Wszystkie przeprowadzane na Platformie e-Zamówienia postępowania, w których termin składania ofert upływał w czasie poniedziałkowego ataku hakerskiego, powinny zostać unieważnione.

Atak hakerski na Platformę e-Zamówienia

Przez prawie cały poniedziałek nie można było korzystać z Platformy e-Zamówienia, czyli zarządzanego przez Urząd Zamówień Publicznych systemu, który umożliwia prowadzenie przetargów i składanie w nich ofert. Po godz. 9 jego działanie zostało zablokowane przez atak hakerski DDoS. Na razie nie wiadomo, kto za nim stał.
- Wiemy, że atak przeprowadzono z serwerów znajdujących się poza granicami kraju. O ataku poinformowane zostały odpowiednie służby, które badają źródło i przyczynę ataku - informował Michał Trybusz, rzecznik UZP.
Funkcjonowanie platformy przywrócono we wtorek wczesnym rankiem i wczoraj działała już bez zakłóceń. W poniedziałek nie było jednak do niej dostępu, a tego dnia upływał termin składania ofert w co najmniej kilkudziesięciu przetargach. Pojawia się więc pytanie, co powinni zrobić ich organizatorzy.
Nie ma wątpliwości, że nie mogą kontynuować przetargu jak gdyby nigdy nic. Wielu wykonawców składa bowiem oferty na chwilę przed upływem przewidzianego na tę czynność terminu, a teraz zwyczajnie nie mogli tego zrobić.

Postępowania muszą być unieważnione

UZP, który poprosiliśmy o opinię w tej sprawie, doradza zamawiającym rozważenie unieważnienia przetargów, w których termin składania ofert upłynął w trakcie ataku. Wskazuje na art. 255 pkt 6 ustawy - Prawo zamówień publicznych (t.j. Dz.U. z 2022 r. poz. 1710 ze zm.). Przepis ten nakazuje unieważnienie postępowania obarczonego niemożliwą do usunięcia wadą uniemożliwiającą zawarcie umowy.
- Jeżeli atak uniemożliwił złożenie oferty w wyznaczonym terminie, to uzasadnione będzie uznanie, że sytuację taką można zakwalifikować jako mieszczącą się w tym przepisie. Jednak należy pamiętać, iż nie ma tutaj automatyzmu i w każdym przypadku zamawiający powinien przeprowadzić własną ocenę, mając na uwadze okoliczności danej sprawy, a także moment wystąpienia awarii - mówi Michał Trybusz.
Zapytany przez nas o to samo Tomasz Zalewski, radca prawny i partner w kancelarii Bird & Bird, uważa, że żadne inne wyjście poza unieważnieniem postępowania nie wchodzi w grę. Zwraca uwagę, że zmiana terminu składania ofert oznacza konieczność modyfikacji specyfikacji, a ta jest możliwa wyłącznie przed upływem wspomnianego terminu.
- Brak działania platformy w kluczowym momencie przed upływem terminu składania ofert jest poważnym naruszeniem zasad postępowania - uczciwej konkurencji i równego traktowania, gdyż wykonawca nie ma obowiązku przewidywać, że platforma nie będzie działać w ostatnich godzinach przed tym terminem. Tym samym zamawiający nie mają wyboru - muszą unieważnić postępowania niezależnie od tego, czy mogli otworzyć oferty, czy nie i czy jest techniczna możliwość przedłużenia terminu składania ofert na platformie. Jeśli tego nie zrobią, to mogą do tego zostać zmuszeni przez wykonawców, którzy złożą odwołania. Udowodnienie faktu, że platforma nie działała, będzie przy tym wyjątkowo łatwe, gdyż potwierdził to oficjalnie UZP - analizuje Tomasz Zalewski.

Konieczne zmiany w prawie

Z informacji uzyskanych od UZP wynika, że w dniu zablokowania Platformy e-Zamówienia upływał termin składania ofert w 75 prowadzonych na niej postępowaniach. Wszystkie te przetargi zagrożone są więc unieważnieniem.
- Co gorsza, nie ma dobrego wyjścia z tej sytuacji. W każdym z możliwych wariantów zamawiający musi liczyć się z odwołaniami. Nawet wtedy, jeśli unieważni postępowanie, bo przecież wykonawcy, którzy złożyli oferty z wyprzedzeniem, również będą wówczas niezadowoleni i mogą składać odwołania - zaznacza Adam Wiktorowski, prawnik i ekspert ds. zamówień publicznych.
- Moim zdaniem nie ma jednak innego wyjścia niż unieważnienie przetargu i wszczęcie nowego. Formalnie mamy tu bez wątpienia do czynienia z wadą, której nie da się usunąć. Przepisy przewidują możliwość wydłużenia terminu składania ofert, ale odnoszą się do sytuacji, gdy następuje to przed jego upływem - dodaje.
W wyniku poniedziałkowego ataku nie doszło do wykradzenia jakichkolwiek danych. Nie to było bowiem jego celem. Chodziło wyłącznie o zablokowanie działania Platformy e-Zamówienia. Zagrożenia kolejnymi atakami tego typu nie da się całkowicie wyeliminować. Dlatego też wszyscy zapytani przez nas eksperci uważają, że przepisy powinny przewidywać takie sytuacje i w jakiś sposób rozstrzygać, co należy wówczas robić.
- Takie sytuacje mogą i pewnie będą zdarzać się również w przyszłości. Ważne, żeby rynek wiedział, jakie procedury zastosować w takich wypadkach. Nie chciałbym snuć spiskowych wizji, ale w praktyce możliwe jest nawet wykupienie u hakerów podobnych ataków przez firmę, która z jakichś powodów nie zdążyła na czas przygotować oferty i chce zyskać na czasie - zwraca uwagę Tomasz Zalewski.
Zdaniem dr. Włodzimierza Dzierżanowskiego, wykładowcy w Uczelni Łazarskiego i radcy prawnego z Grupy Doradczej Sienna, można się tu odwołać do orzecznictwa Sądu Najwyższego i Trybunału Sprawiedliwości Unii Europejskiej dotyczącego siły wyższej. Zwalnia ono w takich sytuacjach z obowiązku wykonania zobowiązania.
- Zobowiązaniem w tej sytuacji było złożenie ofert do upływu wyznaczonego terminu. Skoro wykonawca z powodu siły wyższej nie mógł tego zrobić, to powinno mu się dać więcej czasu. Innymi słowy, po wznowieniu pracy platformy termin składania ofert powinien zostać wydłużony o czas trwania awarii. Oczywiście powinno to zostać uregulowane w przepisach, a co więcej, znaleźć też odzwierciedlenie w technicznych funkcjonalnościach samej platformy - podpowiada ekspert. ©℗
Komputery zombie atakują serwery / Dziennik Gazeta Prawna - wydanie cyfrowe