pkt II - System kontrolowanego dostępu do zasobów sieciowych (SKD) - w wierszu lp. 9 -
wskazał jednoznacznie, iż system, cyt: "SKD dynamicznie i automatycznie musi
rozpoznawać rodzaj oraz producenta sprzętu i na tej podstawie przydzielać do
odpowiedniego profilu zdefiniowanego wcześniej w SKD, w szczególności musi zapewniając
co najmniej: dynamiczną klasyfikację każdego sprzętu, który jest podłączany so sieci LAN
MF ", po czym zamawiający wymienia wraz ze szczegółowym opisem realizacji celu
wszystkie funkcjonalności jakie ma realizować SKD.Odwołujący we wniesionym odwołaniu
Sygn. akt KIO 2021/16
na szczególną uwagę zwrócił na pierwsze z wymagań w brzmieniu cyt: "dynamiczną
klasyfikację każdego sprzętu, który jest podłączany do sieci LAN MF (automatyczne
rozpoznawanie sprzętu, wg. "sygnatur" - SKD musi wykrywać i klasyfikować sprzęt, który
łączy się z siecią LAN MF)," oraz "identyfikowanie i klasyfikacja rodzaju i typu sprzętu
niezależnie od tożsamości użytkownika", a także pozostałe wymagania wskazane w lp. 9
ww. załącznika.
Według twierdzeń odwołującego dla realizacji tych wymagań niezbędne jest wyposażenie
systemu SKD w dodatkową licencję/subskrypcję Cisco ISE Endpoint Plus Subscription
License, zwaną dalej „Plus", w liczbie odpowiadającej maksymalnej liczbie przyłączanych
urządzeń do sieci zamawiającego, która według zamawiającego wynosi nie mniej niż 3400
sztuk. Realizacja ww. funkcjonalności przez system SKD z wykorzystaniem wyłącznie
podstawowych licencji typu „Base” (L-ISE-BSE-3500 Cisco Identity Services Engine 3500
EndPoint Base License) w liczbie 3500 sztuk, które zaoferował wykonawca wybrany -
stanowiącą część składową oferty tego Wykonawcy, tabela, Ip. 13 - nie jest możliwa do
zrealizowania, tj. nie spełnia opisanych wymagań zamawiającego.
Zdaniem odwołującego powyższe wskazuje, że treść oferty złożonej przez wykonawcę
wybranego nie odpowiada treści SIWZ.
Odwołujący zwrócił uwagę, że wykonawca wybrany zaoferował zaledwie 250 licencji „Plus"
(L-ISE-PLS-S-250) - Szczegółowa specyfikacja oferowanego systemu SKD stanowiącą
część składową oferty tegoż Wykonawcy, tabela, lp. 14 - przy jednoczesnym zaoferowaniu
3500 licencji „Base" lp. 13. Odwołujący uważa, że tak skonfigurowany system nie będzie w
stanie realizować opisanych wyżej wymagań zamawiającego, dla więcej niż 250
jednocześnie podłączonych do niego urządzeń (tj. zaledwie nieco ponad 7% z ogólnej liczby
jaką planuje podłączyć zamawiający w swojej sieci LAN nadzorowanej przez SKD.
Dla realizacji wszystkich opisanych wyżej wymagań SIWZ wymagane jest zastosowanie dla
nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna" dzięki
wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu sieciowego z
jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP, czytników kodów
kreskowych itp. system ma do czynienia, a po ich zidentyfikowaniu będzie możliwe
przypisanie odpowiadających im, zdefiniowanych polityk bezpieczeństwa. Reasumując
odwołujący stwierdza, żeby zrealizować wszystkie opisane wyżej wymagania
zamawiającego, w szczególności „dynamiczną klasyfikację każdego sprzętu, który jest
podłączany do sieci LAN MF (automatyczne rozpoznawanie sprzętu, wg. "sygnatur" - SKD
musi wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie
i klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika” - wymagane jest
zapewnienie licencji „Plus" dla wszystkich urządzeń jakie będą podpięte do sieci
Sygn. akt KIO 2021/16
zamawiającego tj. co najmniej 3400 licencji w modelu subskrypcyjnym, co wynika z liczby
urządzeń jaką posiada zamawiający i planuje włączyć do sieci kontrolowanej przez system
SKD (załącznik nr 7, tabela nr 2), czyli nawet 3500 sztuk na co wskazuje Zamawiający
(załącznik „D” do SIWZ (wykaz cech oferowanych produktów) w pkt. II System
kontrolowanego dostępu do zasobów sieciowych (SKD) w wierszu lp. 18 - wyciąg z tabeli
„SKD musi zapewnić obsługę min.3 500sztuk. sprzętu jednocześnie włączanych do sieci
LAN MF bez opóźnienia z punktu widzenia użytkowników końcowych”.
3. Odwołujący niezależnie od niezgodności z SIWZ opisanej powyżej to jest w zakresie
licencji PLUS uważa, że oferta wykonawcy wybranego nie odpowiada treści SIWZ jeszcze z
innego powodu. Oferta nie spełnia wymagań stawianych przez zamawiającego w odniesieniu
do systemu SKD umożliwiających jego wdrożenie i realizację określonych przez
zamawiającego zadań. Zamawiający w SIWZ (załącznik nr 3 Załącznika E do SIWZ Wzory
umów dla Części II - Szczegółowy opis wymagań dla Systemu kontrolowanego dostępu do
zasobów sieciowych (SKD)” w tabeli 1, wierszu 23, str. 58 oraz załącznik „D” - wykaz cech
oferowanych produktów dla II System kontrolowanego dostępu do zasobów (SKD)) wskazuje
na wymóg dostarczenia wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z
interfejsami do dwóch przełączników Cisco WS-C6513-E stawiając określone i jednoznaczne
wymogi - jak wyciąg z tabeli, lp. 23 obu w.w dokumentów: „Każda z dostarczonych kart
liniowych z interfejsami do dwóch przełączników Cisco WS-C 6513-E(2 sztuki) musi zawierać
taką liczbę portów fizycznych, która zapewni podłączanie przełączników WS-C6513-E ze
sprzętem (hardware) dla SKD, o którym mowa w wierszu Tabeli powyżej oraz dostarczona
karta nie może ograniczać funkcjonalności przełączników oraz posiadanej przez
Zamawiającego gwarancji na ww. przełączniki.”
Wyżej wymienione karty liniowe będą służyły do podłączenia oferowanych urządzeń systemu
SKD (Cisco ISE) i w związku z tym muszą wspierać wszystkie funkcjonalności jakie przed
systemem SKD postawił Zamawiający - zob. Wyciąg z tabeli „Opis sposobu spełnienia
wymagań, w tym kryteriów równoważności dla oferowanego Systemu kontrolowanego
dostępu do zasobów sieciowych.” załącznika „D”, lp. 28 :”Wykonawca, w ramach SKD, musi
dostarczyć, zaprojektować i wdrożyć funkcjonalność zapewniającą segmentację sieci LAN,
która musi spełniać łącznie wszystkie następujące wymagania: a)musi ciągle, na bieżąco i
automatycznie segmentować sieć na grupy użytkowników i pojedynczych użytkowników,
b)zarządzanie segmentacją musi odbywać się z poziomu interfejsu graficznego, będącego
częścią SKDtzn.dostęp administratora do panelu zarządzania funkcjonalnością musi
odbywać się z poziomu SKD c)…”.
Sygn. akt KIO 2021/16
Tymczasem wykonawca wybrany zaoferował karty liniowe WS-C6848-TX-2T C6k-48-port
10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 - Szczegółowa specyfikację oferowanego
systemu SKD stanowiącą część składową oferty tego Wykonawcy, tabela, lp. 16
Według odwołującego zaoferowane przez wykonawcę wybranego karty nie pozwalają
realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D”
w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla
oferowanego Systemu kontrolowanego dostępu do zasobów sieciowych.” lp 28
zamieszczonych poniżej - wyciąg z załącznika D: [- wskazane wymagania są wynikiem
modyfikacji SIWZ z dnia 22.06.2016 r.]
Warunkiem realizacji funkcjonalności TrustSec Security Group Tag (SGT) jest wsparcie dla
niej przez oferowane rozwiązanie SKD oraz urządzenia sieciowe (przełączniki). Według
zamawiającego urządzenia sieciowe, które posiada wspierają mechanizmy TrustSec
Security Group Tag (SGT). Zamawiający wymaga by system SKD został dostarczony w
postaci fizycznych appliances (dedykowane urządzenia) - Załącznik nr 3 do Umowy i
odpowiadający mu fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych
produktów - w tabeli wiersz 22, str. 52, które zostaną podłączone do 2 sztuk centralnych
przełączników sieciowych Zamawiającego z rodziny Cisco Catalyst 6513-E. Warunkiem
podłączenia systemu SKD jest wyposażenie ww. przełączników w karty linowe będące
przedmiotem dostawy w tym postępowaniu -. Załącznik nr 3 do Umowy i odpowiadający mu
fragment dotyczący SKD w zał. „D” do SIWZ - Wykaz cech oferowanych produktów - w tabeli
wiersz 23, str. 52. Jednak by system SKD mógł zrealizować stawiane mu wymogi w zakresie
TrustSec Security Group Tag (SGT) musi zostać podłączony do urządzeń wspierających
mechanizmy TrustSec Security Group Tag (SGT) poprzez karty liniowe również wspierające
tą technologię. W przypadku jeśli system SKD zostanie podłączony do urządzeń
wspierających mechanizm TrustSec Security Group Tag (SGT) przez karty liniowe
zainstalowane w tych urządzeniach lecz nie wspierające mechanizmów TrustSec Security
Group Tag (SGT) nie będzie można skorzystać na systemie SKD z tych funkcjonalności w
zakresie TrustSec Security Group Tag (SGT). Karta liniowa nie wspierająca mechanizmów
SGT uniemożliwi komunikacje i zastosowanie mechanizmów SGT pomiędzy urządzeniami
systemu SKD a przełącznikami sieciowymi wspierającymi mechanizmy SGT. Oznacza to, że
zarówno modularny przełącznik sieciowy jak i jego karta liniowa oraz podłączony poprzez nią
system SKD (Cisco ISE) musi wspierać architekturę SGT by można było zrealizować wymogi
Zamawiającego.
Wykonawca wybrany zaoferował do każdego z przełączników Cisco Catalyst 6513-E
wyposażonego w moduł zarządzający w wersji SUP-2T kartę liniową WS-X6848-TX-2T (C6k-
48-port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4) - wiersz 16 (ostatni) II System
Sygn. akt KIO 2021/16
kontrolowanego dostępu do zasobów sieciowych (SKD) z oferty wykonawcy wybranego, nie
wspierającą mechanizmów TrustSec Security Group Tag (SGT), co oznacza iż system SKD
nie będzie w stanie zrealizować zadań jakie postawił mu Zamawiający. Oznacza to, że treść
oferty złożonej przez Wykonawcę DDP nie odpowiada treści SIWZ.
Mając na względzie powyższe odwołujący wnosi o uwzględnienie odwołania.
Przystępujący z kolei odpierając zarzuty odwołującego przedstawia je i stwierdza, że są to
dwa ogólnie skonstruowane techniczne zarzuty dotyczących rzekomej niezgodności oferty
przystępującego z SIWZ: 1) zarzut odnoszący się do rzekomej niemożliwości spełnienia
przez ofertę złożoną przez przystępującego wymagań SIWZ z uwagi na zaoferowanie licencji
typu „base" w liczbie sztuk 3500, zamiast jak postuluje odwołujący zaoferowania licencji typu
„plus" w ilości sztuk nie mniejszej niż 3400; 2)zarzutu odnoszącego się do rzekomej
niemożliwości spełnienia przez ofertę złożoną przez przystępującego wymagań SIWZ z
uwagi na to, iż zaoferowane przez przystępującego karty liniowe WS-X6848-TX-2T C6K 48-
port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4 nie pozwalają realizować
funkcjonalności systemu SKD Kwitując zarzuty odwołującego stwierdza przystępujący, że z
treści odwołania nie można wywnioskować jakie konkretnie zarzuty stawia odwołujący
ofercie wykonawcy wybranemu/przystępującemu. Odwołujący nie wskazuje na czym
konkretnie polega zarzucana niezgodność z wymienionymi przez odwołującego
wymaganiami, które postawił zamawiający określając przedmiot zamówienia, nie wskazuje
również żadnego dowodu na poparcie swoich ogólnych twierdzeń. Potwierdza, że istnieje
1)wymóg, by system SKD zapewnił obsługę minimum 3500 sztuk sprzętów jednocześnie
włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika końcowego
(Załącznik Nr 3 Załącznika E do SIWZ Wzór Umowy dla Części II - Szczegółowy opis
wymagań dla Systemu kontrolowanego dostępu do zasobów sieciowych „(SKD)" w tabeli 1,
wierszu 18, str. 57);
2)wymóg, by system SKD zapewniał „dynamiczną klasyfikację każdego sprzętu, który jest
podłączany do sieci LAN MF (automatyczne rozpoznanie sprzętu, wg. „sygnatur" - SKD musi
wykrywać i klasyfikować sprzęt, który łączy się z siecią LAN MF)," oraz „identyfikowanie i
klasyfikacja rodzaju i typu sprzętu niezależnie od tożsamości użytkownika". Nie mniej zwraca
uwagę, że zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3
Załącznika E do SIWZ Wzoru Umowy dal Części II - Szczegółowy opis wymagań dla
systemu kontrolowanego dostępu do zasobów sieciowych (SKD)" wskazał, iż,,...nie narzuca
zastosowania jednego rozwiązania, spełnia wymogi SIWZ, a wskazuje jedynie
parametry/minimalne wymagania, które każdy z wykonawców winien jest spełnić.", wskazał
Sygn. akt KIO 2021/16
również, iż „...dopuszcza się stosowanie rozwiązań składających się z kilku komponentów
przy zachowaniu spełnienia wymagań opisanych " w tabeli 1.
Zgodnie z intencją zamawiającego wskazaną powyżej, to wykonawca miał za zadanie
dobrać odpowiednio komponenty pasujące do wymagań wskazanych przez zamawiającego.
Z żadnego zapisu SIWZ nie wynika, iż wykonawcy zobligowani byli do zakupu licencji „Plus"
w ilości odpowiadającej ilości posiadanych przez Zamawiającego urządzeń końcowych - tzn.
w ilości nie mniejszej niż 3400 sztuk. Odwołujący nie wykazał, że treść któregoś z wymagań
na to wskazuje, nie wskazał także żadnego dowodu na poparcie swojej tezy tak twierdzi
wykonawca wybrany/ przystępujący w sprawie.
Wykonawca pragnie podkreślić, iż jego oferta spełnia wszystkie wymagania postawione
przez zamawiającego, w tym dwa ww., zaś spełnienie przytaczanych przez odwołującego w
odwołaniu wymagań możliwe jest na podstawie konfiguracji wskazanej w Szczegółowej
specyfikacji oferowanego systemu SKD, która stanowi część składową oferty Wykonawcy,
tzn. poprzez zaoferowanie 3500 sztuk licencji „Base" (Ip. 13 specyfikacji oferty - L-ISE- BSE-
3500 = Cisco Identity Services Engine 3500 Endpoint Base License) oraz poprzez
zaoferowanie 250 sztuk licencji „Plus" (Ip. 14 specyfikacji oferty - licencja L- ISE-PLS-S-250=
Cisco ISE 250 Endpoint Plus Subscription License).
Zaoferowanie przez Wykonawcę 3500 sztuk licencji typu „Base" umożliwia zgodnie z
wymogiem wymienionym w ppkt 2.2.,pkt 1) powyżej obsługę minimum 3500 sprzętów
jednocześnie włączonych do sieci LAN MF bez opóźnień z punktu widzenia użytkownika
końcowego, przygotowana przez Wykonawcę konfiguracja (3500 licencji „Base" + 250 sztuk
licencji typu „Plus) zapewnia dynamiczną klasyfikację każdego sprzętu, który podłączany jest
do sieci LAN MF (wymóg wskazany w ppkt 2.2., pkt 2) powyżej. Ponadto w swojej
odpowiedzi podkreślił, że zamawiający posiada dwa rodzaje urządzeń końcowych (3400
szt.).
Zamawiający posiada dwa rodzaje urządzeń końcowych (3400 szt.)
A. urządzenia nieinteligentne/urządzeń bez (oprogramowania) suplikanta/urządzeń typu
non - user,, na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z Załącznika
„D" do SIWZ (wykaz cech oferowanych produktów) w pkt II - System kontrolowanego
dostępu do zasobów sieciowych (SKD) w wierszu lp.9 w treści „...kontrolę dostępu do sieci
LAN MF, sprzętu typu non-user, co najmniej kamery, drukarki...", które posiada w ilości sztuk
250.
B. urządzenia inteligentne/urządzenia (z oprogramowaniem) z suplikanta/urządzenia
typu user na co wskazuje wykaz urządzeń końcowych oraz opis wymagania z ww.
Załącznika „D"
Sygn. akt KIO 2021/16
do SIWZ „...kontrolę dostępu do sieci LAN MS sprzętu typu user-devices..." które posiada w
ilości sztuk 3150.
Zatem dynamiczne rozpoznawanie/klasyfikacja każdego sprzętu, o którym mowa w
wymaganiu z ppkt 2.2.,pkt 2) powyżej będzie odbywać się w następujący sposób:
A. dla sprzętu inteligentnego rozpoznawanie/klasyfikacja będzie odbywać się przy użyciu
zaoferowanej licencji typu „Base", wg. sygnatury określonej w certyfikacie
uwierzytelniającym, który posiada każde urządzenie inteligentne. Certyfikatu nie da się
podrobić oraz nie da się zrobić jego kopii. Zamawiający zaznaczył, że dla każdego
urządzenia „user-devices". poprzez serwer uwierzytelniający wydawany będzie jeden
certyfikat, który z definicji jest jednoznacznie przypisany tylko do jednego urządzenia w
relacji 1 do 1. Wydawanie certyfikatu dla urządzenia, który go jednoznacznie identyfikuje z
założenia jest operacją, która musi zostać zaksięgowana i w której można zawrzeć pełne
informacje o urządzeniu. Licencja typu „Base" w umożliwia rozpoznawanie i klasyfikację
podłączanych urządzeń na podstawie prezentowanych przez nich cech. Zaoferowany
system SKD zapewnia ciągle weryfikowanie tożsamości podłączonych urządzeń poprzez ich
odpytywanie po określonym czasie o ponowne uwierzytelnienie się",
B. dla sprzętu nieinteligentnego, który nie posiada certyfikatu identyfikacja i klasyfikacja
rodzaju sprzętu nastąpi niezależnie od tożsamości użytkownika przy użyciu zaoferowanej
licencji typu „Plus" (250 sztuk) na podstawie profilowania generowanego przez nich ruchu.
2.3. Reasumując, w celach rozpoznawania/klasyfikacji urządzeń inteligentnych posiadanych
przez Zamawiającego w ilości 3150 sztuk - uwierzytelniających się z wykorzystaniem
certyfikatu nie ma potrzeby zakupu licencji „Plus", gdyż nie ma potrzeby profilowania ruchu,
od urządzenia które będzie posiadać certyfikat wydany przez system SKD, ponieważ takie
urządzenia w momencie podłączenia do sieci przedstawi się certyfikatem, który
jednoznacznie identyfikuje urządzenie końcowe.
Na podstawie postawionych przez zamawiającego wymagań i wymaganych mechanizmów
uwierzytelniania, zgodnie z oczekiwaniami zamawiającego dla urządzeń nieinteligentnych
wykonawca wykupił licencję „Plus" umożliwiającą profilowanie urządzeń na podstawie
profilowania ruchu, do czego niezbędna jest licencja „Plus" tylko dla urządzeń końcowych,
które nie mogą być uwierzytelnione za pomocą sygnatury zapisanej w certyfikacie.
Podkreślenia wymaga fakt, iż IS w treści Odwołania na str. 7 de facto przyznaje, iż licencje
typu „Plus" są potrzebne do rozpoznania urządzeń nieinteligentnych w rodzaju drukarek,
kamer IP, czytników kodów kreskowych itp.
Żeby zrealizować wszystkie opisane wyżej wymagania Zamawiającego wymagane jest
zastosowanie dla nich licencji typu „Plus", dzięki którym system SKD prawidłowo "rozpozna"
Sygn. akt KIO 2021/16
dzięki wbudowanym w system Cisco ISE zaawansowanym technikom analizy ruchu
sieciowego z jakimi urządzeniami "nie inteligentnymi" w rodzaju drukarek, kamer IP.
czytników kodów kreskowych up. system ma do czynienia, a po ich zidentyfikowaniu będzie
możliwe przypisanie opowiadających im, zdefiniowanych polityk bezpieczeństwa.
Zamawiający wskazał że posiada 250 sztuk urządzeń nieinteligentnych i w związku z tym
Wykonawca w specyfikacji oferty zawarł licencję L-ISE-PLS-S-250, która zapewnia
profilowanie urządzeń końcowych w ilości 250 sztuk co jest równoważne ilości drukarek
wskazanych przez zamawiającego. W związku z powyższym, za całkowicie pozbawione
merytorycznych podstaw należy uznać stwierdzenie odwołującego, iż skonfigurowany przez
wykonawcę system SKD w oparciu o 250 licencji „Plus" przy jednoczesnym zaoferowaniu
3500 licencji „Base" nie będzie w stanie realizować wymagań opisanych przez
Zamawiającego dla więcej niż 250 jednocześnie podłączonych do niego urządzeń
końcowych.
Podkreślenia wymaga fakt, iż zaproponowane przez Przystępującego licencje typu „Base" w
ilości sztuk 3500 mają charakter jednorazowy, tzn. zamawiający nie musi przedłużać
odpłatnie ich subskrypcji po okresie 3 lat, jak ma to miejsce w przypadku 3500 sztuk licencji
„Plus" zaoferowanych przez Odwołującego. Przystępujący nie twierdzi, iż nie można było
stworzyć konfiguracji dla przedmiotowego zamówienia na bazie 3500 licencji „Plus",
natomiast w świetle wymagań postawionych przez Zamawiającego i kanonów tzw. „dobrych
praktyk" taka konfiguracja jest absolutnie zbędna przy rozpoznawaniu urządzeń
inteligentnych, co zostało wykazane powyżej.
2.4. Odwołujący nie wykazał związku pomiędzy swoimi twierdzeniami, a wymaganiami
Zamawiającego, nie wykazał, które wymaganie wskazuje na obligatoryjność zaoferowania
dla wszystkich urządzeń końcowych posiadanych przez Zamawiającego licencji typu „Plus",
nie przedstawił żadnego dowodu na poparcie swoich nieskonkretyzowanych zarzutów.
3. Stanowisko Przystępującego odnośnie zarzutu dotyczącego zaoferowania kart liniowych
WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
3.1. Zamawiający w treści wymagań minimalnych (Tabela 1) załącznika nr 3 Załącznika E do
SIWZ Wzoru Umowy dla Części II - Szczegółowy opis wymagań dla systemu
kontrolowanego dostępu do zasobów sieciowych (SKD)" Ip. 28 wskazał następujące
wymaganie „Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi pozwalającej
na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec Security
Group Tag). Wykonawca potwierdza, iż jego oferta spełnia to wymaganie, jak również
wymagania z SIWZ, które przytoczył odwołujący w treści Odwołania: wymóg dostarczenia
wraz z urządzeniami SKD dwóch (2) sztuk kart liniowych z interfejsami do dwóch
przełączników Cisco WS-C6513E zgodnie z wymogami określonymi w Załączniku nr 3
Sygn. akt KIO 2021/16
Załącznika E do SIWZ Wzór Umowy dla części II - Szczegółowy Opis wymagań dla
.;systemu kontrolowanego dostępu do zasobów sieciowych „SKD" w tabeli 1, wierszu 23, str.
58 oraz Załącznik „D" - wykaz cech oferowanych produktów dla II System kontrolowanego
dostępu do zasobów (SKD)), przytoczonych przez Odwołującego w treści Odwołania.
Odwołujący skonstruował ogólny zarzut, iż zaoferowane przez wykonawcę wybranego karty
liniowe WS-X6848-TX-2T C6K 48- port 10/100/1000 GE Mod: fabric enabled RJ-45 DFC4
„nie wspierają mechanizmów TrustSec Security Group Tag (SGT), co oznacza, iż system
SKD nie będzie w stanie zrealizować zadań jakie postawił mu zamawiający. Powyższy
zarzut opiera się na błędnym założeniach przyjętych w wywodzie.
3.3. Błędne założenie z ppkt 3.2 lit. B powyżej.
Zgodnie oficjalną z dokumentacją producenta oferowanego rozwiązania SKD, będącą
opisem architektury systemu (Configuration Guide - Cisco TrustSec Switch Configuration
Guide) dostępnej pod adresem internetowym producenta firmy Cisco Systems: http://www.^
er. htm I, (dowód: rysunek poniżej)
podłączenie Cisco ISE do sieci poprzez przełącznik sieciowy (Ang. switch) nie wymaga
mechanizmów SGT na tym podłączeniu, a zatem założenie odwołującego wskazane w ppkt
3.2 lit. B powyżej jest całkowicie błędne. Poniżej została przedstawiona topologia sieciowa
dla systemu SKD z wykorzystaniem Cisco ISE (na rysunku opisany jako Authentication
Server). Połączenia oznaczone jako „Protected" określają połączenia przenoszące
informacje SGT.
Błędne założenie z ppkt 3.2 lit. C powyżej.
Zgodnie z informacjami zawartymi na ww. stronie internetowej Cisco Systems w
przytoczonym powyżej oficjalnym dokumencie producenta rozwiązania, informacje o SGT są
przekazywane z serwera ISE (Authentication server) do urządzeń sieciowych wspierających
mechanizmy SGT za pośrednictwem protokołu RADIUS:
Zatem, z dokumentów dostępnych publicznie na oficjalnych stronach producenta
rozwiązania wynika, iż System SKD przekazuje informacje o TrustSec Security Group Tag
(SGT) do urządzeń sieciowych wspierających mechanizmy SGT za pomocą protokołu
RADIUS, a co za tym idzie nie musi być bezpośrednio podłączony do sieci poprzez interfejsy
wspierające mechanizmy SGT, co skutkuje nieprawdziwością założenia z ppkt 3.2 lit. C
powyżej. Zgodnie z zasadami dobrych praktyk inżynierskich dla wdrożeń tego typu
systemów zalecane jest, aby serwer uwierzytelniający (w tym przypadku Cisco ISE) był
podłączony do sieci poprzez link, który nie wymaga uwierzytelniania, w szczególności nie
musi być wsparcia dla SGT na kartach liniowych WS-C6848-TX-2T zaoferowanych przez
Wykonawcę jako dodatkowe wyposażenie przełącznika Cisco Catalyst serii 6500. Powyższe
wskazuje, iż nie jest wymagane wsparcie dla SGT na bezpośrednim linku do serwera Cisco
Sygn. akt KIO 2021/16
ISE, aby zapewnić funkcjonalność SGT dla urządzeń końcowych podłączonych do
sieci.3.5.Ponadto, zgodnie z wymaganiem zamawiającego zawartym w SIWZ (załącznik nr 3
Załącznika E do SIWZ Wzory umów dla Części II - Szczegółowy opis wymagań dla Systemu
kontrolowanego dostępu do zasobów sieciowych (SKD) w tabeli 1, wierszu 23: Wykonawca
zaoferował karty WS-C6848-TX-2T zawierające taką liczbę portów fizycznych, która zapewni
podłączenie przełączników WS-C6513-E ze sprzętem dla SKD, tj. serwerami Cisco ISE
SNS- 3515-K9. Zaoferowana karta nie ogranicza funkcjonalności przełączników WS-C6513-
E oraz posiadanej przez Zamawiającego gwarancji na ww. przełączniki oraz nie ogranicza
funkcjonalności całego Systemu Kontroli Dostępu, w szczególności funkcjonalności TrustSec
Security Group Tag ponieważ, zgodnie z przytoczoną dokumentacją, połączenie pomiędzy
przełącznikiem WS-C6513-E a serwerem Cisco ISE nie wykorzystuje SGT.
3.6. Z uwagi na powyższe, nie prawdziwe i nie poparte jakimikolwiek dowodami jest
twierdzenie odwołującego, iż zaoferowane przez wykonawcę wybranego karty nie pozwalają
realizować funkcjonalności systemu SKD opisanych przez zamawiającego w załączniku „D"
w tabeli „Opis sposobu spełnienia wymagań, w tym kryteriów równoważności dla
oferowanego Systemu kontrolowanego dostępu do
zasobów sieciowych" Ip. 28 - wyciąg z załącznika D. Wykonawca zaoferował wymagane
przez zamawiającego karty liniowe w ilości i o parametrach zgodnych z opisem wskazanym
w SIWZ, które nie uniemożliwiają realizacji funkcjonalności wymaganej przez
Zamawiającego - Usługa segmentacji sieci LAN, zaprojektowanie i wdrożenie usługi
pozwalającej na segmentację sieci przy użyciu znaczników grup bezpieczeństwa (TrustSec
Security Group Tag) oraz spełnienia wszystkich związanych z nią wymagań. W treści
wymagań SIWZ nie ma wymogu, że każde urządzenie, w tym karta liniowa musi wspierać
(SGT).
Podsumowując swoje stanowisko przystępujący w szczególności zwrócił uwagę na
następujące zagadnienia dowodowe w sprawie.
4.1. Przystępujący pragnie podkreślić, iż jako jeden z wiodących podmiotów na rynku we
wdrażaniu systemów podobnych do zamawianego przez Ministerstwo Finansów systemu
posiada ogromną wiedzę na temat projektowania, wdrażania systemów odpowiadających
swą charakterystyką systemowi SKD, budowanych w oparciu o urządzenia posiadane i
zamawiane przez zamawiającego, w tym urządzenia firmy Cisco Systems. Wyrywkowe
supozycje wskazane w odwołaniu, które są merytoryczną podstawą de facto dwóch zarzutów
nie ostają się w świetle dostępnej wiedzy wysoko wykwalifikowanej kadry inżynierskiej
przystępującego. Uwzględnienie Odwołania prowadziłoby do odrzucenia oferty
Przystępującego, która w pełni spełnia wszelkie wymagania Zamawiającego postawione w
SIWZ oraz potencjalnie zmuszałoby Zamawiającego do wyboru oferty, która oferuje
Sygn. akt KIO 2021/16
nadmiarowe z punktu widzenia wymagań SIWZ rozwiązania i której wartość przekracza
budżet Zamawiającego o kwotę prawie 900 000 zł.
4.2. Podkreślenia wymaga, iż odwołanie nie zawiera skonkretyzowanych zarzutów, zaś
blankietowe stwierdzenia o niezgodności oferty z danymi z danymi wymaganiami SIWZ. W
ramach postępowania odwoławczego odwołujący ma obowiązek postawić konkretne zarzuty
w zakresie niezgodności z prawem czynności zamawiającego, które następnie ma
obowiązek udowodnić.
4.3. Odwołanie nie ostaje się również w swej treści obowiązkowi związanemu z ciężarem
dowodowym, który spoczywa na odwołującym i który został określony w art. 190 ust.1
ustawy Prawo zamówień publicznych. Stosownie do podstawowej zasady wynikającej z art.
6 k.c, znajdującej swe odzwierciedlenie w art. 190 ust. 1 ustawy Pzp, ciężar dowodu w
zakresie okoliczności faktycznych spoczywa na tym, który ze swoich twierdzeń wywodzi
skutek prawny. W rozpoznawanej sprawie takim obowiązkiem dowodowym obciążony był
odwołujący. A zatem, z uwagi na normę prawną wypływającą z przepisu art. 89 ust. 1 pkt 2)
ustawy Pzp, koniecznym było wykazanie przez odwołującego rzeczywistej treści oferty
złożonej przez przystępującego, jak również odpowiedniej treści SIWZ i jej znaczenia
(wykazanie faktycznie postawionych przez Zamawiającego, istotnych w kontekście
stawianego zarzutu, wymagań odnoszących się do przedmiotu zamówienia), Niesprostanie
w rozpoznanej sprawie przez odwołującego obowiązkowi dowodowemu pociągać musiało
uznanie, że zarzuty przez niego podnoszone są niezasadne, a tym samym odwołanie, jako
takie, podlega oddaleniu."
Nie sposób uznać, iż odwołujący przedstawił jakiekolwiek dowody na poparcie swoich tez
wskazanych w odwołaniu, a contrario przystępujący w przedmiotowym piśmie przedstawił
dowody na nieprawdziwość tez wysuwanych przez odwołującego.
W świetle odpowiedzi popartych dowodami na nieprawdziwe twierdzenia wysuwane w
Odwołaniu przystępujący wnosi o oddalenie odwołania jako oczywiście bezzasadnego.
Izba zważyła
Na podstawie przeprowadzonego na rozprawie postępowania wyjaśniającego i
dowodowego, uwzględniając prezentowane stanowiska stron oraz przystępującego w
pismach jak i na rozprawie Izba zważyła jak poniżej.
Odwołanie zasługuje na uwzględnienie.
Sygn. akt KIO 2021/16
W związku z uwzględnieniem odwołania w dniu rozprawy (07.11.2016 r.) przez
zamawiającego i zgłoszeniem sprzeciwu przez przystępującego po stronie zamawiającego to
jest wykonawcy wybranego Izba, rozpoznała merytoryczne zarzuty odwołania.
Odwołujący oparł zarzut o art.89 ust.1 pkt 2 pzp twierdząc, że treść oferty wykonawcy
wybranego jest sprzeczna z treścią SIWZ, z uwagi na zaoferowane nieodpowiednie ilości
licencji PLUS CISCO i karty liniowe.
Jak przyznały obie strony w postępowaniu odwoławczym przed Izbą niesporną okolicznością
jest, że zamawiający żądając przedstawienia oferowanego przedmiotu zamówienia nie
określił parametrów urządzeń a tylko wymagane minimalne funkcjonalności systemu kontroli
dostępu (SKD) do systemu teleinformatycznego zamawiającego. Przystępujący/wykonawca
wybrany argumentował, że jego rozwiązanie jako firmy specjalistycznej w tego rodzaju
zamówieniach jest rozwiązaniem zapewniającym osiągnięcie oczekiwanych funkcjonalności
a czemu zaprzeczył nie tylko odwołujący ale również zamawiający uwzględniając odwołanie
przed rozprawą. Przedmiotem sporu były dwa zagadnienia techniczne związane z dostawą
systemu kontroli dostępu. Pierwszym z nich była kwestia koniecznych licencji PLUS a
zwłaszcza ich ilości, które zapewniałyby badanie sprzętu korzystającego z zasobu sieci
informatycznej zamawiającego. Różnica zdań polegała na tym, że wykonawca wybrany
uzależnił rodzaj licencji w zależności od rodzaju sprzętu dzieląc go na tzw. inteligentny i nie
inteligentny. Co do rodzaju sprzętu i jego ilości w bazie zamawiającego między stronami
postępowania odwoławczego nie istniał spór. Na całkowitą ilość posiadanego sprzętu to jest
3.400 urządzeń 250 posiadało miano sprzętu non – user czyli nie inteligentnego. W związku
z tym według wiedzy posiadanej przez wykonawcę wybranego zaoferował on na sprzęt nie
inteligentny licencję typu PLUS a na pozostały sprzęt licencje BASE. Takie stanowisko
według wykonawcy przystępującego jest słuszne, ponieważ nigdzie w SIWZ zamawiający
nie wymagał konkretnej licencji i zapewnienie wymaganych funkcjonalności należało do
oceny wykonawcy. Z kolei odwołujący powołując się również na SIWZ uważał, że na cały
sprzęt to jest 3.400 sztuk i planowanych do rozbudowy 100 sztuk (łącznie 3.500 sztuk)
należy zaoferować zarówno licencje podstawową to jest BASE jak i licencję bardziej
rozwiniętą technologicznie służącą do profilowania urządzeń to jest PLUS. Stanowisko to
słusznie odwołujący wywodził z samych postanowień SIWZ przywołując na rozprawie
ostatnie zdanie nad tabelą Załącznika nr 3 do Umowy pn. Szczegółowy opis wymagań dla
Systemu kontrolowanego dostępu do zasobów sieciowych (SKD) Wymagania minimalne
(Tabela 1) o treści „SKD musi zapewniać redundantne uwierzytelnianie, autoryzację i
profilowanie sprzętu dołączonego do sieci zarządzanego z zastosowaniem jednego
Sygn. akt KIO 2021/16
wspólnego interfejsu, przy czym dopuszcza się stosowanie rozwiązań składających się z
kilku komponentów przy zachowaniu spełniania wymagań opisanych poniżej.” W tej samej
tabeli w L.p. 9 Profilowanie opis wymagania brzmi „SKD (System Kontroli Dostępu)
dynamicznie i automatycznie musi rozpoznawać rodzaj oraz producenta sprzętu i na tej
podstawie przydzielać do odpowiedniego profilu zdefiniowanego wcześniej w SKD, w
szczególności musi zapewnić co najmniej: ósmy akapit: automatyczna, ciągła i bieżąca
analiza informacji pochodzących z(…) i w wyniku tej analizy automatyczne, ciągłe i bieżące
profilowanie sprzętu końcowego. Na rozprawie: „Pan P.Z. przeczy twierdzeniom
pełnomocnika przystępującego, który wyjaśniał dzisiaj, że sprzęt inteligentny nie musi być
profilowany, a profilowanie dotyczy tylko sprzętu nieinteligentnego. Na okoliczność, iż każdy
sprzętu powinien być profilowany przywołuje ostatnie zdanie nad tabelą 1, z którego wynika,
że SKD musi zapewniać redundantne uwierzytelnianie, autoryzację i profilowanie sprzętu
dołączonego do sieci zarządzanego z zastosowaniem jednego wspólnego interfejsu. Nie ma
tu podziału na rodzaj sprzętu. W akapicie ósmym zaczynającym się „automatyczna, ciągła i
bieżąca analiza” kończy się ciągłe i bieżące profilowanie sprzętu bez podziału na jego rodzaj
i dlatego potrzebujemy licencji Plus. Pan M.D. zwraca uwagę na treść załącznika nr 7, który
określa jakie zamawiający ma urządzenia i w tej tabeli drukarki sieciowe sztuk 250, a łączna
liczba urządzeń wynosi 3400 i biorąc pod uwagę załącznik D pkt 18, z którego wynika że
system SKD ma zapewnić obsługę minimum 3500 sztuk, a nie można mieć pewności, że
zwiększona liczba sprzętu o 100 sztuk będzie inteligentna i przyjmując interpretację
przystępującego, który uważa że tylko dla nieinteligentnych trzeba licencji Plus.
Asekuracyjnie nawet niespełniony jest wymóg 350 bo oferuje się 250 licencji Plus”.
Powyższe postanowienia SIWZ, przywoływane na rozprawie, wskazują jednoznacznie, że
koncepcja wykonawcy wybranego zaoferowania licencji PLUS tylko dla urządzeń tzw. nie
inteligentnych nie znajduje uzasadnienia. Tym samym słuszne jest stanowisko
odwołującego i popierającego go zamawiającego wskutek uwzględnienia odwołania, że
profilowany ma być każdy sprzęt zarówno tzw. inteligentny jak i tzw. nie inteligentny. Czyli
oferta wykonawcy wybranego jest sprzeczna z treścią SIWZ skoro odwołujący co jest
bezspornym w sprawie ofertuje 250 licencji CISCO PLUS a nie 3.500 sztuk.
O słuszności zarzutu odwołującego świadczy również okoliczność, że oferta w związku z
przewidzianą rozbudową ilości urządzeń o kolejne 100 sztuk nie obejmowała zaoferowania
kolejnych 100 licencji PLUS. Należy bowiem brać pod uwagę, że zamawiający może
rozszerzyć beza sprzętową o urządzenia nie inteligentne. Wówczas chociażby z tego
powodu oferta jest sprzeczna z treścią SIWZ, ponieważ oferta zwiera 250 licencji PLUS a nie
co najmniej 350 licencji PLUS, przy założeniu, że urządzenia inteligentne tej licencji nie
wymagają (pkt 18 zał. Nr 3 do umowy SKD musi zapewnić obsługę minimum 3.500 sztuk
Sygn. akt KIO 2021/16
sprzętu jednocześnie włączanych do sieci LAN MF bez opóźnienia z punktu widzenia
użytkowników końcowych).
Stanowisko odwołującego zostało potwierdzone również odpowiedzią udzieloną przed
przedstawicieli CISCO zarówno przedstawicielstwa w Polsce (T.J. email) jak i
zagranicznego (P.C. email). Przedstawicielom tym zadano pytania dotyczące zarówno co do
właściwej licencji jak i drugiego zarzutu kart liniowych z interfejsami w kontekście wymagań
SIWZ. W ocenie Izby odpowiedzi były jednoznaczne w obydwu przypadkach ich udzielenia
to jest „Do zrealizowania „profilowania” urządzeń i na tej podstawie tworzenia polityk jest
wymagana subskrypcyjna licencja ISE PLUS (tabela 1 poniższego źródła) np. aby
jednocześnie profilować (i tworzyć na tej podstawie polityki) 1000 licencji ISE PLUS oraz
1000 licencji ISE BASE (ISE BASE jest wymagane do zainstalowania licencji PLUS, tabela 1
poniższego źródła).” Czy też „Karty „WS-X6848-TX-2T=” SGT nie obsługują”. Udzielone
odpowiedzi są o tyle znaczące dla wyjaśnienia sprawy, że zostały wydane na podstawie
przedstawionych treści SIWZ. W sprawie nie ma znaczenia podnoszona okoliczność, braku
udokumentowania upoważnienia do udzielenia odpowiedzi chociażby z racji, że są to
oświadczenia wiedzy i woli a przystępujący nie wykazał, że Panowie J. i C. nie są
przedstawicielami producenta CISCO.
Izba z kolei nie uznała za wiarygodne dowody przedłożone przez przystępującego ze stron
internetowych producenta CISCO. Po pierwsze stanowią one wyrywkowe tłumaczenia tekstu
w j. angielskim i nie można ocenić ich przydatności dla wyjaśnienia sprawy w związku z
pozostałą nie przetłumaczoną częścią informacji producenta. Po drugie nie odnoszą się do
postanowień SIWZ w zakresie wymaganych minimalnych funkcjonalności.
W tym stanie rzeczy odwołanie zasługuje na uwzględnienie. Bowiem odwołujący udowodni
sprzeczności treści oferty z treścią SIWZ w zakresie wskazanym w odwołaniu.
O kosztach orzeczono stosownie do wyniku sprawy zgodnie z art. 192 ust.9 i 10 ustawy oraz §
3 pkt 1 w związku z § 5 ust.2 pkt2) rozporządzenia Prezesa Rady Ministrów z dnia 15 marca
2010r. w sprawie wysokości i sposobu pobierania wpisu od odwołania oraz rodzajów kosztów
w postępowaniu odwoławczym i sposobu ich rozliczania (Dz. U. 2010r. nr 41 poz.238)
zaliczając uiszczony wpis przez odwołującego w kwocie 15.000,00 zł. w koszty postępowania
odwoławczego i zasądzając od przystępującego na rzecz odwołującego kwotę 15.000,00
złotych jako koszty obejmujące uiszczony wpis odwołującego.
Sygn. akt KIO 2021/16
Pełnomocnik odwołującego oświadczył, że nie składa rachunku z tytułu zastępstwa
procesowego w sprawie.
Przewodniczący: ……………………
.