Przetarg publiczny to w praktyce najgorsza z możliwych metod wyłaniania wykonawcy audytu bezpieczeństwa teleinformatycznego.

Teza niniejszego artykułu jest prosta. Staram się w nim wykazać, że wykonawca usług tzw. audytu bezpieczeństwa nie powinien być - w żadnym razie - wyłaniany w drodze przetargu. Zabrzmi to być może nieprawdopodobnie, ale nawet potępiane publicznie metody wyłaniania wykonawców jak korupcja, nepotyzm czy też wymuszenie monopolistyczne dadzą prawdopodobnie lepszy rezultat niż przetarg. Dlaczego? Jakość usług wykonawcy wybranego w takim trybie nie musi być najgorsza, przetarg natomiast zapewnia wybranie wykonawcy najgorszego.

Powyższe stwierdzenie, choć na pozór absurdalne, ma jednak solidne podstawy. W praktyce nie ma bowiem sposobu na sformułowanie tzw. istotnych warunków zamówienia (dokument ustalający zobowiązania oferentów i reguły wyłaniania wykonawcy), pozwalających na wybór wykonawcy innego niż najgorszy. Zanim uzasadnię ten pogląd, celowe będzie przedstawienie kilku poglądów podstawowych - dla uniknięcia nieporozumień co do omawianych pojęć. Dla mnie osobiście będzie to także rodzaj zawodowego auto da fé.

Kwestia niezależności

Audyt bezpieczeństwa teleinformatycznego obiektu (systemu, sieci, budynku, firmy, korporacji) jest przeglądem bezpieczeństwa dokonywanym przez niezależnego wykonawcę zgodnie z uznanym standardem. Warto zauważyć, że słowa przegląd nie można zastąpić terminem ocena - definicja nie oddawałaby wówczas metody postępowania. Termin audyt jest nadużywany, a to głównie dlatego że Anglicy używają tak brzmiącego słowa (audit) jednak w szerszym rozumieniu, m.in. na określenie przeglądania tzw. logów w komputerach. Naiwne tłumaczenie (np. audyt logów) przypomina trochę użycie słowa "wojna" na określenie stosunków między zięciem a teściową. Ci, którzy są bezpośrednio zaangażowani w sprawę, uważają ją za niezwykle ważną, zaś w postronnym obserwatorze dęte sformułowania budzą raczej rozbawienie.

A tak na marginesie: nie jest to jedyny zabawny efekt ignorancji językowej - nagminnie tłumaczy się angielskie "policy" jako "polityka" (w rezultacie pojawiają się "polityki haseł w komputerze sekretarki"), a nawet "polisa", co daje niektórym poczucie, jakoby zyskiwali gwarancję bezpieczeństwa. Inny przykład to security officer spolszczony jako "oficer bezpieczeństwa". Tu akurat być może nie ma się co upierać, ponieważ nieudolne tłumaczenie spełnia pożyteczną rolę kompensacyjną - urzędnik (officer) może chociaż trochę poczuć się pułkownikiem.

Podkreślana w definicji audytu niezależność jest niezwykle ważna i ma dla zlecającego audyt istotne znaczenie użytkowe. Audytor nie powinien oceniać wyników własnej pracy. Gdy audytorzy są pracownikami firmy mającej za zadanie dokonanie prac w podlegającym audytowi obszarze, mogą wystąpić zniekształcenia raportu przedstawianego zleceniodawcy. W szczególności, jeśli firma ta jest dużym integratorem systemów, należy oczekiwać, że raport wyraźnie będzie wskazywał na potrzebę takich akurat zabezpieczeń, w jakich ów integrator ma doświadczenie. Rzetelne firmy angażują lub na stałe współpracują ze względnie niezależnymi zespołami audytowymi.

Audytor nie powinien być związany ze zleceniodawcą, bo wówczas nieuchronnie pojawi się sytuacja, gdy przyjdzie mu oceniać samego siebie. Audytor także nie powinien mieć powiązań z firmą wykonującą - na oddzielne zlecenie - jakiekolwiek prace w obszarze ocenianego obiektu czy też mającej nadzieję na wykonanie takich prac. Wbrew pozorom, niepożądana jest również sytuacja, w której audytor ocenia jakość prac firmy konkurencyjnej.

Papierowi faworyci

Dla uzasadnienia tych rozważań rozważmy pożądane cechy wykonawcy audytu i zastanówmy się, jak można by ująć je w istotnych warunkach zamówienia. Ująć, to znaczy zapisać w sposób, który zapewni rzeczywiste reprezentowanie tych cech przez oferenta, a nie tylko ich werbalną deklarację, a jednocześnie nie otworzy drogi do protestów pominiętych oferentów.

Zwykle domniemywa się, że wykonawca audytu powinien:

Być godny zaufania. Bez obdarzenia wykonawcy zaufaniem, zleceniodawca musi poprzedzić audyt własną analizą zasobów wrażliwych i na czas audytu wprowadzić specjalne reguły nadzorowania audytorów i pracy z nimi. Bez gwarancji powodzenia. Procedura przetargowa ogranicza kontakty z oferentami, nie pozwala więc na zebranie informacji szczegółowej, a zatem jeśli wśród oferentów znajdzie się jeden bez skrupułów, to właśnie on postara się wypaść najlepiej na tle pozostałych, uczciwych oferentów. Procedura przetargowa znakomicie zwiększa szanse łgarzy.

Reprezentować odpowiedni poziom merytoryczny w każdej z dziedzin. Chodzi o bezpieczeństwo organizacyjne, informacyjne, informatyczne, teleinformatyczne, fizyczne, osobowe, energetyczne, prawne, finansowe itd. W praktyce nie ma żadnego sposobu na upewnienie się co do odpowiedniego poziomu merytorycznego zatrudnionych ekspertów. Można co prawda zażądać wykazu zatrudnianych audytorów i certyfikatów kwalifikacji każdego z nich, ale otwiera to tylko drogę do protestów po rozstrzygnięciu przetargu. Porównywanie kwalifikacji to zadanie szalenie ryzykowne, bo czy np. pięciu profesorów to więcej czy mniej niż jeden administrator po kursie Cisco?