rodzaj: WYROK
data dokumentu: 2022-01-07
rok: 2021
data dokumentu: 2022-01-07
rok: 2021
sygnatury akt.:
KIO 3669/21
KIO 3669/21
po rozpoznaniu na rozprawie w Warszawie w dniu 4 stycznia 2022
r. odwołania wniesionego
do Prezesa Krajowej Izby Odwoławczej w dniu 20 grudnia 2021 r. przez IT Solution Factor
spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Popularna 4/6 w
postępowaniu prowadzonym przez zamawiającego – Uniwersytet Marii Skłodowskiej-
Curie z siedzibą w Lublinie, Pl. Marii Skłodowskiej-Curie 5
przy udziale wykonawcy NTT
Poland spółka z ograniczoną odpowiedzialnością z sie-
dzibą w Warszawie, ul. Sienna 73 zgłaszającego swoje przystąpienie w sprawie sygn. akt
KIO 3669
/21 po stronie zamawiającego
r. odwołania wniesionego
do Prezesa Krajowej Izby Odwoławczej w dniu 20 grudnia 2021 r. przez IT Solution Factor
spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, ul. Popularna 4/6 w
postępowaniu prowadzonym przez zamawiającego – Uniwersytet Marii Skłodowskiej-
Curie z siedzibą w Lublinie, Pl. Marii Skłodowskiej-Curie 5
przy udziale wykonawcy NTT
Poland spółka z ograniczoną odpowiedzialnością z sie-
dzibą w Warszawie, ul. Sienna 73 zgłaszającego swoje przystąpienie w sprawie sygn. akt
KIO 3669
/21 po stronie zamawiającego
orzeka:
1.
Umarza postępowanie w zakresie zarzutu naruszenia przez zamawiającego art. 73.
u
st. 1, art. 74 ust. 1, art. 7 pkt 19 ustawy, ponieważ protokół z postępowania jest nie-
kompletny, nie zawiera wszystkich dokumentów, które wymaga ustawa, między inny-
mi, pisma odwołującego z 5 listopada 2021 r., a w pozostałym zakresie oddala odwo-
łanie.
2. kosztami
postępowania obciąża IT Solution Factor spółka z ograniczoną odpo-
wiedzialnością z siedzibą w Warszawie, ul. Popularna 4/6 i:
2.1.
zalicza w poczet kosztów postępowania odwoławczego kwotę 15 000 zł 00 gr
(słownie: piętnaście tysięcy złotych zero groszy) uiszczoną przez IT Solution
Factor spółka z ograniczoną odpowiedzialnością z siedzibą w Warsza-
wie, ul. Popularna 4/6
tytułem wpisu od odwołania,
2.2.
zasądza od IT Solution Factor spółka z ograniczoną odpowiedzialnością z
siedzibą w Warszawie, ul. Popularna 4/6 na rzecz zamawiającego – Uni-
wersytet Marii Skłodowskiej-Curie z siedzibą w Lublinie, Pl. Marii Skło-
dowskiej-Curie 5
kwotę 3 600 zł 00 gr (słownie: trzy tysiące sześćset złotych
zero groszy)
stanowiącą koszty postępowania odwoławczego poniesione z ty-
tułu wydatków pełnomocnika.
Stosownie do art. 579 ust. 1 i 580 ust. 1 i 2 ustawy z dnia
11 września 2019 r. Prawo
zamówień publicznych (Dz. U. z 2021 r., poz. 1129 z późn. zm.) na niniejszy wyrok - w
terminie 14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa
Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie.
Przewodniczący:………………………….
Sygn. akt KIO 3669/21
Uzasadnienie
Postępowanie o udzielenie zamówienia na dostawę informatycznego Systemu Bezpieczeń-
stwa wraz z asystą techniczną zostało wszczęte ogłoszeniem o zamówieniu opublikowanym
w Dzienniku Urz
ędowym Unii Europejskiej 2021/ S 164 - 430574 z dnia 25 sierpnia 2021 r.
W dniu 10 grudnia
2021 r. zamawiający poinformował o wyborze oferty najkorzystniejszej.
W dniu 20 grudnia 2021 r. wykonawca
IT Solution Factor spółka z ograniczoną odpowie-
dzialnością z siedzibą w Warszawie, ul. Popularna 4/6 wniósł odwołanie. Odwołanie zostało
wniesione przez pełnomocnika działającego na podstawie pełnomocnictwa z dnia 6 września
2021 r. udzielonego przez prezesa zarządu ujawnionego w KRS i upoważnionego do samo-
dzielnej reprezentacji. Kopia odwołania została przekazana zamawiającemu w dniu 20 grud-
nia 2021 r.
Odwołujący zarzucił zamawiającemu naruszenie:
1. art. 226 ust. 1 pkt 3 i 5 ustawy przez zaniechanie odrzucenia oferty NTT, która jest nie-
zgodna z warunkami zamówienia i z przepisami ustawy, w związku z art. 139 ust. 1 w związ-
ku z 239 ust.1 i 2 ustawy przez nieprawidłową ocenę oferty NTT i wybór oferty NTT jako naj-
korzystniejszej choć podlegała ona odrzuceniu, w związku z (1) pkt 3) Formularza wzoru
oferty stanowiącego załącznik do SWZ, (2) pkt 31 rozdziału II „założenia wspólne dla rozwią-
zań NGFW”, Załącznika nr 1 do SWZ - OPZ (o treści nadanej w zmianie SWZ z dnia 6
września 2021 r.), (3) pkt 3) Formularza oferty NTT, (4) w związku z pkt 4 (w tym m. in. z pkt
a, b) zamieszczonym w „szczegółowym opisie przedmiotu zamówienia”, w części „wymaga-
nia serwisowe i licencyjne”, w związku z (5): pkt 3.4 SWZ, pkt 4 formularza oferty stanowią-
cego załącznik do SWZ, pkt 4 oferty NTT, pkt II.2.4) ogłoszenia o zamówieniu, (6) w związku
z art. 60 i art. 66 § 1 kodeksu cywilnego, przez zaniechanie odrzucenia oferty NTT, pomimo,
że:
1)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wynosi
jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każdym
przypadku
2)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu tzw. “Application Mix” (czyli innym (rozłącznym) ruchu od obsługi
ruchu stron internetowych w wielk
ości pakietów 64 kb, wynosi 10 Gbps, jednak to oprogra-
mowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date) i z
tym dniem to oprogramowanie traci wsparcie i gwarancję producenta, które jest wymagane
umową, więc już dziś mamy stwierdzoną niezgodność z SWZ
3)
najnowsza wersja oprogramowania, której NTT nie zaoferował według zamawiające-
go, ale która zastąpi wersję oprogramowania oferowaną przez NTT, ma przepustowość nie-
spełniającą parametry podane przez NTT w ofercie co do przepustowości (pomiędzy 7.7 a
9,7 Gbps, a NTT podał 10 Gbps), więc jeżeli zamawiający dokona aktualizacji oprogramo-
wania Pan-
OS z wersji 10.0 do wersji 10.1, to tym samym będzie posiadał wsparcie i gwa-
rancję producenta do wersji oprogramowania poniżej wymogów co do przepustowości poda-
nych w ofercie, a jeżeli nie dokona aktualizacji, to straci gwarancję i wsparcie producenta.
Jeżeli zamawiający dokona aktualizacji z wersji 10.0 do wersji 10.1, to będzie posiadał wy-
magane wsparcie producenta, lecz urządzenie nie będzie spełniało wymogów co do przepu-
stowości. Jeżeli zamawiający postawowi zachować wersje oprogramowania 10.0, to będzie
posiadał urządzenie spełniające wymagania co do przepustowości, lecz straci wymagane
wsparcie producenta.
4)
z powyższego wynika, że NTT zaoferował oprogramowanie niespełniające wymagań
techniczno-
funkcjonalnych biorąc pod uwagę wymogi SWZ i czas zgodnego z umową czasu
korzystania z oprogramowania przez z
amawiającego (co najmniej 36 miesięcy)
2. zarzut ewentualny z ostrożności: oferowania NTT urządzeń z oprogramowaniem w wersji
Pan-
OS 10.1, która nie spełnia wymogów przepustowości 10 Gbps, ponieważ wersja Pan-
OS 10.1 ma jedynie przepustowość pomiędzy 7,7 a 9,7 Gbps oraz pkt OPZ: "NIETECH-
NICZNE CECHY PRODUKTU" pkt 6, ponieważ nie występuje na rynku co najmniej 9 mie-
sięcy przed upływem składania ofert, a zgodnie z tym punktem zamawiający wymaga, aby
wszystkie dostarczane urządzenia i pakiety oprogramowania były sprawdzone w praktyce
rynkowej, w tym objęte serwisem producenta o takiej długości trwania i rozstrzygająca dla
tego faktu jest data publikacji wersji na stronie producenta.
3.
art. 126 ust. 1 ustawy, i 6.1, 6.2 swz, ponieważ oferta NTT powinna być odrzucona i
NTT nie powinna być wzywana do złożenia dokumentów
4.
art. 239 ust.1 i 2 ustawy przez nieprawidłowe zastosowanie i zaniechanie wyboru
oferty odwołującego jako najkorzystniejszej choć podlegała ona wyborowi, jako zgodna z
warunkami zamówienia, art. 126 ust. 1 ustawy i 6.1, 6.2 swz, ponieważ to oferta odwołujące-
go jest najkorzystniejsza i powinna być najwyżej oceniona i to odwołującego zamawiający
powinien wezwać do złożenia dokumentów
5.
art. 73. u
st. 1, art. 74 ust. 1, art. 7 pkt 19 ustawy, ponieważ protokół z postępowania
jest niekompletny, nie zawiera wszystkich dokumentów, które wymaga ustawa, między in-
nymi, pisma odwołującego z 5 listopada 2021 r. dotyczącego niezgodności oferty NTT z swz,
które powinno uruchomić wezwanie NTT do wyjaśnień, co się nie stało
6.
zarzut ewentualny: w sytuacji braku uwzględnienia któregokolwiek z zarzutów z pkt 1
– 5 powyżej, art. 223 ust. 1 ustawy przez brak wezwania NTT do wyjaśnień, i przyjęcie, bez
pytania NTT o zdanie, jaką wersję oprogramowania zaoferował NTT w swojej ofercie, cho-
ciaż to jaką wersję oprogramowania oferuje NTT, jest to czynność, w której zamawiający nie
może zastępować NTT, ponieważ ważne dla ustalenia zakresu oferty są wyjaśnienia NTT a
nie zgadywanie z
amawiającego.
7.
art. 16 pkt 1) ustawy przez przeprowadzen
ie postępowania o udzielenie zamówienia
w sposób nie zapewniający zachowania uczciwej konkurencji oraz równego traktowania wy-
konawców
Wn
iósł o nakazanie:
1.
Uwzględnienie odwołania
2.
Unieważnienie czynności wyboru oferty najkorzystniejszej
3.
Unieważnienie czynności przyznania punktacji NTT w każdym kryterium oceny ofert i
łącznej punktacji
4.
Unieważnienie czynności wezwania NTT do złożenia dokumentów
5.
Odrzucenia oferty NTT
6.
Nakazanie ponownej oceny ofert z uwzględnieniem wyłącznie oferty odwołującego i
nakazanie przyznania punktacji wyłącznie ofercie odwołującego
7.
Nakazanie wezwania odwołującego do złożenia dokumentów
8.
Uzupełnienie protokołu z postępowania i brakujący dokument wskazujący na nie-
zgodności oferty NTT z SWZ
9.
Ewentualnie,
o wezwanie NTT do wyjaśnień treści oferty.
10.
Wyboru oferty odwołującego
11.
Obciążenie zamawiającego kosztami postępowania odwoławczego, w tym kosztów
zastępstwa procesowego
Nadto wniósł o przeprowadzenie dowodu z dokumentów:
1)
SWZ z załącznikami i zmianami – na fakt ich treści i obowiązków wykonawców i za-
mawiającego – w dokumentacji postępowania
2)
Formularza oferty NTT na fakt oferowanej przepustowości w wysokości 10 Gbps na
czas realizacji zamówienia - w dokumentacji postępowania
3)
Pisma zama
wiającego z 10.12.2021 r. (ten dokument w aktach postępowania),
4)
dokumentacji technicznej Pan-OS wersja 10.0- informacje ze strony producenta Pa-
loalto, dokumentacji technicznej, Pan-OS wersja 10.0- karta katalogowa, na fakt:
oferowania przez NTT wersji
oprogramowania instalowanej na urządzeniach Pan-OS 10.0,
która ma (1) przepustowość 8,2 Gbps przy obsłudze ruchu z przeglądarek internetowych w
rozmiarze pakietów 64 kb (niezgodną z deklarowaną w ofercie przepustowością) i (2) prze-
pustowość 10 Gbps w pozostałym obszarze, ale jedynie do połowy 2022 r., więc nie spełnia
wymogów SWZ biorąc pod uwagę czas trwania zobowiązań
4)
Pisma odwołującego z 5 listopada 2021 r. na fakt braku spełniania przez wersję PAN-
OS 10.0 i 101.1 1 wymogów SWZ i ofercie NTT (posiadania przez tę wersję jedynie przepu-
stowości w zakresie 9,7 Gbps) i na fakt braku załączenia tego dokumentu do protokołu z
postępowania jako jeden z jego załączników, dat publikacji wersji i ich wyjścia z użycia (end
of life)
5)
Wydruków z dokumentacji technicznej producenta Paloalto z tłumaczeniami – wersja
10.0 i 10.1 ze strony internetowej, na fakt braku zgodności oferty NTT z przedmiotem zamó-
wienia, między innymi w przypadku gdyby NTT twierdził, że jednak zaoferował wersję 10.1
lub gdyby bronił się możliwością przyszłej aktualizacji oprogramowania, dat publikacji wersji i
ich wyjścia z użycia (end of life)
Odwołujący wskazał, że naruszenie przez zamawiającego przepisów ustawy, swz, uniemoż-
liwia odwołującemu uzyskanie zamówienia i zawarcie umowy, przez co poniesie szkodę.
Obie oferty: odwołującego i NTT są powyżej kwoty, którą zamierza zamawiający przezna-
czyć na realizację zamówienia podaną przy otwarciu ofert, ale zgodnie z przepisami i
orzecznictwem Krajowej Izby Odwoławczej, ten fakt nie odbiera odwołującemu prawa do
złożenia odwołania, ponieważ po odrzuceniu oferty NTT zamawiający może podwyższyć
kwotę, którą zamierza przeznaczyć na realizację zamówienia i wybrać ofertę odwołującego
lub unieważnić przetarg i zorganizować nowy przetarg, w którym odwołujący może złożyć
wygrywającą ofertę.
Odwołujący podniósł, że są dwie główne niezgodności z SWZ w ofercie NTT:
1.
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony ,przy obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wy-
nosi jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każ-
dym przypadku, a obsługi takiego ruchu wymaga SWZ
2.
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu jedynie tzw. “Application Mix” wynosi 10 Gbps, jednak to opro-
gramowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date)
i
z tym dniem to oprogramowanie traci wsparcie i gwarancję producenta, które jest wymaga-
ne umową a obsługi takiego ruchu wymaga SWZ przez cały okres trwania zobowiązań.
Niezgodność z SWZ widoczna przed złożeniem oferty, a która urzeczywistni się w trakcie
realizacji umowy
w ocenie odwołującego, również uzasadnia odrzucenie oferty, ponieważ:
1)
Oferta to zbiór zobowiązań (czyli oświadczeń woli), a zobowiązania maja określoną
długość trwania na przyszłość
2)
Zobowiązania (oświadczenia woli) ocenia się za zgodność z warunkami zamówienia.
Po złożeniu oferty zamawiający ma prawo rozliczać oferenta ze złożonych zobowiązań
(oświadczeń) zgodnie z ich treścią, w tym czasem trwania, i porównując do warunków za-
mówienia
3)
Warunki zamówienia wymagają 36 miesięcznego wsparcia i gwarancji producenta do
oprogramowania
4)
Zobowiązania oferenta ocenia się przez całą długość ich trwania w stosunku do wa-
runków zamówienia, w przeciwieństwie do JEDZ, dokumentów przedmiotowych i podmioto-
wych, które są oceniane na moment ich złożenia
5)
Zamawiający ma roszczenie o dotrzymanie zobowiązań przez całą długość realizacji i
porównania takiego zobowiązania z warunkami zamówienia, ale niezgodność znana przed
złożeniem oferty czy przed zawarciem umowy, to niezgodność z SWZ, a nie problem projek-
towy, który będzie rozwiązywany na etapie realizacji umowy
6)
NTT zaoferował przepustowość 10 Gbps realizowaną na urządzeniach przy obsłudze
każdego ruchu: a nie spełnia obsługi ruchu stron internetowych (http) o wartości 64 Kb, i nie
spełnia innego niż HTTP o wielkości pakietów 64 kb, i to z momentem złożenia takiego
oświadczenia w ofercie.
Druga niezgodność, to: z dniem 16 czerwca 2022 r. przestanie być wspierana wersja Pan-
OS 10.0, którą oferuje wg zamawiającego NTT, a która zapewnia przepustowość 10 Gbps:
to znaczy, że przestanie być zapewnianie 36 miesięczne wsparcie i gwarancja producenta
wymagane warunkami zamówienia, co powoduje niezgodność oferty z SWZ
Zamawiający będzie zmuszony do aktualizacji wersji oprogramowania Pan-OS do wersji Pa-
nOS
10.1, która jednak nie spełnia deklarowanej w ofercie przepustowości na poziomie 10
Gbps (ponieważ posiada przepustowość jedynie na poziomie 9,7 Gbps), co powoduje nie-
zgodność oferty z wymaganiami zamawiającego na poziomie deklarowanej przez NTT prze-
pusto
wości.
7)
Umowa zakazuje aneksów, które mogą pogorszyć parametry techniczne poniżej ofe-
rowanych w ofercie
8)
NTT nie może zasłaniać się, że powstanie na przykład nieznana dziś wersja 10.2 i
będzie obsługiwać ruch 10 Gbps w każdym przypadku, bo dziś taka wersja nie istnieje, a
oceniamy stan rzeczywisty, a nie przyszły hipotetyczny. Równie dobrze, producent może
jeszcze zmniejszyć obsługiwaną przepustowość lub zaprzestać wspierania oprogramowania.
Odwołujący podał, że we wzorze formularza oferty zamawiający wymagał podania przepu-
stowości urządzenia zgodnie z zakresem II pkt 31 OPZ:
„3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepustowość urządzenia
wynosi: ……………………………… (zgodnie z punktem II podpunkt 31. OPZ).”
2.
W punkcie II podpunkt 31 OPZ z
amawiający wymagał podania przepustowości urzą-
dzenia dla pełnego zakresu ochrony:
„31. Interpretacja
parametrów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzielenie do niej polityki bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu,
d.
inspekcję antywirusową całego ruchu,
e.
I
nspekcję antymalware/AntySpyware całego ruchu,
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
ny
mi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
p
rzesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie minimum do 15GB.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.”
W ocenie odwołującego z postanowień z pkt 1 i 2 wynika:
1)
Kluczowe jest określenie “cały ruch” - i ono zakotwicza cały problem tego postępowa-
nia. Cały ruch to każdy rodzaj ruchu, a nie wyłącznie ruch mieszany.
Zamawiający wymaga podania przepustowości przy najwyższym obciążeniu przy każdym
rodzaju ruchu, przy pełnym zakresie ochrony
2)
Przy pracy urządzeń w sieci przesyłane są pakiety o różnych rozmiarach . Występuje
ruch o wielkości 64 kb przy obsłudze przeglądarek http i inny ruch (na przykład mieszany, o
większych pakietach danych)
3)
W sieci można puścić ruch o rozmiarze pakietów danych 64 kb przy obsłudze prze-
glądarek – i zamawiający w SWZ wymagał, w tych postanowieniach powyżej, podania prze-
pustowości przy najwyższym obciążeniu. Jeżeli zamawiający nie sprecyzował inaczej, to
ofere
nt powinien przyjąć iż wymaganie powinno być spełnione w dowolnych skrajnych wa-
runkach. Warto zaznaczyć iż małe pakiety puszcza się przez urządzenie standardowo, w
celu mierzenia zdolności oprogramowania do obsługi pakietów. Ta miara, 64 kb przy http jest
stosowana u wielu producentów i klientów, jako standard.
4)
z
amawiający wymaga obsługi każdego rodzaju ruchu, przy pełnym zakresie ochrony.
5)
w rezultacie w ofercie należy podać przepustowość dla każdego rodzaju ruchu z naj-
większą liczbą dostępnych inspekcji
6)
inaczej mówiąc, ruch to metaforycznie mówiąc płynąca rzeka, w której:
A)
oprogramowanie ma weryfikować co jest w ruchu (płynie w rzece) przy włączonych
funkcjach (narzędziach do ochrony ruchu – metaforycznie mówiąc siatkach/tamach łapiących
brud.)
B)
włączone narzędzia naturalnie wpływają hamująco na przepływ ruchu (rzeki)
Zamawiający żądał podania przepustowości , która występuje przy włączonych wszystkich
narzędziach ochrony.
NTT w ofercie wpisał odnośnie tego postanowienia zaoferował przepustowość 10 Gbps:
„3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepustowość urządzenia
wynosi: 10Gbps (zgodnie z punktem II podpunkt 31 OPZ)”
Zamawiający w pkt 4 "SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA – WYMAGA-
NIA SERWISOWE I LICENC
YJNE" wymaga 36 miesięcznego wsparcia technicznego i gwa-
rancji producenta do oprogramowania i urządzeń:
„Wsparcie techniczne i gwarancja (zwanej dalej wsparciem) będzie świadczone przez produ-
centa lub autoryzowane przez producenta centrum serwisowe niezal
eżne od Wykonawcy
realizowane we współpracy z producentem, przez okres 36 miesięcy od daty odbioru bez
zastrzeżeń, potwierdzonego protokołem. Wsparcie obejmuje:
a. Dostęp do Centrum Wsparcia Technicznego (TAC) przez: stronę internetową, email oraz
telefo
nicznie w języku polskim - wsparcie przy rozwiązywaniu problemów związanych z dzia-
łaniem NGFW oraz systemów wspomagających w trybie 8x5, tj. co najmniej 8 godzin przez
5 dni w tygodniu; (…)
b. Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich aktualizacji dotyczą-
cych oferowanych NGFW oraz wszystkich systemów wspomagających w ramach wymaga-
nych funkcjonalności, wydawanych przez Producenta.(…)
W pkt II 2.4) ogłoszenia o zamówieniu są postanowienia:
“Oferowany przedmiot umowy ma być fabrycznie nowy, nieużywany oraz nieeksponowany
na wystawach lub imprezach targowych, sprawny technicznie, bezpieczny, kompletny i go-
towy do pracy, wyprodukowany nie wcześniej niż w II półroczu 2020 r. a także musi spełniać
wymagania technicznofunkcjonalne wyszc
zególnione w opisie przedmiotu zamówienia.
Zamawiający wymaga udzielenia przez wykonawcę gwarancji i bezpłatnego serwisu gwa-
rancyjnego na całość przedmiotu zamówienia na okres minimum 36 miesięcy, z zastrzeże-
niem pkt 13.2 SWZ..”
Zgodnie z pkt 4 SWZ: „4 Termin wykonania zamówienia: Wykonanie zamówienia zostanie
podzielone na etapy: (…) 4)Etap IV – usługa asysty technicznej – w okresie 12 miesięcy, od
dnia zakończenia integracji dostarczonego sprzętu sieciowego z komponentami sieci IT za-
mawiającego. Zamawiający przewiduje, iż maksymalny termin wykonania zamówienia wy-
niesie 16 miesięcy od dnia zawarcia umowy.
NTT zaoferował przedmiot zamówienia: Producent Palo Alto Networks, Marka Palo Alto,
Model PA5220, Miesiąc i rok produkcji : 10.2021 r.
Przepustowość wskazana w ofercie jest realizowana z wykorzystaniem oprogramowania
instalowanego na urządzeniach Paloalto nazywanych: Pan-OS (system operacyjny).
Zamawiający w piśmie z 10.12.2021 r. stwierdził, że rekomendowana dla oferowanego przez
NTT urządzenia wersja oprogramowania instalowanego na urządzeniach to PAN-OS (Preffe-
red): wersja 10.0:
Threat Prevention throughput http/Appmix dla PA -5220 8,2/10 Gpps
Note Results were measured on PAN-OS 10.0
Threat Prevention throughput is measured with App -ID IPS antivirus, anty-spyware, wildtree,
fire blocking, and logging enabled utilizing 64 KB http/Appmix transaction
Z treści dokumentacji według odwołującego wynika niezgodność treści oferty z SWZ. Istotne
są podkreślenia w dowodzie powyżej, z których wynika:
1)
D
la threat prevention throughput, przy użyciu pakietów danych 64 kb http – „http, „uti-
lizing 64 KB http” - (czyli przy obsłudze ruchu http na przykład przeglądarki internetowej)
przepustowość to 8,2 Gbps
2)
Dla threat prevention throughput, przy użyciu różnych aplikacji („appmix”), ale w ruchu
innym niż ruch 64 kb http przepustowość to 10 Gbps
3)
Są to wyniki dla Pan-OS 10.0
4)
Dane podane przy krzyżyku – pokazują ruch przy włączonych wszystkich narzędziach
ochrony
5)
Rezultatem tego jest przepustowość 8,2 Gbps w pewnym zakresie użycia i przepu-
stowość 10 Gbps w pozostałym zakresie użycia
Przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym zakresie
ochrony, ale przy obsłudze ruchu http (na przykład stron internetowych) o wielkości pakietów
64 kb wynosi jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps
w każdym przypadku, więc nie spełnia wymogów SWZ i własnej oferty.
Zgodnie z informacją w dokumentacji technicznej producenta wersja oprogramowania PAN-
OS 10.0, czyli ta podana przez z
amawiającego w powyższym piśmie, jest planowana do wy-
cofania 16 czerwca 2022 r., co jest niezgodne z pkt 4 OPZ i uzasadnia odrzucenie oferty.
PAN-OS &Panorama Version 10.0 Release Date July 16, 2020, End-of-Life Data July 16,
2022.
Dowody dotyczą również dat publikacji i dat zaprzestania używania (end of life) - wg której
oprogramowanie traci wsparcie producenta.
Zamawiający nie posiada możliwości zaktualizowania wersji PANOS (preferred) 10.0 do
wersji 10.1, na podstawie punktu SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA –
WYMAGANIA SERWISOWE I LICENCYJNE, pkt 4 ppkt b) „Dostęp (tj. uprawnienie do pobie-
rania i
instalowania) do wszystkich aktualizacji dotyczących oferowanych NGFW oraz
wszystkich systemów wspomagających w ramach wymaganych funkcjonalności, wydawa-
nych przez Producenta.”, ponieważ:
1)
wersja PANOS 10.1 nie spełnia wymogów co do przepustowości, ponieważ maksy-
malna przepustowość dla tej wersji to pomiędzy 7,7 a 9,7 Gbps a podana w ofercie przepu-
stowość to 10 Gbps.
2)
odwołujący informował Zamawiającego, że najnowsza wersja Panos (10.1) ma mak-
symalną przepustowość urządzenia Paloalto: pomiędzy 7,7 a 9.7, a nie 10 Gbps.
Threat Prevention throughput http/Appmix dla PA -5220 7,7/9,7 Gpps
Note Results were measured on PAN-OS 10.1
Threat Prevention throughput is measured with App -ID IPS antivirus, anty-spyware, wildtree,
fire blocking, and logging enabled utilizing 64 KB http/Appmix transaction
Tym samym
w ocenie odwołującego, zamawiający nie będzie, wg informacji, które są dziś
dostępne, a więc miarodajne dla rozstrzygnięcia postępowania i oceny ofert, zastąpić wyco-
fywanej w połowie 2022 r. wersji PANOS 10.0 – wersją Panos 10.1.
Niezgodność oferty z OPZ polega na fakcie:
1)
z
amawiający już dziś ma wiedzę o niezgodności oferty, który wystąpi 16 czerwca
2022 r. i nie ma na to żadnego środka zaradczego
2)
Dla oceny oferty nie liczą się żadne przyszłe potencjalne rozwiązania niezgodności,
ponieważ na tej zasadzie można by bronić każdej niezgodności. Oferta niezgodna z SWZ, to
nic, producent za 5 miesięcy naprawi niezgodność - oczywiście taką interpretację należy
odrzucić.
3)
Z dniem 16 czerwca 2022 r. przestanie być wspierana wersja Pan-OS 10.0, która
zapewnia przepustowość 10 Gbps, to znaczy, że przestanie być zapewnianie wsparcie i
gwarancja wymagane OPZ i umową, co powoduje niezgodność oferty z SWZ
4)
Z
amawiający będzie zmuszony do aktualizacji wersji oprogramowania Pan-OS do
wersji 10.1, która jednak nie spełnia deklarowanej w ofercie przepustowości na poziomie 10
Gbps (ponieważ posiada przepustowość na poziomie pomiędzy 7,7 a 9,7 Gbps), co powodu-
je nie
zgodność oferty z deklarowaną w ofercie przepustowością
5)
W §9 ust. 1 pkt 1) wzoru umowy zamawiający zakazał zmian umowy, w których wyni-
ku nastąpiłoby obniżenie parametrów technicznych, jakościowych, innych wynikających z
oferty, więc nie ma drogi przy pomocy aneksu do naprawy tej niezgodności:
„1. Zamawiający zastrzega sobie prawo zmiany postanowień umowy w przypadku: 1) aktua-
lizacji rozwiązań ze względu na postęp techniczny lub technologiczny (np. wycofanie z obro-
tu urządzeń lub podzespołów), zmiana nie może spowodować podwyższenia ceny oraz ob-
niżenia parametrów technicznych, jakościowych i innych wynikających z oferty, na podstawie
której był dokonany wybór Wykonawcy”
6)
W rezultacie NTT i Zamawiający są w kropce, sytuacji bez wyjścia, ponieważ nie mo-
gą zaktualizować wersji PANOS 10.0 do 10.1, ponieważ wersja 10.1 nie spełnia wymogu
przepustowości na poziomie 10 Gbps, ponieważ jej limit to 9,7 Gbps, a wersja 10.0 przesta-
nie być wspierana i objęta gwarancją producenta.
Dla odwołującego oczywistym jest, że zamawiający kupuje nowe urządzenie po to, aby móc
go używać przez lata, używać bezpiecznie. Aby używać go jak najbardziej bezpiecznie musi
podnosić wersję systemu operacyjnego zgodnie z zaleceniami producenta i dlatego wymagał
możliwości aktualizacji każdego komponentu NGFW, a tu jest ograniczony przez NTT, po-
nieważ nie może dokonać aktualizacji oprogramowania ze względu na utratę podstawowej
funkcji
– przepustowości 10Gbps
Zgodnie z zobowiązaniem z oferty NTT, ta przepustowość 10 Gbps ma być zapewniona
przez całą długość trwania zobowiązań, czyli całą długość realizacji zamówienia, czyli przez
okres ponad 36 miesięcy (czas realizacji zamówienia + 36 miesięcy czas wsparcia producen-
ta)
Zamawiający ocenia zgodność oferty z SWZ, a oferta to jest zbiór zobowiązań. Każde zobo-
wiązanie ma swoją długość trwania. Z tego wynika, że zamawiający oceniając ofertę musi
ocenić spełnianie wymogów z SWZ przez całą długość trwania tych zobowiązań.
Nie ma żadnego znaczenia czy ten problem: braku wsparcia i gwarancji do wersji posiadają-
cej odpowiednią przepustowość czy braku odpowiedniej przepustowości w najnowszej wersji
oprogramowania w stosunku do deklarowanej w ofercie, wystąpiłby w 1 dniu realizacji umo-
wy czy w połowie czerwca 2022 r. Daty to jest jedynie jednostka czasu, a z punktu widzenia
zobowiązań z oferty, należy rozliczać zobowiązania i spełnianie warunków z punktu widzenia
długości ich trwania.
Zdaniem odwołującego potwierdzają to również przepisy prawa:
Wyłącznie JEDZ, dokumenty podmiotowe i przedmiotowe ocenia się na dzień składania
ofert, co wynika z przepisów ustawy, między innymi: art. 125 ust. 3, art. 126 ust. 1-3, art. 128
ust. 2, art. 274 ust. 1-
3. We wszystkich tych przepisach występuje zasada, którą stosuje się
wyłącznie do dokumentów podmiotowych i przedmiotowych, a więc przez przeciwieństwo
(czyli zgodnie z techniką stosowaną w wykładni przepisów prawa), nie do oferty, to jest, że
podmiotowe i przedmiotowe dokumenty potwierdzają spełnienie: na dzień składania ofert lub
wniosków lub na dzień ich złożenia.
Tytułem przykładu odwołujący wskazał na treść art. 125 ust. 3 ustawy, art. 126. 1 ustawy.
Odnośnie oferty nie ma takich przepisów, to jest zawężenia co do aktualności wyłącznie na
dzień złożenia oferty.
W rezultacie, niezgodność należy oceniać biorąc pod uwagę treść oferty, to jest zobowią-
zań, a zobowiązania z oferty mają określoną długość trwania.
Fakt, że zgodność oferty (a więc jej zobowiązań) ocenia się biorąc pod uwagę całość długo-
ści ich trwania, a nie tylko wąski odcinek czasu występujący do dnia składania oferty czy
przed zawarcie umowy , potwierdza też orzecznictwo Krajowej Izby Odwoławczej np:
wyrok z dnia 24 października 2008 r., KIO/UZP 1093/08), KIO 2082/17, Treść oferty. - Wyrok
Krajowej Izby Odwoławczej, wyrok z dnia 20 października 2017 r., KIO 2170/13, wyrok z
dnia 25 września 2013 r., KIO 538/13, wyrok z dnia 20 marca 2013 r.
NTT miał wyjścia z sytuacji przed złożeniem ofert.
A)
Mógł zwrócić się o złożenie wyjaśnień przez zamawiającego
B)
Mógł wnieść o wykreślenie wymogu co do przepustowości
C)
Mógł wpisać rzeczywistą przepustowość: pomiędzy 8,2 dla jednego rodzaju ruchu i
10 Gbps, a tak zobowiązał się do przepustowości 10 Gbps przy każdym rodzaju ruchu, co
jest n
iemożliwe do spełnienia
D)
Mógł zaoferować sprzęt i oprogramowanie innego producenta
Rodzaj błędu w ofercie nie podlega naprawie w drodze wykładni, wyjaśnień, poprawie w dro-
dze omyłek, oczywistych omyłek, innych omyłek.
W rezultacie, z
amawiający nie otrzyma sprawnego technicznie przedmiotu przez cały okres
zamówienia, ponieważ nie spełnia on wymogów techniczno-funkcjonalnych wyszczególnio-
nych w OPZ, a wymaga tego SWZ, OPZ, formularz oferty: „Oferowany przedmiot umowy ma
być fabrycznie nowy, nieużywany oraz nieeksponowany na wystawach lub imprezach targo-
wych, sprawny technicznie, bezpieczny, kompletny i gotowy do pracy, wyprodukowany nie
wcześniej niż w II półroczu 2020 r. a także musi spełniać wymagania techniczno-
funkcjonalne wyszczególnione w opisie przedmiotu zamówienia.”
Zamawiający natrafia na problem: albo aktualizuje - wtedy traci przepustowość, albo nie ak-
tualizuje oprogramowania i traci wsparcie i gwarancję producenta. To jest sytuacja bez wyj-
ścia, ponieważ punkt 4 dotyczący wsparcia i gwarancji, wymaga by wsparcie producenta
było przez 36 miesięcy :
“Wsparcie techniczne i gwarancja (zwanej dalej wsparciem) będzie świadczone przez produ-
centa lub autoryzowane przez producenta centrum serwisowe niezależne od Wykonawcy
realizowane we współpracy z producentem, przez okres 36 miesięcy od daty odbioru bez
zastrzeżeń, potwierdzonego protokołem. Wsparcie obejmuje: Dostęp do Centrum Wsparcia
Technicznego (TAC) (…)
Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich aktualizacji (…)”
Już w etapie IV umowy zaistnieje okoliczność niewykonywania zamówienia, z powodu wyco-
fania z rynku wersji PANOS 10.0 i braku spełniania wymogów co do przepustowości w wersji
10.1
Niewykonanie umowy w zakresie przepustowości zajdzie w okresie pierwszych 12 miesięcy,
w etapie IV.
U odwołującego przepustowość wynosi 11 Gbps w każdym przypadku, czyli tak jak zaofero-
wano w ofercie.
Zgodnie z art. 7 pkt 19) ustawy, protokół ma odzwierciedlać rzeczywisty przebieg postępo-
wania o udzielenie zamówienia, a aktualny protokół tego nie odzwierciedla („ (…) protokole
postępowania - należy przez to rozumieć dokument sporządzany przez zamawiającego, któ-
ry potwierdza przebieg postępowania o udzielenie zamówienia;”)
Obowiązkowym załącznikiem do protokołu są oświadczenia, inne dokumenty składane przez
wykonawców – chodzi więc o wszelkie dokumenty od wykonawców. Tak zgodnie z art. 73
ust. 1. „Oferty, opinie biegłych, oświadczenia, informacja z zebrania z wykonawcami, zawia-
domienia, wnioski, (…), inne dokumenty i informacje składane przez zamawiającego i wyko-
nawców (…).”
Zamawiający ma obowiązek udostępnić wszystkie załączniki do protokołu, a przez to że za-
mawiający nie załączył części dokumentów do protokołu, chociaż były obowiązkowe, to za-
mawiający nie udostępnił całości załączników do protokołu i uniemożliwił odtworzenie jego
rzeczywistego przebiegu. Tak zgodnie z art. 74 ust. 1 ustawy: „Protokół postępowania jest
jawny i udostępniany na wniosek.”
Odwołujący zawiadamiał zamawiającego o wadach oferty odwołującego pismem z 5 listopa-
da 2021 r., a z
amawiający nie załączył tego pisma do protokołu. Zamawiający więc ukrywa
istnienie pewnych wad oferty NTT, nie załączając ich do protokołu, czym powoduje znie-
kształcony obraz przebiegu postępowania, utrudnia kontrolę przed Krajową Izbą Odwoław-
czą i ukrywa istnienie niezgodności, której pełne działanie nastąpi w połowie 2022 r.
To oprogramowanie jest odpowiedzialne za realizację funkcji przepływu na urządzeniu.
Oprogramowanie jest nieodłącznie związane ze sprzętem. Natomiast co do oprogramowania
z
amawiający nie wymagał podania wersji w ofercie, ale również oprogramowanie jest objęte
treścią oferty, ponieważ bez oprogramowania żadne funkcje wymagane przez OPZ nie są
spełnione.
Art. 223 ust. 1 ustawy wymaga: „W toku badania i oceny ofert zamawiający może żądać od
wykonawców wyjaśnień dotyczących treści złożonych ofert oraz przedmiotowych środków
dowodowych lub innych składanych dokumentów lub oświadczeń. Niedopuszczalne jest
prowadzenie między zamawiającym a wykonawcą negocjacji dotyczących złożonej oferty
oraz, z uwzględnieniem ust. 2 i art. 187, dokonywanie jakiejkolwiek zmiany w jej treści.”
„Może” w przepisie oznacza obowiązek, w sytuacji, gdy zamawiający dysponuje informacja-
mi na temat niezgodności z ofertą.
Nie można wykładać: „może” na zasadzie dowolnego uznania, że zamawiający nie musi ni-
gdy, kiedy nie chce. Takie postępowanie nie byłoby rzetelnie prowadzone, bo na tej zasa-
dzie, to zamawiający nigdy nie miałby żadnego obowiązku wzywania do wyjaśnień. Zama-
wi
ający nie może poszukiwać zgodności lub niezgodności na własną rękę, tylko ma obowią-
zek zapytać NTT i wyjaśnienia własnej oferty.
Tym samym, przyjęte przez zamawiającego twierdzenia w piśmie: „informacje od producenta
Paloalto”, oraz „zamawiający znalazł potwierdzenie” – potwierdzają naruszenie, przecież
z
amawiający nie znalazł potwierdzenia u NTT, tylko gdzieś indziej, ale jest to działanie
wbrew obowiązkom z przepisów.
Zamawiający zgodnie z ustawą ma obowiązek zapytać NTT, a nie poszukiwać informacji na
stronach internetowych.
Przecież, zamawiający mógł znaleźć złe, nieaktualne strony lub źle je interpretować lub wy-
ja
śnienia NTT co do oferowania wersji oprogramowania mogą być inna niż przyjęta przez
z
amawiającego (bo może oferują wersję 10.1, również niezgodną z SWZ).
Tym samym
zdaniem odwołującego, nie ma potwierdzenia, że oferta NTT jest zgodna z
SWZ, a stanowisko z
amawiającego nie opiera się na oświadczeniu NTT, a jedynie na jego
zgadywaniu, bez pewności, co do wersji oprogramowania oferowanej przez NTT.
Odwołujący założył, że jest to wersja 10.1, zamawiający założył, że jest to wersja 10.0, a
teraz zakłada równolegle, że może jest to wersja 10.0, a w sprawie w ogóle nie jest znane
stanowisko NTT. Jak widać, wersja 10.1 jest również niezgodna z powodu braku występo-
wania na rynku co najmniej 9 miesięcy przed złożeniem ofert.
W dniu 21
grudnia 2021 r. zamawiający przekazał informację o wniesieniu odwołania.
W dniu 22
grudnia 2021 r. do postępowania odwoławczego po stronie zamawiającego zgłosił
swój udział wykonawca NTT Poland spółka z ograniczoną odpowiedzialnością z siedzibą w
Warszawie, ul. Sienna 73
wnosząc o oddalenie odwołania. Wykonawca wskazał, że ma inte-
res w
uzyskaniu rozstrzygnięcia na korzyść zamawiającego, albowiem zamawiający dokonał
wyboru jego oferty
jako najkorzystniejszej oferty a rozstrzygnięcie postępowania odwoław-
czego na korzyść zamawiającego daje przystępującemu możliwość realizacji przedmiotowe-
go
zamówienia. Zgłoszenie zostało wniesione przez pełnomocnika działającego na podsta-
wie
pełnomocnictwa z dnia 16 września 2021 r. udzielonego przez prezesa zarządu ujawnio-
nego w KRS i upoważnionego do samodzielnej reprezentacji. Do zgłoszenia dołączono do-
wo
dy przekazania zgłoszenia stronom postępowania.
Przystępujący wskazał, że zarzuty przedstawione w odwołaniu są bezzasadne i wniósł o
oddalenie odwołania w całości oraz o dopuszczenie i przeprowadzenie dowodów wskaza-
nych w piśmie na okoliczności tam wskazane.
W odniesieniu do zarzutu:
1)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wynosi
jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każdym
przypadku
Odwołujący wskazał jako punkt odniesienia wydajność 8.2Gbps dla obsługi stron interneto-
wych o wie
lkości pakietów 64Kb - wymaganie takie nie zostało w żaden sposób wyartykuło-
wane w SWZ i OPZ. Tym samym zarzut wskazany przez o
dwołującego jest niezasadny i
żądanie unieważnienia oferty Wykonawcy NTT w oparciu o nieistniejące wymaganie jest
bezpodstawne.
2)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu tzw. “Application Mix” (czyli innym (rozłącznym) ruchu od obsługi
ruchu stron internetowych w wielkości pakietów 64 kb, wynosi 10 Gbps, jednak to oprogra-
mowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date) i z
tym dniem to oprogramowanie traci wsparcie i gwarancję producenta, które jest wymagane
umową, więc już dziś mamy stwierdzoną niezgodność z SWZ
Odwołujący wskazał pełen zakres ochrony jako „Application Mix” oraz definiuje wielkość pa-
kietów 64 kb - wymaganie takie nie zostało w żaden sposób wyartykułowane w SWZ. Tym
samym zarzut wskazany przez o
dwołującego jest niezasadny i żądanie unieważnienia oferty
Wykonawcy NT
T w oparciu o nieistniejące wymaganie jest bezpodstawne.
Odwołujący wskazał że oprogramowanie jest planowane do wycofania. Przystępujący poin-
formował, że zgodnie z wymaganiem zamawiającego zawartym w OPZ określonym w NIE-
TECHNICZNE CECHY PRODUKTU w pkt 7:
Zamawiający wymaga, aby zaoferowane urządzenia były dostępne i serwisowane przez
Producenta oraz nie będą przez niego przewidziane do wycofania ze sprzedaży i wsparcia
przed upływem terminu składania ofert (ogłoszone tzw. dokumenty End-of-Sale lub End-of-
Life lub im odpowiadające.
Oferowane urządzenia przez Wykonawcę nie były w momencie składania ofert przewidziane
do wycofania ze sprzedaży i wsparcia. Tym samym zarzut wskazany przez odwołującego
jest
w ocenie przystępującego niezasadny i żądanie unieważnienia oferty wykonawcy NTT w
oparciu o nieistniejące wymaganie jest bezpodstawne.
3) najnowsza wersja oprogramowania, której NTT nie zaoferował według zamawiającego,
ale która zastąpi wersję oprogramowania oferowaną przez NTT, ma przepustowość niespeł-
nia
jącą parametry podane przez NTT w ofercie co do przepustowości (pomiędzy 7.7 a 9,7
Gbps, a NTT podał 10 Gbps), więc jeżeli zamawiający dokona aktualizacji oprogramowania
Pan-
OS z wersji 10.0 do wersji 10.1, to tym samym będzie posiadał wsparcie i gwarancję
producenta do wersji oprogramowania poniżej wymogów co do przepustowości podanych w
ofercie, a jeżeli nie dokona aktualizacji, to straci gwarancję i wsparcie producenta.
W formularzu ofertowym z
amawiający nie przewidział wskazania proponowanej wersji opro-
gramowania. NTT zaoferowało najnowszą możliwą wersję oprogramowania spełniającą wy-
magania z
amawiającego, jednocześnie jest to wersja oprogramowania rekomendowana
przez Palo Alto Networks.
W zakresie zarzutu ewentualnego przystępujący podniósł, że w formularzu ofertowym za-
mawiający nie przewidział wskazania proponowanej wersji oprogramowania. NTT zaofero-
wało najnowszą możliwą wersję oprogramowania spełniającą wymagania Zamawiającego,
jednocześnie jest to wersja oprogramowania rekomendowanej przez Palo Alto Networks.
Przystępujący podniósł, że Dokumentacja techniczna przedstawiona przez Odwołującego w
pliku o nazwie D4B.Dowod_tlumaczenie_20-12-2021_13.57.32.pdf jest nieczytelna. Wyko-
nawca wskazuje iż tłumaczenie zostało zrobione nierzetelnie i nie odzwierciedla informacji
zawartych w oryginalnym dokumencie oraz zawiera bardzo ogólne informacje, które zamiast
wyjaśniać powodują więcej wątpliwości. Przykład:
Palo Alto Networks PA-5200 Series ML-Powered NGFW
– PA-5280, PA – 5260, PA-5250 i
PA- 5220
– idealnie nadają się do szybkich wdrożeń w centrach danych, bramach interneto-
wych i usługach. Seria PA-520 zapewnia przepustowość do 64 Gb/s, przy użyciu dedykowa-
nego przetwarzania i pamięci, dla kluczowych obszarów funkcjonalnych sieci, bezpieczeń-
stwa, zapobiegania
zagrożeniom i zarządzania.
Tłumaczenie wskazuje że seria urządzeń ma przepustowość do 64 Gb/s, gdzie odwołujący
dowodzi, że urządzenia nie spełniają wymagań 10 Gbps przepustowości.
D4D.tlumaczenie_dokumentacji_technicznej_20-12-2021_13.58.15.pdf
Być PA-5200
NGFW
– PA-5280, PA-5260, PA-5250 i PA-5220 – są idealne do dużych prędkości centrum
danych, b
rama internetowa i wdrożenia dostawców usług. Autonomia PalestyńskaSeria –
5200 zape
wnia przepustowość do 64Gb/s, przy użyciu dedykowanego przetwarzania i pa-
mięci, dla kluczowych obszarów funkcjonalnych sieci, bezpieczeństwa, zapobiegania zagro-
żeniom i zarządzania.
Słaba jakość tłumaczenia na język polski. Skrót PA-5200 jest przetłumaczony jako Autono-
mia PalestyńskaSeria – 5200.
4) Pisma odwołującego z 5 listopada 2021 r. na fakt braku spełniania przez wersję PAN-OS
10.0 i 101.1 1 wymogów SWZ i ofercie NTT (posiadania przez tę wersję jedynie przepusto-
wości w zakresie 9,7 Gbps) i na fakt braku załączenia tego dokumentu do protokołu z postę-
powania jako jeden z jego załączników, dat publikacji wersji i ich wyjścia z użycia (end of life)
Odwołujący powołuje się na wersję PAN-OS 101.1 1 Przystępujący oświadczył, że nie ma
takiej wersji programowania dla urządzeń PA-5200.
W ocenie przystępującego odwołujący nadinterpretuje określenie „cały ruch” – twierdząc, że
„Cały ruch to każdy rodzaj ruchu, a nie wyłącznie ruch mieszany”.
Jednocześnie odwołujący przyjmuje arbitralnie w odwołaniu, że jego rozumienie jest jedynym
właściwym, nie zadał bowiem w tej kwestii pytań zamawiającemu na etapie składania ofert.
Otóż określenie „całego ruchu” opisane przez zamawiającego nie jest w naszej ocenie toż-
same z każdą teoretycznie możliwą do wygenerowania kombinacją pakietów. Można bowiem
wskazać taką charakterystykę ruchu, której dane urządzenie nie będzie w stanie obsłużyć,
jednakże prawdopodobieństwo jej wystąpienia jest na granicy uznania go jako nierealnym.
Odnosząc to do rynku samochodów należałoby uznać, iż żaden z producentów nie spełni
kryterium „Prędkość maksymalna 200Km/h” bo skoro ma być osiągalna „w każdej sytuacji” to
należałoby to udowodnić na zatłoczonym parkingu centrum handlowego w przedświątecz-
nym szczycie
zakupów lub też na stromym podjeździe (np. 20% lub więcej) na zaśnieżonej i
krętej górskiej drodze. Oczywistym dla przystępującego jest, że prędkość maksymalna po-
jazdu może być niższa w odniesieniu do warunków przeprowadzenia testów- szczególnie
jeżeli są to warunki skrajne.
Równocześnie przystępujący wskazał, że – w przypadku firewalli NGFW - skrajne charakte-
rystyki ruchu gdzie mamy np. 100% ruchu DNS z CIFS/SMB (bardzo małe pakiety i krótkie
sesje), które to charakterystyki powodują dużą degradację wydajnościową - nie są obsługi-
wane z przepustowością 10Gbps w tej klasie cenowej urządzeń – niezależnie od producen-
ta.
Z
wrócił uwagę, że aby uzyskać przepustowość 10Gbps dla każdego rodzaju ruchu – również
skrajnie „nieprzyjaznego” dla urządzeń Next Generation Firewall – wykonawcy musieliby
oferować urządzenia o kilkukrotnie wyższych nominalnych parametrach i dotyczy to wszyst-
kich producentów.
Tym samym z
amawiający dokonałby nieuzasadnionego zakupu przeskalowanych urządzeń,
których wydajność nie będzie mu potrzebna w ciągu następnych 10 lat, najpewniej kilkukrot-
nie droższych, marnotrawiąc środki publiczne.
W ocenie
przystępującego zamawiający dokonując świadomego określenia wymagań odrzu-
cił sytuacje skrajne, które nigdy nie zaistnieją w realnych środowiskach sieciowych np. 100%
ruchu DNS czy 100% sesji FTP z dużymi pakietami, racjonalizując zakup urządzeń wzglę-
dem jego realnych wymagań. Zamawiający oczekiwał również podobnego zachowania od
w
ykonawców, którzy będą dobierać wydajności urządzeń w sposób racjonalny, gwarantujący
uzyskanie pożądanej przepustowości 10Gbps dla realistycznego scenariusza ruchu.
Podsumowując – przystępujący wskazał, że celem odwołującego nie jest w tym przypadku
uzyskanie zamówienia przez doprowadzenie do wyboru jego oferty. W ocenie przystępują-
cego
ma on bowiem pełną świadomość tego, że stosując metodologię określenia wydajności
zaproponowaną przez niego samego („Cały ruch to każdy rodzaj ruchu, a nie wyłącznie ruch
mieszany”) dopuszcza skrajne i nierealistyczne scenariusze dla jej określenia, które możliwe
są do spełnienia przez wielokrotnie droższe urządzenia, a nie urządzenia z „półki” cenowej,
które znalazły się w ofertach wykonawców (tu zarzut ewentualny: włączając w to ofertę od-
wołującego, gdyż nie są publikowane wydajności urządzeń Fortinet dla takich wydziwianych
charakterystyk ruchowych).
Stosując taki tok rozumowania zamawiający (Uniwersytet Marii Curie-Skłodowskiej tak jak
też każdy inny zamawiający) za każdym razem będzie zmuszony do odrzucenia ofert nie
spełniających skrajnych scenariuszy i w efekcie będzie zmuszony do nabycia znacząco wy-
dajniejszych i jednocześnie o wiele droższych urządzeń, które nie są mu potrzebne (najpew-
niej wówczas zamawiający narazi się na zarzut, iż nierealistycznie/nadmiarowo określił inne
wymagan
ia dotyczące przedmiotu zamówienia).
O
dwołujący wprowadza zamawiającego oraz KIO w błąd twierdząc w p. 3.3, że „miara 64K
przy http jest (…) standardem”. Jest to ponowna nadinterpretacja mająca po raz kolejny
spowodować, iż rozumienie odwołującego jest jedynie słuszne, a sytuację należy interpreto-
wać w jedynie właściwy, wskazany przez odwołującego sposób.
Tymczasem określenie że „miara 64K przy http jest (…) standardem” nie znajduje oparcia w
żadnych dokumentach branżowych, praktyce rynkowej, jak również dokumentacji przetargo-
wej.
Przystępujący powiedział, że takowego standardu – określającego metodologię badania wy-
dajności urządzeń Next Generation Firewall - na dziś, po prostu nie ma..
Nadając sytuacji właściwą perspektywę wskazał, iż różni producenci sprzętu klasy Next Ge-
neration Firewall wykazują wydajności przy różnych parametrach ruchowych.
Ma to na celu przede wszystkim ułatwienie inżynierom pracującym po stronie klientów jak i
firm integratorskich właściwy dobór urządzeń. Nie świadczy to jednocześnie w żaden sposób
o maksymalnych parametrach tych urządzeń.
Dla zobrazowania aktualnej sytuacji poniżej przystępujący przedstawił kilka modeli podawa-
nia wydajności przez największych 7 producentów tego typu rozwiązań na świecie. Doku-
mentacja wskazana
w linkach poniżej została dołączona do pisma procesowego wraz z tłu-
maczeniem.
⮚
Checkpoint nie podaje wydajności dla HTTP 64K – parametry wydajnościowe podane
są dla ruchu określonego jako Enterprise test conditions
https://www.checkpoint.com/downloads/products/16200-security-gateway-datasheet.pdf
⮚ Cisco nie podaje wydajności dla HTTP 64K, nie podaje też konkretnej charakterystyki ru-
chu, dla której określone są wydajności w tabelach
https://www.cisco.com/c/en/us/products/collateral/security/firepower-4100-series/datasheet-
za to wskazuje że "Performance will vary depending on features activated, and network traf-
fic protocol mix, and packet size characteristics" („wydajność będzie się zmieniać w zależno-
ści od aktywowanych funkcji, mixu ruchu sieciowego i wielkości pakietów”)
⮚ Forcepoint nie podaje wydajności dla HTTP 64K – parametry wydajnościowe podane są
dla ruchu określonego jako HTTP 21K
https://www.forcepoint.com/sites/default/files/resources/datasheets/datasheet_forcepoint_ng
⮚ Fortinet podaje w karcie katalogowej do FG2200E i w przeglądzie produktów (product ma-
trix) wydajność dla Enterprise Mix a nie dla HTTP 64K, w części dokumentów pojawia się
także wydajność dla http 64K
https://www.fortinet.com/content/dam/fortinet/assets/datasheets/Fortinet_Product_Matrix.pdf
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortigate-2200e-series.pdf
⮚
Huawei
parametry wydajnościowe podane są dla ruchu określonego jako http 100K
https://e.huawei.com/en/material/networking/networksecurity/2289a69ad23c43a8b0b3bb6de
⮚ Juniper nie podaje wydajności dla HTTP 64K – parametry wydajnościowe podane są dla
ruchu określonego jako HTTP 44K
https://www.juniper.net/us/en/products/security/srx-series/srx4100-srx4200-services-
gateways
⮚ Palo Alto Networks podaje parametry wydajnościowe dla mieszanej charakterystyki ruchu
(różne aplikacje i protokoły – app mix) oraz dla HTTP 64K
Jak widać w załączonych przykładach nie można uznać w żaden racjonalny sposób, iż http
64K jest jakimkolwiek wspólnym mianownikiem pozwalającym twierdzić, że jest to standard
lub nawet de-
facto standard na podstawie tego, iż jest on podawany w dokumentacji więk-
szości producentów – bo nie jest.
Dodatkowo
– co istotniejsze – http 64K nie odzwierciedla rzeczywistego ruchu sieciowego i
taka charakterystyka
nie występuje produkcyjnie w żadnej realnej sieci. Jest ona możliwa do
wygenerowania w syntetyczny
ch testach laboratoryjnych i tak jak wspomniano wcześniej
parametry wydajnościowe dla niej podane stanowią jeden z punktów odniesienia dla inżynie-
rów zajmujących się bezpieczeństwem sieciowym.
Robiąc ponownie odniesienie do świata motoryzacji – w dokumentacji pojazdu podawana
niejednokrotnie droga hamowania
– jednak nie ma danych czy podawana jest dla na-
wierzchni suchej czy mokrej/śniegu; nie ma też wskazania czy nawierzchnią jest droga asfal-
towa, betonowa czy kostka brukowa, w jakiej temperaturze ten pomiar jest prawdziwy, czy
na drodze jest piasek lub liście oraz w jakiej ilości. I na koniec jakie ogumienie miał pojazd
przy pomiarze, a także czy hamulce były zimne czy rozgrzane. Ostatecznie jednak wszystkie
te czynniki wpływają na realne parametry i drogę hamowania – może być to – zależnie od
okoliczności więcej lub mniej niż wskazano.
Odwołujący błędnie zakłada, że parametry podane w karcie katalogowej są maksymalnymi
parametrami wydajnościowymi opisywanych urządzeń
Przyjmując błędną interpretację danych z karty katalogowej – m.in. iż http 64K to standard
o
dwołujący automatycznie przyjął błędne stanowisko, że parametry podane w karcie katalo-
gowej są maksymalnymi parametrami wydajnościowymi urządzeń.
Przystępujący podkreślił, iż:
a.
Wychodząc z założeń opisanych w p.5, iż wskaźniki dla appmix i http 64K określają
wydajność urządzeń dla specyficznych zastosowań urządzeń
b.
Zamawiający nie podał konkretnej charakterystyki ruchu sieciowego – w związku z
tym niemożliwe jest wprost stwierdzenie, iż urządzenie nie spełnia wymagań – możliwe jest
to tylko w testach generatorem ruchu, dla parametrów podanych przez Uniwersytet Marii
Curie-
Skłodowskiej (takich testów zamawiający nie przewidział w SWZ). Tym samym stwier-
dzenie, że urządzenie nie spełnia wymagań może odnosić się do obu zaoferowanych zama-
wiającemu urządzeń, jednego z nich, lub żadnego.
c.
Powszechną praktyką producentów jest niepodawanie maksymalnych wydajności
urządzeń, a takich, które będą znajdowały zastosowanie w możliwie dużej liczbie implemen-
tacji.
Idąc dalej - zgodnie z dokumentacją Palo Alto Networks która stanowi tajemnicę przedsię-
biorstwa Palo Alto Networks, a która została udostępniona wyłącznie NTT Poland Sp. z o.o.
w ramach zawartej umowy o zachowaniu poufności, Producent oświadcza iż na podstawie
wskazanej dokumentacji wydajność urządzenia PA5220 kształtuje się następująco:
oprogramowanie w wersji zarówno 10.0 jak i 10.1 pozwala na uzyskanie wydajności przekra-
czających 18Gbps.
Ze względu, iż wskazane dokumenty stanową tajemnicę przedsiębiorstwa Palo Alto Ne-
tworks, Palo Alto Networks przekazał wykonawcy oświadczenie wskazujące spełnienie wy-
magań dla zaoferowanego rozwiązania.
Oświadczenie stanowi dowód do niniejszego pisma procesowego.
Tym samym urządzenia PA5220 spełniają wymagania SWZ zarówno pracując z wersjami
oprogramowania 10.0 jak też 10.1.
W dniu 3 stycznia 2022 r. odwołujący złożył pismo przygotowawcze, w którym wniósł o do-
puszczenie załączonych dowodów wraz z tym pismem oraz w przypadku kwestionowania
przez przystępującego lub zamawiającego jakości tłumaczeń, to składam wniosek o zarzą-
dzenie złożenia tłumaczeń dokumentacji technicznej przetłumaczonych na język polski po-
świadczonych przez tłumacza przysięgłego - na podstawie art. 506 ust. 2 ustawy.
Nadto wniósł o dopuszczenie dowodu z biegłego na podstawie art. 529 ust. 2 ustawy na
stwierdzenie faktów:
1)
wysokości przepustowości wymaganej OPZ dla oprogramowania
2)
wysokości przepustowości wynikającej z dokumentacji technicznej oprogramowania
Pan-OS wersja 10.0 i oprogramowania Pan-OS wersja 10.1
3)
stwierdzenia czy występuje niezgodność oprogramowania Pan-OS wersja 10.0 insta-
lowanego na urządzeniach oferowanych przez Przystępującego Paloalto PA 5220 (w tym
stwierdzenia niezgodności podwersji oprogramowania: 10.0.7 i 10.0.6) w zakresie przepu-
stowości przy obsłudze ruchu stron internetowych (http) o wielkości pakietów 64 kb na po-
ziomie 8,2 Gbps (Gb/s) - z wymogami OPZ
w zakresie minimalnej przepustowości na pozio-
mie 10 Gbps (Gb/s),
4)
stwierdzenia czy występuje niezgodność oprogramowania Pan-OS wersja 10.1
instalowanego, które zastępuje wersję 10.0 w połowie 2022 r. na urządzeniach oferowanych
przez Przystępującego Paloalto PA 5220 (w tym niezgodności podwersji oprogramowania:
10.1.1, 10.1.2, 10.1.3) w zakresie przepustowości na poziomie pomiędzy 7,7 a 9,7 Gbps
(Gb/s) -
z wymogiem OPZ w zakresie minimalnej przepustowości na poziomie 10 Gbps
(Gb/s).
Odwołujący oświadczył, że dokonuje sprostowania oczywistych niedokładności w odwołaniu i
wskaz
ał, że:
1)
w odwołaniu przy 1 zarzucie jest błędnie „pkt 4 oferty NTT”, zamiast „pkt 3 oferty
NTT”
2)
w miejscach, gdzie w odwołaniu powołał się na przepustowość 10 Gbps wskazał, że
chodzi o naruszenie postanowienia OPZ: I pkt 2 b („NGFW – sztuk 2, urządzenia pracujące
w klastrze niezawodnościowym 2. Obsługa: b. 10 Gbps przepustowości Firewall/kontroli apli-
kacji/IPS/Antywirus/Antymalware;”).
W dniu 3 stycznia 2022 r. zamawiający złożył odpowiedź na odwołanie, w której wniósł o:
1.
oddalenie odwołania,
2.
zasądzenie od odwołującego na rzecz zamawiającego zwrotu kosztów postępowania
odwoławczego, w tym kosztów zastępstwa przed Izbą.
Zamawiający w odniesieniu do zarzutów wskazał, że żądał w punkcie 1.2.b SOPZ urządze-
nia,
które
oferuje
„
10
Gbps
przepustowości
Firewall
kontroli
aplika-
cji/IPS/Antywirus/Antymalware” a w punkcie
II
.31 zawarł interpretację tego wymagania:
31.
Interpretacja
parametr
ów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzi
elenie do niej polityk bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu
d.
Inspekcję antywirusową całego ruchu
e.
Inspekcję antymalware/AntySpyware całego ruchu
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi
dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antynalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch sprawdzeniu musi podlega ć każdy bajt danych
przesyłany przez urządzenie.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie — jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware. ”
Z zacytowanego opisu jasno wynika, że zamawiający nigdzie nie określił procentowo charak-
terystyki ruchu i w związku z tym chodzi mu o tzw. Application Mix w ramach którego ofero-
wane urządzenie Pało Alto ma wymaganą wydajność 10 Gbps. W takiej sytuacji zarzut od-
wołującego jest bezzasadny gdyż bazuje on na wartości dla ruchu konkretnie, bardzo precy-
zyjnie opisanego „http przy wielkości pakietów 64 IG” co nie zostało wyspecyfikowane w do-
kumentacji przetargowej. Zresztą jak każdy inny firewall również Palo Alto w ramach ruchu
http osiągnie wyższą niż deklarowana w dokumentacji prędkość jeśli pakiety http tak jak w
prawdziwym, rzeczywistym ruchu będą w różnych, najczęściej większych rozmiarach. Jed-
nak niezależnie od tego zamawiający nie żądał od wykonawcy deklaracji co do wydajności
urządzenia przy ruchu stricte http.
Zamawiający oświadcza, że parametr 64 kb to parametr specyficzny, który nie był oceniany i
weryfikowany przez z
amawiającego u żadnego z wykonawców. Powyższe wynika z faktu, iż
gdyby za
mawiający określił wobec tego parametru bardziej precyzyjne postanowienia (bar-
dziej precyzyjnie postawił wymagania określone w rozdziale II pkt 31 OPZ) to mogłoby to
zostać uznane za naruszenie konkurencji w kontekście zawężania możliwych do zaoferowa-
nia u
rządzeń. Ponadto mocno utrudnione byłoby porównanie tych wartości przez zamawiają-
cego na papierze”. bowiem każdy z producentów specyfikuje je odmienny sposób.
Zamawiający poinformował ponadto, iż w żadnym z dokumentów zamówienia nie wymagał
od w
ykonawców wskazania wersji oprogramowania dla oferowanego urządzenia, tym sa-
mym żądanie podania jej na etapie wyjaśnień dotyczących treści złożonej oferty, mogłoby
stanowić nieuprawnione działanie zamawiającego, które w świetle ustawy PZP mogłoby zo-
stać uznane za negocjacje lub zmianę treści oferty, w sytuacji gdy trybem w jakim zamawia-
jący prowadzi postępowanie jest przetarg nieograniczony, a nie jeden z trybów negocjacyj-
nych, np.: dialog konkurencyjny, który dopuszcza uszczegółowienie i ulepszenie treści oferty.
Można zatem wskazać że odwołujący przyjmuje odwołaniu pewne założenia które absolutnie
nie z wymogami zamawiaj
ącego określonymi w opisie przedmiotu zamówienia. Najprościej
rzecz
ujmując odwołujący zarzuca wykonawca NTT Poland Sp., Z o.o. nie spełnił wymogu,
k
tórego zamawiający nie postawił w Specyfikacji Warunków Zamówienia.
Zarzut taki zatem należy uznać za bezpodstawny.
Zamawiający wyjaśnił, iż cykl życia oprogramowania jest u różnych producentów z góry
określany datami początku i końca ich uruchomienia i rozwoju. Każde oprogramowanie ma
zatem ściśle określony czas funkcjonowania. Wersja PAN-OS 10.0 nie jest tutaj żadnym wy-
jątkiem. Przykładowo, kolejna wersja 10.1 będzie rozwijana tylko do 01.12.2024 r. Taka sy-
tuacja będzie dotyczyła wszystkich następnych wersji oprogramowania, niezależnie od funk-
cjonalności i parametrów jakie będą pod ich kontrolą osiągane przez firewall.
Co najistotniejsze- to z
amawiający decyduje czy zostaje na starszej wersji systemu czy
zmienia go na nowy, ważąc wady i zalety takiej decyzji. Pozostanie natomiast na wersji star-
szej 10.0) nie oznacza utraty gwarancj
i lub prawa do wsparcia zarówno producenta sprzętu
partnera
realizującego zamówienie.
Najprościej wyjaśniając- zarzut opiera na tym, iż wybierając wersie 10.0 straci wsparcie i
gwarancie producenta- co nie jest
prawdą. Producent co jakiś czas uwalnia” oprogramowa-
nie, z
amawiający ani wykonawcy nie mają żadnego na co pojawi w kolejnych wersjach.
Istotnie jednak nowa wersja
oprogramowania nie omacza że traci gwarancie lub wsparcie na
wersj
e, którą posiada. Wręcz przeciwnie jedynym skutkiem nowej wersji jest to że producent
zaprzestaje rozwijania poprzedniej wersji (
dokładania funkcji, nie rozwija tych które są obec-
ne), ale wsparcie i gwarancje z
amawiający posiada nadal nieprzerwanie. Sam wykonawca
zobowiązuje w ofercie że gwarancja będzie wynosiła 36 miesięcy.
Zamawiający w miejscu oświadcza że po pierwsze nie ma żadnego obowiązku aktualizacji
oprogramowania, po
drugie oświadcza że w praktyce wsparcie urządzeń jest niezależne od
wersji oprogramowania.
Nigdy bowiem z
amawiającemu nie zdarzyła się taka sytuacja, w której pomimo pojawienia
się nowej wersji oprogramowania- straciłby wsparcie i gwarancję na wersję która była do-
stępna w momencie składania ofert.
Zamawiający obecnie posiada jedno urządzenie producenta Palo Alto które pracuje kontrolą
oprogramowania 9.0.0 które ma ogłoszony End of Life na 1 Marca 2022 r. Mimo to
19.11.2021 r. z
amawiający podpisał umowę na wsparcie tego sprzętu na okres 25.09.2021
— 25.09.2022 r. Z firmą NGE partnerem Palo Alto. Zamawiający otrzymał w pakiecie pełne
wsparcie inżynierskie oraz do najnowszego oprogramowania, także gwarancie na sprzęt
przez ten okres. Także na tę jego cześć, która wykracza poza daty ram rozwojowych wyko-
rzystywanego software'u.
Powyższe w ocenie zamawiającego bezspornie przeczy zarzutom podniesionym przez od-
wołującego, że data End of Life jest tożsama z utratą gwarancji i wsparcia, co zarzut bezza-
sadnym.
Ponadto, w SOPZ, w części Nietechniczne cechy produktu punkt 6 „Zamawiający wymaga,
aby dostarczone
urządzenia i pakiety oprogramowania były sprawdzone w praktyce rynko-
wej. Omaca to, iż oprogramowanie systemowe (firmware urządzeń) realizujące wszystkie
wymagane fun
kcje jak też samo urządzenie musiało być dostępne na rynku co najmniej 9
miesięcy przed upływem terminu składania ofert. Urządzenie i powiązane z nim oprogramo-
wanie systemowe musi być objęte pełnym serwisem producenta (niedopuszczalne jest pro-
ponowanie oprogramowanie np. w wersji Beta) w chwili, i co najmniej w okr
esie 9 miesięcy
przed upływem terminu składania ofert. Za datę jego dostępności zamawiający przyjmuje
publikację konkretnej oferowanej wersji oprogramowania (wersji z pełnym wsparciem) na
stronie
Producenta rozwiązania. ” Wersja PAN-OS 10.0 wymagania te spełnia.
Natomiast punkt 7 Nietechnicznych cech produktu wynika, iż: „Zamawiający wymaga, aby
za
oferowane urządzenia były dostępne i serwisowane przez Producenta oraz nie będą przez
niego przewidziane do wycofania ze
sprzedaży i wsparcia przed upływem terminu składania
ofert (ogłoszone tzn. dokumenty End-of-Sale lub End-of-Life lub im odpowiadające. ” Powyż-
sze odnosi się do samego urządzenia, a nie do aktualnie czy w przyszłości dostępnych wer-
sji software'u.
W związku z powyższym, również ten zarzut odwołującego w ocenie zamawiającego należy
uznać za bezzasadny.
Zamawiający nie ma obowiązku aktualizacji wersji oprogramowania do aktualnie najnowszej
i może pozostać na 10.0, która wciąż jest zalecana przez producenta. Nie wiąże się to z utra-
tą gwarancji ani wsparcia zarówno producenta jak i partnera realizującego zlecenie. Zalece-
nia producenta Palo Alt
o, tak jak w wypadku innych marek, nie są obligatoryjne dla użytkow-
nika. Tak więc zarzut odwołującego, co już wyżej wskazano, nie licuje ze stanem faktycznym
i należy uznać go za bezpodstawny.
W odpowiedziach 1-
3 dowiedziono, że wybrany przez zamawiającego sprzęt spełnia zawarte
w SOPZ wymagania zama
wiającego, a co więcej istnieje możliwość ich dotrzymania przez
cały okres gwarancji. Nie można również z całą pewnością stwierdzić, że po upływie okresu
jej obowiązywania sytuacja ta ulegnie zmianie.
Zarzut ewentualny z
amawiający uznaje w całości bezzasadny, gdyż urządzenie może zostać
dostarczone z oprogramowaniem w wersji 10.0 zalecanej przez producenta oraz spełniającej
wszystkie techniczne i nietechniczne wymogi z
amawiającego. Jak wynika chociażby z mate-
riałów dostarczonych przez samego odwołującego ta wersja oprogramowania (10.0) została
uwolniona 16 lipca 2020 r. więc występuje na rynku wystarczająco długo aby można było ją
zaakceptować. W związku z tym, jakiekolwiek rozważania dotyczące wersji nowszej tj. 10.1
są zbędne gdyż zamawiający nie ma żadnego obowiązku jej uruchamiania i może zainstalo-
wać zgodnie ze swoją wolą dowolną wersję starszą lub nowszą.
Zamawiający nie dokonał czynności odrzucenia oferty NTT Poland Sp. z o.o., w związku z
brakiem przesłanek ku temu, tym samym czynność wezwania do złożenia JEDZ oraz pod-
miotowych środków dowodowych w stosunku do oferty najwyżej ocenionej w postępowaniu
była jak najbardziej prawidłowa.
Zamawiający poinformował, iż po czynności oceny ofert, oferta odwołującego nie została
najwyżej oceniona. Jak wynika z informacji o wyborze oferty najkorzystniejszej (rozstrzygnię-
cie postępowania), wedle kryteriów ofert określonych przez zamawiającego- oferta odwołują-
cego uzyskała o 29,41 łącznie punktów mniej niż oferta wykonawcy NTT Poland Sp. z o.o.
Zamawiający wskazał, iż protokół postępowania, przedstawia wszystkie okoliczności postę-
powania na dzień jego sporządzenia i przekazania odwołującemu, tj. do dnia 17.12.2021 r.
Na wniosek wykonawcy (o
dwołującego), zamawiający przekazał wszystkie załączniki, wy-
mienione w punkcie
23 protokołu postępowania, w tym załącznik wymieniony w podpunkcie
35) zawierający informację dotyczącą zarzutu niezgodności oferty NTT Poland Sp. z o.o. z
SWZ. Podkreślił, iż autonomiczną i niepodlegającą wpływowi innych wykonawców, była de-
cyzja z
amawiającego o zbadaniu zarzutów w stosunku do oferty NTT Poland Sp. z o.o., sa-
modzielnie, w oparciu dane producenta oferowanego urządzenia, bez wzywania do wyja-
śnień wykonawcy NTT Poland Sp. z o.o.
Tak więc, odwołujący formułując powyższy zarzut wprowadza Izbę w błąd, gdyż w rzeczywi-
stości zarzut ten formalnie odnosi się do jednego pisma, które odwołujący przesłał do zama-
wiaj
ącego, wg protokołu postepowania.
Taka konstrukcja zarzutu, w ocenie z
amawiającego, jest nieuczciwa wobec stron i uczestni-
ków postępowania oraz wobec Krajowej Izby Odwoławczej, która rozpatrywać będzie
przedmiotowe odwołanie. Odwołujący bowiem jest w posiadaniu pisma. które sam skierował
do z
amawiającego. które to pismo stanowi załącznik do protokołu postępowania.
Analogicznie, jak w przypadku punktu I. ZARZUT 1) przedmiotowej odpowiedzi z
amawiający
poinform
ował, iż w żadnym z dokumentów zamówienia nie wymagał od wykonawców wska-
zania wersji oprogramowania dla oferowanego urządzenia, tym samym żądanie podania jej
na etapie wyjaśnień dotyczących treści złożonej oferty, mogłoby stanowić nieuprawnione
działanie zamawiającego, które w świetle ustawy PZP mogłoby zostać uznane za negocjacje
lub zmianę treści oferty, w sytuacji gdy trybem w jakim zamawiający prowadzi postępowanie
jest prze
targ nieograniczony, a nie jeden z trybów negocjacyjnych, np.: dialog konkurencyjny,
który dopuszcza uszczegółowienie i ulepszenie treści oferty.
Zamawiający, nie znajduje podstaw do uznania zasadności argumentacji odwołującego w
zakresie zarzutów przedstawionych w odwołaniu oraz podtrzymuje stanowisko, co do prawi-
dłowości wyboru oferty najkorzystniejszej w prowadzonym postępowaniu.
W ocenie z
amawiającego, „pozostałe zarzuty wskazane w uzasadnieniu” to konkluzja Odwo-
łującego wynikająca z wcześniejszych zarzutów dot. utraty parametru 10GB/s w związku z
upgradem oprogramowania z wersji 10.0 do wersji
10.1 oraz możliwości utraty gwarancji na
urządzenie w związku z brakiem takiego upgrade. Odwołujący starał się udowodnić w opar-
ciu o ww. konflikt, iż dostarczony sprzęt jest niezgodny z SWZ nie tyle w dacie składania
ofert, co w całym okresie korzystania wymaganym umową, a brak rozwiązania tego konfliktu-
w ocenie o
dwołującego- skazuje zamawiającego utratę sprawności urządzenia lub zaniżenie
jego parametrów.
Oczyw
iście, zdaniem zamawiającego jest to efekt nadinterpretacji odwołującego, co kryje się
pod podjęciem „ruch” według postanowień II pkt. 31 OPZ. Według odwołującego to każdy
przypadek ruchu, w tym najbardziej ekstremalny i w zasadzie w brzegowych parametrach,
czego, jak wynika z doświadczenia odwołującego- nie spotyka się poza laboratorium.
Dodatkowo, o
dwołujący stara się wytworzyć standard pomiaru tego ruchu dla paczek 64kb
przy protokole http, czego nie robi większość producentów, podając własne warunki brzego-
we w tym zakresie (co zostało wykazane przez przystępującego w piśmie procesowym). Ja-
ko dowód na potwierdzenie powyższego odwołujący bowiem przytacza w odwołaniu wyrwa-
ną niejako z kontekstu tabelkę producenta Palo-alto. Ponadto, zarówno parametr „64 kb” jak
i wersja oprogramowania nie była określona w OPZ lub wymagana do określenia. Żaden z
w
ykonawców również nie zadawał pytań w tym zakresie w trakcie postępowania. Zamawia-
jący podkreślił - brak aktualizacji do najnowszej wersji firmware nie pozbawia zamawiającego
gwarancji, stąd zamawiający ma swego rodzaju dowolność w zakresie podjęcia decyzji o
aktualizacji. Na potwierdzenie powyższego, zamawiający powołał się we wcześniejszym
fragmencie pisma na umowę na utrzymanie sprzętu Palo- alto z wersją oprogramowania 9.0
i z terminem (wrzesień 2022 r.) wykraczającym poza deklaracje producenta (marzec 2022
r.). Istotnie zatem, do ewentualnej utraty wsparcia doszłoby wówczas, gdyby całe urządzenie
zostało wycofane oferty producenta, a taka sytuacja nie miała w stanie faktycznym miejsca.
Na gruncie powyższej argumentacji, nie ulega zatem wątpliwości, iż przedstawione przez
o
dwołującego zarzuty oraz ich uzasadnienie są całkowicie pozbawione odzwierciedlenia za-
równo w stanie faktycznym jak i prawnym.
Odwołujący złożył kolejne stanowisko procesowe wraz z wnioskami dowodowymi o dopusz-
czenie załączonych dowodów wraz z tym pismem na fakty:
1.
E-
maili z 3 stycznia 2022 r. z dystrybucją Paloalto na Polskę – firmą Clico na fakt bra-
ku istnienia innej dokumentacji technicznej do oprogramowania Paloalto wersja 10.0 i 10.1
niż oficjalna i fakt, że odwołujący odnosi się do właściwej dokumentacji technicznej, miaro-
dajnej dla rozstrzygnięcia sprawy i na fakt, że Clico (dystrybutor Paloalto) jest odpowiednim
źródłem wiedzy o produktach Paloalto – plik z nr 1 i 3
2.
Strony
internetowej
z
adresu
https://locator.paloaltonetworks.com/
i
https://clico.pl/vendors/palo-alto-
networks/cpsp na fakt, że Clico jest jednym z dwóch dystry-
butorów w Polsce producenta Paloalto i jego informacje są miarodajne – plik z nr 2 i 4 wraz z
tłumaczeniem
3.
Dokumentów przetargowych dla porównania od innych zamawiających: Uniwersytetu
Jana Kochanowskiego, Pomorskiej Specjalnej Strefy Ekonomicznej, INSTYTUTU PAMIĘCI
NARODOWEJ na fakt, że zamawiający różnie określają wymogi przepustowości, ale gdy je
zawężają do określonego ruchu, to robią to wyraźnie w dokumentach lub wyjaśnieniach, w
przeciwieństwie do przetargu objętego odwołaniem, gdzie jest określone, że obsługa prze-
pustowości minimum 10 Gbps ma obejmować cały ruch – pliki nr 6A, 6B, 7, 8, 9
Odwołujący podniósł, że zapytał jednego z dwóch dystrybutorów w Polsce, firmę Clico czy
jest inna niż oficjalna dokumentacja techniczna dotycząca oprogramowania Pan-OS 10.0 i
10.1, a Clico (dystrybutor
Paloalto) zaprzeczył
Pytanie odwołującego:
„Mam pytanie dotyczące przepustowości urządzenia PA-5220.
Zgodnie z datasheet w zależności od wersji oprogramowania 10.0 czy 10.1 jest inna przepu-
stowość:
10.0
https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/p
an/ en_US/resources/datasheets/pa-5200-series-pan-os-10-0
10.1
https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/p
an/ en_US/resources/datasheets/pa-5200-series-specsheet
(…) podobno PaloAlto ma inne dokumenty potwierdzające wyższe przepustowości niż poda-
ne w w datasheet.
Czy mogą Państwo jako dystrybutor udostępnić taki dokument?
Czy możemy na ten dokument powołać się przy kreowaniu oferty do klienta?
Odpowiedź Clico, dystrybutora Paloalto:
„Nie mamy innych data sheetów niż dostępne oficjalnie.”
Odwołujący podniósł, że zamawiający publiczni różnie odnoszą się do wymogów przepusto-
wości. Często odnoszą się w przetargach do określonego ruchu i wtedy jawnie to wskazują,
ale w tym przetargu nie ma takiego ograniczenia
– jest wymóg co do „całego ruchu”, więc nie
ma podstaw do zawężania przepustowości wyłącznie do ruchu mieszanego (application mix)
i wykluczania przy ocenie przepustowości pakietów 64 kb przy obsłudze stron internetowych.
Przykłady, które tego dowodzą:
Przykład 1: przetarg Uniwersytetu Jana Kochanowskiego na ”Dostawa urządzeń, oprogra-
mowania i licencji wraz z gwarancja, wsparciem i aktualizacjami w okresie 36 miesięcy dla
wybranych systemów infrastruktury teleinformatycznej”: SIWZ_ADP.2301.65.2020.pdf
(ujk.edu.pl),
https://bip.ujk.edu.pl/dzp/files/z/Zalacznik_nr_1_do_SIWZ_-
_Opis_przedmiotu_zamowienia.pdf, strona 31 OPZ:
Przykład
2:
przetarg
Pomorskiej
Specjalnej
Strefy
Ekonomicznej
z
http://bip.strefa.gda.pl/index.php?bip
_id=489&cid=23, plik „Załączniki 1-4.docx” strona 2.
Przykład 3: nieco odwrotny przykład: przetarg INSTYTUTU PAMIĘCI NARODOWEJ na:
Rozbudowa systemu Check Point w zakresie platformy sprzętowej oraz instalacja, konfigu-
racja i migracja obecnych ustawień
https://bip.ipn.gov.pl/bip/zamowienia-publiczne/3514,Rozbudowa-systemu-Check-Point-w-
zakresieplatformy-sprzetowej-oraz-instalacja-ko.html
Izba ustaliła następujący stan faktyczny:
Izba dopuściła dowody z dokumentacji postępowania tj. ogłoszenia o zamówieniu, SWZ wraz
z załącznikami, oferty przystępującego, informacji z otwarcia ofert, informacji o wyborze
oferty najkorzystniejszej, dowodów dołączonych do odwołania i pism procesowych
odwołującego oraz zgłoszonych na rozprawie i do pisma przystępującego z dnia 23 grudnia
2021 r. , przy czym
w ocenie Izby dokumenty, do których strony podnoszą nierzetelność
tłumaczenia w ocenie Izby nie dotyczą okoliczności w tym zakresie mających znaczenie dla
rozstrzygnięcia, gdyż przedmiotem sporu jest przede wszystkim treść SWZ. W związku z
powyższym to wymagania Zamawiającego determinują treść składanych ofert, a dowody
przedłożone dot. stanowisk producentów zawartych w opracowanych przez nich
dokumentach. Natomiast Izba dopuszcza te dowody w oryginale w takim zakresie, jakim
dotyczą danych technicznych urządzeń.
Izba postanowiła nie dopuścić wniosku z opinii biegłego wskazując, iż istotą rozstrzygnięcia
jest treść postanowień pkt I.1b SWZ i odpowiednio punktu II.31. OPZ, a także pkt 7 OPZ i
punktów dot. wymagań serwisu i licencjonowania i złożonych w tym zakresie materiały do-
wodowe przez strony i uczestnika postępowania nie wymagają oceny osoby posiadającej
wiadomości specjalne.
Z treści SWZ wynika, że :
3.
Przedmiot zamówienia:
3.1
Przedmiotem zamówienia jest dostawa, montaż i integracja z siecią Zamawiającego,
informatycznego Systemu Bezpieczeństwa (zwanego dalej Systemem) opartego o urządze-
nia typu zapora sieciowa z rozszerzonym zestawem funkcji, systemem zarządzania i serwi-
sem gwarancyjnym oraz świadczenie 12 miesięcznej asysty technicznej w ilości minimalnej
200 roboczogodzin, z zastrzeżeniem pkt 13.2 SWZ.
3.2
Szczegółowy opis przedmiotu zamówienia zawarty jest w załączniku nr 1 do SWZ.
3.4
Oferowany przedmiot umowy ma być fabrycznie nowy, nieużywany oraz nieekspono-
wany na wystawach lub imprezach targowych, sprawny technicznie, bezpieczny, kompletny i
gotowy do pracy, wyprodukowany nie wcześniej niż w II półroczu 2020 r. a także musi speł-
niać wymagania techniczno-funkcjonalne wyszczególnione w opisie przedmiotu zamówienia.
3.5
Zamawiający wymaga udzielenia przez Wykonawcę gwarancji i bezpłatnego serwisu
gwarancyjnego na całość przedmiotu zamówienia na okres minimum 36 miesięcy, z zastrze-
żeniem pkt 13.2 SWZ.
3.6
Dostawa obejmuje transport do bezpośredniego użytkownika, montaż i instalację w
miejscu przez niego wskazanym, uruchomienie i przekazanie do użytku oraz wszystkie inne
koszty związane z wykonaniem przedmiotu zamówienia i wymogami stawianymi przez Za-
mawiającego szczegółowo opisanych w Załączniku nr 1 do SWZ.
4.
Termin wykonania zamówienia:
4.1.
Wykonanie zamówienia zostanie podzielone na etapy:
1)
Etap I
– dostawa sprzętu sieciowego wraz z montażem i uruchomieniem – w okresie
do 60 dni kalendarzowych od daty zawarcia umowy, z zastrzeżeniem pkt 13.2 SWZ;
2)
Etap II
– integracja dostarczonego sprzętu sieciowego z komponentami sieci IT Za-
mawiającego – w okresie do 2 miesięcy od dnia dostarczenia sprzętu sieciowego;
3)
Etap III
– przeprowadzenia warsztatów w zakresie integracji i obsługi uruchomionego
Systemu
oraz opracowania, we współpracy z Zamawiającym, koncepcji rozwoju Systemu –
w okresie do 2 miesięcy od dnia od zakończenia Integracji dostarczonego sprzętu sieciowe-
go z Systemem Zamawiającego;
4)
Etap IV
– usługa asysty technicznej – w okresie 12 miesięcy, od dnia zakończenia
integracji dostarczonego sprzętu sieciowego z komponentami sieci IT Zamawiającego.
4.2.
Zamawiający przewiduje, iż maksymalny termin wykonania zamówienia wyniesie 16
miesięcy od dnia zawarcia umowy.
10.
Opis sposobu przygotowania oferty:
10.1
Na ofertę składa się:
1)
Wypełniony formularz oferty (w postaci elektronicznej opatrzonej kwalifikowanym
podpisem elektronicznym), zgodny ze wzorem formularza oferty, stanowiącym załącznik do
SWZ. W przypadku złożenia oferty bez użycia załączonego formularza, złożona oferta musi
zawierać wszelkie informacje wymagane w SWZ i wynikające z zawartości wzoru formularza
oferty.
Z załącznika nr 1 do SWZ – SOPZ wynika:
NIETECHNICZNE CECHY PRODUKTU
5.
Przedmiot zamówienia musi być legalny, fabrycznie nowy, nigdy wcześniej nie uży-
wany, pochodzący z legalnego kanału dystrybucyjnego, dopuszczony do obrotu, spełniający
normy CE.
6.
Zamawiający wymaga, aby wszystkie dostarczane urządzenia i pakiety oprogramo-
wania były sprawdzone w praktyce rynkowej. Oznacza to, iż oprogramowanie systemowe
(firmware urządzeń) realizujące wszystkie wymagane funkcje jak też samo urządzenie mu-
siało być dostępne na rynku co najmniej 9 miesięcy przed upływem terminu składania ofert.
Urządzenie i powiązane z nim oprogramowanie systemowe musi być objęte pełnym serwi-
sem producenta (niedopuszczalne jest proponowanie oprogramowanie np. w wersji Beta) w
chwili, i co najmniej w okresie 9 miesięcy przed upływem terminu składania ofert. Za datę
jego dostępności Zamawiający przyjmuje publikację konkretnej oferowanej wersji oprogra-
mowania (wersji z pełnym wsparciem) na stronie Producenta rozwiązania.
7.
Zamawiający wymaga, aby zaoferowane urządzenia były dostępne i serwisowane
przez Producenta oraz nie będą przez niego przewidziane do wycofania ze sprzedaży i
wsparcia przed upływem terminu składania ofert (ogłoszone tzw. dokumenty End-of-Sale lub
End-of-
Life lub im odpowiadające.
WIARYGODNOŚĆ PRODUCENTA
8.
Zamawiający wymaga, aby zaoferowane urządzenia były uznanymi rozwiązaniami na
świecie – producent zaoferowanego rozwiązania musi być notowany w raportach Gartnera
dla rozwiązań Enterprise Network Firewall nie starszych niż 2 lata przed upływem terminu
składania ofert.
I. NGFW
– sztuk 2, urządzenia pracujące w klastrze niezawodnościowym
1.
Fir
ewalle muszą być dostarczone w postaci dedykowanych urządzeń.
2.
Obsługa:
a.
16 Gbps przepustowości Firewall/kontroli aplikacji.
b.
10 Gbps przepustowości Firewall/kontroli aplikacji/IPS/Antywirus/Antymalware;
c.
10 Gbps dla IPsec VPN;
31.
Interpretac
ja
parametrów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzielenie do niej polityki bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu
d.
Inspekcję antywirusową całego ruchu
e.
Inspekcję antymalware/AntySpyware całego ruchu
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA – WYMAGANIA SERWISOWE I LI-
CENCYJNE
4.
Wsparcie techniczne i gwarancja (zwanej dalej wsparciem) będzie świadczone przez
producenta lub autoryzowane przez producenta centrum serwisowe niezależne od Wyko-
nawcy realizowane we współpracy z producentem, przez okres 36 miesięcy od daty odbioru
bez zastrzeżeń, potwierdzonego protokołem. Wsparcie obejmuje:
a.
Dostęp do Centrum Wsparcia Technicznego (TAC) przez: stronę internetową, email
oraz telefonicznie w języku polskim - wsparcie przy rozwiązywaniu problemów związanych z
dzia
łaniem NGFW oraz systemów wspomagających w trybie 8x5, tj. co najmniej 8 godzin
przez 5 dni w tygodniu;
i.
czas reakcji na zgłoszony drogą mailową lub telefoniczną problem – maks. 8 godzin,
liczony w godzinach przyjmowania zgłoszeń, co najmniej 8 godzin przez 5 dni w tygodniu;
ii.
przy wystąpieniu awarii urządzenia, któregokolwiek z jego komponentów lub wyposa-
żenia, w tym modułów optycznych – wymiana lub naprawa (RMA) w trybie NBD w terminie
do 3 dni roboczych od daty zgłoszenia, świadczona w miejscu instalacji.
b.
Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich aktualizacji doty-
czących oferowanych NGFW oraz wszystkich systemów wspomagających w ramach wyma-
ganych funkcjonalności, wydawanych przez Producenta.
c.
Dostęp do bazy wiedzy oraz dokumentacji producenta dotyczących instalacji, konfigu-
racji i utrzymania -
w języku polskim lub angielskim.
d.
W przypadku wymiany urządzenia, któregokolwiek z jego komponentów lub wyposa-
żenia, w tym modułów optycznych – wymiana nastąpi na sprzęt równoważny w terminie
zgodnym z p.4.a.ii.
e.
W przypadku wymiany nośników danych, które uległy awarii, uszkodzone nośniki po-
zostają w całości u Zamawiającego, w terminie zgodnym z p.4.a.ii. Nie ma opcji demontażu
dysku i pozostawienia u Zamawiającego fragmentów dysku z nośnikami danych.
f.
Każda z napraw, wymian musi być potwierdzona Protokołem Naprawy, zawierającym
wpisy dotyczące wykonanych czynności oraz listę naprawionych oraz wymienianych części i
komponentów składowych urządzeń.
W formularzu ofertowym zam
awiający wymagał złożenia oświadczenia o treści:
3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepustowość urządzenia
wynosi: ……………………………… (zgodnie z punktem II podpunkt 31. OPZ).
Z projektowanej umowy wynika, że:
§9 Zmiany umowy
1.
Zamawiający zastrzega sobie prawo zmiany postanowień umowy w przypadku:
1)
aktualizacji rozwiązań ze względu na postęp techniczny lub technologiczny (np. wy-
cofanie z obrotu urządzeń lub podzespołów), zmiana nie może spowodować podwyższenia
ceny oraz obniżenia parametrów technicznych, jakościowych i innych wynikających z oferty,
na podstawie której był dokonany wybór Wykonawcy;
Wyjaśnienia treści SWZ z 16 września 2021 r. :
Pytanie 3
Dotyczy punktu II.31 OPZ.
Zamawiający zamieścił zapis:
„Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie.”
Zwracamy uwagę, iż tak napisane wymaganie może być spełnione wyłącznie przez rozwią-
zanie PaloAlto i nie ma praktycznego zastosowania.
Zagrożenia przesyłane droga elektroniczną są to najczęściej pliki małe, poniżej 2 MB. Już
przeskanowanie 10MB pozwala z niezwykle wysokim prawdopodobieństwem stwierdzić ist-
nienie lub brak zagrożenia. Też w praktyce nie stosuje się systemów bez limitów na skano-
wane, pliki gdyż znacząco pogarsza to odczucia użytkowników (user experience) przy korzy-
staniu z zasobów informatycznych przez wprowadzenie niepotrzebnych i o wiele nadmiaro-
wych opóźnień w przesyłaniu danych. Przykładem są np. systemy Antywirusowe, które mają
limity domyślne na 2MB lub max 10MB(Trend Micro, Kaspersky, Eset, itd.),.
W wielu przypadkach przy dodatkowych opóźnieniach wynikających z nadmiarowego ska-
nowania również przestają działać aplikacje korzystające np. z systemów bazodanowych.
W związku z powyższym prosimy o zmianę wymagania na brzmiące:
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie.
Odpowiedź:
Zamawiający informuje, iż podtrzymuje w dotychczasowym brzmieniu wymaganie, w zakre-
sie którego dotyczy pytanie. Zapis którego dotyczy pytanie, stanowi dla Zamawiającego jed-
ną z kluczowych cech przedmiotu zamówienia dla zrealizowania rzeczywistych, obiektyw-
nych i uzasadnionych potrzeb Zamawiającego, związanych z realizacją zamierzonych zadań.
Zmiana treści SWZ z dnia 1 października 2021 r.:
1.
uchyla odpowiedzi na pytania 1, 3 oraz 4, w piśmie z dnia 16.09.2021r., utrzymując
pozostałe odpowiedzi jako obowiązujące, i:
2.
dotychczasowe brzmienie punktu 3.1 SWZ zastępuje poniższym:
„3.1 Przedmiotem zamówienia jest dostawa, montaż i integracja z siecią Zamawiającego,
informatycznego Systemu Bezpieczeństwa (zwanego dalej Systemem) opartego o urządze-
nia typu zapo
ra sieciowa z rozszerzonym zestawem funkcji, systemem zarządzania i serwi-
sem gwarancyjnym oraz świadczenie 12 miesięcznej asysty technicznej w ilości 250 robo-
czogodzin.”
3.
dotychczasowe brzmienie punktu 3.5 SWZ zastępuje poniższym:
„3.5 Zamawiający wymaga udzielenia przez Wykonawcę gwarancji i bezpłatnego serwisu
gwarancyjnego na całość przedmiotu zamówienia na okres 36 miesięcy.”
4.
dotychczasowe brzmienie punktu 4.1 podpunkt 1) SWZ zastępuje poniższym:
„4.1. Wykonanie zamówienia zostanie podzielone na etapy:
1) Etap I
– dostawa sprzętu sieciowego wraz z montażem i uruchomieniem – w okresie do
60 dni kalendarzowych od daty zawarcia umowy;”
5.
dotychczasowe brzmienie punktu 13.1 SWZ zastępuje poniższym:
„13.1 Kryteria oceny ofert:
1) cena *
– waga kryterium: 60%
2) lokalna przestrzeń dyskowa na logi **
– waga kryterium: 10%
3) skanowanie każdego bajtu przesłanego przez urządzenie *** – waga kryterium: 20%
4) dodatkowa funkcjonalność zapory sieciowej ****
– waga kryterium: 10%
* -
ocenie będzie podlegała całkowita cena brutto oferty, podana przez Wykonawcę w formu-
larzu oferty;
** -
ocenie będzie podlegała wielkość lokalnej przestrzeni dyskowej na logi, podana przez
Wykonawcę w formularzu oferty;
*** -
ocenie będzie podlegała deklaracja Wykonawcy w zakresie skanowania, podana w for-
mularzu oferty;
**** -
ocenie będą podlegały właściwości funkcjonalne zapory sieciowej, podane przez Wy-
konawcę w formularzu oferty.”
9.
dotychczasowe brzmienie punktu 31, działu „II. Założenia wspólne dla rozwiązań
NGFW”, Załącznika nr 1 do SWZ zastępuje poniższym:
„31.
Interpretacja
parametrów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzielenie do niej polityki bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu,
d.
inspekcję antywirusową całego ruchu,
e.
Inspekcję antymalware/AntySpyware całego ruchu,
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na roz
miar plików poddawanych analizie minimum do 15GB.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.”
Wyjaśnienia z 22 października 2021 r.:
Pytanie 1
Prosimy o potwierdzenie, iż dodatkowe wymagania dotyczące skanowania całego ruchu –
Sb-
oznacza, że aby oferta uzyskała dodatkowe punkty to zaproponowane urządzenie musi
pracować w trybie z największą liczbą dostępnych inspekcji dla silników IPS, antywirus, an-
tymalware/antyspyware (jak to Zamawiający opisał w p. 31, działu „II. Założenia wspólne dla
rozwiązań NGFW”, Załącznika nr 1 do SWZ nie może mieć ograniczeń na wielość skanowa-
nych plików (jak to Zamawiający opisał w p. 31, działu „II. Założenia wspólne dla rozwiązań
NGFW”, Załącznika nr 1 do SWZ, nie może pracować w trybie IPS, w którym skanowana jest
tylko część ruchu np. analizowane jest tylko pierwsze 200KB ruchu w sesji lub o wyjaśnienie
jak należy interpretować wymaganie dodatkowe Sb.
Odpowiedź:
Zamawiający potwierdza właściwe odczytanie zapisów dokumentów zamówienia przez zada-
jącego pytanie.
Z oferty przystępującego wynika, że zaoferował on urządzenie: Producent Palo Alto Ne-
tworks Marka Palo Alto Model PA-
5220 Miesiąc i rok produkcji : 10.2021 r.
i oświadczył, że 3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepu-
stowość urządzenia wynosi: 10Gbps (zgodnie z punktem II podpunkt 31. OPZ).
Z pisma zamawiającego z dnia 10 grudnia 2021 r. wynika, że zamawiający nie podzielił za-
rzutów podniesionych przez odwołującego w piśmie z dnia 5 listopada 2021 r. i wskazał, że
Podnoszona przez
odwołującego rozbieżność parametru urządzenia deklarowana przez
Producenta urządzenia (zrzuty ekranu w piśmie odwołującego), a wartość podana w ofercie
wykonawcy
– NTT Poland Sp. z o.o., jest następstwem odniesienia się do parametrów wersji
urządzenia, w wersji oprogramowania (firmware) innej niż preferowana przez jego Producen-
ta. Po dokonanej weryfikacji, z
amawiający znalazł potwierdzenie, iż wersja urządzenia, jaka
była dostępna i mogła zostać zaoferowana w prowadzonym postępowaniu, osiąga negowa-
ną wartość, tj.: 10 Gbps.
Zgodnie z informacją od producenta Palo Alto Networks rekomendowana wersja PANOS
(Preffered
) jest wskazana na stronie, PANOS 10.0 (poniżej) wskazuje przepustowość
10Gbps dla Threat Prevention rozumianego jako Threat Prevention throughput is measured
with App-ID, IPS, antivirus, anti-spyware, WildFire, file blocking, and logging enabled.
Informac
ja
ze
strony
Producenta
urządzenia:
https://www.paloaltonetworks.com/resources/datasheets/pa-5200-series-pan-os-10-0,
po-
twierdza podaną przez Wykonawcę – NTT Poland Sp. z o.o. wartość.
Powyższe, pozwoliło zamawiającemu na ustalenie, iż podniesiony zarzut nie znalazł po-
twierdzenia w stanie faktycznym, tym samym nie zachodzą przesłanki odrzucenia oferty Wy-
konawcy: NTT Poland Sp. z o.o., na wskazanych, przez
odwołującego, podstawach praw-
nych.
Dowody
odwołującego:
Z protokołu otwarcia ofert wynika, że:
Kwota j
aką Zamawiający zamierza przeznaczyć na sfinansowanie zamówienia wynosi: 843
327,00 złotych brutto.
Złożono oferty:
NTT Poland spółka z o.o. ul. Sienna 73, 00-833 Warszawa - 858 540,00
IT Solution Factor sp. z o.o. ul. Popularna 4/6, 02-472 Warszawa 1 105 770,00
Dowód z https://www.paloaltonetworks.com/resources/datasheets/pa-5200-series-pan-os-
10-0 -
tłumaczenie ARKUSZ DANYCH Seria PA-5200 Karta katalogowa PAN-OS 10.0
Palo Alto Networks PA-5200 Series ML-Powered NGFW
— PA-5280, PA-5260, PA-5250 i
PA-5220
— idealnie nadają się do szybkich wdrożeń w centrach danych, bramach interne-
towych i usługach. Seria PA-5200 zapewnia przepustowość do 64 Gb / s, przy użyciu dedy-
kowanego przetwarzania i pamięci, dla kluczowych obszarów funkcjonalnych sieci, bezpie-
czeństwa, zapobiegania zagrożeniom i zarządzania.
Palo Alto Networks PA-5200 Seria ML-
Powered Podkreśla
• Pierwszy na świecie NGFW zasilany ML
• Dziewięciokrotny lider w raporcie Gartner Magic Quadrant® za zapory sieciowe
• Lider w dziedzinie™ForresterWave: Zapory sieciowe dla przedsiębiorstw, 3. kwartał 2020 r.
• Najwyższy wynik skuteczności bezpieczeństwa w raporcie z testu NSS Labs NGFW 2019,
ze 100% zablokowanych uników
• Zapewnia natywne zabezpieczenia 5G stworzone w celu ochrony transformacji 5G u do-
stawców usług i przedsiębiorstw
• Rozszerza widoczność i bezpieczeństwo na wszystkie urządzenia, w tym niezarządzane
urządzenia IoT, bez konieczności wdrażania dodatkowych czujników
• Obsługuje wysoką dostępność w trybach aktywnym / aktywnym i aktywnym / pasywnym
Zapewnia przewidywalną wydajność dzięki usługom bezpieczeństwa
NGFW - PA-5280, PA-5260, PA-5250 i PA-5220 -
są idealne do dużych prędkości centrum
danych, brama internetowa i wdrożenia dostawców usług. Autonomia PalestyńskaSeria -
5200 zapewnia przepustowość do 64 Gb / s, przy użyciu dedykowanego przetwarzania i pa-
mięci, dla kluczowych obszarów funkcjonalnych sieci, bezpieczeństwa, zapobiegania zagro-
żeniom i zarządzania.
Przepustowość zapory (HTTP/appmix)* PA-5220 16/18 Gb/s
Przepustowość funkcji zapobiegania zagrożeniom (HTTP/appmix) PA-5220 8,2/10 Gb/s
Uwaga: Wyniki mierzono na PAN-OS 10.0.
* Przepustowość zapory jest mierzona przy włączonym identyfikatorze aplikacji i rejestrowa-
niu, przy użyciu 64 KB transakcji HTTP /appmix.
† threat prevention jest mierzona przy włączonych funkcjach App-ID, IPS, antywirusowych,
antyspyware, WildFire,
blokowaniu plików i rejestrowaniu przy użyciu 64 KB transakcji
HTTP/appmix.
Pismo odwołującego do zamawiającego z dnia 5 listopada 2021 r., z którego wynika, że od-
wołujący przedstawił zamawiającemu swoje stanowisko, co do badania i oceny ofert złożo-
nych w postępowaniu i stwierdził, że poniższe oferty są niezgodne z SIWZ i powinny zostać
odrzucone na po
stawie art. 226 ust. 1 pkt 5, pkt 7, ustawy Prawo zamówień publicznych (da-
lej: „Ustawa Pzp”).
1. Oferta złożona przez NTT Poland Sp. z o.o., ul. Sienna 73, 00-833 Warszawa
Wykonawca IT Solution Factor wskazuje, iż oferty złożone nie spełniają zapisów SIWZ co
najmniej w poniższych wymaganiach:
1) Zarzut 1
Urządzenie PA-5220 producenta Palo Alto Networks Zaoferowane przez powyższego ofe-
renta nie posiada przepustowości urządzenia 10 Gbps dla pełnego zakresu ochro-
ny((zgodnie z punktem II podpunkt 31. OPZ), a ta
ka wartość została podana w formularzu
ofertowym przez ww. Oferenta. Zgodnie z dokumentacją techniczną maksymalna przepu-
stowość urządzenia Paloalto to 9.7, a nie 10 Gbps. W dokumentacji podali widełki: maksy-
malną przepustowość i minimalną (przy włączonych narzędziach). Nawet przy maksymalnej
przepustowości, gdzie nie jest zapewniania odpowiednia ochrona, przepustowość wynosi
jedynie 9.7 Gbps.
Uzasadnienie
Zgodnie z informacją z karty katalogowej producenta Palo Alto Networks, przepustowość
zaoferowanego Fir
ewall dla pełnego zakresu ochrony wynosi 9,7 Gbps:
Źródło:
https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/p
an/en_US/resources/datasheets/pa-5200-series-specsheet
W formularzu ofertowym z
amawiający jasno wymaga podania przepustowości pojedynczego
urządzenia dla pełnego zakresu ochrony. Skoro urządzenie ma niższe niż deklarowane za-
kresy przepustowości, to oferta Wykonawcy podlega odrzuceniu, ponieważ Wykonawca mu-
siał mieć świadomość istnienia tej dokumentacji i maksymalnej wydajności urządzenia.
Warto zaznaczyć również, iż dane na temat przepustowości dla pełnego zakresu ochrony
urządzenia PA-5220 pochodzą z oficjalnej strony internetowej producenta, a dokładnie karty
produktowej tego urządzenia z datą oraz są aktualne ponieważ w ww. karcie widnieje data
2021r., co potwierdza ich aktualność zgodnie z poniższym obrazkiem:
Zwracamy się z wnioskiem o pozytywne rozpoznanie niniejszego pisma i odrzucenie oferty
złożonej przez powyższego Wykonawcę jako niezgodną z SiWZ celem zabezpieczenia nale-
żytego wykonania umowy objętej przedmiotem Zamówienia.
Tłumaczenie
dowodu
z:
https://docs.paloaltonetworks.com/resources/eol#sort=relevancy&layout=card&numberOfRes
ults=2
Produkty ostatecznie osiągają koniec cyklu życia (EoL) z różnych powodów, takich jak poja-
wienie się nowych i lepszych technologii, zmiany na rynku lub gdy części źródłowe lub tech-
nologie stają się niedostępne. W ramach tego naturalnego cyklu życia produktu naszym ce-
lem jest uczynienie tego procesu tak płynnym, jak to tylko możliwe, zapewniając jak najwięk-
szą widoczność tego, czego powinieneś oczekiwać w całym procesie EoL.
7.1 jest EoL
Od 30 czerwca 2020 r. wszystkie produkty 7.1 zostały wycofane z eksploatacji.
Dowód
ze
strony
producenta
Paloalto:
https://www.paloaltonetworks.com/services/support/end-of-life-announcements/end-of-life-
summary
PAN-OS i Panorama Wersja Data wydania Data wycofania z eksploatacji
10.1 Maj 31, 2021 1 grudnia 2024 r
10.0 Lipiec 16, 2020 16 lipca 2022 r
Dowody z pierwszego pisma odwołującego z dnia 3 stycznia 2022 r. zostały już omówione
powyżej z tym, że do tego pisma przedstawiono zmianę dowodu 4D z zastąpieniem Arabii
Saudyjskiej prawidłowym tłumaczeniem, zaś dowód dotyczący wersji PAN-OS 10.1 potwier-
d
za dane techniczne zawarte w treści odwołania.
Dowody z drugiego pisma odwołującego z dnia 3 stycznia 2022 r. :
-
z korespondencji pomiędzy przedstawicielem Clico Michałem Doniec i przedstawicielem
odwołującego Andrzejem Bajcar wynika, że pytanie dotyczące produktów Palo Alto najlepiej
zawsze zadawać przez Clico.
-
załączone wyciągi z dokumentacji postępowań o udzielenie zamówienia potwierdzają treści
przedstawione w skanach w argumentacji odwołującego zawartej w piśmie drugim z dnia 3
stycznia 2022 r. i
wskazują na to, że zamawiający w różnym stopniu szczegółowości formu-
łują wymagania dotyczące przepustowości firewalli od ogólnego „ nie mniejsza niż”, przez
wskazanie wartości minimalnych i maksymalnych, do wskazania konkretnych wartości mak-
symalnych dla o
kreślonych pojemnościowo pakietów lub rodzaju ruchu. Co oznacza, że nie
ma wśród zamawiających wypracowanego modelu porównywania ofert w oparciu o przepu-
stowość urządzeń klasy firewall.
Dowody przystępującego:
QUANTUM 16200 SECURITY GATEWAY
Gen III Security NGFW 1 27 Gpps
Gen V Security Advanced Threat Prevention 2 15 Gbps
Performance measured with enterprise testing conditions. Additional performance details on
page 3. 1: Includes Firewall, Application Control, and IPS. 2: Includes Firewall, Application
Control, URL Filtering, IPS, Antivirus, Anti-Bot and SandBlast Zero-Day Protection.
Next Generation Firewall 3300 Series
PERFORMANCE¹ N3301 N3305
NGFW/NGIPS throughput (HTTP 21kB payload) 9 Gbps 15 Gbps
Max firewall throughput (UDP 1518 byte) 80 Gbps 160 Gbps
Max inspection throughput (UDP 1518 byte) 23 Gbps 27 Gbps
TLS 1.2 inspection performance (44kB payload) 5.2 Gbps 8 Gbps
Cisco Firepower 4100 Series
Features 4110 4112 4115 4125 4145 Throughput: FW + AVC (1024B) 16.5 Gbps 19 Gbps
33 Gbps 45 Gbps 53 Gbps Throughput: FW + AVC + IPS (1024B) 15.5 Gbps 19 Gbps 33
Gbps 45 Gbps 53 Gbps
Note: Performance will vary depending on features activated, and network traffic protocol
mix, and packet size characteristics. Performance is subject to change with new software
releases. Consult your Cisco representative for detailed sizing guidance.
1 Throughput measured with 50% TLS 1.2 traffic with AES256-SHA with RSA 2048B keys.
FortiGate® 2200E Series
FG-2200E and FG-2201E
System Performance
— Enterprise Traffic Mix
IPS Throughput 2 21.8 Gbps
NGFW Throughput 2, 4 13.5 Gbps
Threat Protection Throughput 2, 5 11 Gbps
Note: All performance values are “up to” and vary depending on system configuration.
1. IPsec VPN performance test uses AES256-SHA256.
2. IPS (Enterprise Mix), Application Control, NGFW and Threat Protection are measured with
Logging enabled.
3. SSL Inspection performance values use an average of HTTPS sessions of different cipher
suites.
4. NGFW performance is measured with Firewall, IPS and Application Control enabled.
5. Threat Protection performance is measured with Firewall, IPS, Application Control and
Malware Protection enabled.
FortiGate® Network Security Platform - *Top Selling Models Matrix
Product Matrix December 2021
Threat Protection Throughput (Ent. Mix) 2, 5 600 Mbps 700 Mbps 900 Mbps 6 1 Gbps
1. IPsec VPN performance test uses AES256-SHA256.
2. IPS, Application Control, NGFW and Threat Protection are measured with Logging ena-
bled.
3. SSL Inspection performance values use an average of HTTPS sessions of different cipher
suites.
4. NGFW performance is measured with Firewall, IPS and Application Control enabled, En-
terprise Mix
traffic.
5. Threat Protection performance is measured with Firewall, IPS, Application Control, (6.URL
Filtering)
and Malware Protection enabled, Enterprise Mix traffic.
7. Requires Hyperscale license
USG9500 Series
Terabit Level Next-Generation Firewall
Model USG9520 USG9560 USG9580
Firewall Throughput (Packets Per Second) 49Mpps 392Mpps 784Mpps
SRX4100 AND SRX4200 SERVICES GATEWAYS
NGFW2 throughput 9.5 Gbps 19 Gbps
Next-generation firewall (NGFW) is a combination of advanced features such as application
security, IPS, and URL filtering in addition to the foundational services such as logging and
stateful firewall.
Oświadczenie PaloAlto Networks z 23 grudnia 2021 r. , z którego wynika, że karty katalogo-
we dla urządzeń PA-5220 przedstawiają parametry wydajnościowe dla konkretnego wzorca
ruchu i specyficznych zastosowań urządzeń– określone są dla ruchu z sesjami HTTP 64K
oraz dla charakterystyki ruchu mieszanego określonego jako appmix.
Jednocześnie chciałbym poinformować, iż wartości wskazane w tejże karcie nie są parame-
trami maksymalnymi dla tych urządzeń. Maksymalny wolumen ruchu obsługiwany przez po-
jedync
ze urządzenie PA-5220 jest znacznie wyższy i przekracza 18Gbps – dotyczy to prze-
syłanego przez urządzenie ruchu z pełną ochroną obejmującą:
-
wykrywanie i inspekcję aplikacji,
-
inspekcję IPS (Intrusion Prevention System),
-
inspekcję antywirusową,
- inspe
kcję antyspyware/antymalware
-
współpracę z sandboxem w tym przesyłanie plików do sandboxa
-
przechwytywanie i blokowanie plików określonego typu
Przepustowość 18Gbps jest osiągana zarówno, gdy urządzenie pracuje pod kontrolą syste-
mu operacyjnego PANOS w w
ersji 10.0.x jak również PANOS w wersji 10.1.x. Szczegółowa
dokumentacja opisująca scenariusze ruchowe oraz wyniki testów stanowi tajemnicę firmy
Palo Alto
Networks i jest dostępna dla podmiotów, które podpisały z Palo Alto Networks
umowę o zachowaniu poufności.
Izba na podstawie zgromadzonego i przytoczonego powyżej materiału dowodowego
poczyniła następujące ustalenia:
1.
Przystępujący nie mógł zaoferować urządzenia z wersją oprogramowania PAN-OS
10.1, gdyż zgodnie z pkt. 6 SOPZ Nietechniczne cechy produktu - zamawiający wy-
magał, aby oprogramowanie systemowe (firmware urządzeń) realizujące wszystkie
wymagane funkcje jak i też samo urządzenie musiało być dostępne na rynku co naj-
mniej 9 miesięcy przed upływem terminu składania ofert. Termin składania ofert
zgodnie z Informacją z otwarcia ofert upłynął w dniu 2 listopada 2021 r., co oznacza,
że oprogramowanie systemowe musiało być dostępne przed dniem 2 marca 2021 r.
Zamawiający w tym samym punkcie SOPZ postanowił, że za datę dostępności opro-
gramowania z
amawiający przyjmie publikację konkretnej oferowanej wersji oprogra-
mowania (oprogramowania z pełnym wsparciem) na stronie producenta oprogramo-
wania. Sam odwołujący wykazał w odwołaniu, że datą publikacji wersji 10.1 jest 31
maja 2021 r., a więc ta wersja nie mogła być zaoferowana jako spełniająca wymaga-
nie zamawiającego z SWZ. Tym samym w ocenie Izby użyte w pkt. 2 str. 2 ostatnie
zdanie na stronie pisma przystępującego z dnia 30 grudnia 2021 r. „NTT zaoferowało
najnowszą możliwą wersję oprogramowania spełniającą wymagania Zamawiającego
(…)” w ocenie Izby jednoznacznie identyfikuje wersję oprogramowania dla PA-522 ja-
ko wersję 10.0, której data publikacji to 16 lipiec 2020 r., a więc na więcej niż 9 mie-
sięcy przed upływem składania ofert.
Tym samym Izba ocen
iła, że twierdzenia odwołującego, że zaoferowana została wraz z PA –
5220 wersja oprogramowania 10.1 oceniła jako niewiarygodne i sprzeczne ze zgromadzo-
nym materiałem dowodowym. W konsekwencji Izba nie dała wiary twierdzeniom odwołują-
cego, że zaoferowany przedmiot zamówienia posiadając przepustowość odpowiednio 7.7 i
9.7 Gbps nie spełnia wymagania opisanego w pkt. 8 Wiarygodność producenta pkt. 8 ppkt.
I.1b OPZ, zgodnie z którym zamawiający wymagał NFGW – sztuk 2 – urządzenia pracujące
w klastrze niezawodno
ściowym obsługa 10 Gbps przepustowości Firewall/kontroli aplika-
cji/IPS/Antywirus/Antymalware
2.
Izba ustaliła również na podstawie pkt. 6 SOPZ, że w zakresie serwisu producenta
zamawiający wymagał, aby urządzenie i powiązane z nim oprogramowanie systemo-
we by
ło objęte pełnym serwisem producenta (niedopuszczalne jest proponowanie
oprogramowanie np. w wersji Beta) w chwili, i co najmniej w okresie 9 miesięcy przed
upływem terminu składania ofert. Izba ustaliła, że termin składania ofert upłynął w
dniu 2 listopad
a 2021 r. i okres 9 miesięcy przed upływem terminu składania ofert – to
okres od 2 marca 2021 do 2 listopada 2021 r. Wersja oprogramowania 10.0 jest do-
stępna od daty jej publikacji tj. 16 lipca 2020 i na pewno jest dostępna od tego mo-
mentu do momentu składania ofert, a wręcz dłużej do 16 lipca 2022 r. Tym samym
wymaganie objęcia pełnym serwisem producenta w zakresie wymaganym przez za-
mawiającego było dla oprogramowania spełnione tj. w okresie od 2 marca 2021 do 2
listopada 2021 r. oprogramowanie 10.0 było objęte pełnym serwisem producenta i
odwołujący tego faktu nie kwestionował przeciwnie przyznawał, że pełny serwis pro-
ducenta dostępny jest do 16 lipca 2022 r.
3.
Izba ustaliła, że w pkt. 4 Warunków serwisowych i licencyjnych SOPZ zamawiający
wymagał:
4. Wsparcie
techniczne i gwarancja (zwanej dalej wsparciem) będzie świad-
czone przez producenta lub autoryzowane przez producenta centrum
serwisowe niezależne od Wykonawcy realizowane we współpracy z pro-
ducentem, przez okres 36 miesięcy od daty odbioru bez zastrzeżeń, po-
twierdzonego protokołem. Wsparcie obejmuje:
a.
Dostęp do Centrum Wsparcia Technicznego (TAC) przez: stronę inter-
netową, email oraz telefonicznie w języku polskim - wsparcie przy rozwiązy-
waniu problemów związanych z działaniem NGFW oraz systemów wspomaga-
jących w trybie 8x5, tj. co najmniej 8 godzin przez 5 dni w tygodniu;
i.
czas reakcji na zgłoszony drogą mailową lub telefoniczną problem –
maks. 8 godzin, liczony w godzinach przyjmowania zgłoszeń, co najmniej 8
godzin przez 5 dni w tygodniu;
ii.
przy
wystąpieniu awarii urządzenia, któregokolwiek z jego komponen-
tów lub wyposażenia, w tym modułów optycznych – wymiana lub naprawa
(RMA) w trybie NBD w terminie do 3 dni roboczych od daty zgłoszenia, świad-
czona w miejscu instalacji.
b.
Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich ak-
tualizacji dotyczących oferowanych NGFW oraz wszystkich systemów wspo-
magających w ramach wymaganych funkcjonalności, wydawanych przez Pro-
ducenta.
c.
Dostęp do bazy wiedzy oraz dokumentacji producenta dotyczących in-
stalacji, konfiguracji i utrzymania -
w języku polskim lub angielskim.
d.
W przypadku wymiany urządzenia, któregokolwiek z jego komponen-
tów lub wyposażenia, w tym modułów optycznych – wymiana nastąpi na
sprzęt równoważny w terminie zgodnym z p.4.a.ii.
e.
W przypadku wymiany nośników danych, które uległy awarii, uszko-
dzone nośniki pozostają w całości u Zamawiającego, w terminie zgodnym z
p.4.a.ii. Nie ma opcji demontażu dysku i pozostawienia u Zamawiającego
fragmentów dysku z nośnikami danych.
f.
Każda z napraw, wymian musi być potwierdzona Protokołem Naprawy,
zawierającym wpisy dotyczące wykonanych czynności oraz listę
naprawionych oraz wymienianych części i komponentów składowych
urządzeń.
Izba z uwagi na spór stron, co do jakości tłumaczeń przedstawionych przez odwołującego
nie dopuściła dowodu Palo Alto Networks End – of -Life Policy w innym zakresie niż dane
techniczne. Terminy świadczenia serwisu to w ocenie Izby dane techniczne i podają one w
zakresie oprogramowania PAN-
OS terminy: 24 miesiące od daty publikacji dla major feature
releases, 42 miesiące dla minor feature releases. Izba dostrzegła, że są to pojęcia posiada-
jące swoje definicje na str. 3 i 4 wersji w języku angielskim i na str. 4 w wersji polskojęzycz-
nej i rzeczywiście te tłumaczenia się różnią od użytych przy definicjach, to jest w na str. 2
major features release jest tłumaczone jako główna wersja funkcji, a w definicji na str. 4 jako
główne wydanie funkcji, które zawiera dużą liczbę nowych funkcji i/lub znaczących zmian w
architektu
rze oprogramowania, a minor features releases na str. 2 jest tłumaczone jako wer-
sje pomniejszych funkcji, zaś w definicji jako wydanie funkcji pomocniczych, co oznacza że
na potrzeby jednego dokumentu sam odwołujący przedstawia różne tłumaczenia pojęć. Co w
ocenie Izby uzasadnia podniesione przez zamawiającego i przystępującego wątpliwości, co
do przydatności tłumaczenia dla rozstrzygnięcia. Dodatkowo dla Izby twierdzenia odwołują-
cego wywodzone w oparciu o ten dokument są niewiarygodne także z tego względu, że w
świetle stanowiska odwołującego obsługa wskazana w pod wersją pomniejszych funkcji od-
nosi się tylko do wersji głównej, podczas, gdy oba pojęcia (major i minor features releases) w
wersji angielskojęzycznej posługują się pojęciem „will be supported”, a więc pojęciem wyło-
żonym w tirecie 3 jako support. Stąd również Izba nie dała wiary, że w ramach serwisu w
okresie 42 miesięcy nie będzie świadczona pomoc techniczna, poprawki błędów, w tym błę-
dów krytycznych. W ocenie Izby dokument ten nie nadaje się do ustalenia, że oświadczenie
przystępującego w ofercie „6. Udzielamy gwarancji na całość przedmiotu zamówienia na
okres 36 miesięcy, liczonej od daty podpisania protokołu odbioru.” jest oświadczeniem wa-
dliwym. Tym samym twierdzenie odwołującego, że po 16 lipca 2022 r. wsparcie dla wersji
10.0 nie jest przez przystępującego zapewnione nie zostało udowodnione.
Odnośnie pkt. II.31 OPZ, to Izba dostrzegła, że zamawiający dla przepustowości podał wy-
maganie
„Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość
urządzenia dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie
pozwala na pracę w wielu trybach to należy podać przepustowość dla trybu z największą
liczbą dostępnych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.”. Jak wy-
nika z dokumentacji serii PA
– 5200 złożonej przez odwołującego może ono pracować w
trybach aktywny-aktywny, aktywny
– pasywny i klastrowanie HA, jednak w żadnej z poda-
nych d
okumentacji nie ma rozróżnienia przepustowości w zależności od trybu dostępności.
Tym samym ta wskazówka zamawiającego nie pozwala na ustalenie jaką wartość wymagał
zamawiający, aby podać w pkt. 3 formularza ofertowego. Jednakże Izba wzięła także pod
uwagę, że w wyjaśnieniach z 16 września 2021 r. w pytaniu 3 wykonawca wskazywał, że
zamawiający umieścił postanowienie:
„Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostęp-nymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie.”
Tak napisane wymaganie m
oże być spełnione wyłącznie przez rozwiązanie PaloAlto i nie ma
praktycznego zastosowania.
Zagrożenia przesyłane droga elektroniczną są to najczęściej pliki małe, poniżej 2 MB. Już
przeskanowanie 10MB pozwala z niezwykle wysokim
prawdopodobieństwem stwierdzić ist-
nie-
nie lub brak zagrożenia. Też w praktyce nie stosuje się systemów bez limitów na skano-
wane, pliki gdyż znacząco pogarsza to odczucia użytkowników (user experience) przy korzy-
staniu z zasobów informatycznych przez wprowadzenie niepotrzebnych i o wiele nadmiaro-
wych opóź-nień w przesyłaniu danych. Przykładem są np. systemy Antywirusowe, które mają
limity do-
myślne na 2MB lub max 10MB(Trend Micro, Kaspersky, Eset, itd.),.
W wielu przypadkach przy dodatkowych opóźnieniach wynikających z nadmiarowego skano-
wania również przestają działać aplikacje korzystające np. z systemów bazodanowych.
W związku z powyższym prosimy o zmianę wymagania na brzmiące:
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostęp-nymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeń-stwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie.
W ocenie Izby to zadane pytanie wskazuje, że pojęcie całego ruchu nie odnosi się do prze-
pustowości urządzenia, ale do tego czy i jaki limit ruchu podlega skanowaniu. W ocenie Izby
świadczy o tym zmiana SWZ z dnia 1 października 2021 r., gdzie zamawiający doprecyzo-
wał:
„Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dost
ępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostęp-nymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie minimum do 15GB.”
Dodanie wymagania alternatywnego, aby administrator miał możliwość ustawienia limitów na
rozmiar plików poddanych analizie w ocenie Izby potwierdza, że wymaganie inspekcji całego
ruchu nie mogło być wymaganiem zależnym wyłącznie od właściwości urządzenia czy opro-
gramowania, skoro mogło być ustawiane przez administratora. Izba dała w tym zakresie wia-
rę wyjaśnieniom przystępującego podanym na rozprawie, że poddanie inspekcji bezpieczeń-
stwa całego ruchu nie jest tożsame z pojęciem mierzenia przepustowości dla całego ruchu.
Wiarygodność twierdzeń zamawiającego i przystępującego w tym zakresie potwierdza także
pytanie i odpowiedź z dnia 22 października 2022 r., gdzie proszono o potwierdzenie, iż do-
datkowe wymagania dotyczące skanowania całego ruchu – Sb- oznacza, że aby oferta uzy-
skała dodatkowe punkty to zaproponowane urządzenie musi pracować w trybie z największą
liczbą dostępnych inspekcji dla silników IPS, antywirus, antymalware/antyspyware (jak to
Zamawiający opisał w p. 31, działu „II. Założenia wspólne dla rozwiązań NGFW”, Załącznika
nr 1 do SWZ nie może mieć ograniczeń na wielość skanowanych plików (jak to Zamawiający
opisał w p. 31, działu „II. Założenia wspólne dla rozwiązań NGFW”, Załącznika nr 1 do SWZ,
nie może pracować w trybie IPS, w którym skanowana jest tylko część ruchu np. analizowa-
ne jest tylko pierwsze 200KB ruchu w sesji lub o wyjaśnienie jak należy interpretować wyma-
ganie dodatkowe Sb.
Odpowiedź:
Zamawiający potwierdza właściwe odczytanie zapisów dokumentów zamówienia przez zada-
jącego pytanie.
Izba oceniając powyższe dowody doszła do przekonania, że w zakresie wymagań dotyczą-
cych przepustowości zamawiający nie określił wskazań poza trybem pracy, jak ta przepu-
stowość miała być mierzona. W ocenie Izby tym samym z postanowień SWZ wynika, że za-
mawiający nie formułując w tym zakresie wytycznych, powinien był przyjąć najwyższą dekla-
rowaną przez wykonawców wartość przepustowości dla średniej, przeciętnej przepustowości
w pozycji
Threat Prevention Troughput (to, że o ta przepustowość chodzi nie było sporne
pomiędzy stronami). U przystępującego ta wartość wynosi 10 Gbps dla Application Mix i jest
zgodna z wymaganiem zamawiającego opisanym w OPZ.
Tym samym w ocenie Izby odwołujący nie wykazał, że zamawiający domagał się badania
przepustowości dla przepływu wszystkich możliwych pakietów, w tym pakietów http 64kb.
Dowody w pozostałym zakresie tj. z dokumentacji postępowań prowadzonych przez innych
zamawiających w innych postępowaniach, jak i sposobu prezentacji w dokumentacjach
technicznych parametrów przepustowości Izba uznała za zbędne dla rozstrzygnięcia, gdyż
istota rozstrzygnięcia sprowadzała się do ustalenia treści SWZ w zaskarżonym postępowa-
niu o udzielenie zamówienia publicznego.
Izba zważyła, co następuje:
Izba stwierdziła, że zgłoszone przystąpienie spełnia wymogi formalne określone w art. 525
ust. 1
– 3 ustawy.
Izba nie dopatrzyła się zaistnienia okoliczności, które skutkowałyby odrzuceniem odwołania
na podstawie art. 528 ustawy.
Izba oceniła, że odwołujący wykazał przesłankę materialnoprawną dopuszczalności odwoła-
nia, o której mowa w art. 505 ust. 1 ustawy.
Zarzut naruszenia przez zamawiającego 1. art. 226 ust. 1 pkt 3 i 5 ustawy przez zaniechanie
odrzucenia oferty NTT, która jest niezgodna z warunkami zamówienia i z przepisami ustawy,
w związku z art. 139 ust. 1 w związku z 239 ust.1 i 2 ustawy przez nieprawidłową ocenę ofer-
ty NTT i wybór oferty NTT jako najkorzystniejszej choć podlegała ona odrzuceniu, w związku
z (1) pkt 3) Formularza wzoru oferty st
anowiącego załącznik do SWZ, (2) pkt 31 rozdziału II
„założenia wspólne dla rozwiązań NGFW”, Załącznika nr 1 do SWZ - OPZ (o treści nadanej
w zmianie SWZ z dnia 6 września 2021 r.), (3) pkt 3) Formularza oferty NTT, (4) w związku z
pkt 4 (w tym m. in. z p
kt a, b) zamieszczonym w „szczegółowym opisie przedmiotu zamówie-
nia”, w części „wymagania serwisowe i licencyjne”, w związku z (5): pkt 3.4 SWZ, pkt 4 for-
mularza oferty stanowiącego załącznik do SWZ, pkt 4 oferty NTT, pkt II.2.4) ogłoszenia o
zamówieniu, (6) w związku z art. 60 i art. 66 § 1 kodeksu cywilnego, przez zaniechanie od-
rzucenia oferty NTT, pomimo, że:
1)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wynosi
jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każdym
przypadku
2)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu tzw. “Application Mix” (czyli innym (rozłącznym) ruchu od obsługi
ruchu stron internetowych w wielkości pakietów 64 kb, wynosi 10 Gbps, jednak to oprogra-
mowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date) i z
tym dniem to oprogramowanie traci wsparcie i gwara
ncję producenta, które jest wymagane
umową, więc już dziś mamy stwierdzoną niezgodność z SWZ
3)
najnowsza wersja oprogramowania, której NTT nie zaoferował według zamawiające-
go, ale która zastąpi wersję oprogramowania oferowaną przez NTT, ma przepustowość nie-
spełniającą parametry podane przez NTT w ofercie co do przepustowości (pomiędzy 7.7 a
9,7 Gbps, a NTT podał 10 Gbps), więc jeżeli zamawiający dokona aktualizacji oprogramo-
wania Pan-
OS z wersji 10.0 do wersji 10.1, to tym samym będzie posiadał wsparcie i gwa-
rancję producenta do wersji oprogramowania poniżej wymogów co do przepustowości poda-
nych w ofercie, a jeżeli nie dokona aktualizacji, to straci gwarancję i wsparcie producenta.
Jeżeli zamawiający dokona aktualizacji z wersji 10.0 do wersji 10.1, to będzie posiadał wy-
magane wsparcie producenta, lecz urządzenie nie będzie spełniało wymogów co do przepu-
stowości. Jeżeli zamawiający postawowi zachować wersje oprogramowania 10.0, to będzie
posiadał urządzenie spełniające wymagania co do przepustowości, lecz straci wymagane
wsparcie producenta.
4)
z powyższego wynika, że NTT zaoferował oprogramowanie niespełniające wymagań
techniczno-
funkcjonalnych biorąc pod uwagę wymogi SWZ i czas zgodnego z umową czasu
korzystania z oprogramowania przez z
amawiającego (co najmniej 36 miesięcy)
Zarzut nie potwierdził się. Na podstawie ustaleń poczynionych przez Izbę oraz dokonanej
oceny materiału dowodowego Izba ustaliła, że odwołujący zaoferował NFGW PA-5220 z
oprogramowaniem PAN-
OS 10.0, co potwierdza oświadczenie przystępującego zawarte w
pisemnym stanowisku z dnia 30 grudnia 2021 r., tj. oświadczenie, że zostało zaoferowane
najnowsze oprogramowanie spełniające wymagania zamawiającego. Izba ustaliła, że opro-
gramowanie PAN-
OS 10.1 nie spełnia wymagań utrwalonej wersji oprogramowania z pkt. 6
OPZ i nie mogło być uznane za zgodne z oświadczeniem przystępującego o zaoferowaniu
najnowszego oprogramowania dostępnego na rynku i spełniającego wymagania zamawiają-
cego. Niewątpliwie dla urządzenia PA-5220 z oprogramowaniem PAN-OS 10.1 przepusto-
wość Threat Prevention Throughput wynosi dla http 64 KB – 8,2 Gbps, a dla Appmix – 10
Gbps. Zamawiający poza określeniem jaką wartość przepustowości należy podać przy róż-
nych trybach nie dał wykonawcom wytycznych, co do sposobu ustalenia przy jakiej wydajno-
ści ma być mierzona przepustowość. Sformułowanie całego ruchu bowiem dotyczy kryterium
oceny ofert Sb i skanowania plików w ramach inspekcji bezpieczeństwa, a nie tego przy ja-
kich założeniach technicznych należy prowadzić badanie przepustowości, czy ma być to ba-
danie wyłącznie dla ruchu http, czy Ftp, czy DNS, czy mieszanego i dla plików lub pakietów
plików o konkretnych pojemnościach. Skoro zamawiający takich wymagań nie przedstawił, to
w ocenie Izby należało uznać, że badanie należało przeprowadzić w średnich, przeciętnych
warunkach obciążenia, a takimi warunkami jak twierdziły strony są warunku ruchu miesza-
nego Application Mix. Odwołujący nie przeczył twierdzeniom zamawiającego i przystępują-
cego, że producenci podają przepustowości mierzone w tzw. ruchu faktycznym, czyli właśnie
ruchu mieszanym jak i badają przepustowość dla specyficznych warunków np. jak u odwołu-
jącego i przystępującego dla pakietów 64 KB, które to dane mają znaczenie głównie dla in-
żynierów. W tym miejscu Izba zauważa, że w sytuacji, gdy zamawiający nie odniósł pojęcia
całego ruchu do przepustowości, a jednocześnie producenci podają różne wartości przepu-
stowości w różnych warunkach pomiaru, to wszelkie wątpliwości w tym zakresie należy roz-
strzygać na korzyść wykonawcy. Można także odnieść się do art. 357 kc, zgodnie z którym
j
eżeli dłużnik jest zobowiązany do świadczenia rzeczy oznaczonych tylko co do gatunku, a
jakość rzeczy nie jest oznaczona przez właściwe przepisy lub przez czynność prawną ani nie
wynika z okoliczności, dłużnik powinien świadczyć rzeczy średniej jakości. Oczywiście prze-
pis ten dotyczy zobowiązań umownych odnoszących się do odpowiedzialności dłużnika w
zakresie rzeczy oznaczonych co do gatunku,
jednak Izba powołuje ten przepis nie jako pod-
stawę oceny stanu faktycznego niniejszej sprawy, ale po to aby odnieść się do sposobu ro-
zumowania odwołującego. Gdyby przełożyć stanowisko odwołującego oczekującego wyka-
zania wymaganej przepus
towości w każdych warunkach badania prowadzonego przez pro-
ducenta
na grunt przepisu art. 357 kc, to wówczas każdorazowo wykonawca musiałby
świadczyć rzeczy najwyższej jakości, a zamawiający mógłby poczuć się zwolniony z obo-
wiązku jednoznacznego i wyczerpującego opisu przedmiotu zamówienia. Mając powyższe
na uwadze Izba uznała, że w treści oferty przystępującego nie zachodzi niezgodność z wa-
runkami zamówienia, a zaoferowane urządzenie wraz oprogramowaniem zapewnia przepu-
stowość na wymaganym poziomie 10 Gbps. W ocenie Izby bezsporne jest, że oprogramo-
wanie PAN-
OS 10.0 ma podaną datę końca życia produktu to jest 16 lipca 2022 oraz to, że
umowa z zamawiający ma być świadczona także po tej dacie, w tym w zakresie usług z tytu-
łu wsparcia i gwarancji. Jednakże w ocenie Izby zgromadzony materiał dowodowy nie dał
podstaw do podważenia prawidłowości oświadczenia przystępującego zawartego w ofercie,
że oferuje on 36 miesięczny okres wsparcia i gwarancji. Przede wszystkim odwołujący nie
przedstawił wiarygodnego dowodu na okoliczność, że producent nie wspiera w tym nie
świadczy serwisu w rozumieniu pkt. 4 Wymagań Serwisowych i Licencyjnych. Z dokumentu
przedstawionego przez odwołującego na rozprawie wynika zarówno okres 24 miesięczny od
daty publikacji jak i 42 miesięczny od daty publikacji, a zamawiający i przystępujący zgodnie
twierdzili, że koniec życia produktu nie oznacza, że wsparcie producenta nie może być
świadczone. W tej sytuacji Izba nie znalazła podstaw do uznania oświadczeń zamawiające-
go i przystępującego za niewiarygodne. Z tego też względu Izba nie dopatrzyła się niezgod-
ności treści oferty przystępującego z warunkami zamówienia. Tym samym zarzuty w pkt. 1
odwołania nie potwierdziły się. Izba nie dopatrzyła się także niezgodności treści oferty z
ustawą, oferta została złożona jako jedna oferta w postępowaniu, nie jest ofertą niedopusz-
czalną w rozumieniu ustawy, a odwołujący poza wskazaniem podstawy odrzucenia z art. 226
ust. 1 pkt 3 ustawy nie wykazał na czym polega niezgodność oferty z ustawą. W konsekwen-
cji Iz
ba nie dopatrzyła się naruszenia art. 139 ust. 1 ustawy i art. 239 ust. 1 ustawy.
Z
arzut ewentualny z ostrożności: Zarzut oferowania NTT urządzeń z oprogramowaniem w
wersji Pan-
OS 10.1, która nie spełnia wymogów przepustowości 10 Gbps, ponieważ wersja
Pan-
OS 10.1 ma jedynie przepustowość pomiędzy 7,7 a 9,7 Gbps oraz pkt OPZ: "NIE-
TECHNICZNE CECHY PRODUKTU" pkt 6, ponieważ nie występuje na rynku co najmniej 9
miesięcy przed upływem składania ofert, a zgodnie z tym punktem zamawiający wymaga,
aby wszystkie d
ostarczane urządzenia i pakiety oprogramowania były sprawdzone w prakty-
ce rynkowej, w tym objęte serwisem producenta o takiej długości trwania i rozstrzygająca dla
tego faktu jest data publikacji wersji na stronie producenta.
Zarzut nie potwierdził się. W ocenie Izby zamawiający prawidłowo podniósł, że nie wymagał
podanie w ofercie wersji oprogramowania, tym samym w ocenie Izby nie mógł z faktu braku
podania wersji wyciągać negatywnych skutków dla przystępującego. Jednocześnie Izba
uznała, że wskazanie przez przystępującego, że zaoferował najnowszą dostępną wersję
spełniającą wymagania zamawiającego dostatecznie identyfikuje tę wersję jako PAN-OS
10.0, gdyż jest to jedyna dostępna na rynku wersja oprogramowania PAN-OS 10.x, która
spełnia wymagania pkt. 6 OPZ. Z tego względu Izba uznała zarzut ewentualny za niezasad-
ny.
Zarzut naruszenia przez zamawiającego art. 126 ust. 1 ustawy, i 6.1, 6.2 swz, ponieważ ofer-
ta NTT powinna być odrzucona i NTT nie powinna być wzywana do złożenia dokumentów
Zarz
ut nie potwierdził się. Skoro Izba uznała, że oferta przystępującego nie podlega odrzu-
ceniu, to zamawiający prawidłowo poddał ofertę ocenie w kryteriach oceny ofert. Żaden z
zarzutów nie odnosił się do prawidłowości oceny oferty przystępującego w przyjętych przez
zamawiającego kryteriach oceny ofert, co oznacza, że ocenę i ustaloną na jej podstawie kla-
syfikację ofert należało uznać jako prawidłową. Oferta przystępującego została sklasyfiko-
wana jako najwyżej oceniona, co obligowało zamawiającego zgodnie z ustawa i postanowie-
nia
mi SWZ do skierowania do przystępującego wezwania w trybie art. 126 ust. 1 ustawy do
złożenia podmiotowych wniosków dowodowych. Tym samym zamawiający nie naruszył art.
126 ust. 1 ustawy.
Zarzut naruszenia przez zamawiającego art. 239 ust.1 i 2 ustawy przez nieprawidłowe za-
stosowanie i zaniechanie wyboru oferty odwołującego jako najkorzystniejszej choć podlegała
ona wyborowi, jako zgodna z warunkami zamówienia, art. 126 ust. 1 ustawy i 6.1, 6.2 swz,
ponieważ to oferta odwołującego jest najkorzystniejsza i powinna być najwyżej oceniona i to
odwołującego zamawiający powinien wezwać do złożenia dokumentów
Zarzut nie potwierdził się. Zarzut ten jest zarzutem wynikowym i zależnym od potwierdzenia
się wcześniejszych zarzutów zaniechania odrzucenia oferty przystępującego, nieprawidło-
wego poddania go ocenie w kryteriach oceny ofert i nieprawidłowego wezwania do złożenia
dokumentów podmiotowych. Żaden w tych zarzutów nie został uznany przez Izbę za zasad-
ny. W konsekwencji odwołującemu nie udało się podważyć prawidłowości wyboru oferty naj-
korzystniejszej i zarzut podlegał oddaleniu.
Zarzut naruszenia przez zamawiającego art. 73. ust. 1, art. 74 ust. 1, art. 7 pkt 19 ustawy,
ponieważ protokół z postępowania jest niekompletny, nie zawiera wszystkich dokumentów,
które wymaga ustawa, między innymi, pisma odwołującego z 5 listopada 2021 r. dotyczące-
go niezgodności oferty NTT z swz, które powinno uruchomić wezwanie NTT do wyjaśnień,
co się nie stało
Zarzut nie podlegał merytorycznemu rozpoznaniu. Odwołujący na posiedzeniu z udziałem
stron złożył oświadczenie o cofnięciu zarzutu. Zgodnie z art. 520 ustawy odwołujący może
cofnąć odwołanie, w przypadku cofnięcia zgodnie z ust. 2 cofnięte odwołanie nie wywołuje
skutków prawnych, jakie ustawa wiąże z jego wniesieniem. W myśl art. 568 pkt. 1 w przy-
padku wycofania odwołania, Izba umarza postępowanie. Zgodnie z art. 522 ust. 3 dopusz-
czalne jest częściowe wycofanie zarzutów, co oznacza, że konieczne jest umorzenie postę-
powania w odniesieniu do cofniętego zarzutu, co Izba uczyniła w pkt. 1 sentencji orzeczenia.
Z
arzut ewentualny: w sytuacji braku uwzględnienia któregokolwiek z zarzutów z pkt 1 – 5
powyżej, art. 223 ust. 1 ustawy przez brak wezwania NTT do wyjaśnień, i przyjęcie, bez py-
tania NTT o zdanie, jaką wersję oprogramowania zaoferował NTT w swojej ofercie, chociaż
to jaką wersję oprogramowania oferuje NTT, jest to czynność, w której zamawiający nie mo-
że zastępować NTT, ponieważ ważne dla ustalenia zakresu oferty są wyjaśnienia NTT a nie
zgadywanie zamawia
jącego
Zarzut nie potwierdził się. W ocenie Izby rację ma zamawiający i przystępujący podnosząc,
że zamawiający nie wymagał podania wersji oferowanego wraz z urządzeniem oprogramo-
wania,
jednocześnie jak wynika z ustaleń Izby tylko jedna wersja oprogramowania oferowa-
nego z urządzeniem PA-5220 spełnia wymagania zamawiającego, stąd zamawiający nie
miał potrzeby czynienia w tym zakresie ustaleń w drodze wyjaśnień u przystępującego. Nad-
to przystępujący w toku postepowania odwoławczego w ocenie Izby w sposób nie budzący
wątpliwości wskazał, że zaoferował najnowszą dostępną wersję spełniająca warunki zamó-
wienia, a takie oświadczenie identyfikowało wersję PAN-OS 10.0. Z tego względu zarzut na-
leżało oddalić.
Zarzut naruszenia przez zamawiającego art. 16 pkt 1) ustawy przez przeprowadzenie postę-
powania o udzielenie zamówienia w sposób nie zapewniający zachowania uczciwej konku-
rencji oraz równego traktowania wykonawców
Zarzut nie potwierdził się. Również ten zarzut jest zarzutem wynikowym zależnym od po-
twierdzenia się wcześniejszych zarzutów. Skoro żaden z zarzutów poprzedzających nie po-
twierdził się a jeden zarzut został wycofany, to i ten zarzut należało uznać za niezasadny.
Mając na uwadze powyższe orzeczono jak w sentencji na podstawie art. 553 zd. 1 ustawy.
O kosztach postępowania odwoławczego orzeczono na podstawie art. 574 i 575 ustawy, tj.
stosownie do wyniku postępowania, z uwzględnieniem postanowień Rozporządzenia
Pr
ezesa Rady Ministrów w sprawie szczegółowych rodzajów kosztów postępowania
odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania z
dnia 30 grudnia 2020 r. (Dz.U. z 2020 r. poz. 2437) na podstawie par. 8 ust. 2 pkt 1 cyt.
rozp
orządzenia obciążając kosztami uiszczonego wpisu odwołującego i zasądzając od
odwołującego na rzecz zamawiającego zwrot kosztów postępowania obejmujących wydatki
pełnomocnika w maksymalnej dopuszczonej wysokości tj. 3 600zł., zgodnie ze złożonym
rachunkiem.
Przewodniczący: ………………………………….
1.
Umarza postępowanie w zakresie zarzutu naruszenia przez zamawiającego art. 73.
u
st. 1, art. 74 ust. 1, art. 7 pkt 19 ustawy, ponieważ protokół z postępowania jest nie-
kompletny, nie zawiera wszystkich dokumentów, które wymaga ustawa, między inny-
mi, pisma odwołującego z 5 listopada 2021 r., a w pozostałym zakresie oddala odwo-
łanie.
2. kosztami
postępowania obciąża IT Solution Factor spółka z ograniczoną odpo-
wiedzialnością z siedzibą w Warszawie, ul. Popularna 4/6 i:
2.1.
zalicza w poczet kosztów postępowania odwoławczego kwotę 15 000 zł 00 gr
(słownie: piętnaście tysięcy złotych zero groszy) uiszczoną przez IT Solution
Factor spółka z ograniczoną odpowiedzialnością z siedzibą w Warsza-
wie, ul. Popularna 4/6
tytułem wpisu od odwołania,
2.2.
zasądza od IT Solution Factor spółka z ograniczoną odpowiedzialnością z
siedzibą w Warszawie, ul. Popularna 4/6 na rzecz zamawiającego – Uni-
wersytet Marii Skłodowskiej-Curie z siedzibą w Lublinie, Pl. Marii Skło-
dowskiej-Curie 5
kwotę 3 600 zł 00 gr (słownie: trzy tysiące sześćset złotych
zero groszy)
stanowiącą koszty postępowania odwoławczego poniesione z ty-
tułu wydatków pełnomocnika.
Stosownie do art. 579 ust. 1 i 580 ust. 1 i 2 ustawy z dnia
11 września 2019 r. Prawo
zamówień publicznych (Dz. U. z 2021 r., poz. 1129 z późn. zm.) na niniejszy wyrok - w
terminie 14 dni od dnia jego doręczenia - przysługuje skarga za pośrednictwem Prezesa
Krajowej Izby Odwoławczej do Sądu Okręgowego w Warszawie.
Przewodniczący:………………………….
Sygn. akt KIO 3669/21
Uzasadnienie
Postępowanie o udzielenie zamówienia na dostawę informatycznego Systemu Bezpieczeń-
stwa wraz z asystą techniczną zostało wszczęte ogłoszeniem o zamówieniu opublikowanym
w Dzienniku Urz
ędowym Unii Europejskiej 2021/ S 164 - 430574 z dnia 25 sierpnia 2021 r.
W dniu 10 grudnia
2021 r. zamawiający poinformował o wyborze oferty najkorzystniejszej.
W dniu 20 grudnia 2021 r. wykonawca
IT Solution Factor spółka z ograniczoną odpowie-
dzialnością z siedzibą w Warszawie, ul. Popularna 4/6 wniósł odwołanie. Odwołanie zostało
wniesione przez pełnomocnika działającego na podstawie pełnomocnictwa z dnia 6 września
2021 r. udzielonego przez prezesa zarządu ujawnionego w KRS i upoważnionego do samo-
dzielnej reprezentacji. Kopia odwołania została przekazana zamawiającemu w dniu 20 grud-
nia 2021 r.
Odwołujący zarzucił zamawiającemu naruszenie:
1. art. 226 ust. 1 pkt 3 i 5 ustawy przez zaniechanie odrzucenia oferty NTT, która jest nie-
zgodna z warunkami zamówienia i z przepisami ustawy, w związku z art. 139 ust. 1 w związ-
ku z 239 ust.1 i 2 ustawy przez nieprawidłową ocenę oferty NTT i wybór oferty NTT jako naj-
korzystniejszej choć podlegała ona odrzuceniu, w związku z (1) pkt 3) Formularza wzoru
oferty stanowiącego załącznik do SWZ, (2) pkt 31 rozdziału II „założenia wspólne dla rozwią-
zań NGFW”, Załącznika nr 1 do SWZ - OPZ (o treści nadanej w zmianie SWZ z dnia 6
września 2021 r.), (3) pkt 3) Formularza oferty NTT, (4) w związku z pkt 4 (w tym m. in. z pkt
a, b) zamieszczonym w „szczegółowym opisie przedmiotu zamówienia”, w części „wymaga-
nia serwisowe i licencyjne”, w związku z (5): pkt 3.4 SWZ, pkt 4 formularza oferty stanowią-
cego załącznik do SWZ, pkt 4 oferty NTT, pkt II.2.4) ogłoszenia o zamówieniu, (6) w związku
z art. 60 i art. 66 § 1 kodeksu cywilnego, przez zaniechanie odrzucenia oferty NTT, pomimo,
że:
1)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wynosi
jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każdym
przypadku
2)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu tzw. “Application Mix” (czyli innym (rozłącznym) ruchu od obsługi
ruchu stron internetowych w wielk
ości pakietów 64 kb, wynosi 10 Gbps, jednak to oprogra-
mowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date) i z
tym dniem to oprogramowanie traci wsparcie i gwarancję producenta, które jest wymagane
umową, więc już dziś mamy stwierdzoną niezgodność z SWZ
3)
najnowsza wersja oprogramowania, której NTT nie zaoferował według zamawiające-
go, ale która zastąpi wersję oprogramowania oferowaną przez NTT, ma przepustowość nie-
spełniającą parametry podane przez NTT w ofercie co do przepustowości (pomiędzy 7.7 a
9,7 Gbps, a NTT podał 10 Gbps), więc jeżeli zamawiający dokona aktualizacji oprogramo-
wania Pan-
OS z wersji 10.0 do wersji 10.1, to tym samym będzie posiadał wsparcie i gwa-
rancję producenta do wersji oprogramowania poniżej wymogów co do przepustowości poda-
nych w ofercie, a jeżeli nie dokona aktualizacji, to straci gwarancję i wsparcie producenta.
Jeżeli zamawiający dokona aktualizacji z wersji 10.0 do wersji 10.1, to będzie posiadał wy-
magane wsparcie producenta, lecz urządzenie nie będzie spełniało wymogów co do przepu-
stowości. Jeżeli zamawiający postawowi zachować wersje oprogramowania 10.0, to będzie
posiadał urządzenie spełniające wymagania co do przepustowości, lecz straci wymagane
wsparcie producenta.
4)
z powyższego wynika, że NTT zaoferował oprogramowanie niespełniające wymagań
techniczno-
funkcjonalnych biorąc pod uwagę wymogi SWZ i czas zgodnego z umową czasu
korzystania z oprogramowania przez z
amawiającego (co najmniej 36 miesięcy)
2. zarzut ewentualny z ostrożności: oferowania NTT urządzeń z oprogramowaniem w wersji
Pan-
OS 10.1, która nie spełnia wymogów przepustowości 10 Gbps, ponieważ wersja Pan-
OS 10.1 ma jedynie przepustowość pomiędzy 7,7 a 9,7 Gbps oraz pkt OPZ: "NIETECH-
NICZNE CECHY PRODUKTU" pkt 6, ponieważ nie występuje na rynku co najmniej 9 mie-
sięcy przed upływem składania ofert, a zgodnie z tym punktem zamawiający wymaga, aby
wszystkie dostarczane urządzenia i pakiety oprogramowania były sprawdzone w praktyce
rynkowej, w tym objęte serwisem producenta o takiej długości trwania i rozstrzygająca dla
tego faktu jest data publikacji wersji na stronie producenta.
3.
art. 126 ust. 1 ustawy, i 6.1, 6.2 swz, ponieważ oferta NTT powinna być odrzucona i
NTT nie powinna być wzywana do złożenia dokumentów
4.
art. 239 ust.1 i 2 ustawy przez nieprawidłowe zastosowanie i zaniechanie wyboru
oferty odwołującego jako najkorzystniejszej choć podlegała ona wyborowi, jako zgodna z
warunkami zamówienia, art. 126 ust. 1 ustawy i 6.1, 6.2 swz, ponieważ to oferta odwołujące-
go jest najkorzystniejsza i powinna być najwyżej oceniona i to odwołującego zamawiający
powinien wezwać do złożenia dokumentów
5.
art. 73. u
st. 1, art. 74 ust. 1, art. 7 pkt 19 ustawy, ponieważ protokół z postępowania
jest niekompletny, nie zawiera wszystkich dokumentów, które wymaga ustawa, między in-
nymi, pisma odwołującego z 5 listopada 2021 r. dotyczącego niezgodności oferty NTT z swz,
które powinno uruchomić wezwanie NTT do wyjaśnień, co się nie stało
6.
zarzut ewentualny: w sytuacji braku uwzględnienia któregokolwiek z zarzutów z pkt 1
– 5 powyżej, art. 223 ust. 1 ustawy przez brak wezwania NTT do wyjaśnień, i przyjęcie, bez
pytania NTT o zdanie, jaką wersję oprogramowania zaoferował NTT w swojej ofercie, cho-
ciaż to jaką wersję oprogramowania oferuje NTT, jest to czynność, w której zamawiający nie
może zastępować NTT, ponieważ ważne dla ustalenia zakresu oferty są wyjaśnienia NTT a
nie zgadywanie z
amawiającego.
7.
art. 16 pkt 1) ustawy przez przeprowadzen
ie postępowania o udzielenie zamówienia
w sposób nie zapewniający zachowania uczciwej konkurencji oraz równego traktowania wy-
konawców
Wn
iósł o nakazanie:
1.
Uwzględnienie odwołania
2.
Unieważnienie czynności wyboru oferty najkorzystniejszej
3.
Unieważnienie czynności przyznania punktacji NTT w każdym kryterium oceny ofert i
łącznej punktacji
4.
Unieważnienie czynności wezwania NTT do złożenia dokumentów
5.
Odrzucenia oferty NTT
6.
Nakazanie ponownej oceny ofert z uwzględnieniem wyłącznie oferty odwołującego i
nakazanie przyznania punktacji wyłącznie ofercie odwołującego
7.
Nakazanie wezwania odwołującego do złożenia dokumentów
8.
Uzupełnienie protokołu z postępowania i brakujący dokument wskazujący na nie-
zgodności oferty NTT z SWZ
9.
Ewentualnie,
o wezwanie NTT do wyjaśnień treści oferty.
10.
Wyboru oferty odwołującego
11.
Obciążenie zamawiającego kosztami postępowania odwoławczego, w tym kosztów
zastępstwa procesowego
Nadto wniósł o przeprowadzenie dowodu z dokumentów:
1)
SWZ z załącznikami i zmianami – na fakt ich treści i obowiązków wykonawców i za-
mawiającego – w dokumentacji postępowania
2)
Formularza oferty NTT na fakt oferowanej przepustowości w wysokości 10 Gbps na
czas realizacji zamówienia - w dokumentacji postępowania
3)
Pisma zama
wiającego z 10.12.2021 r. (ten dokument w aktach postępowania),
4)
dokumentacji technicznej Pan-OS wersja 10.0- informacje ze strony producenta Pa-
loalto, dokumentacji technicznej, Pan-OS wersja 10.0- karta katalogowa, na fakt:
oferowania przez NTT wersji
oprogramowania instalowanej na urządzeniach Pan-OS 10.0,
która ma (1) przepustowość 8,2 Gbps przy obsłudze ruchu z przeglądarek internetowych w
rozmiarze pakietów 64 kb (niezgodną z deklarowaną w ofercie przepustowością) i (2) prze-
pustowość 10 Gbps w pozostałym obszarze, ale jedynie do połowy 2022 r., więc nie spełnia
wymogów SWZ biorąc pod uwagę czas trwania zobowiązań
4)
Pisma odwołującego z 5 listopada 2021 r. na fakt braku spełniania przez wersję PAN-
OS 10.0 i 101.1 1 wymogów SWZ i ofercie NTT (posiadania przez tę wersję jedynie przepu-
stowości w zakresie 9,7 Gbps) i na fakt braku załączenia tego dokumentu do protokołu z
postępowania jako jeden z jego załączników, dat publikacji wersji i ich wyjścia z użycia (end
of life)
5)
Wydruków z dokumentacji technicznej producenta Paloalto z tłumaczeniami – wersja
10.0 i 10.1 ze strony internetowej, na fakt braku zgodności oferty NTT z przedmiotem zamó-
wienia, między innymi w przypadku gdyby NTT twierdził, że jednak zaoferował wersję 10.1
lub gdyby bronił się możliwością przyszłej aktualizacji oprogramowania, dat publikacji wersji i
ich wyjścia z użycia (end of life)
Odwołujący wskazał, że naruszenie przez zamawiającego przepisów ustawy, swz, uniemoż-
liwia odwołującemu uzyskanie zamówienia i zawarcie umowy, przez co poniesie szkodę.
Obie oferty: odwołującego i NTT są powyżej kwoty, którą zamierza zamawiający przezna-
czyć na realizację zamówienia podaną przy otwarciu ofert, ale zgodnie z przepisami i
orzecznictwem Krajowej Izby Odwoławczej, ten fakt nie odbiera odwołującemu prawa do
złożenia odwołania, ponieważ po odrzuceniu oferty NTT zamawiający może podwyższyć
kwotę, którą zamierza przeznaczyć na realizację zamówienia i wybrać ofertę odwołującego
lub unieważnić przetarg i zorganizować nowy przetarg, w którym odwołujący może złożyć
wygrywającą ofertę.
Odwołujący podniósł, że są dwie główne niezgodności z SWZ w ofercie NTT:
1.
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony ,przy obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wy-
nosi jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każ-
dym przypadku, a obsługi takiego ruchu wymaga SWZ
2.
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu jedynie tzw. “Application Mix” wynosi 10 Gbps, jednak to opro-
gramowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date)
i
z tym dniem to oprogramowanie traci wsparcie i gwarancję producenta, które jest wymaga-
ne umową a obsługi takiego ruchu wymaga SWZ przez cały okres trwania zobowiązań.
Niezgodność z SWZ widoczna przed złożeniem oferty, a która urzeczywistni się w trakcie
realizacji umowy
w ocenie odwołującego, również uzasadnia odrzucenie oferty, ponieważ:
1)
Oferta to zbiór zobowiązań (czyli oświadczeń woli), a zobowiązania maja określoną
długość trwania na przyszłość
2)
Zobowiązania (oświadczenia woli) ocenia się za zgodność z warunkami zamówienia.
Po złożeniu oferty zamawiający ma prawo rozliczać oferenta ze złożonych zobowiązań
(oświadczeń) zgodnie z ich treścią, w tym czasem trwania, i porównując do warunków za-
mówienia
3)
Warunki zamówienia wymagają 36 miesięcznego wsparcia i gwarancji producenta do
oprogramowania
4)
Zobowiązania oferenta ocenia się przez całą długość ich trwania w stosunku do wa-
runków zamówienia, w przeciwieństwie do JEDZ, dokumentów przedmiotowych i podmioto-
wych, które są oceniane na moment ich złożenia
5)
Zamawiający ma roszczenie o dotrzymanie zobowiązań przez całą długość realizacji i
porównania takiego zobowiązania z warunkami zamówienia, ale niezgodność znana przed
złożeniem oferty czy przed zawarciem umowy, to niezgodność z SWZ, a nie problem projek-
towy, który będzie rozwiązywany na etapie realizacji umowy
6)
NTT zaoferował przepustowość 10 Gbps realizowaną na urządzeniach przy obsłudze
każdego ruchu: a nie spełnia obsługi ruchu stron internetowych (http) o wartości 64 Kb, i nie
spełnia innego niż HTTP o wielkości pakietów 64 kb, i to z momentem złożenia takiego
oświadczenia w ofercie.
Druga niezgodność, to: z dniem 16 czerwca 2022 r. przestanie być wspierana wersja Pan-
OS 10.0, którą oferuje wg zamawiającego NTT, a która zapewnia przepustowość 10 Gbps:
to znaczy, że przestanie być zapewnianie 36 miesięczne wsparcie i gwarancja producenta
wymagane warunkami zamówienia, co powoduje niezgodność oferty z SWZ
Zamawiający będzie zmuszony do aktualizacji wersji oprogramowania Pan-OS do wersji Pa-
nOS
10.1, która jednak nie spełnia deklarowanej w ofercie przepustowości na poziomie 10
Gbps (ponieważ posiada przepustowość jedynie na poziomie 9,7 Gbps), co powoduje nie-
zgodność oferty z wymaganiami zamawiającego na poziomie deklarowanej przez NTT prze-
pusto
wości.
7)
Umowa zakazuje aneksów, które mogą pogorszyć parametry techniczne poniżej ofe-
rowanych w ofercie
8)
NTT nie może zasłaniać się, że powstanie na przykład nieznana dziś wersja 10.2 i
będzie obsługiwać ruch 10 Gbps w każdym przypadku, bo dziś taka wersja nie istnieje, a
oceniamy stan rzeczywisty, a nie przyszły hipotetyczny. Równie dobrze, producent może
jeszcze zmniejszyć obsługiwaną przepustowość lub zaprzestać wspierania oprogramowania.
Odwołujący podał, że we wzorze formularza oferty zamawiający wymagał podania przepu-
stowości urządzenia zgodnie z zakresem II pkt 31 OPZ:
„3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepustowość urządzenia
wynosi: ……………………………… (zgodnie z punktem II podpunkt 31. OPZ).”
2.
W punkcie II podpunkt 31 OPZ z
amawiający wymagał podania przepustowości urzą-
dzenia dla pełnego zakresu ochrony:
„31. Interpretacja
parametrów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzielenie do niej polityki bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu,
d.
inspekcję antywirusową całego ruchu,
e.
I
nspekcję antymalware/AntySpyware całego ruchu,
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
ny
mi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
p
rzesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie minimum do 15GB.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.”
W ocenie odwołującego z postanowień z pkt 1 i 2 wynika:
1)
Kluczowe jest określenie “cały ruch” - i ono zakotwicza cały problem tego postępowa-
nia. Cały ruch to każdy rodzaj ruchu, a nie wyłącznie ruch mieszany.
Zamawiający wymaga podania przepustowości przy najwyższym obciążeniu przy każdym
rodzaju ruchu, przy pełnym zakresie ochrony
2)
Przy pracy urządzeń w sieci przesyłane są pakiety o różnych rozmiarach . Występuje
ruch o wielkości 64 kb przy obsłudze przeglądarek http i inny ruch (na przykład mieszany, o
większych pakietach danych)
3)
W sieci można puścić ruch o rozmiarze pakietów danych 64 kb przy obsłudze prze-
glądarek – i zamawiający w SWZ wymagał, w tych postanowieniach powyżej, podania prze-
pustowości przy najwyższym obciążeniu. Jeżeli zamawiający nie sprecyzował inaczej, to
ofere
nt powinien przyjąć iż wymaganie powinno być spełnione w dowolnych skrajnych wa-
runkach. Warto zaznaczyć iż małe pakiety puszcza się przez urządzenie standardowo, w
celu mierzenia zdolności oprogramowania do obsługi pakietów. Ta miara, 64 kb przy http jest
stosowana u wielu producentów i klientów, jako standard.
4)
z
amawiający wymaga obsługi każdego rodzaju ruchu, przy pełnym zakresie ochrony.
5)
w rezultacie w ofercie należy podać przepustowość dla każdego rodzaju ruchu z naj-
większą liczbą dostępnych inspekcji
6)
inaczej mówiąc, ruch to metaforycznie mówiąc płynąca rzeka, w której:
A)
oprogramowanie ma weryfikować co jest w ruchu (płynie w rzece) przy włączonych
funkcjach (narzędziach do ochrony ruchu – metaforycznie mówiąc siatkach/tamach łapiących
brud.)
B)
włączone narzędzia naturalnie wpływają hamująco na przepływ ruchu (rzeki)
Zamawiający żądał podania przepustowości , która występuje przy włączonych wszystkich
narzędziach ochrony.
NTT w ofercie wpisał odnośnie tego postanowienia zaoferował przepustowość 10 Gbps:
„3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepustowość urządzenia
wynosi: 10Gbps (zgodnie z punktem II podpunkt 31 OPZ)”
Zamawiający w pkt 4 "SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA – WYMAGA-
NIA SERWISOWE I LICENC
YJNE" wymaga 36 miesięcznego wsparcia technicznego i gwa-
rancji producenta do oprogramowania i urządzeń:
„Wsparcie techniczne i gwarancja (zwanej dalej wsparciem) będzie świadczone przez produ-
centa lub autoryzowane przez producenta centrum serwisowe niezal
eżne od Wykonawcy
realizowane we współpracy z producentem, przez okres 36 miesięcy od daty odbioru bez
zastrzeżeń, potwierdzonego protokołem. Wsparcie obejmuje:
a. Dostęp do Centrum Wsparcia Technicznego (TAC) przez: stronę internetową, email oraz
telefo
nicznie w języku polskim - wsparcie przy rozwiązywaniu problemów związanych z dzia-
łaniem NGFW oraz systemów wspomagających w trybie 8x5, tj. co najmniej 8 godzin przez
5 dni w tygodniu; (…)
b. Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich aktualizacji dotyczą-
cych oferowanych NGFW oraz wszystkich systemów wspomagających w ramach wymaga-
nych funkcjonalności, wydawanych przez Producenta.(…)
W pkt II 2.4) ogłoszenia o zamówieniu są postanowienia:
“Oferowany przedmiot umowy ma być fabrycznie nowy, nieużywany oraz nieeksponowany
na wystawach lub imprezach targowych, sprawny technicznie, bezpieczny, kompletny i go-
towy do pracy, wyprodukowany nie wcześniej niż w II półroczu 2020 r. a także musi spełniać
wymagania technicznofunkcjonalne wyszc
zególnione w opisie przedmiotu zamówienia.
Zamawiający wymaga udzielenia przez wykonawcę gwarancji i bezpłatnego serwisu gwa-
rancyjnego na całość przedmiotu zamówienia na okres minimum 36 miesięcy, z zastrzeże-
niem pkt 13.2 SWZ..”
Zgodnie z pkt 4 SWZ: „4 Termin wykonania zamówienia: Wykonanie zamówienia zostanie
podzielone na etapy: (…) 4)Etap IV – usługa asysty technicznej – w okresie 12 miesięcy, od
dnia zakończenia integracji dostarczonego sprzętu sieciowego z komponentami sieci IT za-
mawiającego. Zamawiający przewiduje, iż maksymalny termin wykonania zamówienia wy-
niesie 16 miesięcy od dnia zawarcia umowy.
NTT zaoferował przedmiot zamówienia: Producent Palo Alto Networks, Marka Palo Alto,
Model PA5220, Miesiąc i rok produkcji : 10.2021 r.
Przepustowość wskazana w ofercie jest realizowana z wykorzystaniem oprogramowania
instalowanego na urządzeniach Paloalto nazywanych: Pan-OS (system operacyjny).
Zamawiający w piśmie z 10.12.2021 r. stwierdził, że rekomendowana dla oferowanego przez
NTT urządzenia wersja oprogramowania instalowanego na urządzeniach to PAN-OS (Preffe-
red): wersja 10.0:
Threat Prevention throughput http/Appmix dla PA -5220 8,2/10 Gpps
Note Results were measured on PAN-OS 10.0
Threat Prevention throughput is measured with App -ID IPS antivirus, anty-spyware, wildtree,
fire blocking, and logging enabled utilizing 64 KB http/Appmix transaction
Z treści dokumentacji według odwołującego wynika niezgodność treści oferty z SWZ. Istotne
są podkreślenia w dowodzie powyżej, z których wynika:
1)
D
la threat prevention throughput, przy użyciu pakietów danych 64 kb http – „http, „uti-
lizing 64 KB http” - (czyli przy obsłudze ruchu http na przykład przeglądarki internetowej)
przepustowość to 8,2 Gbps
2)
Dla threat prevention throughput, przy użyciu różnych aplikacji („appmix”), ale w ruchu
innym niż ruch 64 kb http przepustowość to 10 Gbps
3)
Są to wyniki dla Pan-OS 10.0
4)
Dane podane przy krzyżyku – pokazują ruch przy włączonych wszystkich narzędziach
ochrony
5)
Rezultatem tego jest przepustowość 8,2 Gbps w pewnym zakresie użycia i przepu-
stowość 10 Gbps w pozostałym zakresie użycia
Przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym zakresie
ochrony, ale przy obsłudze ruchu http (na przykład stron internetowych) o wielkości pakietów
64 kb wynosi jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps
w każdym przypadku, więc nie spełnia wymogów SWZ i własnej oferty.
Zgodnie z informacją w dokumentacji technicznej producenta wersja oprogramowania PAN-
OS 10.0, czyli ta podana przez z
amawiającego w powyższym piśmie, jest planowana do wy-
cofania 16 czerwca 2022 r., co jest niezgodne z pkt 4 OPZ i uzasadnia odrzucenie oferty.
PAN-OS &Panorama Version 10.0 Release Date July 16, 2020, End-of-Life Data July 16,
2022.
Dowody dotyczą również dat publikacji i dat zaprzestania używania (end of life) - wg której
oprogramowanie traci wsparcie producenta.
Zamawiający nie posiada możliwości zaktualizowania wersji PANOS (preferred) 10.0 do
wersji 10.1, na podstawie punktu SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA –
WYMAGANIA SERWISOWE I LICENCYJNE, pkt 4 ppkt b) „Dostęp (tj. uprawnienie do pobie-
rania i
instalowania) do wszystkich aktualizacji dotyczących oferowanych NGFW oraz
wszystkich systemów wspomagających w ramach wymaganych funkcjonalności, wydawa-
nych przez Producenta.”, ponieważ:
1)
wersja PANOS 10.1 nie spełnia wymogów co do przepustowości, ponieważ maksy-
malna przepustowość dla tej wersji to pomiędzy 7,7 a 9,7 Gbps a podana w ofercie przepu-
stowość to 10 Gbps.
2)
odwołujący informował Zamawiającego, że najnowsza wersja Panos (10.1) ma mak-
symalną przepustowość urządzenia Paloalto: pomiędzy 7,7 a 9.7, a nie 10 Gbps.
Threat Prevention throughput http/Appmix dla PA -5220 7,7/9,7 Gpps
Note Results were measured on PAN-OS 10.1
Threat Prevention throughput is measured with App -ID IPS antivirus, anty-spyware, wildtree,
fire blocking, and logging enabled utilizing 64 KB http/Appmix transaction
Tym samym
w ocenie odwołującego, zamawiający nie będzie, wg informacji, które są dziś
dostępne, a więc miarodajne dla rozstrzygnięcia postępowania i oceny ofert, zastąpić wyco-
fywanej w połowie 2022 r. wersji PANOS 10.0 – wersją Panos 10.1.
Niezgodność oferty z OPZ polega na fakcie:
1)
z
amawiający już dziś ma wiedzę o niezgodności oferty, który wystąpi 16 czerwca
2022 r. i nie ma na to żadnego środka zaradczego
2)
Dla oceny oferty nie liczą się żadne przyszłe potencjalne rozwiązania niezgodności,
ponieważ na tej zasadzie można by bronić każdej niezgodności. Oferta niezgodna z SWZ, to
nic, producent za 5 miesięcy naprawi niezgodność - oczywiście taką interpretację należy
odrzucić.
3)
Z dniem 16 czerwca 2022 r. przestanie być wspierana wersja Pan-OS 10.0, która
zapewnia przepustowość 10 Gbps, to znaczy, że przestanie być zapewnianie wsparcie i
gwarancja wymagane OPZ i umową, co powoduje niezgodność oferty z SWZ
4)
Z
amawiający będzie zmuszony do aktualizacji wersji oprogramowania Pan-OS do
wersji 10.1, która jednak nie spełnia deklarowanej w ofercie przepustowości na poziomie 10
Gbps (ponieważ posiada przepustowość na poziomie pomiędzy 7,7 a 9,7 Gbps), co powodu-
je nie
zgodność oferty z deklarowaną w ofercie przepustowością
5)
W §9 ust. 1 pkt 1) wzoru umowy zamawiający zakazał zmian umowy, w których wyni-
ku nastąpiłoby obniżenie parametrów technicznych, jakościowych, innych wynikających z
oferty, więc nie ma drogi przy pomocy aneksu do naprawy tej niezgodności:
„1. Zamawiający zastrzega sobie prawo zmiany postanowień umowy w przypadku: 1) aktua-
lizacji rozwiązań ze względu na postęp techniczny lub technologiczny (np. wycofanie z obro-
tu urządzeń lub podzespołów), zmiana nie może spowodować podwyższenia ceny oraz ob-
niżenia parametrów technicznych, jakościowych i innych wynikających z oferty, na podstawie
której był dokonany wybór Wykonawcy”
6)
W rezultacie NTT i Zamawiający są w kropce, sytuacji bez wyjścia, ponieważ nie mo-
gą zaktualizować wersji PANOS 10.0 do 10.1, ponieważ wersja 10.1 nie spełnia wymogu
przepustowości na poziomie 10 Gbps, ponieważ jej limit to 9,7 Gbps, a wersja 10.0 przesta-
nie być wspierana i objęta gwarancją producenta.
Dla odwołującego oczywistym jest, że zamawiający kupuje nowe urządzenie po to, aby móc
go używać przez lata, używać bezpiecznie. Aby używać go jak najbardziej bezpiecznie musi
podnosić wersję systemu operacyjnego zgodnie z zaleceniami producenta i dlatego wymagał
możliwości aktualizacji każdego komponentu NGFW, a tu jest ograniczony przez NTT, po-
nieważ nie może dokonać aktualizacji oprogramowania ze względu na utratę podstawowej
funkcji
– przepustowości 10Gbps
Zgodnie z zobowiązaniem z oferty NTT, ta przepustowość 10 Gbps ma być zapewniona
przez całą długość trwania zobowiązań, czyli całą długość realizacji zamówienia, czyli przez
okres ponad 36 miesięcy (czas realizacji zamówienia + 36 miesięcy czas wsparcia producen-
ta)
Zamawiający ocenia zgodność oferty z SWZ, a oferta to jest zbiór zobowiązań. Każde zobo-
wiązanie ma swoją długość trwania. Z tego wynika, że zamawiający oceniając ofertę musi
ocenić spełnianie wymogów z SWZ przez całą długość trwania tych zobowiązań.
Nie ma żadnego znaczenia czy ten problem: braku wsparcia i gwarancji do wersji posiadają-
cej odpowiednią przepustowość czy braku odpowiedniej przepustowości w najnowszej wersji
oprogramowania w stosunku do deklarowanej w ofercie, wystąpiłby w 1 dniu realizacji umo-
wy czy w połowie czerwca 2022 r. Daty to jest jedynie jednostka czasu, a z punktu widzenia
zobowiązań z oferty, należy rozliczać zobowiązania i spełnianie warunków z punktu widzenia
długości ich trwania.
Zdaniem odwołującego potwierdzają to również przepisy prawa:
Wyłącznie JEDZ, dokumenty podmiotowe i przedmiotowe ocenia się na dzień składania
ofert, co wynika z przepisów ustawy, między innymi: art. 125 ust. 3, art. 126 ust. 1-3, art. 128
ust. 2, art. 274 ust. 1-
3. We wszystkich tych przepisach występuje zasada, którą stosuje się
wyłącznie do dokumentów podmiotowych i przedmiotowych, a więc przez przeciwieństwo
(czyli zgodnie z techniką stosowaną w wykładni przepisów prawa), nie do oferty, to jest, że
podmiotowe i przedmiotowe dokumenty potwierdzają spełnienie: na dzień składania ofert lub
wniosków lub na dzień ich złożenia.
Tytułem przykładu odwołujący wskazał na treść art. 125 ust. 3 ustawy, art. 126. 1 ustawy.
Odnośnie oferty nie ma takich przepisów, to jest zawężenia co do aktualności wyłącznie na
dzień złożenia oferty.
W rezultacie, niezgodność należy oceniać biorąc pod uwagę treść oferty, to jest zobowią-
zań, a zobowiązania z oferty mają określoną długość trwania.
Fakt, że zgodność oferty (a więc jej zobowiązań) ocenia się biorąc pod uwagę całość długo-
ści ich trwania, a nie tylko wąski odcinek czasu występujący do dnia składania oferty czy
przed zawarcie umowy , potwierdza też orzecznictwo Krajowej Izby Odwoławczej np:
wyrok z dnia 24 października 2008 r., KIO/UZP 1093/08), KIO 2082/17, Treść oferty. - Wyrok
Krajowej Izby Odwoławczej, wyrok z dnia 20 października 2017 r., KIO 2170/13, wyrok z
dnia 25 września 2013 r., KIO 538/13, wyrok z dnia 20 marca 2013 r.
NTT miał wyjścia z sytuacji przed złożeniem ofert.
A)
Mógł zwrócić się o złożenie wyjaśnień przez zamawiającego
B)
Mógł wnieść o wykreślenie wymogu co do przepustowości
C)
Mógł wpisać rzeczywistą przepustowość: pomiędzy 8,2 dla jednego rodzaju ruchu i
10 Gbps, a tak zobowiązał się do przepustowości 10 Gbps przy każdym rodzaju ruchu, co
jest n
iemożliwe do spełnienia
D)
Mógł zaoferować sprzęt i oprogramowanie innego producenta
Rodzaj błędu w ofercie nie podlega naprawie w drodze wykładni, wyjaśnień, poprawie w dro-
dze omyłek, oczywistych omyłek, innych omyłek.
W rezultacie, z
amawiający nie otrzyma sprawnego technicznie przedmiotu przez cały okres
zamówienia, ponieważ nie spełnia on wymogów techniczno-funkcjonalnych wyszczególnio-
nych w OPZ, a wymaga tego SWZ, OPZ, formularz oferty: „Oferowany przedmiot umowy ma
być fabrycznie nowy, nieużywany oraz nieeksponowany na wystawach lub imprezach targo-
wych, sprawny technicznie, bezpieczny, kompletny i gotowy do pracy, wyprodukowany nie
wcześniej niż w II półroczu 2020 r. a także musi spełniać wymagania techniczno-
funkcjonalne wyszczególnione w opisie przedmiotu zamówienia.”
Zamawiający natrafia na problem: albo aktualizuje - wtedy traci przepustowość, albo nie ak-
tualizuje oprogramowania i traci wsparcie i gwarancję producenta. To jest sytuacja bez wyj-
ścia, ponieważ punkt 4 dotyczący wsparcia i gwarancji, wymaga by wsparcie producenta
było przez 36 miesięcy :
“Wsparcie techniczne i gwarancja (zwanej dalej wsparciem) będzie świadczone przez produ-
centa lub autoryzowane przez producenta centrum serwisowe niezależne od Wykonawcy
realizowane we współpracy z producentem, przez okres 36 miesięcy od daty odbioru bez
zastrzeżeń, potwierdzonego protokołem. Wsparcie obejmuje: Dostęp do Centrum Wsparcia
Technicznego (TAC) (…)
Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich aktualizacji (…)”
Już w etapie IV umowy zaistnieje okoliczność niewykonywania zamówienia, z powodu wyco-
fania z rynku wersji PANOS 10.0 i braku spełniania wymogów co do przepustowości w wersji
10.1
Niewykonanie umowy w zakresie przepustowości zajdzie w okresie pierwszych 12 miesięcy,
w etapie IV.
U odwołującego przepustowość wynosi 11 Gbps w każdym przypadku, czyli tak jak zaofero-
wano w ofercie.
Zgodnie z art. 7 pkt 19) ustawy, protokół ma odzwierciedlać rzeczywisty przebieg postępo-
wania o udzielenie zamówienia, a aktualny protokół tego nie odzwierciedla („ (…) protokole
postępowania - należy przez to rozumieć dokument sporządzany przez zamawiającego, któ-
ry potwierdza przebieg postępowania o udzielenie zamówienia;”)
Obowiązkowym załącznikiem do protokołu są oświadczenia, inne dokumenty składane przez
wykonawców – chodzi więc o wszelkie dokumenty od wykonawców. Tak zgodnie z art. 73
ust. 1. „Oferty, opinie biegłych, oświadczenia, informacja z zebrania z wykonawcami, zawia-
domienia, wnioski, (…), inne dokumenty i informacje składane przez zamawiającego i wyko-
nawców (…).”
Zamawiający ma obowiązek udostępnić wszystkie załączniki do protokołu, a przez to że za-
mawiający nie załączył części dokumentów do protokołu, chociaż były obowiązkowe, to za-
mawiający nie udostępnił całości załączników do protokołu i uniemożliwił odtworzenie jego
rzeczywistego przebiegu. Tak zgodnie z art. 74 ust. 1 ustawy: „Protokół postępowania jest
jawny i udostępniany na wniosek.”
Odwołujący zawiadamiał zamawiającego o wadach oferty odwołującego pismem z 5 listopa-
da 2021 r., a z
amawiający nie załączył tego pisma do protokołu. Zamawiający więc ukrywa
istnienie pewnych wad oferty NTT, nie załączając ich do protokołu, czym powoduje znie-
kształcony obraz przebiegu postępowania, utrudnia kontrolę przed Krajową Izbą Odwoław-
czą i ukrywa istnienie niezgodności, której pełne działanie nastąpi w połowie 2022 r.
To oprogramowanie jest odpowiedzialne za realizację funkcji przepływu na urządzeniu.
Oprogramowanie jest nieodłącznie związane ze sprzętem. Natomiast co do oprogramowania
z
amawiający nie wymagał podania wersji w ofercie, ale również oprogramowanie jest objęte
treścią oferty, ponieważ bez oprogramowania żadne funkcje wymagane przez OPZ nie są
spełnione.
Art. 223 ust. 1 ustawy wymaga: „W toku badania i oceny ofert zamawiający może żądać od
wykonawców wyjaśnień dotyczących treści złożonych ofert oraz przedmiotowych środków
dowodowych lub innych składanych dokumentów lub oświadczeń. Niedopuszczalne jest
prowadzenie między zamawiającym a wykonawcą negocjacji dotyczących złożonej oferty
oraz, z uwzględnieniem ust. 2 i art. 187, dokonywanie jakiejkolwiek zmiany w jej treści.”
„Może” w przepisie oznacza obowiązek, w sytuacji, gdy zamawiający dysponuje informacja-
mi na temat niezgodności z ofertą.
Nie można wykładać: „może” na zasadzie dowolnego uznania, że zamawiający nie musi ni-
gdy, kiedy nie chce. Takie postępowanie nie byłoby rzetelnie prowadzone, bo na tej zasa-
dzie, to zamawiający nigdy nie miałby żadnego obowiązku wzywania do wyjaśnień. Zama-
wi
ający nie może poszukiwać zgodności lub niezgodności na własną rękę, tylko ma obowią-
zek zapytać NTT i wyjaśnienia własnej oferty.
Tym samym, przyjęte przez zamawiającego twierdzenia w piśmie: „informacje od producenta
Paloalto”, oraz „zamawiający znalazł potwierdzenie” – potwierdzają naruszenie, przecież
z
amawiający nie znalazł potwierdzenia u NTT, tylko gdzieś indziej, ale jest to działanie
wbrew obowiązkom z przepisów.
Zamawiający zgodnie z ustawą ma obowiązek zapytać NTT, a nie poszukiwać informacji na
stronach internetowych.
Przecież, zamawiający mógł znaleźć złe, nieaktualne strony lub źle je interpretować lub wy-
ja
śnienia NTT co do oferowania wersji oprogramowania mogą być inna niż przyjęta przez
z
amawiającego (bo może oferują wersję 10.1, również niezgodną z SWZ).
Tym samym
zdaniem odwołującego, nie ma potwierdzenia, że oferta NTT jest zgodna z
SWZ, a stanowisko z
amawiającego nie opiera się na oświadczeniu NTT, a jedynie na jego
zgadywaniu, bez pewności, co do wersji oprogramowania oferowanej przez NTT.
Odwołujący założył, że jest to wersja 10.1, zamawiający założył, że jest to wersja 10.0, a
teraz zakłada równolegle, że może jest to wersja 10.0, a w sprawie w ogóle nie jest znane
stanowisko NTT. Jak widać, wersja 10.1 jest również niezgodna z powodu braku występo-
wania na rynku co najmniej 9 miesięcy przed złożeniem ofert.
W dniu 21
grudnia 2021 r. zamawiający przekazał informację o wniesieniu odwołania.
W dniu 22
grudnia 2021 r. do postępowania odwoławczego po stronie zamawiającego zgłosił
swój udział wykonawca NTT Poland spółka z ograniczoną odpowiedzialnością z siedzibą w
Warszawie, ul. Sienna 73
wnosząc o oddalenie odwołania. Wykonawca wskazał, że ma inte-
res w
uzyskaniu rozstrzygnięcia na korzyść zamawiającego, albowiem zamawiający dokonał
wyboru jego oferty
jako najkorzystniejszej oferty a rozstrzygnięcie postępowania odwoław-
czego na korzyść zamawiającego daje przystępującemu możliwość realizacji przedmiotowe-
go
zamówienia. Zgłoszenie zostało wniesione przez pełnomocnika działającego na podsta-
wie
pełnomocnictwa z dnia 16 września 2021 r. udzielonego przez prezesa zarządu ujawnio-
nego w KRS i upoważnionego do samodzielnej reprezentacji. Do zgłoszenia dołączono do-
wo
dy przekazania zgłoszenia stronom postępowania.
Przystępujący wskazał, że zarzuty przedstawione w odwołaniu są bezzasadne i wniósł o
oddalenie odwołania w całości oraz o dopuszczenie i przeprowadzenie dowodów wskaza-
nych w piśmie na okoliczności tam wskazane.
W odniesieniu do zarzutu:
1)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wynosi
jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każdym
przypadku
Odwołujący wskazał jako punkt odniesienia wydajność 8.2Gbps dla obsługi stron interneto-
wych o wie
lkości pakietów 64Kb - wymaganie takie nie zostało w żaden sposób wyartykuło-
wane w SWZ i OPZ. Tym samym zarzut wskazany przez o
dwołującego jest niezasadny i
żądanie unieważnienia oferty Wykonawcy NTT w oparciu o nieistniejące wymaganie jest
bezpodstawne.
2)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu tzw. “Application Mix” (czyli innym (rozłącznym) ruchu od obsługi
ruchu stron internetowych w wielkości pakietów 64 kb, wynosi 10 Gbps, jednak to oprogra-
mowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date) i z
tym dniem to oprogramowanie traci wsparcie i gwarancję producenta, które jest wymagane
umową, więc już dziś mamy stwierdzoną niezgodność z SWZ
Odwołujący wskazał pełen zakres ochrony jako „Application Mix” oraz definiuje wielkość pa-
kietów 64 kb - wymaganie takie nie zostało w żaden sposób wyartykułowane w SWZ. Tym
samym zarzut wskazany przez o
dwołującego jest niezasadny i żądanie unieważnienia oferty
Wykonawcy NT
T w oparciu o nieistniejące wymaganie jest bezpodstawne.
Odwołujący wskazał że oprogramowanie jest planowane do wycofania. Przystępujący poin-
formował, że zgodnie z wymaganiem zamawiającego zawartym w OPZ określonym w NIE-
TECHNICZNE CECHY PRODUKTU w pkt 7:
Zamawiający wymaga, aby zaoferowane urządzenia były dostępne i serwisowane przez
Producenta oraz nie będą przez niego przewidziane do wycofania ze sprzedaży i wsparcia
przed upływem terminu składania ofert (ogłoszone tzw. dokumenty End-of-Sale lub End-of-
Life lub im odpowiadające.
Oferowane urządzenia przez Wykonawcę nie były w momencie składania ofert przewidziane
do wycofania ze sprzedaży i wsparcia. Tym samym zarzut wskazany przez odwołującego
jest
w ocenie przystępującego niezasadny i żądanie unieważnienia oferty wykonawcy NTT w
oparciu o nieistniejące wymaganie jest bezpodstawne.
3) najnowsza wersja oprogramowania, której NTT nie zaoferował według zamawiającego,
ale która zastąpi wersję oprogramowania oferowaną przez NTT, ma przepustowość niespeł-
nia
jącą parametry podane przez NTT w ofercie co do przepustowości (pomiędzy 7.7 a 9,7
Gbps, a NTT podał 10 Gbps), więc jeżeli zamawiający dokona aktualizacji oprogramowania
Pan-
OS z wersji 10.0 do wersji 10.1, to tym samym będzie posiadał wsparcie i gwarancję
producenta do wersji oprogramowania poniżej wymogów co do przepustowości podanych w
ofercie, a jeżeli nie dokona aktualizacji, to straci gwarancję i wsparcie producenta.
W formularzu ofertowym z
amawiający nie przewidział wskazania proponowanej wersji opro-
gramowania. NTT zaoferowało najnowszą możliwą wersję oprogramowania spełniającą wy-
magania z
amawiającego, jednocześnie jest to wersja oprogramowania rekomendowana
przez Palo Alto Networks.
W zakresie zarzutu ewentualnego przystępujący podniósł, że w formularzu ofertowym za-
mawiający nie przewidział wskazania proponowanej wersji oprogramowania. NTT zaofero-
wało najnowszą możliwą wersję oprogramowania spełniającą wymagania Zamawiającego,
jednocześnie jest to wersja oprogramowania rekomendowanej przez Palo Alto Networks.
Przystępujący podniósł, że Dokumentacja techniczna przedstawiona przez Odwołującego w
pliku o nazwie D4B.Dowod_tlumaczenie_20-12-2021_13.57.32.pdf jest nieczytelna. Wyko-
nawca wskazuje iż tłumaczenie zostało zrobione nierzetelnie i nie odzwierciedla informacji
zawartych w oryginalnym dokumencie oraz zawiera bardzo ogólne informacje, które zamiast
wyjaśniać powodują więcej wątpliwości. Przykład:
Palo Alto Networks PA-5200 Series ML-Powered NGFW
– PA-5280, PA – 5260, PA-5250 i
PA- 5220
– idealnie nadają się do szybkich wdrożeń w centrach danych, bramach interneto-
wych i usługach. Seria PA-520 zapewnia przepustowość do 64 Gb/s, przy użyciu dedykowa-
nego przetwarzania i pamięci, dla kluczowych obszarów funkcjonalnych sieci, bezpieczeń-
stwa, zapobiegania
zagrożeniom i zarządzania.
Tłumaczenie wskazuje że seria urządzeń ma przepustowość do 64 Gb/s, gdzie odwołujący
dowodzi, że urządzenia nie spełniają wymagań 10 Gbps przepustowości.
D4D.tlumaczenie_dokumentacji_technicznej_20-12-2021_13.58.15.pdf
Być PA-5200
NGFW
– PA-5280, PA-5260, PA-5250 i PA-5220 – są idealne do dużych prędkości centrum
danych, b
rama internetowa i wdrożenia dostawców usług. Autonomia PalestyńskaSeria –
5200 zape
wnia przepustowość do 64Gb/s, przy użyciu dedykowanego przetwarzania i pa-
mięci, dla kluczowych obszarów funkcjonalnych sieci, bezpieczeństwa, zapobiegania zagro-
żeniom i zarządzania.
Słaba jakość tłumaczenia na język polski. Skrót PA-5200 jest przetłumaczony jako Autono-
mia PalestyńskaSeria – 5200.
4) Pisma odwołującego z 5 listopada 2021 r. na fakt braku spełniania przez wersję PAN-OS
10.0 i 101.1 1 wymogów SWZ i ofercie NTT (posiadania przez tę wersję jedynie przepusto-
wości w zakresie 9,7 Gbps) i na fakt braku załączenia tego dokumentu do protokołu z postę-
powania jako jeden z jego załączników, dat publikacji wersji i ich wyjścia z użycia (end of life)
Odwołujący powołuje się na wersję PAN-OS 101.1 1 Przystępujący oświadczył, że nie ma
takiej wersji programowania dla urządzeń PA-5200.
W ocenie przystępującego odwołujący nadinterpretuje określenie „cały ruch” – twierdząc, że
„Cały ruch to każdy rodzaj ruchu, a nie wyłącznie ruch mieszany”.
Jednocześnie odwołujący przyjmuje arbitralnie w odwołaniu, że jego rozumienie jest jedynym
właściwym, nie zadał bowiem w tej kwestii pytań zamawiającemu na etapie składania ofert.
Otóż określenie „całego ruchu” opisane przez zamawiającego nie jest w naszej ocenie toż-
same z każdą teoretycznie możliwą do wygenerowania kombinacją pakietów. Można bowiem
wskazać taką charakterystykę ruchu, której dane urządzenie nie będzie w stanie obsłużyć,
jednakże prawdopodobieństwo jej wystąpienia jest na granicy uznania go jako nierealnym.
Odnosząc to do rynku samochodów należałoby uznać, iż żaden z producentów nie spełni
kryterium „Prędkość maksymalna 200Km/h” bo skoro ma być osiągalna „w każdej sytuacji” to
należałoby to udowodnić na zatłoczonym parkingu centrum handlowego w przedświątecz-
nym szczycie
zakupów lub też na stromym podjeździe (np. 20% lub więcej) na zaśnieżonej i
krętej górskiej drodze. Oczywistym dla przystępującego jest, że prędkość maksymalna po-
jazdu może być niższa w odniesieniu do warunków przeprowadzenia testów- szczególnie
jeżeli są to warunki skrajne.
Równocześnie przystępujący wskazał, że – w przypadku firewalli NGFW - skrajne charakte-
rystyki ruchu gdzie mamy np. 100% ruchu DNS z CIFS/SMB (bardzo małe pakiety i krótkie
sesje), które to charakterystyki powodują dużą degradację wydajnościową - nie są obsługi-
wane z przepustowością 10Gbps w tej klasie cenowej urządzeń – niezależnie od producen-
ta.
Z
wrócił uwagę, że aby uzyskać przepustowość 10Gbps dla każdego rodzaju ruchu – również
skrajnie „nieprzyjaznego” dla urządzeń Next Generation Firewall – wykonawcy musieliby
oferować urządzenia o kilkukrotnie wyższych nominalnych parametrach i dotyczy to wszyst-
kich producentów.
Tym samym z
amawiający dokonałby nieuzasadnionego zakupu przeskalowanych urządzeń,
których wydajność nie będzie mu potrzebna w ciągu następnych 10 lat, najpewniej kilkukrot-
nie droższych, marnotrawiąc środki publiczne.
W ocenie
przystępującego zamawiający dokonując świadomego określenia wymagań odrzu-
cił sytuacje skrajne, które nigdy nie zaistnieją w realnych środowiskach sieciowych np. 100%
ruchu DNS czy 100% sesji FTP z dużymi pakietami, racjonalizując zakup urządzeń wzglę-
dem jego realnych wymagań. Zamawiający oczekiwał również podobnego zachowania od
w
ykonawców, którzy będą dobierać wydajności urządzeń w sposób racjonalny, gwarantujący
uzyskanie pożądanej przepustowości 10Gbps dla realistycznego scenariusza ruchu.
Podsumowując – przystępujący wskazał, że celem odwołującego nie jest w tym przypadku
uzyskanie zamówienia przez doprowadzenie do wyboru jego oferty. W ocenie przystępują-
cego
ma on bowiem pełną świadomość tego, że stosując metodologię określenia wydajności
zaproponowaną przez niego samego („Cały ruch to każdy rodzaj ruchu, a nie wyłącznie ruch
mieszany”) dopuszcza skrajne i nierealistyczne scenariusze dla jej określenia, które możliwe
są do spełnienia przez wielokrotnie droższe urządzenia, a nie urządzenia z „półki” cenowej,
które znalazły się w ofertach wykonawców (tu zarzut ewentualny: włączając w to ofertę od-
wołującego, gdyż nie są publikowane wydajności urządzeń Fortinet dla takich wydziwianych
charakterystyk ruchowych).
Stosując taki tok rozumowania zamawiający (Uniwersytet Marii Curie-Skłodowskiej tak jak
też każdy inny zamawiający) za każdym razem będzie zmuszony do odrzucenia ofert nie
spełniających skrajnych scenariuszy i w efekcie będzie zmuszony do nabycia znacząco wy-
dajniejszych i jednocześnie o wiele droższych urządzeń, które nie są mu potrzebne (najpew-
niej wówczas zamawiający narazi się na zarzut, iż nierealistycznie/nadmiarowo określił inne
wymagan
ia dotyczące przedmiotu zamówienia).
O
dwołujący wprowadza zamawiającego oraz KIO w błąd twierdząc w p. 3.3, że „miara 64K
przy http jest (…) standardem”. Jest to ponowna nadinterpretacja mająca po raz kolejny
spowodować, iż rozumienie odwołującego jest jedynie słuszne, a sytuację należy interpreto-
wać w jedynie właściwy, wskazany przez odwołującego sposób.
Tymczasem określenie że „miara 64K przy http jest (…) standardem” nie znajduje oparcia w
żadnych dokumentach branżowych, praktyce rynkowej, jak również dokumentacji przetargo-
wej.
Przystępujący powiedział, że takowego standardu – określającego metodologię badania wy-
dajności urządzeń Next Generation Firewall - na dziś, po prostu nie ma..
Nadając sytuacji właściwą perspektywę wskazał, iż różni producenci sprzętu klasy Next Ge-
neration Firewall wykazują wydajności przy różnych parametrach ruchowych.
Ma to na celu przede wszystkim ułatwienie inżynierom pracującym po stronie klientów jak i
firm integratorskich właściwy dobór urządzeń. Nie świadczy to jednocześnie w żaden sposób
o maksymalnych parametrach tych urządzeń.
Dla zobrazowania aktualnej sytuacji poniżej przystępujący przedstawił kilka modeli podawa-
nia wydajności przez największych 7 producentów tego typu rozwiązań na świecie. Doku-
mentacja wskazana
w linkach poniżej została dołączona do pisma procesowego wraz z tłu-
maczeniem.
⮚
Checkpoint nie podaje wydajności dla HTTP 64K – parametry wydajnościowe podane
są dla ruchu określonego jako Enterprise test conditions
https://www.checkpoint.com/downloads/products/16200-security-gateway-datasheet.pdf
⮚ Cisco nie podaje wydajności dla HTTP 64K, nie podaje też konkretnej charakterystyki ru-
chu, dla której określone są wydajności w tabelach
https://www.cisco.com/c/en/us/products/collateral/security/firepower-4100-series/datasheet-
za to wskazuje że "Performance will vary depending on features activated, and network traf-
fic protocol mix, and packet size characteristics" („wydajność będzie się zmieniać w zależno-
ści od aktywowanych funkcji, mixu ruchu sieciowego i wielkości pakietów”)
⮚ Forcepoint nie podaje wydajności dla HTTP 64K – parametry wydajnościowe podane są
dla ruchu określonego jako HTTP 21K
https://www.forcepoint.com/sites/default/files/resources/datasheets/datasheet_forcepoint_ng
⮚ Fortinet podaje w karcie katalogowej do FG2200E i w przeglądzie produktów (product ma-
trix) wydajność dla Enterprise Mix a nie dla HTTP 64K, w części dokumentów pojawia się
także wydajność dla http 64K
https://www.fortinet.com/content/dam/fortinet/assets/datasheets/Fortinet_Product_Matrix.pdf
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortigate-2200e-series.pdf
⮚
Huawei
parametry wydajnościowe podane są dla ruchu określonego jako http 100K
https://e.huawei.com/en/material/networking/networksecurity/2289a69ad23c43a8b0b3bb6de
⮚ Juniper nie podaje wydajności dla HTTP 64K – parametry wydajnościowe podane są dla
ruchu określonego jako HTTP 44K
https://www.juniper.net/us/en/products/security/srx-series/srx4100-srx4200-services-
gateways
⮚ Palo Alto Networks podaje parametry wydajnościowe dla mieszanej charakterystyki ruchu
(różne aplikacje i protokoły – app mix) oraz dla HTTP 64K
Jak widać w załączonych przykładach nie można uznać w żaden racjonalny sposób, iż http
64K jest jakimkolwiek wspólnym mianownikiem pozwalającym twierdzić, że jest to standard
lub nawet de-
facto standard na podstawie tego, iż jest on podawany w dokumentacji więk-
szości producentów – bo nie jest.
Dodatkowo
– co istotniejsze – http 64K nie odzwierciedla rzeczywistego ruchu sieciowego i
taka charakterystyka
nie występuje produkcyjnie w żadnej realnej sieci. Jest ona możliwa do
wygenerowania w syntetyczny
ch testach laboratoryjnych i tak jak wspomniano wcześniej
parametry wydajnościowe dla niej podane stanowią jeden z punktów odniesienia dla inżynie-
rów zajmujących się bezpieczeństwem sieciowym.
Robiąc ponownie odniesienie do świata motoryzacji – w dokumentacji pojazdu podawana
niejednokrotnie droga hamowania
– jednak nie ma danych czy podawana jest dla na-
wierzchni suchej czy mokrej/śniegu; nie ma też wskazania czy nawierzchnią jest droga asfal-
towa, betonowa czy kostka brukowa, w jakiej temperaturze ten pomiar jest prawdziwy, czy
na drodze jest piasek lub liście oraz w jakiej ilości. I na koniec jakie ogumienie miał pojazd
przy pomiarze, a także czy hamulce były zimne czy rozgrzane. Ostatecznie jednak wszystkie
te czynniki wpływają na realne parametry i drogę hamowania – może być to – zależnie od
okoliczności więcej lub mniej niż wskazano.
Odwołujący błędnie zakłada, że parametry podane w karcie katalogowej są maksymalnymi
parametrami wydajnościowymi opisywanych urządzeń
Przyjmując błędną interpretację danych z karty katalogowej – m.in. iż http 64K to standard
o
dwołujący automatycznie przyjął błędne stanowisko, że parametry podane w karcie katalo-
gowej są maksymalnymi parametrami wydajnościowymi urządzeń.
Przystępujący podkreślił, iż:
a.
Wychodząc z założeń opisanych w p.5, iż wskaźniki dla appmix i http 64K określają
wydajność urządzeń dla specyficznych zastosowań urządzeń
b.
Zamawiający nie podał konkretnej charakterystyki ruchu sieciowego – w związku z
tym niemożliwe jest wprost stwierdzenie, iż urządzenie nie spełnia wymagań – możliwe jest
to tylko w testach generatorem ruchu, dla parametrów podanych przez Uniwersytet Marii
Curie-
Skłodowskiej (takich testów zamawiający nie przewidział w SWZ). Tym samym stwier-
dzenie, że urządzenie nie spełnia wymagań może odnosić się do obu zaoferowanych zama-
wiającemu urządzeń, jednego z nich, lub żadnego.
c.
Powszechną praktyką producentów jest niepodawanie maksymalnych wydajności
urządzeń, a takich, które będą znajdowały zastosowanie w możliwie dużej liczbie implemen-
tacji.
Idąc dalej - zgodnie z dokumentacją Palo Alto Networks która stanowi tajemnicę przedsię-
biorstwa Palo Alto Networks, a która została udostępniona wyłącznie NTT Poland Sp. z o.o.
w ramach zawartej umowy o zachowaniu poufności, Producent oświadcza iż na podstawie
wskazanej dokumentacji wydajność urządzenia PA5220 kształtuje się następująco:
oprogramowanie w wersji zarówno 10.0 jak i 10.1 pozwala na uzyskanie wydajności przekra-
czających 18Gbps.
Ze względu, iż wskazane dokumenty stanową tajemnicę przedsiębiorstwa Palo Alto Ne-
tworks, Palo Alto Networks przekazał wykonawcy oświadczenie wskazujące spełnienie wy-
magań dla zaoferowanego rozwiązania.
Oświadczenie stanowi dowód do niniejszego pisma procesowego.
Tym samym urządzenia PA5220 spełniają wymagania SWZ zarówno pracując z wersjami
oprogramowania 10.0 jak też 10.1.
W dniu 3 stycznia 2022 r. odwołujący złożył pismo przygotowawcze, w którym wniósł o do-
puszczenie załączonych dowodów wraz z tym pismem oraz w przypadku kwestionowania
przez przystępującego lub zamawiającego jakości tłumaczeń, to składam wniosek o zarzą-
dzenie złożenia tłumaczeń dokumentacji technicznej przetłumaczonych na język polski po-
świadczonych przez tłumacza przysięgłego - na podstawie art. 506 ust. 2 ustawy.
Nadto wniósł o dopuszczenie dowodu z biegłego na podstawie art. 529 ust. 2 ustawy na
stwierdzenie faktów:
1)
wysokości przepustowości wymaganej OPZ dla oprogramowania
2)
wysokości przepustowości wynikającej z dokumentacji technicznej oprogramowania
Pan-OS wersja 10.0 i oprogramowania Pan-OS wersja 10.1
3)
stwierdzenia czy występuje niezgodność oprogramowania Pan-OS wersja 10.0 insta-
lowanego na urządzeniach oferowanych przez Przystępującego Paloalto PA 5220 (w tym
stwierdzenia niezgodności podwersji oprogramowania: 10.0.7 i 10.0.6) w zakresie przepu-
stowości przy obsłudze ruchu stron internetowych (http) o wielkości pakietów 64 kb na po-
ziomie 8,2 Gbps (Gb/s) - z wymogami OPZ
w zakresie minimalnej przepustowości na pozio-
mie 10 Gbps (Gb/s),
4)
stwierdzenia czy występuje niezgodność oprogramowania Pan-OS wersja 10.1
instalowanego, które zastępuje wersję 10.0 w połowie 2022 r. na urządzeniach oferowanych
przez Przystępującego Paloalto PA 5220 (w tym niezgodności podwersji oprogramowania:
10.1.1, 10.1.2, 10.1.3) w zakresie przepustowości na poziomie pomiędzy 7,7 a 9,7 Gbps
(Gb/s) -
z wymogiem OPZ w zakresie minimalnej przepustowości na poziomie 10 Gbps
(Gb/s).
Odwołujący oświadczył, że dokonuje sprostowania oczywistych niedokładności w odwołaniu i
wskaz
ał, że:
1)
w odwołaniu przy 1 zarzucie jest błędnie „pkt 4 oferty NTT”, zamiast „pkt 3 oferty
NTT”
2)
w miejscach, gdzie w odwołaniu powołał się na przepustowość 10 Gbps wskazał, że
chodzi o naruszenie postanowienia OPZ: I pkt 2 b („NGFW – sztuk 2, urządzenia pracujące
w klastrze niezawodnościowym 2. Obsługa: b. 10 Gbps przepustowości Firewall/kontroli apli-
kacji/IPS/Antywirus/Antymalware;”).
W dniu 3 stycznia 2022 r. zamawiający złożył odpowiedź na odwołanie, w której wniósł o:
1.
oddalenie odwołania,
2.
zasądzenie od odwołującego na rzecz zamawiającego zwrotu kosztów postępowania
odwoławczego, w tym kosztów zastępstwa przed Izbą.
Zamawiający w odniesieniu do zarzutów wskazał, że żądał w punkcie 1.2.b SOPZ urządze-
nia,
które
oferuje
„
10
Gbps
przepustowości
Firewall
kontroli
aplika-
cji/IPS/Antywirus/Antymalware” a w punkcie
II
.31 zawarł interpretację tego wymagania:
31.
Interpretacja
parametr
ów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzi
elenie do niej polityk bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu
d.
Inspekcję antywirusową całego ruchu
e.
Inspekcję antymalware/AntySpyware całego ruchu
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi
dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antynalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch sprawdzeniu musi podlega ć każdy bajt danych
przesyłany przez urządzenie.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie — jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware. ”
Z zacytowanego opisu jasno wynika, że zamawiający nigdzie nie określił procentowo charak-
terystyki ruchu i w związku z tym chodzi mu o tzw. Application Mix w ramach którego ofero-
wane urządzenie Pało Alto ma wymaganą wydajność 10 Gbps. W takiej sytuacji zarzut od-
wołującego jest bezzasadny gdyż bazuje on na wartości dla ruchu konkretnie, bardzo precy-
zyjnie opisanego „http przy wielkości pakietów 64 IG” co nie zostało wyspecyfikowane w do-
kumentacji przetargowej. Zresztą jak każdy inny firewall również Palo Alto w ramach ruchu
http osiągnie wyższą niż deklarowana w dokumentacji prędkość jeśli pakiety http tak jak w
prawdziwym, rzeczywistym ruchu będą w różnych, najczęściej większych rozmiarach. Jed-
nak niezależnie od tego zamawiający nie żądał od wykonawcy deklaracji co do wydajności
urządzenia przy ruchu stricte http.
Zamawiający oświadcza, że parametr 64 kb to parametr specyficzny, który nie był oceniany i
weryfikowany przez z
amawiającego u żadnego z wykonawców. Powyższe wynika z faktu, iż
gdyby za
mawiający określił wobec tego parametru bardziej precyzyjne postanowienia (bar-
dziej precyzyjnie postawił wymagania określone w rozdziale II pkt 31 OPZ) to mogłoby to
zostać uznane za naruszenie konkurencji w kontekście zawężania możliwych do zaoferowa-
nia u
rządzeń. Ponadto mocno utrudnione byłoby porównanie tych wartości przez zamawiają-
cego na papierze”. bowiem każdy z producentów specyfikuje je odmienny sposób.
Zamawiający poinformował ponadto, iż w żadnym z dokumentów zamówienia nie wymagał
od w
ykonawców wskazania wersji oprogramowania dla oferowanego urządzenia, tym sa-
mym żądanie podania jej na etapie wyjaśnień dotyczących treści złożonej oferty, mogłoby
stanowić nieuprawnione działanie zamawiającego, które w świetle ustawy PZP mogłoby zo-
stać uznane za negocjacje lub zmianę treści oferty, w sytuacji gdy trybem w jakim zamawia-
jący prowadzi postępowanie jest przetarg nieograniczony, a nie jeden z trybów negocjacyj-
nych, np.: dialog konkurencyjny, który dopuszcza uszczegółowienie i ulepszenie treści oferty.
Można zatem wskazać że odwołujący przyjmuje odwołaniu pewne założenia które absolutnie
nie z wymogami zamawiaj
ącego określonymi w opisie przedmiotu zamówienia. Najprościej
rzecz
ujmując odwołujący zarzuca wykonawca NTT Poland Sp., Z o.o. nie spełnił wymogu,
k
tórego zamawiający nie postawił w Specyfikacji Warunków Zamówienia.
Zarzut taki zatem należy uznać za bezpodstawny.
Zamawiający wyjaśnił, iż cykl życia oprogramowania jest u różnych producentów z góry
określany datami początku i końca ich uruchomienia i rozwoju. Każde oprogramowanie ma
zatem ściśle określony czas funkcjonowania. Wersja PAN-OS 10.0 nie jest tutaj żadnym wy-
jątkiem. Przykładowo, kolejna wersja 10.1 będzie rozwijana tylko do 01.12.2024 r. Taka sy-
tuacja będzie dotyczyła wszystkich następnych wersji oprogramowania, niezależnie od funk-
cjonalności i parametrów jakie będą pod ich kontrolą osiągane przez firewall.
Co najistotniejsze- to z
amawiający decyduje czy zostaje na starszej wersji systemu czy
zmienia go na nowy, ważąc wady i zalety takiej decyzji. Pozostanie natomiast na wersji star-
szej 10.0) nie oznacza utraty gwarancj
i lub prawa do wsparcia zarówno producenta sprzętu
partnera
realizującego zamówienie.
Najprościej wyjaśniając- zarzut opiera na tym, iż wybierając wersie 10.0 straci wsparcie i
gwarancie producenta- co nie jest
prawdą. Producent co jakiś czas uwalnia” oprogramowa-
nie, z
amawiający ani wykonawcy nie mają żadnego na co pojawi w kolejnych wersjach.
Istotnie jednak nowa wersja
oprogramowania nie omacza że traci gwarancie lub wsparcie na
wersj
e, którą posiada. Wręcz przeciwnie jedynym skutkiem nowej wersji jest to że producent
zaprzestaje rozwijania poprzedniej wersji (
dokładania funkcji, nie rozwija tych które są obec-
ne), ale wsparcie i gwarancje z
amawiający posiada nadal nieprzerwanie. Sam wykonawca
zobowiązuje w ofercie że gwarancja będzie wynosiła 36 miesięcy.
Zamawiający w miejscu oświadcza że po pierwsze nie ma żadnego obowiązku aktualizacji
oprogramowania, po
drugie oświadcza że w praktyce wsparcie urządzeń jest niezależne od
wersji oprogramowania.
Nigdy bowiem z
amawiającemu nie zdarzyła się taka sytuacja, w której pomimo pojawienia
się nowej wersji oprogramowania- straciłby wsparcie i gwarancję na wersję która była do-
stępna w momencie składania ofert.
Zamawiający obecnie posiada jedno urządzenie producenta Palo Alto które pracuje kontrolą
oprogramowania 9.0.0 które ma ogłoszony End of Life na 1 Marca 2022 r. Mimo to
19.11.2021 r. z
amawiający podpisał umowę na wsparcie tego sprzętu na okres 25.09.2021
— 25.09.2022 r. Z firmą NGE partnerem Palo Alto. Zamawiający otrzymał w pakiecie pełne
wsparcie inżynierskie oraz do najnowszego oprogramowania, także gwarancie na sprzęt
przez ten okres. Także na tę jego cześć, która wykracza poza daty ram rozwojowych wyko-
rzystywanego software'u.
Powyższe w ocenie zamawiającego bezspornie przeczy zarzutom podniesionym przez od-
wołującego, że data End of Life jest tożsama z utratą gwarancji i wsparcia, co zarzut bezza-
sadnym.
Ponadto, w SOPZ, w części Nietechniczne cechy produktu punkt 6 „Zamawiający wymaga,
aby dostarczone
urządzenia i pakiety oprogramowania były sprawdzone w praktyce rynko-
wej. Omaca to, iż oprogramowanie systemowe (firmware urządzeń) realizujące wszystkie
wymagane fun
kcje jak też samo urządzenie musiało być dostępne na rynku co najmniej 9
miesięcy przed upływem terminu składania ofert. Urządzenie i powiązane z nim oprogramo-
wanie systemowe musi być objęte pełnym serwisem producenta (niedopuszczalne jest pro-
ponowanie oprogramowanie np. w wersji Beta) w chwili, i co najmniej w okr
esie 9 miesięcy
przed upływem terminu składania ofert. Za datę jego dostępności zamawiający przyjmuje
publikację konkretnej oferowanej wersji oprogramowania (wersji z pełnym wsparciem) na
stronie
Producenta rozwiązania. ” Wersja PAN-OS 10.0 wymagania te spełnia.
Natomiast punkt 7 Nietechnicznych cech produktu wynika, iż: „Zamawiający wymaga, aby
za
oferowane urządzenia były dostępne i serwisowane przez Producenta oraz nie będą przez
niego przewidziane do wycofania ze
sprzedaży i wsparcia przed upływem terminu składania
ofert (ogłoszone tzn. dokumenty End-of-Sale lub End-of-Life lub im odpowiadające. ” Powyż-
sze odnosi się do samego urządzenia, a nie do aktualnie czy w przyszłości dostępnych wer-
sji software'u.
W związku z powyższym, również ten zarzut odwołującego w ocenie zamawiającego należy
uznać za bezzasadny.
Zamawiający nie ma obowiązku aktualizacji wersji oprogramowania do aktualnie najnowszej
i może pozostać na 10.0, która wciąż jest zalecana przez producenta. Nie wiąże się to z utra-
tą gwarancji ani wsparcia zarówno producenta jak i partnera realizującego zlecenie. Zalece-
nia producenta Palo Alt
o, tak jak w wypadku innych marek, nie są obligatoryjne dla użytkow-
nika. Tak więc zarzut odwołującego, co już wyżej wskazano, nie licuje ze stanem faktycznym
i należy uznać go za bezpodstawny.
W odpowiedziach 1-
3 dowiedziono, że wybrany przez zamawiającego sprzęt spełnia zawarte
w SOPZ wymagania zama
wiającego, a co więcej istnieje możliwość ich dotrzymania przez
cały okres gwarancji. Nie można również z całą pewnością stwierdzić, że po upływie okresu
jej obowiązywania sytuacja ta ulegnie zmianie.
Zarzut ewentualny z
amawiający uznaje w całości bezzasadny, gdyż urządzenie może zostać
dostarczone z oprogramowaniem w wersji 10.0 zalecanej przez producenta oraz spełniającej
wszystkie techniczne i nietechniczne wymogi z
amawiającego. Jak wynika chociażby z mate-
riałów dostarczonych przez samego odwołującego ta wersja oprogramowania (10.0) została
uwolniona 16 lipca 2020 r. więc występuje na rynku wystarczająco długo aby można było ją
zaakceptować. W związku z tym, jakiekolwiek rozważania dotyczące wersji nowszej tj. 10.1
są zbędne gdyż zamawiający nie ma żadnego obowiązku jej uruchamiania i może zainstalo-
wać zgodnie ze swoją wolą dowolną wersję starszą lub nowszą.
Zamawiający nie dokonał czynności odrzucenia oferty NTT Poland Sp. z o.o., w związku z
brakiem przesłanek ku temu, tym samym czynność wezwania do złożenia JEDZ oraz pod-
miotowych środków dowodowych w stosunku do oferty najwyżej ocenionej w postępowaniu
była jak najbardziej prawidłowa.
Zamawiający poinformował, iż po czynności oceny ofert, oferta odwołującego nie została
najwyżej oceniona. Jak wynika z informacji o wyborze oferty najkorzystniejszej (rozstrzygnię-
cie postępowania), wedle kryteriów ofert określonych przez zamawiającego- oferta odwołują-
cego uzyskała o 29,41 łącznie punktów mniej niż oferta wykonawcy NTT Poland Sp. z o.o.
Zamawiający wskazał, iż protokół postępowania, przedstawia wszystkie okoliczności postę-
powania na dzień jego sporządzenia i przekazania odwołującemu, tj. do dnia 17.12.2021 r.
Na wniosek wykonawcy (o
dwołującego), zamawiający przekazał wszystkie załączniki, wy-
mienione w punkcie
23 protokołu postępowania, w tym załącznik wymieniony w podpunkcie
35) zawierający informację dotyczącą zarzutu niezgodności oferty NTT Poland Sp. z o.o. z
SWZ. Podkreślił, iż autonomiczną i niepodlegającą wpływowi innych wykonawców, była de-
cyzja z
amawiającego o zbadaniu zarzutów w stosunku do oferty NTT Poland Sp. z o.o., sa-
modzielnie, w oparciu dane producenta oferowanego urządzenia, bez wzywania do wyja-
śnień wykonawcy NTT Poland Sp. z o.o.
Tak więc, odwołujący formułując powyższy zarzut wprowadza Izbę w błąd, gdyż w rzeczywi-
stości zarzut ten formalnie odnosi się do jednego pisma, które odwołujący przesłał do zama-
wiaj
ącego, wg protokołu postepowania.
Taka konstrukcja zarzutu, w ocenie z
amawiającego, jest nieuczciwa wobec stron i uczestni-
ków postępowania oraz wobec Krajowej Izby Odwoławczej, która rozpatrywać będzie
przedmiotowe odwołanie. Odwołujący bowiem jest w posiadaniu pisma. które sam skierował
do z
amawiającego. które to pismo stanowi załącznik do protokołu postępowania.
Analogicznie, jak w przypadku punktu I. ZARZUT 1) przedmiotowej odpowiedzi z
amawiający
poinform
ował, iż w żadnym z dokumentów zamówienia nie wymagał od wykonawców wska-
zania wersji oprogramowania dla oferowanego urządzenia, tym samym żądanie podania jej
na etapie wyjaśnień dotyczących treści złożonej oferty, mogłoby stanowić nieuprawnione
działanie zamawiającego, które w świetle ustawy PZP mogłoby zostać uznane za negocjacje
lub zmianę treści oferty, w sytuacji gdy trybem w jakim zamawiający prowadzi postępowanie
jest prze
targ nieograniczony, a nie jeden z trybów negocjacyjnych, np.: dialog konkurencyjny,
który dopuszcza uszczegółowienie i ulepszenie treści oferty.
Zamawiający, nie znajduje podstaw do uznania zasadności argumentacji odwołującego w
zakresie zarzutów przedstawionych w odwołaniu oraz podtrzymuje stanowisko, co do prawi-
dłowości wyboru oferty najkorzystniejszej w prowadzonym postępowaniu.
W ocenie z
amawiającego, „pozostałe zarzuty wskazane w uzasadnieniu” to konkluzja Odwo-
łującego wynikająca z wcześniejszych zarzutów dot. utraty parametru 10GB/s w związku z
upgradem oprogramowania z wersji 10.0 do wersji
10.1 oraz możliwości utraty gwarancji na
urządzenie w związku z brakiem takiego upgrade. Odwołujący starał się udowodnić w opar-
ciu o ww. konflikt, iż dostarczony sprzęt jest niezgodny z SWZ nie tyle w dacie składania
ofert, co w całym okresie korzystania wymaganym umową, a brak rozwiązania tego konfliktu-
w ocenie o
dwołującego- skazuje zamawiającego utratę sprawności urządzenia lub zaniżenie
jego parametrów.
Oczyw
iście, zdaniem zamawiającego jest to efekt nadinterpretacji odwołującego, co kryje się
pod podjęciem „ruch” według postanowień II pkt. 31 OPZ. Według odwołującego to każdy
przypadek ruchu, w tym najbardziej ekstremalny i w zasadzie w brzegowych parametrach,
czego, jak wynika z doświadczenia odwołującego- nie spotyka się poza laboratorium.
Dodatkowo, o
dwołujący stara się wytworzyć standard pomiaru tego ruchu dla paczek 64kb
przy protokole http, czego nie robi większość producentów, podając własne warunki brzego-
we w tym zakresie (co zostało wykazane przez przystępującego w piśmie procesowym). Ja-
ko dowód na potwierdzenie powyższego odwołujący bowiem przytacza w odwołaniu wyrwa-
ną niejako z kontekstu tabelkę producenta Palo-alto. Ponadto, zarówno parametr „64 kb” jak
i wersja oprogramowania nie była określona w OPZ lub wymagana do określenia. Żaden z
w
ykonawców również nie zadawał pytań w tym zakresie w trakcie postępowania. Zamawia-
jący podkreślił - brak aktualizacji do najnowszej wersji firmware nie pozbawia zamawiającego
gwarancji, stąd zamawiający ma swego rodzaju dowolność w zakresie podjęcia decyzji o
aktualizacji. Na potwierdzenie powyższego, zamawiający powołał się we wcześniejszym
fragmencie pisma na umowę na utrzymanie sprzętu Palo- alto z wersją oprogramowania 9.0
i z terminem (wrzesień 2022 r.) wykraczającym poza deklaracje producenta (marzec 2022
r.). Istotnie zatem, do ewentualnej utraty wsparcia doszłoby wówczas, gdyby całe urządzenie
zostało wycofane oferty producenta, a taka sytuacja nie miała w stanie faktycznym miejsca.
Na gruncie powyższej argumentacji, nie ulega zatem wątpliwości, iż przedstawione przez
o
dwołującego zarzuty oraz ich uzasadnienie są całkowicie pozbawione odzwierciedlenia za-
równo w stanie faktycznym jak i prawnym.
Odwołujący złożył kolejne stanowisko procesowe wraz z wnioskami dowodowymi o dopusz-
czenie załączonych dowodów wraz z tym pismem na fakty:
1.
E-
maili z 3 stycznia 2022 r. z dystrybucją Paloalto na Polskę – firmą Clico na fakt bra-
ku istnienia innej dokumentacji technicznej do oprogramowania Paloalto wersja 10.0 i 10.1
niż oficjalna i fakt, że odwołujący odnosi się do właściwej dokumentacji technicznej, miaro-
dajnej dla rozstrzygnięcia sprawy i na fakt, że Clico (dystrybutor Paloalto) jest odpowiednim
źródłem wiedzy o produktach Paloalto – plik z nr 1 i 3
2.
Strony
internetowej
z
adresu
https://locator.paloaltonetworks.com/
i
https://clico.pl/vendors/palo-alto-
networks/cpsp na fakt, że Clico jest jednym z dwóch dystry-
butorów w Polsce producenta Paloalto i jego informacje są miarodajne – plik z nr 2 i 4 wraz z
tłumaczeniem
3.
Dokumentów przetargowych dla porównania od innych zamawiających: Uniwersytetu
Jana Kochanowskiego, Pomorskiej Specjalnej Strefy Ekonomicznej, INSTYTUTU PAMIĘCI
NARODOWEJ na fakt, że zamawiający różnie określają wymogi przepustowości, ale gdy je
zawężają do określonego ruchu, to robią to wyraźnie w dokumentach lub wyjaśnieniach, w
przeciwieństwie do przetargu objętego odwołaniem, gdzie jest określone, że obsługa prze-
pustowości minimum 10 Gbps ma obejmować cały ruch – pliki nr 6A, 6B, 7, 8, 9
Odwołujący podniósł, że zapytał jednego z dwóch dystrybutorów w Polsce, firmę Clico czy
jest inna niż oficjalna dokumentacja techniczna dotycząca oprogramowania Pan-OS 10.0 i
10.1, a Clico (dystrybutor
Paloalto) zaprzeczył
Pytanie odwołującego:
„Mam pytanie dotyczące przepustowości urządzenia PA-5220.
Zgodnie z datasheet w zależności od wersji oprogramowania 10.0 czy 10.1 jest inna przepu-
stowość:
10.0
https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/p
an/ en_US/resources/datasheets/pa-5200-series-pan-os-10-0
10.1
https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/p
an/ en_US/resources/datasheets/pa-5200-series-specsheet
(…) podobno PaloAlto ma inne dokumenty potwierdzające wyższe przepustowości niż poda-
ne w w datasheet.
Czy mogą Państwo jako dystrybutor udostępnić taki dokument?
Czy możemy na ten dokument powołać się przy kreowaniu oferty do klienta?
Odpowiedź Clico, dystrybutora Paloalto:
„Nie mamy innych data sheetów niż dostępne oficjalnie.”
Odwołujący podniósł, że zamawiający publiczni różnie odnoszą się do wymogów przepusto-
wości. Często odnoszą się w przetargach do określonego ruchu i wtedy jawnie to wskazują,
ale w tym przetargu nie ma takiego ograniczenia
– jest wymóg co do „całego ruchu”, więc nie
ma podstaw do zawężania przepustowości wyłącznie do ruchu mieszanego (application mix)
i wykluczania przy ocenie przepustowości pakietów 64 kb przy obsłudze stron internetowych.
Przykłady, które tego dowodzą:
Przykład 1: przetarg Uniwersytetu Jana Kochanowskiego na ”Dostawa urządzeń, oprogra-
mowania i licencji wraz z gwarancja, wsparciem i aktualizacjami w okresie 36 miesięcy dla
wybranych systemów infrastruktury teleinformatycznej”: SIWZ_ADP.2301.65.2020.pdf
(ujk.edu.pl),
https://bip.ujk.edu.pl/dzp/files/z/Zalacznik_nr_1_do_SIWZ_-
_Opis_przedmiotu_zamowienia.pdf, strona 31 OPZ:
Przykład
2:
przetarg
Pomorskiej
Specjalnej
Strefy
Ekonomicznej
z
http://bip.strefa.gda.pl/index.php?bip
_id=489&cid=23, plik „Załączniki 1-4.docx” strona 2.
Przykład 3: nieco odwrotny przykład: przetarg INSTYTUTU PAMIĘCI NARODOWEJ na:
Rozbudowa systemu Check Point w zakresie platformy sprzętowej oraz instalacja, konfigu-
racja i migracja obecnych ustawień
https://bip.ipn.gov.pl/bip/zamowienia-publiczne/3514,Rozbudowa-systemu-Check-Point-w-
zakresieplatformy-sprzetowej-oraz-instalacja-ko.html
Izba ustaliła następujący stan faktyczny:
Izba dopuściła dowody z dokumentacji postępowania tj. ogłoszenia o zamówieniu, SWZ wraz
z załącznikami, oferty przystępującego, informacji z otwarcia ofert, informacji o wyborze
oferty najkorzystniejszej, dowodów dołączonych do odwołania i pism procesowych
odwołującego oraz zgłoszonych na rozprawie i do pisma przystępującego z dnia 23 grudnia
2021 r. , przy czym
w ocenie Izby dokumenty, do których strony podnoszą nierzetelność
tłumaczenia w ocenie Izby nie dotyczą okoliczności w tym zakresie mających znaczenie dla
rozstrzygnięcia, gdyż przedmiotem sporu jest przede wszystkim treść SWZ. W związku z
powyższym to wymagania Zamawiającego determinują treść składanych ofert, a dowody
przedłożone dot. stanowisk producentów zawartych w opracowanych przez nich
dokumentach. Natomiast Izba dopuszcza te dowody w oryginale w takim zakresie, jakim
dotyczą danych technicznych urządzeń.
Izba postanowiła nie dopuścić wniosku z opinii biegłego wskazując, iż istotą rozstrzygnięcia
jest treść postanowień pkt I.1b SWZ i odpowiednio punktu II.31. OPZ, a także pkt 7 OPZ i
punktów dot. wymagań serwisu i licencjonowania i złożonych w tym zakresie materiały do-
wodowe przez strony i uczestnika postępowania nie wymagają oceny osoby posiadającej
wiadomości specjalne.
Z treści SWZ wynika, że :
3.
Przedmiot zamówienia:
3.1
Przedmiotem zamówienia jest dostawa, montaż i integracja z siecią Zamawiającego,
informatycznego Systemu Bezpieczeństwa (zwanego dalej Systemem) opartego o urządze-
nia typu zapora sieciowa z rozszerzonym zestawem funkcji, systemem zarządzania i serwi-
sem gwarancyjnym oraz świadczenie 12 miesięcznej asysty technicznej w ilości minimalnej
200 roboczogodzin, z zastrzeżeniem pkt 13.2 SWZ.
3.2
Szczegółowy opis przedmiotu zamówienia zawarty jest w załączniku nr 1 do SWZ.
3.4
Oferowany przedmiot umowy ma być fabrycznie nowy, nieużywany oraz nieekspono-
wany na wystawach lub imprezach targowych, sprawny technicznie, bezpieczny, kompletny i
gotowy do pracy, wyprodukowany nie wcześniej niż w II półroczu 2020 r. a także musi speł-
niać wymagania techniczno-funkcjonalne wyszczególnione w opisie przedmiotu zamówienia.
3.5
Zamawiający wymaga udzielenia przez Wykonawcę gwarancji i bezpłatnego serwisu
gwarancyjnego na całość przedmiotu zamówienia na okres minimum 36 miesięcy, z zastrze-
żeniem pkt 13.2 SWZ.
3.6
Dostawa obejmuje transport do bezpośredniego użytkownika, montaż i instalację w
miejscu przez niego wskazanym, uruchomienie i przekazanie do użytku oraz wszystkie inne
koszty związane z wykonaniem przedmiotu zamówienia i wymogami stawianymi przez Za-
mawiającego szczegółowo opisanych w Załączniku nr 1 do SWZ.
4.
Termin wykonania zamówienia:
4.1.
Wykonanie zamówienia zostanie podzielone na etapy:
1)
Etap I
– dostawa sprzętu sieciowego wraz z montażem i uruchomieniem – w okresie
do 60 dni kalendarzowych od daty zawarcia umowy, z zastrzeżeniem pkt 13.2 SWZ;
2)
Etap II
– integracja dostarczonego sprzętu sieciowego z komponentami sieci IT Za-
mawiającego – w okresie do 2 miesięcy od dnia dostarczenia sprzętu sieciowego;
3)
Etap III
– przeprowadzenia warsztatów w zakresie integracji i obsługi uruchomionego
Systemu
oraz opracowania, we współpracy z Zamawiającym, koncepcji rozwoju Systemu –
w okresie do 2 miesięcy od dnia od zakończenia Integracji dostarczonego sprzętu sieciowe-
go z Systemem Zamawiającego;
4)
Etap IV
– usługa asysty technicznej – w okresie 12 miesięcy, od dnia zakończenia
integracji dostarczonego sprzętu sieciowego z komponentami sieci IT Zamawiającego.
4.2.
Zamawiający przewiduje, iż maksymalny termin wykonania zamówienia wyniesie 16
miesięcy od dnia zawarcia umowy.
10.
Opis sposobu przygotowania oferty:
10.1
Na ofertę składa się:
1)
Wypełniony formularz oferty (w postaci elektronicznej opatrzonej kwalifikowanym
podpisem elektronicznym), zgodny ze wzorem formularza oferty, stanowiącym załącznik do
SWZ. W przypadku złożenia oferty bez użycia załączonego formularza, złożona oferta musi
zawierać wszelkie informacje wymagane w SWZ i wynikające z zawartości wzoru formularza
oferty.
Z załącznika nr 1 do SWZ – SOPZ wynika:
NIETECHNICZNE CECHY PRODUKTU
5.
Przedmiot zamówienia musi być legalny, fabrycznie nowy, nigdy wcześniej nie uży-
wany, pochodzący z legalnego kanału dystrybucyjnego, dopuszczony do obrotu, spełniający
normy CE.
6.
Zamawiający wymaga, aby wszystkie dostarczane urządzenia i pakiety oprogramo-
wania były sprawdzone w praktyce rynkowej. Oznacza to, iż oprogramowanie systemowe
(firmware urządzeń) realizujące wszystkie wymagane funkcje jak też samo urządzenie mu-
siało być dostępne na rynku co najmniej 9 miesięcy przed upływem terminu składania ofert.
Urządzenie i powiązane z nim oprogramowanie systemowe musi być objęte pełnym serwi-
sem producenta (niedopuszczalne jest proponowanie oprogramowanie np. w wersji Beta) w
chwili, i co najmniej w okresie 9 miesięcy przed upływem terminu składania ofert. Za datę
jego dostępności Zamawiający przyjmuje publikację konkretnej oferowanej wersji oprogra-
mowania (wersji z pełnym wsparciem) na stronie Producenta rozwiązania.
7.
Zamawiający wymaga, aby zaoferowane urządzenia były dostępne i serwisowane
przez Producenta oraz nie będą przez niego przewidziane do wycofania ze sprzedaży i
wsparcia przed upływem terminu składania ofert (ogłoszone tzw. dokumenty End-of-Sale lub
End-of-
Life lub im odpowiadające.
WIARYGODNOŚĆ PRODUCENTA
8.
Zamawiający wymaga, aby zaoferowane urządzenia były uznanymi rozwiązaniami na
świecie – producent zaoferowanego rozwiązania musi być notowany w raportach Gartnera
dla rozwiązań Enterprise Network Firewall nie starszych niż 2 lata przed upływem terminu
składania ofert.
I. NGFW
– sztuk 2, urządzenia pracujące w klastrze niezawodnościowym
1.
Fir
ewalle muszą być dostarczone w postaci dedykowanych urządzeń.
2.
Obsługa:
a.
16 Gbps przepustowości Firewall/kontroli aplikacji.
b.
10 Gbps przepustowości Firewall/kontroli aplikacji/IPS/Antywirus/Antymalware;
c.
10 Gbps dla IPsec VPN;
31.
Interpretac
ja
parametrów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzielenie do niej polityki bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu
d.
Inspekcję antywirusową całego ruchu
e.
Inspekcję antymalware/AntySpyware całego ruchu
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.
SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA – WYMAGANIA SERWISOWE I LI-
CENCYJNE
4.
Wsparcie techniczne i gwarancja (zwanej dalej wsparciem) będzie świadczone przez
producenta lub autoryzowane przez producenta centrum serwisowe niezależne od Wyko-
nawcy realizowane we współpracy z producentem, przez okres 36 miesięcy od daty odbioru
bez zastrzeżeń, potwierdzonego protokołem. Wsparcie obejmuje:
a.
Dostęp do Centrum Wsparcia Technicznego (TAC) przez: stronę internetową, email
oraz telefonicznie w języku polskim - wsparcie przy rozwiązywaniu problemów związanych z
dzia
łaniem NGFW oraz systemów wspomagających w trybie 8x5, tj. co najmniej 8 godzin
przez 5 dni w tygodniu;
i.
czas reakcji na zgłoszony drogą mailową lub telefoniczną problem – maks. 8 godzin,
liczony w godzinach przyjmowania zgłoszeń, co najmniej 8 godzin przez 5 dni w tygodniu;
ii.
przy wystąpieniu awarii urządzenia, któregokolwiek z jego komponentów lub wyposa-
żenia, w tym modułów optycznych – wymiana lub naprawa (RMA) w trybie NBD w terminie
do 3 dni roboczych od daty zgłoszenia, świadczona w miejscu instalacji.
b.
Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich aktualizacji doty-
czących oferowanych NGFW oraz wszystkich systemów wspomagających w ramach wyma-
ganych funkcjonalności, wydawanych przez Producenta.
c.
Dostęp do bazy wiedzy oraz dokumentacji producenta dotyczących instalacji, konfigu-
racji i utrzymania -
w języku polskim lub angielskim.
d.
W przypadku wymiany urządzenia, któregokolwiek z jego komponentów lub wyposa-
żenia, w tym modułów optycznych – wymiana nastąpi na sprzęt równoważny w terminie
zgodnym z p.4.a.ii.
e.
W przypadku wymiany nośników danych, które uległy awarii, uszkodzone nośniki po-
zostają w całości u Zamawiającego, w terminie zgodnym z p.4.a.ii. Nie ma opcji demontażu
dysku i pozostawienia u Zamawiającego fragmentów dysku z nośnikami danych.
f.
Każda z napraw, wymian musi być potwierdzona Protokołem Naprawy, zawierającym
wpisy dotyczące wykonanych czynności oraz listę naprawionych oraz wymienianych części i
komponentów składowych urządzeń.
W formularzu ofertowym zam
awiający wymagał złożenia oświadczenia o treści:
3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepustowość urządzenia
wynosi: ……………………………… (zgodnie z punktem II podpunkt 31. OPZ).
Z projektowanej umowy wynika, że:
§9 Zmiany umowy
1.
Zamawiający zastrzega sobie prawo zmiany postanowień umowy w przypadku:
1)
aktualizacji rozwiązań ze względu na postęp techniczny lub technologiczny (np. wy-
cofanie z obrotu urządzeń lub podzespołów), zmiana nie może spowodować podwyższenia
ceny oraz obniżenia parametrów technicznych, jakościowych i innych wynikających z oferty,
na podstawie której był dokonany wybór Wykonawcy;
Wyjaśnienia treści SWZ z 16 września 2021 r. :
Pytanie 3
Dotyczy punktu II.31 OPZ.
Zamawiający zamieścił zapis:
„Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie.”
Zwracamy uwagę, iż tak napisane wymaganie może być spełnione wyłącznie przez rozwią-
zanie PaloAlto i nie ma praktycznego zastosowania.
Zagrożenia przesyłane droga elektroniczną są to najczęściej pliki małe, poniżej 2 MB. Już
przeskanowanie 10MB pozwala z niezwykle wysokim prawdopodobieństwem stwierdzić ist-
nienie lub brak zagrożenia. Też w praktyce nie stosuje się systemów bez limitów na skano-
wane, pliki gdyż znacząco pogarsza to odczucia użytkowników (user experience) przy korzy-
staniu z zasobów informatycznych przez wprowadzenie niepotrzebnych i o wiele nadmiaro-
wych opóźnień w przesyłaniu danych. Przykładem są np. systemy Antywirusowe, które mają
limity domyślne na 2MB lub max 10MB(Trend Micro, Kaspersky, Eset, itd.),.
W wielu przypadkach przy dodatkowych opóźnieniach wynikających z nadmiarowego ska-
nowania również przestają działać aplikacje korzystające np. z systemów bazodanowych.
W związku z powyższym prosimy o zmianę wymagania na brzmiące:
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie.
Odpowiedź:
Zamawiający informuje, iż podtrzymuje w dotychczasowym brzmieniu wymaganie, w zakre-
sie którego dotyczy pytanie. Zapis którego dotyczy pytanie, stanowi dla Zamawiającego jed-
ną z kluczowych cech przedmiotu zamówienia dla zrealizowania rzeczywistych, obiektyw-
nych i uzasadnionych potrzeb Zamawiającego, związanych z realizacją zamierzonych zadań.
Zmiana treści SWZ z dnia 1 października 2021 r.:
1.
uchyla odpowiedzi na pytania 1, 3 oraz 4, w piśmie z dnia 16.09.2021r., utrzymując
pozostałe odpowiedzi jako obowiązujące, i:
2.
dotychczasowe brzmienie punktu 3.1 SWZ zastępuje poniższym:
„3.1 Przedmiotem zamówienia jest dostawa, montaż i integracja z siecią Zamawiającego,
informatycznego Systemu Bezpieczeństwa (zwanego dalej Systemem) opartego o urządze-
nia typu zapo
ra sieciowa z rozszerzonym zestawem funkcji, systemem zarządzania i serwi-
sem gwarancyjnym oraz świadczenie 12 miesięcznej asysty technicznej w ilości 250 robo-
czogodzin.”
3.
dotychczasowe brzmienie punktu 3.5 SWZ zastępuje poniższym:
„3.5 Zamawiający wymaga udzielenia przez Wykonawcę gwarancji i bezpłatnego serwisu
gwarancyjnego na całość przedmiotu zamówienia na okres 36 miesięcy.”
4.
dotychczasowe brzmienie punktu 4.1 podpunkt 1) SWZ zastępuje poniższym:
„4.1. Wykonanie zamówienia zostanie podzielone na etapy:
1) Etap I
– dostawa sprzętu sieciowego wraz z montażem i uruchomieniem – w okresie do
60 dni kalendarzowych od daty zawarcia umowy;”
5.
dotychczasowe brzmienie punktu 13.1 SWZ zastępuje poniższym:
„13.1 Kryteria oceny ofert:
1) cena *
– waga kryterium: 60%
2) lokalna przestrzeń dyskowa na logi **
– waga kryterium: 10%
3) skanowanie każdego bajtu przesłanego przez urządzenie *** – waga kryterium: 20%
4) dodatkowa funkcjonalność zapory sieciowej ****
– waga kryterium: 10%
* -
ocenie będzie podlegała całkowita cena brutto oferty, podana przez Wykonawcę w formu-
larzu oferty;
** -
ocenie będzie podlegała wielkość lokalnej przestrzeni dyskowej na logi, podana przez
Wykonawcę w formularzu oferty;
*** -
ocenie będzie podlegała deklaracja Wykonawcy w zakresie skanowania, podana w for-
mularzu oferty;
**** -
ocenie będą podlegały właściwości funkcjonalne zapory sieciowej, podane przez Wy-
konawcę w formularzu oferty.”
9.
dotychczasowe brzmienie punktu 31, działu „II. Założenia wspólne dla rozwiązań
NGFW”, Załącznika nr 1 do SWZ zastępuje poniższym:
„31.
Interpretacja
parametrów
wydajnościowych
dla
Firewall/kontroli
aplika-
cji/IPS/Antywirus/Antymalware -
rozwiązanie pozwoli na:
a.
wykrycie aplikacji,
b.
przydzielenie do niej polityki bezpieczeństwa obejmującej przypisanie uprawnień
użytkownikom do korzystania z określonych aplikacji sieciowych,
c.
inspekcje IPS całego ruchu,
d.
inspekcję antywirusową całego ruchu,
e.
Inspekcję antymalware/AntySpyware całego ruchu,
f.
przesyłanie plików do sandboxa lokalnego i/lub chmurowego w tym przechwytywanie
i blokowanie plików określonego typu.
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostępnymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na roz
miar plików poddawanych analizie minimum do 15GB.
Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość urządzenia
dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie pozwala na
pracę w wielu trybach to należy podać przepustowość dla trybu z największą liczbą dostęp-
nych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.”
Wyjaśnienia z 22 października 2021 r.:
Pytanie 1
Prosimy o potwierdzenie, iż dodatkowe wymagania dotyczące skanowania całego ruchu –
Sb-
oznacza, że aby oferta uzyskała dodatkowe punkty to zaproponowane urządzenie musi
pracować w trybie z największą liczbą dostępnych inspekcji dla silników IPS, antywirus, an-
tymalware/antyspyware (jak to Zamawiający opisał w p. 31, działu „II. Założenia wspólne dla
rozwiązań NGFW”, Załącznika nr 1 do SWZ nie może mieć ograniczeń na wielość skanowa-
nych plików (jak to Zamawiający opisał w p. 31, działu „II. Założenia wspólne dla rozwiązań
NGFW”, Załącznika nr 1 do SWZ, nie może pracować w trybie IPS, w którym skanowana jest
tylko część ruchu np. analizowane jest tylko pierwsze 200KB ruchu w sesji lub o wyjaśnienie
jak należy interpretować wymaganie dodatkowe Sb.
Odpowiedź:
Zamawiający potwierdza właściwe odczytanie zapisów dokumentów zamówienia przez zada-
jącego pytanie.
Z oferty przystępującego wynika, że zaoferował on urządzenie: Producent Palo Alto Ne-
tworks Marka Palo Alto Model PA-
5220 Miesiąc i rok produkcji : 10.2021 r.
i oświadczył, że 3) Dla pełnego zakresu ochrony, oferowanego przez urządzenie, przepu-
stowość urządzenia wynosi: 10Gbps (zgodnie z punktem II podpunkt 31. OPZ).
Z pisma zamawiającego z dnia 10 grudnia 2021 r. wynika, że zamawiający nie podzielił za-
rzutów podniesionych przez odwołującego w piśmie z dnia 5 listopada 2021 r. i wskazał, że
Podnoszona przez
odwołującego rozbieżność parametru urządzenia deklarowana przez
Producenta urządzenia (zrzuty ekranu w piśmie odwołującego), a wartość podana w ofercie
wykonawcy
– NTT Poland Sp. z o.o., jest następstwem odniesienia się do parametrów wersji
urządzenia, w wersji oprogramowania (firmware) innej niż preferowana przez jego Producen-
ta. Po dokonanej weryfikacji, z
amawiający znalazł potwierdzenie, iż wersja urządzenia, jaka
była dostępna i mogła zostać zaoferowana w prowadzonym postępowaniu, osiąga negowa-
ną wartość, tj.: 10 Gbps.
Zgodnie z informacją od producenta Palo Alto Networks rekomendowana wersja PANOS
(Preffered
) jest wskazana na stronie, PANOS 10.0 (poniżej) wskazuje przepustowość
10Gbps dla Threat Prevention rozumianego jako Threat Prevention throughput is measured
with App-ID, IPS, antivirus, anti-spyware, WildFire, file blocking, and logging enabled.
Informac
ja
ze
strony
Producenta
urządzenia:
https://www.paloaltonetworks.com/resources/datasheets/pa-5200-series-pan-os-10-0,
po-
twierdza podaną przez Wykonawcę – NTT Poland Sp. z o.o. wartość.
Powyższe, pozwoliło zamawiającemu na ustalenie, iż podniesiony zarzut nie znalazł po-
twierdzenia w stanie faktycznym, tym samym nie zachodzą przesłanki odrzucenia oferty Wy-
konawcy: NTT Poland Sp. z o.o., na wskazanych, przez
odwołującego, podstawach praw-
nych.
Dowody
odwołującego:
Z protokołu otwarcia ofert wynika, że:
Kwota j
aką Zamawiający zamierza przeznaczyć na sfinansowanie zamówienia wynosi: 843
327,00 złotych brutto.
Złożono oferty:
NTT Poland spółka z o.o. ul. Sienna 73, 00-833 Warszawa - 858 540,00
IT Solution Factor sp. z o.o. ul. Popularna 4/6, 02-472 Warszawa 1 105 770,00
Dowód z https://www.paloaltonetworks.com/resources/datasheets/pa-5200-series-pan-os-
10-0 -
tłumaczenie ARKUSZ DANYCH Seria PA-5200 Karta katalogowa PAN-OS 10.0
Palo Alto Networks PA-5200 Series ML-Powered NGFW
— PA-5280, PA-5260, PA-5250 i
PA-5220
— idealnie nadają się do szybkich wdrożeń w centrach danych, bramach interne-
towych i usługach. Seria PA-5200 zapewnia przepustowość do 64 Gb / s, przy użyciu dedy-
kowanego przetwarzania i pamięci, dla kluczowych obszarów funkcjonalnych sieci, bezpie-
czeństwa, zapobiegania zagrożeniom i zarządzania.
Palo Alto Networks PA-5200 Seria ML-
Powered Podkreśla
• Pierwszy na świecie NGFW zasilany ML
• Dziewięciokrotny lider w raporcie Gartner Magic Quadrant® za zapory sieciowe
• Lider w dziedzinie™ForresterWave: Zapory sieciowe dla przedsiębiorstw, 3. kwartał 2020 r.
• Najwyższy wynik skuteczności bezpieczeństwa w raporcie z testu NSS Labs NGFW 2019,
ze 100% zablokowanych uników
• Zapewnia natywne zabezpieczenia 5G stworzone w celu ochrony transformacji 5G u do-
stawców usług i przedsiębiorstw
• Rozszerza widoczność i bezpieczeństwo na wszystkie urządzenia, w tym niezarządzane
urządzenia IoT, bez konieczności wdrażania dodatkowych czujników
• Obsługuje wysoką dostępność w trybach aktywnym / aktywnym i aktywnym / pasywnym
Zapewnia przewidywalną wydajność dzięki usługom bezpieczeństwa
NGFW - PA-5280, PA-5260, PA-5250 i PA-5220 -
są idealne do dużych prędkości centrum
danych, brama internetowa i wdrożenia dostawców usług. Autonomia PalestyńskaSeria -
5200 zapewnia przepustowość do 64 Gb / s, przy użyciu dedykowanego przetwarzania i pa-
mięci, dla kluczowych obszarów funkcjonalnych sieci, bezpieczeństwa, zapobiegania zagro-
żeniom i zarządzania.
Przepustowość zapory (HTTP/appmix)* PA-5220 16/18 Gb/s
Przepustowość funkcji zapobiegania zagrożeniom (HTTP/appmix) PA-5220 8,2/10 Gb/s
Uwaga: Wyniki mierzono na PAN-OS 10.0.
* Przepustowość zapory jest mierzona przy włączonym identyfikatorze aplikacji i rejestrowa-
niu, przy użyciu 64 KB transakcji HTTP /appmix.
† threat prevention jest mierzona przy włączonych funkcjach App-ID, IPS, antywirusowych,
antyspyware, WildFire,
blokowaniu plików i rejestrowaniu przy użyciu 64 KB transakcji
HTTP/appmix.
Pismo odwołującego do zamawiającego z dnia 5 listopada 2021 r., z którego wynika, że od-
wołujący przedstawił zamawiającemu swoje stanowisko, co do badania i oceny ofert złożo-
nych w postępowaniu i stwierdził, że poniższe oferty są niezgodne z SIWZ i powinny zostać
odrzucone na po
stawie art. 226 ust. 1 pkt 5, pkt 7, ustawy Prawo zamówień publicznych (da-
lej: „Ustawa Pzp”).
1. Oferta złożona przez NTT Poland Sp. z o.o., ul. Sienna 73, 00-833 Warszawa
Wykonawca IT Solution Factor wskazuje, iż oferty złożone nie spełniają zapisów SIWZ co
najmniej w poniższych wymaganiach:
1) Zarzut 1
Urządzenie PA-5220 producenta Palo Alto Networks Zaoferowane przez powyższego ofe-
renta nie posiada przepustowości urządzenia 10 Gbps dla pełnego zakresu ochro-
ny((zgodnie z punktem II podpunkt 31. OPZ), a ta
ka wartość została podana w formularzu
ofertowym przez ww. Oferenta. Zgodnie z dokumentacją techniczną maksymalna przepu-
stowość urządzenia Paloalto to 9.7, a nie 10 Gbps. W dokumentacji podali widełki: maksy-
malną przepustowość i minimalną (przy włączonych narzędziach). Nawet przy maksymalnej
przepustowości, gdzie nie jest zapewniania odpowiednia ochrona, przepustowość wynosi
jedynie 9.7 Gbps.
Uzasadnienie
Zgodnie z informacją z karty katalogowej producenta Palo Alto Networks, przepustowość
zaoferowanego Fir
ewall dla pełnego zakresu ochrony wynosi 9,7 Gbps:
Źródło:
https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/p
an/en_US/resources/datasheets/pa-5200-series-specsheet
W formularzu ofertowym z
amawiający jasno wymaga podania przepustowości pojedynczego
urządzenia dla pełnego zakresu ochrony. Skoro urządzenie ma niższe niż deklarowane za-
kresy przepustowości, to oferta Wykonawcy podlega odrzuceniu, ponieważ Wykonawca mu-
siał mieć świadomość istnienia tej dokumentacji i maksymalnej wydajności urządzenia.
Warto zaznaczyć również, iż dane na temat przepustowości dla pełnego zakresu ochrony
urządzenia PA-5220 pochodzą z oficjalnej strony internetowej producenta, a dokładnie karty
produktowej tego urządzenia z datą oraz są aktualne ponieważ w ww. karcie widnieje data
2021r., co potwierdza ich aktualność zgodnie z poniższym obrazkiem:
Zwracamy się z wnioskiem o pozytywne rozpoznanie niniejszego pisma i odrzucenie oferty
złożonej przez powyższego Wykonawcę jako niezgodną z SiWZ celem zabezpieczenia nale-
żytego wykonania umowy objętej przedmiotem Zamówienia.
Tłumaczenie
dowodu
z:
https://docs.paloaltonetworks.com/resources/eol#sort=relevancy&layout=card&numberOfRes
ults=2
Produkty ostatecznie osiągają koniec cyklu życia (EoL) z różnych powodów, takich jak poja-
wienie się nowych i lepszych technologii, zmiany na rynku lub gdy części źródłowe lub tech-
nologie stają się niedostępne. W ramach tego naturalnego cyklu życia produktu naszym ce-
lem jest uczynienie tego procesu tak płynnym, jak to tylko możliwe, zapewniając jak najwięk-
szą widoczność tego, czego powinieneś oczekiwać w całym procesie EoL.
7.1 jest EoL
Od 30 czerwca 2020 r. wszystkie produkty 7.1 zostały wycofane z eksploatacji.
Dowód
ze
strony
producenta
Paloalto:
https://www.paloaltonetworks.com/services/support/end-of-life-announcements/end-of-life-
summary
PAN-OS i Panorama Wersja Data wydania Data wycofania z eksploatacji
10.1 Maj 31, 2021 1 grudnia 2024 r
10.0 Lipiec 16, 2020 16 lipca 2022 r
Dowody z pierwszego pisma odwołującego z dnia 3 stycznia 2022 r. zostały już omówione
powyżej z tym, że do tego pisma przedstawiono zmianę dowodu 4D z zastąpieniem Arabii
Saudyjskiej prawidłowym tłumaczeniem, zaś dowód dotyczący wersji PAN-OS 10.1 potwier-
d
za dane techniczne zawarte w treści odwołania.
Dowody z drugiego pisma odwołującego z dnia 3 stycznia 2022 r. :
-
z korespondencji pomiędzy przedstawicielem Clico Michałem Doniec i przedstawicielem
odwołującego Andrzejem Bajcar wynika, że pytanie dotyczące produktów Palo Alto najlepiej
zawsze zadawać przez Clico.
-
załączone wyciągi z dokumentacji postępowań o udzielenie zamówienia potwierdzają treści
przedstawione w skanach w argumentacji odwołującego zawartej w piśmie drugim z dnia 3
stycznia 2022 r. i
wskazują na to, że zamawiający w różnym stopniu szczegółowości formu-
łują wymagania dotyczące przepustowości firewalli od ogólnego „ nie mniejsza niż”, przez
wskazanie wartości minimalnych i maksymalnych, do wskazania konkretnych wartości mak-
symalnych dla o
kreślonych pojemnościowo pakietów lub rodzaju ruchu. Co oznacza, że nie
ma wśród zamawiających wypracowanego modelu porównywania ofert w oparciu o przepu-
stowość urządzeń klasy firewall.
Dowody przystępującego:
QUANTUM 16200 SECURITY GATEWAY
Gen III Security NGFW 1 27 Gpps
Gen V Security Advanced Threat Prevention 2 15 Gbps
Performance measured with enterprise testing conditions. Additional performance details on
page 3. 1: Includes Firewall, Application Control, and IPS. 2: Includes Firewall, Application
Control, URL Filtering, IPS, Antivirus, Anti-Bot and SandBlast Zero-Day Protection.
Next Generation Firewall 3300 Series
PERFORMANCE¹ N3301 N3305
NGFW/NGIPS throughput (HTTP 21kB payload) 9 Gbps 15 Gbps
Max firewall throughput (UDP 1518 byte) 80 Gbps 160 Gbps
Max inspection throughput (UDP 1518 byte) 23 Gbps 27 Gbps
TLS 1.2 inspection performance (44kB payload) 5.2 Gbps 8 Gbps
Cisco Firepower 4100 Series
Features 4110 4112 4115 4125 4145 Throughput: FW + AVC (1024B) 16.5 Gbps 19 Gbps
33 Gbps 45 Gbps 53 Gbps Throughput: FW + AVC + IPS (1024B) 15.5 Gbps 19 Gbps 33
Gbps 45 Gbps 53 Gbps
Note: Performance will vary depending on features activated, and network traffic protocol
mix, and packet size characteristics. Performance is subject to change with new software
releases. Consult your Cisco representative for detailed sizing guidance.
1 Throughput measured with 50% TLS 1.2 traffic with AES256-SHA with RSA 2048B keys.
FortiGate® 2200E Series
FG-2200E and FG-2201E
System Performance
— Enterprise Traffic Mix
IPS Throughput 2 21.8 Gbps
NGFW Throughput 2, 4 13.5 Gbps
Threat Protection Throughput 2, 5 11 Gbps
Note: All performance values are “up to” and vary depending on system configuration.
1. IPsec VPN performance test uses AES256-SHA256.
2. IPS (Enterprise Mix), Application Control, NGFW and Threat Protection are measured with
Logging enabled.
3. SSL Inspection performance values use an average of HTTPS sessions of different cipher
suites.
4. NGFW performance is measured with Firewall, IPS and Application Control enabled.
5. Threat Protection performance is measured with Firewall, IPS, Application Control and
Malware Protection enabled.
FortiGate® Network Security Platform - *Top Selling Models Matrix
Product Matrix December 2021
Threat Protection Throughput (Ent. Mix) 2, 5 600 Mbps 700 Mbps 900 Mbps 6 1 Gbps
1. IPsec VPN performance test uses AES256-SHA256.
2. IPS, Application Control, NGFW and Threat Protection are measured with Logging ena-
bled.
3. SSL Inspection performance values use an average of HTTPS sessions of different cipher
suites.
4. NGFW performance is measured with Firewall, IPS and Application Control enabled, En-
terprise Mix
traffic.
5. Threat Protection performance is measured with Firewall, IPS, Application Control, (6.URL
Filtering)
and Malware Protection enabled, Enterprise Mix traffic.
7. Requires Hyperscale license
USG9500 Series
Terabit Level Next-Generation Firewall
Model USG9520 USG9560 USG9580
Firewall Throughput (Packets Per Second) 49Mpps 392Mpps 784Mpps
SRX4100 AND SRX4200 SERVICES GATEWAYS
NGFW2 throughput 9.5 Gbps 19 Gbps
Next-generation firewall (NGFW) is a combination of advanced features such as application
security, IPS, and URL filtering in addition to the foundational services such as logging and
stateful firewall.
Oświadczenie PaloAlto Networks z 23 grudnia 2021 r. , z którego wynika, że karty katalogo-
we dla urządzeń PA-5220 przedstawiają parametry wydajnościowe dla konkretnego wzorca
ruchu i specyficznych zastosowań urządzeń– określone są dla ruchu z sesjami HTTP 64K
oraz dla charakterystyki ruchu mieszanego określonego jako appmix.
Jednocześnie chciałbym poinformować, iż wartości wskazane w tejże karcie nie są parame-
trami maksymalnymi dla tych urządzeń. Maksymalny wolumen ruchu obsługiwany przez po-
jedync
ze urządzenie PA-5220 jest znacznie wyższy i przekracza 18Gbps – dotyczy to prze-
syłanego przez urządzenie ruchu z pełną ochroną obejmującą:
-
wykrywanie i inspekcję aplikacji,
-
inspekcję IPS (Intrusion Prevention System),
-
inspekcję antywirusową,
- inspe
kcję antyspyware/antymalware
-
współpracę z sandboxem w tym przesyłanie plików do sandboxa
-
przechwytywanie i blokowanie plików określonego typu
Przepustowość 18Gbps jest osiągana zarówno, gdy urządzenie pracuje pod kontrolą syste-
mu operacyjnego PANOS w w
ersji 10.0.x jak również PANOS w wersji 10.1.x. Szczegółowa
dokumentacja opisująca scenariusze ruchowe oraz wyniki testów stanowi tajemnicę firmy
Palo Alto
Networks i jest dostępna dla podmiotów, które podpisały z Palo Alto Networks
umowę o zachowaniu poufności.
Izba na podstawie zgromadzonego i przytoczonego powyżej materiału dowodowego
poczyniła następujące ustalenia:
1.
Przystępujący nie mógł zaoferować urządzenia z wersją oprogramowania PAN-OS
10.1, gdyż zgodnie z pkt. 6 SOPZ Nietechniczne cechy produktu - zamawiający wy-
magał, aby oprogramowanie systemowe (firmware urządzeń) realizujące wszystkie
wymagane funkcje jak i też samo urządzenie musiało być dostępne na rynku co naj-
mniej 9 miesięcy przed upływem terminu składania ofert. Termin składania ofert
zgodnie z Informacją z otwarcia ofert upłynął w dniu 2 listopada 2021 r., co oznacza,
że oprogramowanie systemowe musiało być dostępne przed dniem 2 marca 2021 r.
Zamawiający w tym samym punkcie SOPZ postanowił, że za datę dostępności opro-
gramowania z
amawiający przyjmie publikację konkretnej oferowanej wersji oprogra-
mowania (oprogramowania z pełnym wsparciem) na stronie producenta oprogramo-
wania. Sam odwołujący wykazał w odwołaniu, że datą publikacji wersji 10.1 jest 31
maja 2021 r., a więc ta wersja nie mogła być zaoferowana jako spełniająca wymaga-
nie zamawiającego z SWZ. Tym samym w ocenie Izby użyte w pkt. 2 str. 2 ostatnie
zdanie na stronie pisma przystępującego z dnia 30 grudnia 2021 r. „NTT zaoferowało
najnowszą możliwą wersję oprogramowania spełniającą wymagania Zamawiającego
(…)” w ocenie Izby jednoznacznie identyfikuje wersję oprogramowania dla PA-522 ja-
ko wersję 10.0, której data publikacji to 16 lipiec 2020 r., a więc na więcej niż 9 mie-
sięcy przed upływem składania ofert.
Tym samym Izba ocen
iła, że twierdzenia odwołującego, że zaoferowana została wraz z PA –
5220 wersja oprogramowania 10.1 oceniła jako niewiarygodne i sprzeczne ze zgromadzo-
nym materiałem dowodowym. W konsekwencji Izba nie dała wiary twierdzeniom odwołują-
cego, że zaoferowany przedmiot zamówienia posiadając przepustowość odpowiednio 7.7 i
9.7 Gbps nie spełnia wymagania opisanego w pkt. 8 Wiarygodność producenta pkt. 8 ppkt.
I.1b OPZ, zgodnie z którym zamawiający wymagał NFGW – sztuk 2 – urządzenia pracujące
w klastrze niezawodno
ściowym obsługa 10 Gbps przepustowości Firewall/kontroli aplika-
cji/IPS/Antywirus/Antymalware
2.
Izba ustaliła również na podstawie pkt. 6 SOPZ, że w zakresie serwisu producenta
zamawiający wymagał, aby urządzenie i powiązane z nim oprogramowanie systemo-
we by
ło objęte pełnym serwisem producenta (niedopuszczalne jest proponowanie
oprogramowanie np. w wersji Beta) w chwili, i co najmniej w okresie 9 miesięcy przed
upływem terminu składania ofert. Izba ustaliła, że termin składania ofert upłynął w
dniu 2 listopad
a 2021 r. i okres 9 miesięcy przed upływem terminu składania ofert – to
okres od 2 marca 2021 do 2 listopada 2021 r. Wersja oprogramowania 10.0 jest do-
stępna od daty jej publikacji tj. 16 lipca 2020 i na pewno jest dostępna od tego mo-
mentu do momentu składania ofert, a wręcz dłużej do 16 lipca 2022 r. Tym samym
wymaganie objęcia pełnym serwisem producenta w zakresie wymaganym przez za-
mawiającego było dla oprogramowania spełnione tj. w okresie od 2 marca 2021 do 2
listopada 2021 r. oprogramowanie 10.0 było objęte pełnym serwisem producenta i
odwołujący tego faktu nie kwestionował przeciwnie przyznawał, że pełny serwis pro-
ducenta dostępny jest do 16 lipca 2022 r.
3.
Izba ustaliła, że w pkt. 4 Warunków serwisowych i licencyjnych SOPZ zamawiający
wymagał:
4. Wsparcie
techniczne i gwarancja (zwanej dalej wsparciem) będzie świad-
czone przez producenta lub autoryzowane przez producenta centrum
serwisowe niezależne od Wykonawcy realizowane we współpracy z pro-
ducentem, przez okres 36 miesięcy od daty odbioru bez zastrzeżeń, po-
twierdzonego protokołem. Wsparcie obejmuje:
a.
Dostęp do Centrum Wsparcia Technicznego (TAC) przez: stronę inter-
netową, email oraz telefonicznie w języku polskim - wsparcie przy rozwiązy-
waniu problemów związanych z działaniem NGFW oraz systemów wspomaga-
jących w trybie 8x5, tj. co najmniej 8 godzin przez 5 dni w tygodniu;
i.
czas reakcji na zgłoszony drogą mailową lub telefoniczną problem –
maks. 8 godzin, liczony w godzinach przyjmowania zgłoszeń, co najmniej 8
godzin przez 5 dni w tygodniu;
ii.
przy
wystąpieniu awarii urządzenia, któregokolwiek z jego komponen-
tów lub wyposażenia, w tym modułów optycznych – wymiana lub naprawa
(RMA) w trybie NBD w terminie do 3 dni roboczych od daty zgłoszenia, świad-
czona w miejscu instalacji.
b.
Dostęp (tj. uprawnienie do pobierania i instalowania) do wszystkich ak-
tualizacji dotyczących oferowanych NGFW oraz wszystkich systemów wspo-
magających w ramach wymaganych funkcjonalności, wydawanych przez Pro-
ducenta.
c.
Dostęp do bazy wiedzy oraz dokumentacji producenta dotyczących in-
stalacji, konfiguracji i utrzymania -
w języku polskim lub angielskim.
d.
W przypadku wymiany urządzenia, któregokolwiek z jego komponen-
tów lub wyposażenia, w tym modułów optycznych – wymiana nastąpi na
sprzęt równoważny w terminie zgodnym z p.4.a.ii.
e.
W przypadku wymiany nośników danych, które uległy awarii, uszko-
dzone nośniki pozostają w całości u Zamawiającego, w terminie zgodnym z
p.4.a.ii. Nie ma opcji demontażu dysku i pozostawienia u Zamawiającego
fragmentów dysku z nośnikami danych.
f.
Każda z napraw, wymian musi być potwierdzona Protokołem Naprawy,
zawierającym wpisy dotyczące wykonanych czynności oraz listę
naprawionych oraz wymienianych części i komponentów składowych
urządzeń.
Izba z uwagi na spór stron, co do jakości tłumaczeń przedstawionych przez odwołującego
nie dopuściła dowodu Palo Alto Networks End – of -Life Policy w innym zakresie niż dane
techniczne. Terminy świadczenia serwisu to w ocenie Izby dane techniczne i podają one w
zakresie oprogramowania PAN-
OS terminy: 24 miesiące od daty publikacji dla major feature
releases, 42 miesiące dla minor feature releases. Izba dostrzegła, że są to pojęcia posiada-
jące swoje definicje na str. 3 i 4 wersji w języku angielskim i na str. 4 w wersji polskojęzycz-
nej i rzeczywiście te tłumaczenia się różnią od użytych przy definicjach, to jest w na str. 2
major features release jest tłumaczone jako główna wersja funkcji, a w definicji na str. 4 jako
główne wydanie funkcji, które zawiera dużą liczbę nowych funkcji i/lub znaczących zmian w
architektu
rze oprogramowania, a minor features releases na str. 2 jest tłumaczone jako wer-
sje pomniejszych funkcji, zaś w definicji jako wydanie funkcji pomocniczych, co oznacza że
na potrzeby jednego dokumentu sam odwołujący przedstawia różne tłumaczenia pojęć. Co w
ocenie Izby uzasadnia podniesione przez zamawiającego i przystępującego wątpliwości, co
do przydatności tłumaczenia dla rozstrzygnięcia. Dodatkowo dla Izby twierdzenia odwołują-
cego wywodzone w oparciu o ten dokument są niewiarygodne także z tego względu, że w
świetle stanowiska odwołującego obsługa wskazana w pod wersją pomniejszych funkcji od-
nosi się tylko do wersji głównej, podczas, gdy oba pojęcia (major i minor features releases) w
wersji angielskojęzycznej posługują się pojęciem „will be supported”, a więc pojęciem wyło-
żonym w tirecie 3 jako support. Stąd również Izba nie dała wiary, że w ramach serwisu w
okresie 42 miesięcy nie będzie świadczona pomoc techniczna, poprawki błędów, w tym błę-
dów krytycznych. W ocenie Izby dokument ten nie nadaje się do ustalenia, że oświadczenie
przystępującego w ofercie „6. Udzielamy gwarancji na całość przedmiotu zamówienia na
okres 36 miesięcy, liczonej od daty podpisania protokołu odbioru.” jest oświadczeniem wa-
dliwym. Tym samym twierdzenie odwołującego, że po 16 lipca 2022 r. wsparcie dla wersji
10.0 nie jest przez przystępującego zapewnione nie zostało udowodnione.
Odnośnie pkt. II.31 OPZ, to Izba dostrzegła, że zamawiający dla przepustowości podał wy-
maganie
„Zamawiający wymaga, aby w formularzu oferty, podana została przepustowość
urządzenia dla pełnego zakresu ochrony oferowanego przez urządzenie – jeżeli urządzenie
pozwala na pracę w wielu trybach to należy podać przepustowość dla trybu z największą
liczbą dostępnych inspekcji dla silników IPS, antywirus, antymalware/antyspyware.”. Jak wy-
nika z dokumentacji serii PA
– 5200 złożonej przez odwołującego może ono pracować w
trybach aktywny-aktywny, aktywny
– pasywny i klastrowanie HA, jednak w żadnej z poda-
nych d
okumentacji nie ma rozróżnienia przepustowości w zależności od trybu dostępności.
Tym samym ta wskazówka zamawiającego nie pozwala na ustalenie jaką wartość wymagał
zamawiający, aby podać w pkt. 3 formularza ofertowego. Jednakże Izba wzięła także pod
uwagę, że w wyjaśnieniach z 16 września 2021 r. w pytaniu 3 wykonawca wskazywał, że
zamawiający umieścił postanowienie:
„Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostęp-nymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie.”
Tak napisane wymaganie m
oże być spełnione wyłącznie przez rozwiązanie PaloAlto i nie ma
praktycznego zastosowania.
Zagrożenia przesyłane droga elektroniczną są to najczęściej pliki małe, poniżej 2 MB. Już
przeskanowanie 10MB pozwala z niezwykle wysokim
prawdopodobieństwem stwierdzić ist-
nie-
nie lub brak zagrożenia. Też w praktyce nie stosuje się systemów bez limitów na skano-
wane, pliki gdyż znacząco pogarsza to odczucia użytkowników (user experience) przy korzy-
staniu z zasobów informatycznych przez wprowadzenie niepotrzebnych i o wiele nadmiaro-
wych opóź-nień w przesyłaniu danych. Przykładem są np. systemy Antywirusowe, które mają
limity do-
myślne na 2MB lub max 10MB(Trend Micro, Kaspersky, Eset, itd.),.
W wielu przypadkach przy dodatkowych opóźnieniach wynikających z nadmiarowego skano-
wania również przestają działać aplikacje korzystające np. z systemów bazodanowych.
W związku z powyższym prosimy o zmianę wymagania na brzmiące:
Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dostępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostęp-nymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeń-stwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie.
W ocenie Izby to zadane pytanie wskazuje, że pojęcie całego ruchu nie odnosi się do prze-
pustowości urządzenia, ale do tego czy i jaki limit ruchu podlega skanowaniu. W ocenie Izby
świadczy o tym zmiana SWZ z dnia 1 października 2021 r., gdzie zamawiający doprecyzo-
wał:
„Scenariusz ten musi być realizowany z włączonym pełnym zakresem ochrony tj. z włączo-
nymi wszystkimi dost
ępnymi dla rozwiązania sygnaturami IPS oraz z wszystkimi funkcjami
dostęp-nymi w urządzeniu dla silników antywirus i antyspyware/antymalware. Inspekcjom
bezpieczeństwa musi podlegać cały ruch – sprawdzeniu musi podlegać każdy bajt danych
przesyłany przez urządzenie lub administrator powinien mieć możliwość ustawienia limitów
na rozmiar plików poddawanych analizie minimum do 15GB.”
Dodanie wymagania alternatywnego, aby administrator miał możliwość ustawienia limitów na
rozmiar plików poddanych analizie w ocenie Izby potwierdza, że wymaganie inspekcji całego
ruchu nie mogło być wymaganiem zależnym wyłącznie od właściwości urządzenia czy opro-
gramowania, skoro mogło być ustawiane przez administratora. Izba dała w tym zakresie wia-
rę wyjaśnieniom przystępującego podanym na rozprawie, że poddanie inspekcji bezpieczeń-
stwa całego ruchu nie jest tożsame z pojęciem mierzenia przepustowości dla całego ruchu.
Wiarygodność twierdzeń zamawiającego i przystępującego w tym zakresie potwierdza także
pytanie i odpowiedź z dnia 22 października 2022 r., gdzie proszono o potwierdzenie, iż do-
datkowe wymagania dotyczące skanowania całego ruchu – Sb- oznacza, że aby oferta uzy-
skała dodatkowe punkty to zaproponowane urządzenie musi pracować w trybie z największą
liczbą dostępnych inspekcji dla silników IPS, antywirus, antymalware/antyspyware (jak to
Zamawiający opisał w p. 31, działu „II. Założenia wspólne dla rozwiązań NGFW”, Załącznika
nr 1 do SWZ nie może mieć ograniczeń na wielość skanowanych plików (jak to Zamawiający
opisał w p. 31, działu „II. Założenia wspólne dla rozwiązań NGFW”, Załącznika nr 1 do SWZ,
nie może pracować w trybie IPS, w którym skanowana jest tylko część ruchu np. analizowa-
ne jest tylko pierwsze 200KB ruchu w sesji lub o wyjaśnienie jak należy interpretować wyma-
ganie dodatkowe Sb.
Odpowiedź:
Zamawiający potwierdza właściwe odczytanie zapisów dokumentów zamówienia przez zada-
jącego pytanie.
Izba oceniając powyższe dowody doszła do przekonania, że w zakresie wymagań dotyczą-
cych przepustowości zamawiający nie określił wskazań poza trybem pracy, jak ta przepu-
stowość miała być mierzona. W ocenie Izby tym samym z postanowień SWZ wynika, że za-
mawiający nie formułując w tym zakresie wytycznych, powinien był przyjąć najwyższą dekla-
rowaną przez wykonawców wartość przepustowości dla średniej, przeciętnej przepustowości
w pozycji
Threat Prevention Troughput (to, że o ta przepustowość chodzi nie było sporne
pomiędzy stronami). U przystępującego ta wartość wynosi 10 Gbps dla Application Mix i jest
zgodna z wymaganiem zamawiającego opisanym w OPZ.
Tym samym w ocenie Izby odwołujący nie wykazał, że zamawiający domagał się badania
przepustowości dla przepływu wszystkich możliwych pakietów, w tym pakietów http 64kb.
Dowody w pozostałym zakresie tj. z dokumentacji postępowań prowadzonych przez innych
zamawiających w innych postępowaniach, jak i sposobu prezentacji w dokumentacjach
technicznych parametrów przepustowości Izba uznała za zbędne dla rozstrzygnięcia, gdyż
istota rozstrzygnięcia sprowadzała się do ustalenia treści SWZ w zaskarżonym postępowa-
niu o udzielenie zamówienia publicznego.
Izba zważyła, co następuje:
Izba stwierdziła, że zgłoszone przystąpienie spełnia wymogi formalne określone w art. 525
ust. 1
– 3 ustawy.
Izba nie dopatrzyła się zaistnienia okoliczności, które skutkowałyby odrzuceniem odwołania
na podstawie art. 528 ustawy.
Izba oceniła, że odwołujący wykazał przesłankę materialnoprawną dopuszczalności odwoła-
nia, o której mowa w art. 505 ust. 1 ustawy.
Zarzut naruszenia przez zamawiającego 1. art. 226 ust. 1 pkt 3 i 5 ustawy przez zaniechanie
odrzucenia oferty NTT, która jest niezgodna z warunkami zamówienia i z przepisami ustawy,
w związku z art. 139 ust. 1 w związku z 239 ust.1 i 2 ustawy przez nieprawidłową ocenę ofer-
ty NTT i wybór oferty NTT jako najkorzystniejszej choć podlegała ona odrzuceniu, w związku
z (1) pkt 3) Formularza wzoru oferty st
anowiącego załącznik do SWZ, (2) pkt 31 rozdziału II
„założenia wspólne dla rozwiązań NGFW”, Załącznika nr 1 do SWZ - OPZ (o treści nadanej
w zmianie SWZ z dnia 6 września 2021 r.), (3) pkt 3) Formularza oferty NTT, (4) w związku z
pkt 4 (w tym m. in. z p
kt a, b) zamieszczonym w „szczegółowym opisie przedmiotu zamówie-
nia”, w części „wymagania serwisowe i licencyjne”, w związku z (5): pkt 3.4 SWZ, pkt 4 for-
mularza oferty stanowiącego załącznik do SWZ, pkt 4 oferty NTT, pkt II.2.4) ogłoszenia o
zamówieniu, (6) w związku z art. 60 i art. 66 § 1 kodeksu cywilnego, przez zaniechanie od-
rzucenia oferty NTT, pomimo, że:
1)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresem ochrony obsłudze ruchu stron internetowych o wielkości pakietów 64 kb wynosi
jedynie 8,2 Gbps, a NTT zobowiązał się w ofercie do uzyskania ruchu 10 Gbps w każdym
przypadku
2)
przepustowość oferowanego przez NTT oprogramowania przy włączonym pełnym
zakresie ochrony, dla ruchu tzw. “Application Mix” (czyli innym (rozłącznym) ruchu od obsługi
ruchu stron internetowych w wielkości pakietów 64 kb, wynosi 10 Gbps, jednak to oprogra-
mowanie jest planowane do wycofywania z rynku w dniu 16 lipca 2022 r. (end of life date) i z
tym dniem to oprogramowanie traci wsparcie i gwara
ncję producenta, które jest wymagane
umową, więc już dziś mamy stwierdzoną niezgodność z SWZ
3)
najnowsza wersja oprogramowania, której NTT nie zaoferował według zamawiające-
go, ale która zastąpi wersję oprogramowania oferowaną przez NTT, ma przepustowość nie-
spełniającą parametry podane przez NTT w ofercie co do przepustowości (pomiędzy 7.7 a
9,7 Gbps, a NTT podał 10 Gbps), więc jeżeli zamawiający dokona aktualizacji oprogramo-
wania Pan-
OS z wersji 10.0 do wersji 10.1, to tym samym będzie posiadał wsparcie i gwa-
rancję producenta do wersji oprogramowania poniżej wymogów co do przepustowości poda-
nych w ofercie, a jeżeli nie dokona aktualizacji, to straci gwarancję i wsparcie producenta.
Jeżeli zamawiający dokona aktualizacji z wersji 10.0 do wersji 10.1, to będzie posiadał wy-
magane wsparcie producenta, lecz urządzenie nie będzie spełniało wymogów co do przepu-
stowości. Jeżeli zamawiający postawowi zachować wersje oprogramowania 10.0, to będzie
posiadał urządzenie spełniające wymagania co do przepustowości, lecz straci wymagane
wsparcie producenta.
4)
z powyższego wynika, że NTT zaoferował oprogramowanie niespełniające wymagań
techniczno-
funkcjonalnych biorąc pod uwagę wymogi SWZ i czas zgodnego z umową czasu
korzystania z oprogramowania przez z
amawiającego (co najmniej 36 miesięcy)
Zarzut nie potwierdził się. Na podstawie ustaleń poczynionych przez Izbę oraz dokonanej
oceny materiału dowodowego Izba ustaliła, że odwołujący zaoferował NFGW PA-5220 z
oprogramowaniem PAN-
OS 10.0, co potwierdza oświadczenie przystępującego zawarte w
pisemnym stanowisku z dnia 30 grudnia 2021 r., tj. oświadczenie, że zostało zaoferowane
najnowsze oprogramowanie spełniające wymagania zamawiającego. Izba ustaliła, że opro-
gramowanie PAN-
OS 10.1 nie spełnia wymagań utrwalonej wersji oprogramowania z pkt. 6
OPZ i nie mogło być uznane za zgodne z oświadczeniem przystępującego o zaoferowaniu
najnowszego oprogramowania dostępnego na rynku i spełniającego wymagania zamawiają-
cego. Niewątpliwie dla urządzenia PA-5220 z oprogramowaniem PAN-OS 10.1 przepusto-
wość Threat Prevention Throughput wynosi dla http 64 KB – 8,2 Gbps, a dla Appmix – 10
Gbps. Zamawiający poza określeniem jaką wartość przepustowości należy podać przy róż-
nych trybach nie dał wykonawcom wytycznych, co do sposobu ustalenia przy jakiej wydajno-
ści ma być mierzona przepustowość. Sformułowanie całego ruchu bowiem dotyczy kryterium
oceny ofert Sb i skanowania plików w ramach inspekcji bezpieczeństwa, a nie tego przy ja-
kich założeniach technicznych należy prowadzić badanie przepustowości, czy ma być to ba-
danie wyłącznie dla ruchu http, czy Ftp, czy DNS, czy mieszanego i dla plików lub pakietów
plików o konkretnych pojemnościach. Skoro zamawiający takich wymagań nie przedstawił, to
w ocenie Izby należało uznać, że badanie należało przeprowadzić w średnich, przeciętnych
warunkach obciążenia, a takimi warunkami jak twierdziły strony są warunku ruchu miesza-
nego Application Mix. Odwołujący nie przeczył twierdzeniom zamawiającego i przystępują-
cego, że producenci podają przepustowości mierzone w tzw. ruchu faktycznym, czyli właśnie
ruchu mieszanym jak i badają przepustowość dla specyficznych warunków np. jak u odwołu-
jącego i przystępującego dla pakietów 64 KB, które to dane mają znaczenie głównie dla in-
żynierów. W tym miejscu Izba zauważa, że w sytuacji, gdy zamawiający nie odniósł pojęcia
całego ruchu do przepustowości, a jednocześnie producenci podają różne wartości przepu-
stowości w różnych warunkach pomiaru, to wszelkie wątpliwości w tym zakresie należy roz-
strzygać na korzyść wykonawcy. Można także odnieść się do art. 357 kc, zgodnie z którym
j
eżeli dłużnik jest zobowiązany do świadczenia rzeczy oznaczonych tylko co do gatunku, a
jakość rzeczy nie jest oznaczona przez właściwe przepisy lub przez czynność prawną ani nie
wynika z okoliczności, dłużnik powinien świadczyć rzeczy średniej jakości. Oczywiście prze-
pis ten dotyczy zobowiązań umownych odnoszących się do odpowiedzialności dłużnika w
zakresie rzeczy oznaczonych co do gatunku,
jednak Izba powołuje ten przepis nie jako pod-
stawę oceny stanu faktycznego niniejszej sprawy, ale po to aby odnieść się do sposobu ro-
zumowania odwołującego. Gdyby przełożyć stanowisko odwołującego oczekującego wyka-
zania wymaganej przepus
towości w każdych warunkach badania prowadzonego przez pro-
ducenta
na grunt przepisu art. 357 kc, to wówczas każdorazowo wykonawca musiałby
świadczyć rzeczy najwyższej jakości, a zamawiający mógłby poczuć się zwolniony z obo-
wiązku jednoznacznego i wyczerpującego opisu przedmiotu zamówienia. Mając powyższe
na uwadze Izba uznała, że w treści oferty przystępującego nie zachodzi niezgodność z wa-
runkami zamówienia, a zaoferowane urządzenie wraz oprogramowaniem zapewnia przepu-
stowość na wymaganym poziomie 10 Gbps. W ocenie Izby bezsporne jest, że oprogramo-
wanie PAN-
OS 10.0 ma podaną datę końca życia produktu to jest 16 lipca 2022 oraz to, że
umowa z zamawiający ma być świadczona także po tej dacie, w tym w zakresie usług z tytu-
łu wsparcia i gwarancji. Jednakże w ocenie Izby zgromadzony materiał dowodowy nie dał
podstaw do podważenia prawidłowości oświadczenia przystępującego zawartego w ofercie,
że oferuje on 36 miesięczny okres wsparcia i gwarancji. Przede wszystkim odwołujący nie
przedstawił wiarygodnego dowodu na okoliczność, że producent nie wspiera w tym nie
świadczy serwisu w rozumieniu pkt. 4 Wymagań Serwisowych i Licencyjnych. Z dokumentu
przedstawionego przez odwołującego na rozprawie wynika zarówno okres 24 miesięczny od
daty publikacji jak i 42 miesięczny od daty publikacji, a zamawiający i przystępujący zgodnie
twierdzili, że koniec życia produktu nie oznacza, że wsparcie producenta nie może być
świadczone. W tej sytuacji Izba nie znalazła podstaw do uznania oświadczeń zamawiające-
go i przystępującego za niewiarygodne. Z tego też względu Izba nie dopatrzyła się niezgod-
ności treści oferty przystępującego z warunkami zamówienia. Tym samym zarzuty w pkt. 1
odwołania nie potwierdziły się. Izba nie dopatrzyła się także niezgodności treści oferty z
ustawą, oferta została złożona jako jedna oferta w postępowaniu, nie jest ofertą niedopusz-
czalną w rozumieniu ustawy, a odwołujący poza wskazaniem podstawy odrzucenia z art. 226
ust. 1 pkt 3 ustawy nie wykazał na czym polega niezgodność oferty z ustawą. W konsekwen-
cji Iz
ba nie dopatrzyła się naruszenia art. 139 ust. 1 ustawy i art. 239 ust. 1 ustawy.
Z
arzut ewentualny z ostrożności: Zarzut oferowania NTT urządzeń z oprogramowaniem w
wersji Pan-
OS 10.1, która nie spełnia wymogów przepustowości 10 Gbps, ponieważ wersja
Pan-
OS 10.1 ma jedynie przepustowość pomiędzy 7,7 a 9,7 Gbps oraz pkt OPZ: "NIE-
TECHNICZNE CECHY PRODUKTU" pkt 6, ponieważ nie występuje na rynku co najmniej 9
miesięcy przed upływem składania ofert, a zgodnie z tym punktem zamawiający wymaga,
aby wszystkie d
ostarczane urządzenia i pakiety oprogramowania były sprawdzone w prakty-
ce rynkowej, w tym objęte serwisem producenta o takiej długości trwania i rozstrzygająca dla
tego faktu jest data publikacji wersji na stronie producenta.
Zarzut nie potwierdził się. W ocenie Izby zamawiający prawidłowo podniósł, że nie wymagał
podanie w ofercie wersji oprogramowania, tym samym w ocenie Izby nie mógł z faktu braku
podania wersji wyciągać negatywnych skutków dla przystępującego. Jednocześnie Izba
uznała, że wskazanie przez przystępującego, że zaoferował najnowszą dostępną wersję
spełniającą wymagania zamawiającego dostatecznie identyfikuje tę wersję jako PAN-OS
10.0, gdyż jest to jedyna dostępna na rynku wersja oprogramowania PAN-OS 10.x, która
spełnia wymagania pkt. 6 OPZ. Z tego względu Izba uznała zarzut ewentualny za niezasad-
ny.
Zarzut naruszenia przez zamawiającego art. 126 ust. 1 ustawy, i 6.1, 6.2 swz, ponieważ ofer-
ta NTT powinna być odrzucona i NTT nie powinna być wzywana do złożenia dokumentów
Zarz
ut nie potwierdził się. Skoro Izba uznała, że oferta przystępującego nie podlega odrzu-
ceniu, to zamawiający prawidłowo poddał ofertę ocenie w kryteriach oceny ofert. Żaden z
zarzutów nie odnosił się do prawidłowości oceny oferty przystępującego w przyjętych przez
zamawiającego kryteriach oceny ofert, co oznacza, że ocenę i ustaloną na jej podstawie kla-
syfikację ofert należało uznać jako prawidłową. Oferta przystępującego została sklasyfiko-
wana jako najwyżej oceniona, co obligowało zamawiającego zgodnie z ustawa i postanowie-
nia
mi SWZ do skierowania do przystępującego wezwania w trybie art. 126 ust. 1 ustawy do
złożenia podmiotowych wniosków dowodowych. Tym samym zamawiający nie naruszył art.
126 ust. 1 ustawy.
Zarzut naruszenia przez zamawiającego art. 239 ust.1 i 2 ustawy przez nieprawidłowe za-
stosowanie i zaniechanie wyboru oferty odwołującego jako najkorzystniejszej choć podlegała
ona wyborowi, jako zgodna z warunkami zamówienia, art. 126 ust. 1 ustawy i 6.1, 6.2 swz,
ponieważ to oferta odwołującego jest najkorzystniejsza i powinna być najwyżej oceniona i to
odwołującego zamawiający powinien wezwać do złożenia dokumentów
Zarzut nie potwierdził się. Zarzut ten jest zarzutem wynikowym i zależnym od potwierdzenia
się wcześniejszych zarzutów zaniechania odrzucenia oferty przystępującego, nieprawidło-
wego poddania go ocenie w kryteriach oceny ofert i nieprawidłowego wezwania do złożenia
dokumentów podmiotowych. Żaden w tych zarzutów nie został uznany przez Izbę za zasad-
ny. W konsekwencji odwołującemu nie udało się podważyć prawidłowości wyboru oferty naj-
korzystniejszej i zarzut podlegał oddaleniu.
Zarzut naruszenia przez zamawiającego art. 73. ust. 1, art. 74 ust. 1, art. 7 pkt 19 ustawy,
ponieważ protokół z postępowania jest niekompletny, nie zawiera wszystkich dokumentów,
które wymaga ustawa, między innymi, pisma odwołującego z 5 listopada 2021 r. dotyczące-
go niezgodności oferty NTT z swz, które powinno uruchomić wezwanie NTT do wyjaśnień,
co się nie stało
Zarzut nie podlegał merytorycznemu rozpoznaniu. Odwołujący na posiedzeniu z udziałem
stron złożył oświadczenie o cofnięciu zarzutu. Zgodnie z art. 520 ustawy odwołujący może
cofnąć odwołanie, w przypadku cofnięcia zgodnie z ust. 2 cofnięte odwołanie nie wywołuje
skutków prawnych, jakie ustawa wiąże z jego wniesieniem. W myśl art. 568 pkt. 1 w przy-
padku wycofania odwołania, Izba umarza postępowanie. Zgodnie z art. 522 ust. 3 dopusz-
czalne jest częściowe wycofanie zarzutów, co oznacza, że konieczne jest umorzenie postę-
powania w odniesieniu do cofniętego zarzutu, co Izba uczyniła w pkt. 1 sentencji orzeczenia.
Z
arzut ewentualny: w sytuacji braku uwzględnienia któregokolwiek z zarzutów z pkt 1 – 5
powyżej, art. 223 ust. 1 ustawy przez brak wezwania NTT do wyjaśnień, i przyjęcie, bez py-
tania NTT o zdanie, jaką wersję oprogramowania zaoferował NTT w swojej ofercie, chociaż
to jaką wersję oprogramowania oferuje NTT, jest to czynność, w której zamawiający nie mo-
że zastępować NTT, ponieważ ważne dla ustalenia zakresu oferty są wyjaśnienia NTT a nie
zgadywanie zamawia
jącego
Zarzut nie potwierdził się. W ocenie Izby rację ma zamawiający i przystępujący podnosząc,
że zamawiający nie wymagał podania wersji oferowanego wraz z urządzeniem oprogramo-
wania,
jednocześnie jak wynika z ustaleń Izby tylko jedna wersja oprogramowania oferowa-
nego z urządzeniem PA-5220 spełnia wymagania zamawiającego, stąd zamawiający nie
miał potrzeby czynienia w tym zakresie ustaleń w drodze wyjaśnień u przystępującego. Nad-
to przystępujący w toku postepowania odwoławczego w ocenie Izby w sposób nie budzący
wątpliwości wskazał, że zaoferował najnowszą dostępną wersję spełniająca warunki zamó-
wienia, a takie oświadczenie identyfikowało wersję PAN-OS 10.0. Z tego względu zarzut na-
leżało oddalić.
Zarzut naruszenia przez zamawiającego art. 16 pkt 1) ustawy przez przeprowadzenie postę-
powania o udzielenie zamówienia w sposób nie zapewniający zachowania uczciwej konku-
rencji oraz równego traktowania wykonawców
Zarzut nie potwierdził się. Również ten zarzut jest zarzutem wynikowym zależnym od po-
twierdzenia się wcześniejszych zarzutów. Skoro żaden z zarzutów poprzedzających nie po-
twierdził się a jeden zarzut został wycofany, to i ten zarzut należało uznać za niezasadny.
Mając na uwadze powyższe orzeczono jak w sentencji na podstawie art. 553 zd. 1 ustawy.
O kosztach postępowania odwoławczego orzeczono na podstawie art. 574 i 575 ustawy, tj.
stosownie do wyniku postępowania, z uwzględnieniem postanowień Rozporządzenia
Pr
ezesa Rady Ministrów w sprawie szczegółowych rodzajów kosztów postępowania
odwoławczego, ich rozliczania oraz wysokości i sposobu pobierania wpisu od odwołania z
dnia 30 grudnia 2020 r. (Dz.U. z 2020 r. poz. 2437) na podstawie par. 8 ust. 2 pkt 1 cyt.
rozp
orządzenia obciążając kosztami uiszczonego wpisu odwołującego i zasądzając od
odwołującego na rzecz zamawiającego zwrot kosztów postępowania obejmujących wydatki
pełnomocnika w maksymalnej dopuszczonej wysokości tj. 3 600zł., zgodnie ze złożonym
rachunkiem.
Przewodniczący: ………………………………….
Wcześniejsze orzeczenia:
- Sygn. akt KIO 561/22, KIO 563/22, KIO 573/22, KIO 574/22, KIO 575/22, KIO 577/22, KIO 579/22, KIO 581/22, KIO 587/22, KIO 589/22 z dnia 2022-05-16
- Sygn. akt KIO 1104/22 z dnia 2022-05-13
- Sygn. akt KIO 1006/22, KIO 991/22 z dnia 2022-05-09
- Sygn. akt KIO 971/22 z dnia 2022-04-25
- Sygn. akt KIO 835/22, KIO 846/22 z dnia 2022-04-15