Celá záležitosť sa odohrala za nereálne krátky čas.
Prieskum trhu zo dňa 4. 12. 2012 vyústil 17. 12. do podpisu zmluvy. Z hľadiska odborného v predmete obstarávania nič dôležité nechýba. Firma sa mohla 18.12.2012 v súčinnosti s pracovníkmi ministerstva pustiť do zberu informácií (desiatky pracovísk po celej republike, okolo 7000 počítačov, x serverov a ďalších zariadení), testovania prostredia a za štyri (!) pracovné dní bolo dielo hotové. A keby len to! Aj faktúrka bola uhradená. Priznám sa, že až doteraz som si myslel, že o počítačovej bezpečnosti niečo viem, ale mýlil som sa. Ani ľudia z prostredia IT security, s ktorými som konzultoval, si takú rýchlosť nevedia vysvetliť. Objektívne je to totiž pri dodržaní predmetu zmluvy vylúčené.
To ale zďaleka nie je všetko!
V rovnakom čase, teda 17. 12.2012 sa podpisovala aj zmluva o dodávke platformy Jednotného riešenia hrozieb (UTM). Aj za dodávku UTM platformy rezort zaplatil 27.12.2012. Laicky povedané, „platforma UTM“ je súhrn softvérových a hardvérových nástrojov na ochranu počítačov a dát pred útokmi z prostredia (najmä) Internetu. Ako mohol ktokoľvek zo zúčastnených v deň podpisu zmluvy o analýze bezpečnosti vedieť, čo analýza ukáže a aké bezpečnostné opatrenia a riešenia bude potrebné objednať? A ako mohli vedieť, že to bude UTM s konkrétnymi parametrami za cenu 9780EUR bez DPH?
Zhrnuté, za štyri pracovné dni prebehla analýza, ktorá mala trvať mnoho týždňov, nasadili, vyladili a otestovali platformu UTM (tiež robota na viac ako týždeň), vyhodili faktúry a uskutočnili úhrady faktúr. Chcem vidieť, ako tie faktúry a úhrady prešli poštou a bankou za taký krátky čas :)
Niečo tu nie je v poriadku a premýšľam nad možnými scenármi, ako to v skutočnosti bolo:
1) Buď sa žiadny audit nekonal, možno nejaký penetračný testík, a podpísal sa protokol že všetko prebehlo podľa zmluvy. Podobné placebo sa mohlo odohrať aj s UTM platformou. Len zúčastnení vedia, čo sa tam naozaj urobilo, a čo sa nafingovalo.
2) Alebo firma dostala zadanie už pred podpisom zmluvy, bez strácania času výberovým konaním či prieskumom. Začali možno niekedy v októbri a potom sa už len všetko dalo papierovo do poriadku a aby aspoň ako-tak sedeli dátumy.
Čo mi po takýchto zisteniach bráni nadobudnúť presvedčenie, že niekto opakovanie obišiel zákony? A prečo? Akým právom? A prečo sa to zase všetko upieklo okolo Vianočných sviatkov? Prečo si MSSR objednalo jedno logicky ucelené a nedeliteľné dielo rozdelené na časti v hodnote pod 10 tisíc EUR? Koľko takýchto nezákonných a neetických predvianočných nákupov sa v rezorte ešte odohralo a koľko ešte obstarávaní bolo dodatočne papierovo legalizovaných? Ak za toto nikto neponesie zodpovednosť, tak by si mal rezort zmeniť názov.
A z posledných otázok mi behá mráz po chrbte. Kto sprístupnil kľúčové IT zariadenia Ministerstva spravodlivosti firme, ktorá nemá bezpečnostnú previerku Národného bezpečnostného úradu? A neviete náhodou prečo majú mafiáni také dobré informácie zo súdov?
