Otsus

<

OTSUS Vaidlustusasja number 256-24/271909 Otsuse kuupäev 29.01.2025 Vaidlustuskomisjoni liige Ulvi Reimets Vaidlustus ByteLife Solutions OÜ vaidlustus Sihtasutuse Põhja-Eesti

Regionaalhaigla riigihankes „Küberturbeteenused ja platvorm 2“ (viitenumber 271909) ühispakkujate ByteLife Solutions OÜ ja Obrela Security Industries GmbH pakkumuse tagasi lükkamise, Security Software OÜ pakkumuse edukaks tunnistamise, Security Software OÜ kvalifitseerimine ja kõrvaldamata jätmise otsustele

Menetlusosalised

Vaidlustaja, ByteLife Solutions OÜ, esindaja vandeadvokaat Mart Parind Hankija, Sihtasutus Põhja-Eesti Regionaalhaigla, esindaja Liisa Saamot Kolmas isik Security Software OÜ

Vaidlustuse läbivaatamine Kirjalik menetlus RESOLUTSIOON Riigihangete seaduse § 197 lg 1 p 4 ja § 198 lg 3 alusel

1. Jätta ByteLife Solutions OÜ vaidlustus rahuldamata. 2. Jätta ByteLife Solutions OÜ vaidlustusmenetluse kulud tema enda kanda.

EDASIKAEBAMISE KORD Halduskohtumenetluse seadustiku § 270 lg 1 alusel on vaidlustuskomisjoni otsuse peale halduskohtule kaebuse esitamise tähtaeg kümme (10) päeva arvates vaidlustuskomisjoni otsuse avalikult teatavaks tegemisest. JÕUSTUMINE Otsus jõustub pärast kohtusse pöördumise tähtaja möödumist, kui ükski menetlusosaline ei esitanud kaebust halduskohtusse. Otsuse osalisel vaidlustamisel jõustub otsus osas, mis ei ole seotud edasikaevatud osaga (riigihangete seaduse § 200 lg 4). ASJAOLUD JA MENETLUSE KÄIK 1. 21.06.2024 avaldas Sihtasutus Põhja-Eesti Regionaalhaigla (edaspidi Hankija) riigihangete registris piiratud hankemenetlusena läbi viidava riigihanke „Küberturbeteenused ja platvorm 2“ (viitenumber 271909) hanketeate.

2 (27)

2. 30.12.2024 laekus Riigihangete vaidlustuskomisjonile (edaspidi vaidlustuskomisjon) ByteLife Solutions OÜ vaidlustus, milles taotletakse järgimiste Hankija 20.12.2024 otsuste kehtetuks tunnistamist:

1) ühispakkujate ByteLife Solutions OÜ ja Obrela Security Industries GmbH pakkumuse tagasi lükkamine;

2) Security Software OÜ pakkumuse edukaks tunnistamine; 3) Security Software OÜ kvalifitseerimine ja kõrvaldamata jätmine.

3. Vaidlustuskomisjon teatas 07.01.2025 kirjaga nr 12.2-10/256 menetlusosalistele, et vaatab vaidlustuse läbi esitatud dokumentide alusel kirjalikus menetluses, tegi teatavaks otsuse avalikult teatavaks tegemise aja ning andis täiendavate seisukohtade ja dokumentide esitamiseks aega kuni 10.01.2025 ja neile vastamiseks 15.01.2025 Vaidlustuskomisjoni poolt määratud esimeseks tähtpäevaks esitas täiendavad seisukohad Vaidlustaja, teiseks tähtpäevaks Hankija. MENETLUSOSALISTE PÕHJENDUSED 4. ByteLife Solutions OÜ põhjendab vaidlustust järgmiselt. 4.1. Ühispakkujate ByteLife Solutions OÜ ja Obrela Security Industries GmbH (edaspidi Vaidlustaja) pakkumus on tagasi lükatud ebaõigesti Dokumendist, kus Hankija on Vaidlustaja pakkumuse tagasilükkamist täpsemalt põhjendanud, järeldub, et Hankija näeb Vaidlustaja pakkumuses nelja viga (mittevastavust). Vaidlustaja leiab, et kõik need etteheited on alusetud ja otsitud. 4.1.1. Pakutava platvormi vajalike haldustegevuste tootjasertifikaat 4.1.1.1. Hankija on leidnud, et Vaidlustaja pakkumus ei vasta vastavustingimuses „Pakkujal on lepingu täitmiseks meeskond“ sätestatud järgmisele nõudele: Pakkuja meeskonnas peab olema vähemalt 6 liiget: /---/ vähemalt 2 meeskonnaliikmel peab olema pakutava platvormi vajalikele haldustegevustele vastav tootja sertifikaat Sama nõuet kordab tehnilise kirjelduse (edaspidi TK) p 4.2.3. Hankija ise ongi viidanud viimasele. Hankija järeldus, et Vaidlustaja pakkumus ei vasta sellele nõudele, on väär. Nimelt, Hankija on, hoolimata Vaidlustaja korduvatest selgitustest, saanud valesti aru sellest, mis on Vaidlustaja „pakutav platvorm“ kõnealuse vastavustingimuse tähenduses ja ka laiemalt. Nagu nähtub Põhjendustest, peab Hankija Vaidlustaja pakutavaks platvormiks [---].1 See ei ole õige. Vaidlustaja pakutav platvorm on [---]. Vaidlustaja on sunnitud märkima, et Hankija eksitus tuleneb tõigast, et ta on riigihanke alusdokumendid koostanud sedavõrd segaselt, et tal on endalgi raske tingimustes orienteeruda ja aru saada, kuidas ta riigihange konstrueerinud on. Hankija segadus taandub suuresti ebajärjepidevusele riigihanke alusdokumentide mõistekasutuses. Neis on segiläbi ja süsteemitult kasutatud termineid „pakutav platvorm“, „küberturbeplatvorm“ ja ka „infoturbeplatvorm“. Hankija ei ole neid mõisteid kusagil defineerinud. Siiski saab nende sisu

1 Käesolev otsus sisaldab Vaidlustaja ärisaladust ja see jääb sulgudesse

3 (27)

ja tähenduse tuletada konkreetse pakkumuse spetsiifikast või riigihanke alusdokumentidest nende kogumis. Mõistmaks, mis on „pakutav platvorm“, tuleb kõigepealt olulisena toonitada, et Hankija ei hangi mitte ühte kindlapiirilist toodet või teenust, vaid riigihanke ese on keerukas ja mitmetest osistest koosnev IT-lahenduste ja -teenuste kompleks. Sealhulgas ei ole (või konkreetse pakkumuse spetsiifikast lähtuvalt vähemasti ei pruugi olla) „platvorm“, milline sõna sisaldub ka riigihanke nimetuses, üksainuke ühtne toode, vaid erinevate toodete-teenuste kombinatsioon. Esimest korda selgitas Vaidlustaja Hankijale seda, et tema pakutav platvorm on [---], oma vastuses Hankija esimesele teabepäringule2 (vt seal p 4). Teist korda, siis juba põhjalikumalt, käsitles Vaidlustaja sama teemat oma vastuses Hankija teisele teabepäringule3 (vt seal p 1). Hankija on riigihanke üles ehitanud viisil, et hangitav teenus/platvorm koosneb mitmest osisest (SIEM, SOAR, XDR/EDR/EPP) – vt TK p 2.21. ja 3.21. –, millest primaarne on SIEM, mis Vaidlustaja pakkumuse puhul on [---]. Seega, kui Vaidlustaja pakkumuse puhul tuleb (tinglikult) determineerida üks „platvorm“, siis on selleks [---]. Vaidlustaja esitatud tehnilise ettepaneku (edaspidi TE) tabelis 1 on kajastatud [---] andmed põhjusel, et Hankija ise on soovinud saada teavet justnimelt pakutava XDR’i kohta, ehkki XDR on vaid üks komponent kõigist nendest funktsionaalsustest, mida riigihange hõlmab. TE esitamine just selliste andmetega oli Hankija poolt ette kirjutatuna pakkujatele kohustuslik. Pakkujad pidid sellest lähtuma sõltumata sellest, kui mõistlik või ebamõistlik, otstarbekas või ebaotstarbekas see oli.4 Kolmandat korda selgitas Vaidlustaja kõike sedasama oma vastuses Hankija kolmandale teabepäringule5 (vt seal p 1 ja 2). Siis lisas Vaidlustaja oma pakkumuse arhitektuuri paremaks mõistmiseks isegi visuaalse joonise. Kahetsusväärselt on nüüdseks selgunud, et isegi see ei aidanud Hankijal mõista Vaidlustaja pakkumuse sisu Hankija enda konstrueeritud riigihanke tehniliste tingimuste raamistikus. 4.1.1.2. Vaidlustaja pakkumuses on välja toodud, et tema meeskonda kuuluvad mh [---]. Nagu Vaidlustaja on selgitanud oma vastuses Hankija esimesele teabepäringule, nähtub mõlema eelmainitud meeskonnaliikme CV-st, et neil on Vaidlustaja „pakutava platvormi“ [---] tootja [---] sertifikaadid, mille olemasolus saab hõlpsasti veenduda Internetist. 4.1.2. Infoturbeplatvormiga seotud toodete esindusõigus 4.1.2.1. Hankija on leidnud, et Vaidlustaja pakkumus ei vasta järgmisele vastavustingimusele (paksus kirjas rõhutus allakirjutanu poolt): 1) Pakkuja peab olema hankes pakutava infoturbe platvormi omanik või omaniku volitatud edasimüüja või lepinguline partner Eestis. Pakkuja esitab vastavad tõendid. 2) Pakkuja peab olema teenuse alusplatvormi kuuluvate toodete sertifitseeritud partner ja omab tootjapoolset tuge.“ Sisuliselt sama kordavad TK p-d 6.1. ja 6.2.

2 Hankija küsimus 31.10.2024, Vaidlustaja vastus 06.11.2024. 3 Hankija küsimus 07.11.2024, Vaidlustaja vastus 12.11.2024. 4 Vt nt TlnHKo 3-23-2101, p 16: pakkuja peab täitma ka iseenesest kriitikat väärivaid ja/või segasevõitu nõudeid. 5 Hankija küsimus 04.12.2024, Vaidlustaja vastus 10.12.2024.

4 (27)

Hankija järeldus Vaidlustaja pakkumuse mittevastavuse kohta on väär. Hankija on siingi eksinud selles, mida talle on pakutud. Sellelgi puhul on Hankija eksimus nähtavasti tingitud sellest, et Hankija ei ole suutnud orienteeruda oma segastes hankedokumentides. Nagu eespool juba rõhutatud, nõuab Hankija seatud vastavustingimus seda, et pakkuja oleks pakutava „infoturbeplatvormi“ omanik või omaniku volitatud edasimüüja või lepinguline partner Eestis. Vastavustingimus ei räägi „küberturbeplatvormist“, nagu Hankija mingil arusaamatul põhjusel väidab otsuse põhjendustes. Niisamuti ei räägi kõnealune vastavustingimus lihtsalt „platvormist“. „Infoturve“ ja „küberturve“ ei ole sünonüümid, samatähenduslikud mõisted. Nagu Vaidlustaja on selgitanud oma vastuses Hankija teisele teabepäringule, on „infoturve“ laiem mõiste. Vaidlustaja pakkumuse spetsiifikat arvestades tuleb „infoturbeplatvormiks“ pidada [---]. See on [---]. Just sel põhjusel esitaski Vaidlustaja oma pakkumuses faili nimega [---] ehk [---] kinnituskirja selle kohta, et ByteLife Solutions OÜ on Eestis [---] ametlik esindaja. Asjakohatud on nii Hankija viide sellele justkui oleks Vaidlustaja pakutud „infoturbeplatvorm“ [---] kui ka sellest tehtud järeldus, et Vaidlustaja pakkumus pidanuks sisaldama [---] kinnitusi. See ei ole nii. See on vastuolus nii Vaidlustaja selgitustega kui pakkumuse tegeliku sisuga. Vaidlustaja pakutavaks „infoturbeplatvormiks“ ei saa pidada [--- ]. Viimane on Vaidlustaja pakkumuses XDR ehk vaid üks komponent kogu Hankijale pakutavast süsteemist. 4.1.2.2. Vaidlustaja on hankemenetluse käigus (vastus Hankija teisele teabepäringule) edastanud Hankijale ka [---] kui Vaidlustaja pakutava „platvormi“, so [---], omaniku kinnituse selle kohta, et [---] on [---] ametlik partner. 4.1.3. XDR-i vastavus nõuetele Hankija on leidnud, et Vaidlustaja pakkumus ei vasta TE p-s 3. sätestatud nõudele, et „pakutav toode peab vähemalt vastama Tase I funktsionaalsusele“. Kuna TE hõlmab (vaid) XDR-i, siis järelikult puudutab ka TE p-s 3. sätestatu just XDR-i, mis Vaidlustaja pakkumuse puhul on [- --]. Hankija on otsuse põhjendustes väitnud, et „talle teadaolevalt“ puuduvad Vaidlustaja pakutaval XDR-il TE p-des 2.11., 2.12., 2.13., 2.20.. ja 2.30. nimetatud funktsionaalsused. Hankija ei ole oma sellekohast väidet mitte kuidagi tõendanud ega mitte millegagi põhjendanud. Hankija väide on vaid see, et „talle teadaolevalt“ on [---] teatavad funktsionaalsused puudu. Kust aga selline teadmine pärineb, ei ole jälgitav, kuna Hankija ei ole pidanud vajalikuks sel elementaarsel ja olulisel teemal peatuda. Sisuliselt on Hankija etteheide ei ole sisuliselt õige. Vaidlustaja pakutud lahendusel on kõik nõutud funktsionaalsused olemas. Vaidlustaja on seda TE-s ka kinnitanud. Seda enam oleks Hankija pidanud konkreetselt ära näitama, miks ta ei pea võimalikuks Vaidlustaja kinnitustest lähtuda ning võtab hoopis vastupidise seisukoha. Põhjusel, et Hankija ei ole sõnagagi avanud seda, õieti missugustel argumentidel ja andmetel ta peab Vaidlustaja pakutud toodet mittevastavaks, on Vaidlustajal keeruline esitada omapoolseid vastuväiteid. 4.1.4. Osutatava teenuse töökeel

5 (27)

Hankija on leidnud, et Vaidlustaja pakkumus ei ole vastavuses TK lk 1 sätestatud järgmise nõudega: „Kõiki pakutud teenuseid osutatakse üldjuhul töökeelena eesti keeles. Erandjuhtudel

aktsepteerib Hankija töökeelena inglise keelt. Lepingu täitmise käigus koostatavad dokumendid (v.a tehnilised raportid, sündmuste teavitused) peavad olema eesti keelsed ning vastama eesti õigekeelsuse nõuetele Mõiste „erandjuhud“ on Hankija sealsamas (joonealune märkus nr 1) defineerinud järgmiselt: Nt vastavat erialaeksperti, kes valdaks eesti keelt, ei ole võimalik saada, teenuse osutamisel on otstarbekas kasutada otse tootja tuge vmt.“ Täpsemalt heidab Hankija Vaidlustajale ette, et viimase meeskonnast ainult [---], valdavad eesti keelt. Sellest lähtuvalt Hankija „ei pea tõendatuks, et pakkuja on valmis osutama teenuseid nõutud kvaliteedis eesti keeles“. Hankija järeldus on väär ja ka mõistmatu, sest Hankija on selleski aspektis ja järjekordselt eiranud Vaidlustaja poolt hankemenetluse käigus Hankijale esitatud selgitusi. Vaidlustaja on selgitanud oma vastuses Hankija esimesele teabepäringule: (i) [---], kelle emakeel on eesti keel, katavad ära suurema osa kui mitte kogu eestikeelse suhtluse vajaduse; (ii) ülejäänud tiimiliikmed on mõeldud peaasjalikult tegelema tehniliste raportite ja sündmuste teavitusega, millele eesti keele nõue ei kohaldu; (iii) vajadusel laseb Vaidlustaja teenuse osutamise käigus koostatavad dokumendid, mida autor ei suuda koostada eesti keeles, tõlkida enda kulul kvaliteetsesse eesti keelde; (iv) vajadusel tagab Vaidlustaja enda kulul ka suulise suhtluse paralleeltõlke; (v) [---] keskkonda puudutavates küsimustes on üldjuhul kõige otstarbekam pöörduda otse [---] spetsialistide poole inglise keeles (so Hankija lubatud erandjuhtum). Hankija ei ole riigihanke alusdokumentides keelanud võimalust kasutada tõlkimist. Ka ei ole riigihanke alusdokumentides sätestatud, et tõlget peaksid tingimata tegema pakkumuses nimetatud meeskonda kuuluvad isikud. Sellised keelud ja piirangud saaksid kehtida vaid juhul, kui need on riigihanke alusdokumentides otsesõnu kirjas. Seega on Hankija poolt Põhjendustes esitatud argumendid asjakohatud ja õigusliku aluseta. Vaidlustajal oli igasugune õigus teha pakkumus arvestusega, et vajadusel ja enda kulul kasutab ta tõlkimist, vajadusel majavälise teenusena. Seda enam, et tõlkevajadus on praktikas väga väike või lausa olematu, sest Vaidlustaja tiimi kuuluvad ka eestikeelsed inimesed ning eesti keelt mittevaldavad tiimiliikmed tegelevad peaasjalikult töölõiguga, mille suhtes on Hankija otsesõnu aktsepteerinud ka inglise keelt (tehnilised raportid ja sündmuste teavitused). Oluline on seegi, et Vaidlustaja saab õiguspäraselt tugineda TK-s sätestatud „erandjuhtude” reeglile. Nimelt, Vaidlustaja pakkumuse järgi pakutakse olulist osa riigihanke mahtu kuuluvaid teenuseid läbi [---] keskkonna. Järelikult võib selles töölõigus olla kõige otstarbekam pöörduda otse [---] spetsialistide poole inglise keeles. 4.2. Kui Hankija hindaks ka Vaidlustaja pakutava küberturbeplatvormi funktsionaalsusi (kvalitatiivne hindamiskriteerium), siis osutuks edukaks just Vaidlustaja pakkumus. Olukorras, kus Hankija on jõudnud õigusvastaselt edukaks tunnistatud pakkumuse tegija ka eduka pakkujana kvalifitseerida ning hankemenetlusest kõrvaldamata jätta, laieneb otsuste järgnevuse põhimõte ka nendele otsustele. 4.3. Vaidlustaja täiendavad seisukohad.

6 (27)

4.3.1. Hankija on enamiku oma vastusest pühendanud sellele, et läbi erinevate ristviidete ja tuletuste selgitada, mida mõisted „platvorm“, „küberturbeplatvorm“ ja „infoturbeplatvorm“ tähendavad. On ilmne, et konkreetseid riigihanke alusdokumentides defineeritud tähendusi neil mõistetel pole. Ka Hankija ise otsib vastuseid keerukate tõlgenduskonstruktsioonide kaudu. Hankija tunnistab, et on teinud vea. Viimasest olenemata soovib Hankija oma viga rakendada Vaidlustaja pakkumuse tagasilükkamise alusena. Hankija vastusest läbivalt jääb mulje, et Hankija käsitleb mõisteid „küberturbe platvorm“ ja „platvorm“ vabalt ja segiläbi. Hankija vastus üksnes kinnitab, et tema ebaõnnestumine riigihanke alusdokumentide sõnastamisel on viinud selleni, et tegelikult ei ole üheselt aru saada, mis on mis ning mida on pakkujailt nõutud. Hankija on väitnud, et ta peab platvormi all silmas küberturbeplatvormi. See võib nii olla, Vaidlustaja ei saa vaidlustada Hankija sisemisi mõtteid, kuid riigihanke alusdokumente ei saa tõlgendada ainuüksi lähtuvalt sellest, mida Hankija „silmas pidas“. Hankija teeb olulise loogikavea. Ühest küljest väidab Hankija, et „küberturbeplatvorm“ tähendab riigihanke alusdokumentides XDR-i (nagu TE-s), teisalt tunnistab avameelselt, et XDR on „üksnes küberturbeplatvormi juurde kuuluv komponent“, samamoodi nagu seda võib olla EDR ja EPP. Hankija toob esmakordselt sisse ingliskeelse väljendi Cybersecurity-as-a-Platform. Riigihanke alusdokumentides ei ole seda terminit kasutatud. Kuidas seda ingliskeelset väljendit ka tõlkida, mitte ükski erialane teadmine ei ütle, et ainult XDR on Cybersecurity-as- a-Platform. Pigem oleks Cybersecurity-as-aPlatform kombinatsioon erinevatest komponentidest nagu SIEM + SOAR + XDR. Ilmekas näide selle kohta, et ka Hankijal endal on keeruline riigihanke alusdokumentide mõistestikus orienteeruda, on tema vastuses järgmine: „Vastutegevused realiseerib aga küberturbe platvorm ja tema komponendid (EPP/EDR/mõningal juhul ka XDR).“ Hankija räägib ühes ja samas lauses sellest, et teatavaid vastutegevusi realiseerib küberturbeplatvorm, mis Hankija ühe narratiivi järgi peaks olema väga kindel ja ühtne asi ning sinna otsa kohe ka sellest, et sama ülesannet täidavad ikkagi erinevad komponendid. Segaseks jääb seegi, miks „mõningal juhul“ ka XDR, kui XDR on võrreldes EPP ja EDR-ga kõige uuem ja võimekam tehnoloogia. 4.3.2. Hankija on vastuses öelnud, et ta „soovib justnimelt küberturbe platvormi hankida keskse küberturbe ökosüsteemi haldava tarkvara lahendusena“. Vaidlustaja on seisukohal, et kui miskit selles riigihankes saab lugeda „keskseks küberturbe ökosüsteemi haldavaks tarkvara lahenduseks“, siis ei ole see EDR/XDR, vaid selleks saab olla SIEM ja/või SOAR. Hankija on püüdnud pisendada SIEM-i osatähtust, öeldes nt, et SIEM „vaid kogub erinevat infot ja analüüsib seda“. Vaidlustaja jääb enda juurde: SIEM on kogu hangitava teenuste- toodete paketi keskne osa. Seda kinnitaks ilmselt teisedki (antud küsimuses erapooletud) turuosalised. Märgime, et SIEM teeb isegi Hankija enda tehnilise kirjelduse järgi rohkemat kui Hankija vastuses vaidlustusele mõista annab. Hankija on väitnud sedagi, et „küberturbe platvorm võimaldab hankijal keskse halduskeskkonna /---/ jälgida kõiki hankija taristusse paigaldatud küberturvalisuse komponente“. See ei vasta tõele, kui lugeda „küberturbeplatvormiks“ XDR (või ka EDR) nagu

7 (27)

seda teeb Hankija. Hankija enda kirjelduste järgi oleks „küberturbeplatvorm“ hoopis SIEM, kuivõrd selle jälgimisvõimekus on teistest kõnealustest komponentidest kordades suurem. 4.3.3. Hankija on oma hinnangu, et Vaidlustaja pakutud XDR [---] ei vasta teatavatele TE p- dele, kinnituseks esitanud selle tarkvara tootja müügijuhi e-kirja. Vaidlustaja leiab, et sellest tõendist ei saa lähtuda. Nimelt on selles tõendis olevad vastused antud kontekstist välja rebituna ja arvestamata Vaidlustaja pakutava lahenduse spetsiifikat. Tegelikkuses katab Vaidlustaja pakutav terviktoode (teenus) ära kõik riigihankes seatud nõuded. Nimelt ei näe riigihanke alusdokumendid ette, et pakkujad peavad tingimata pakkuma isoleeritud standardlahendusi. Pakkuda on lubatud ka erinevate IT-lahenduste kombinatsioone, nõnda et Hankija seatud nõuded on lõppastmes sisuliselt täidetud. Vaidlustaja esitab omapoolse tõendina [---] poolt spetsiaalselt vaidlustuskomisjonile ja Hankijale adresseeritud kirja (vt lisa 1), mis kinnitab seda, et [---], nii nagu Vaidlustaja on riigihankes pakkunud, saavad kõik riigihanke nõuded sisuliselt täidetud. 4.3.4. Hankija käsitluse teenuse töökeele küsimuses võib kokku võtta järgmiselt: erandist ei tohi saada reeglit. Kui teoreetilisel tasemel võib sellega isegi nõustuda, siis antud juhul ei ole see abstraktne postulaat relevantne, kuna lähtuda tuleb sellest, mis on Hankija enda poolt riigihanke alusdokumentidesse kirja pandud. Kui Hankija on „erandid“ sisustanud täpselt nii nagu ta on seda teinud, siis ei saa ta neid pärast pakkumuste esitamist jooksvalt kitsendada. Isegi kui Hankija mõistab, et ta on erandi formuleerinud liiga laialt, ei tohi ta selle „kompenseerimiseks“ lugeda pakkumust mittevastavaks. Hankija peab lugema pakkumuse vastavaks või kui ta leiab, et ta on teinud olulise vea, mis ei võimalda viia riigihanget soovitud tulemini, tunnistama riigihanke kehtetuks. 4.3.5. Vaidlustaja on vaidlustuses põhjalikult selgitanud, miks ei ole alust leida, et tema pakkumus ei vasta tingimusele, mis puudutab „infoturbeplatvormi“ omanikuks või omaniku volitatud edasimüüjaks või lepingupartneriks olemist Eestis. Kuna Vaidlustaja parima arusaamise järgi tuleb tema pakkumuse puhul „infoturbeplatvormiks“ lugeda [---], siis esitas ta pakkumuses [---] kinnituskirja. Nähes, kuidas Hankija erinevaid mõisteid sünonüümidena samastab ja segiläbi kasutab, esitab Vaidlustaja – näitamaks, et tema pakkumus on igal juhul vastav ka siis, kui lähtuda Hankija tõlgendusest – täiendava tõendina [---] 08.01.2023 dateeritud kinnituskirja, et Vaidlustaja on tema toodete volitatud edasimüüja mh Eestis (vt lisa 2). Seega pärineb tõend ajast enne pakkumuste esitamise tähtpäeva ning on seega lubatav. Teisisõnu, tegu ei ole tagantjärele ja hilinenult hangitud tõendiga, mille omandamine annaks Vaidlustajale teiste pakkujate ees ebakohase eelise. 5. Hankija, Sihtasutus Põhja-Eesti Regionaalhaigla, vaidleb vaidlustusele vastu. 5.1. Hankija nõustub Vaidlustajaga selles, et tegemist on sisu poolest keskmisest keerukama ülesehitusega riigihankemenetlusega. Samuti nõustub Hankija Vaidlustajaga selles, et riigihankega hangitav teenus ning platvorm koosneb erinevatest komponentidest.

8 (27)

Küll aga eksib Vaidlustaja selles, justkui ei olevat Hankija riigihankes nõudnud mingisuguse konkreetse platvormi pakkumist. Tehnilise kirjelduse (edaspidi TK) kohaselt on riigihanke eesmärk soetada hankes kirjeldatud küberturbeteenuseid ja platvormi. Hankija hangib riigihankes katusmõiste „küberturbeteenus“ all muu hulgas: 1) mehitatud häirekeskuse SOC (inglise keeles ’Security Operation Center’) teenust, mis omakorda sisaldab SIEM teenust ning 2) platvormi, mille all peab Hankija silmas küberturbe platvormi. SIEM teenust hangib Hankija riigihanke alusdokumentide (edaspidi RHAD) kohaselt teenusena (SaaS). Kübertubeplatvormi hangib Hankija RHAD-i kohaselt tarkvara lahendusena, mis osaliselt paigaldatakse Hankija arvutitesse, osaliselt serveritesse ning küberturbe platvormi keskhaldust hangib Hankija pilveteenusena (tehnilise ettepaneku (edaspidi TE) p 4.1.). Hankija ning kaks teist pakkujat peale Vaidlustaja said RHAD-ist samamoodi aru ning Vaidlustaja poolne loominguline tõlgendus RHAD-ist on meelevaldne. 5.2. TK p 1.1. kohaselt pidi pakkuja pakkuma mehitatud häirekeskuse SOC (inglise keeles ’Security Operation Center’) teenust, omama vajalikke tarkvarasid, meeskonda ja vastavat kompetentsi. TK p 1.2. kohaselt peab SOC teenus sisaldama vähemalt, kuid mitte ainult: 1) seireteenust - ohtude jahtimine, nõrkuste haldus, alarmihaldus, ohu analüüs. Seireteenuse sisu on täpsemalt kirjeldatud TK p-s 2 ning selle alapunktides ning seireteenus sisaldab endas SIEM teenust (vt TK p-i 2.4.); 2) küberintsidentide vasteteenust - küberohtude ennetamine, intsidentidele reageerimine sh triaaž, avaliku profiili luureinfo (võimalik teostada automaatset OSINT organisatsiooni ja võtmeisikute monitooringut), aruandlus ja mõõtmine, kriitilise intsidendi lahendamise meeskond. Küberintsidentide vasteteenuse sisu on täpsemalt kirjeldatud TK p-s 3. ning selle alapunktides; 3) kriitilise intsidendi lahendamise teenust - süsteemide analüüs, ohu ohjeldamine, kriisiplaani koostamine, läbirääkimised küberkurjategijatega, digikriminalistika. Kriitilise intsidendi lahendamise teenuse sisu on täpsemalt kirjeldatud TK p-s 4. ning selle alapunktides. Vaidlustaja poolt esitatud TE puudutab tervikuna üksnes küberturbe platvormile esitatavaid nõudeid. Vastavat asjaolu kinnitab muu hulgas ka TK p-s 5. kirjeldatu, mille kohaselt on riigihankes pakutava küberturbe platvormi hinnastusperioodiks aastane litsentsi maksumus funktsonaalsuste ja mittefunktsionaalsete nõuete tasemete kaupa. TE-s on välja toodud lahter „Funktsionaalsustase (tase I / tase II)“ nii XDR, EDR kui ka EPP lahenduste osas. Nii XDR, EDR kui ka EPP on ja saavad olla üksnes Hankija poolt hangitava küberturbe platvormi juurde kuuluvad komponendid. Hankija on sunnitud Vaidlustaja esitatud seisukohtadest ning argumentidest järeldama, et Vaidlustaja ei tea või ei saa aru, misasi on küberturbe platvorm, millistest komponentidest see koosneb ning mis on nende komponentide ülesanne. RHAD-i (sh TK, TE jm) tuleb hinnata ning tõlgendada tervikuna, arvestades riigihanke läbiviimise eesmärki6. RHAD-i kogumis hinnates ja tõlgendades on ilmne, et Hankija soovib justnimelt küberturbe platvormi hankida keskse küberturbe ökosüsteemi haldava tarkvara lahendusena. SIEM lahendus on üksnes üks komponent, mida Hankija on TK kohaselt soovinud täies ulatuses hankida pilveteenusena (SaaS). 5.2.1. Küberturbe platvorm

6 TlnRKo 3-23-2608, p 18

9 (27)

5.2.1.1. Küberturbe platvorm (inglise keeles Cybersecurity-as-a-Platform, edaspidi küberturbe platvorm) pakub sõltumatut kasutajaliidest, mille abil saab Hankija kontrollida ulatuslikku ja keerulist küberturbe ökosüsteemi. Kui SIEM teenus eelkõige kogub infoturbe teavet ning haldab sündmuseid, siis küberturbe platvorm nö tegutseb reaalse küberohu korral ja reaalselt kaitseb kogu Hankija infosüsteemi muu hulgas SIEM-ilt kui ühelt küberturbe platvormiga ühendatud komponendilt saadud info alusel. Näiteks kui SIEM’i lahendusest saadud info alusel selgub, et mõni pahalane püüab Hankija faile krüpteerida eesmärgiga esitada hankijale lunavaranõue, siis SIEM saadab vastava info küberturbe platvormi, misjärel küberturbe platvorm tuvastab krüpteerimiskatse automaatselt ning tõkestab selle ehk tegutseb saadud info alusel (vt nt TE p-te 1.2.7, 1.8.8 ning 2.8.9). Ka küberturbe platvorm võib saata SIEM’ile teavituse, mille tagajärjel võib tegutsema asuda hoopis 24/7 mehitatud seire- või vasteteenuse meeskond. Kuivõrd SIEM vaid kogub erinevat infot ja analüüsib seda (TK p 2.7.10), siis erinevate küberturbeohtude vastu võitlemise või nende tõkestamise funktsioone SIEM teenusel ei ole. Küberturbe platvorm võimaldab Hankijal keskse halduskeskkonna (TE p 4. ning selle alapunktid) jälgida kõiki Hankija taristusse paigaldatud küberturvalisuse komponente ning Hankijal on võimalik küberturbe platvorm integreerida küberturbeteenuses pakutava SIEM lahendusega küberturbeteenuse terviku tõhusamaks toimimiseks (TE p 4.10.). See hõlmab ka ühtsete armatuurtahvlite ja visualiseeringute loomist, mis ühendavad kõigi erinevate turvaseire- ja analüüsilahenduste andmed (SIEM), et Hankija saaks oma küberturvalisuse keskkonnast tervikliku pildi. Vaidlustaja viitab, et Hankija on TK-s väga segaselt kirjeldanud, millist konkreetset platvormi ta soovib. Hankija möönab, et TK p-i 6.1. on sattunud ekslikult mõiste „inforturbeplatvorm“. Tegemist on ainsa sellesisulise eksitava mõistega TK-s. Ülejäänud TK-s on viidatud selgesõnaliselt mõistele „küberturbe platvorm“ või lihtsustatult „platvorm“ ning sellele esitatavatele tehnilistele nõuetele ja hinnastamispoliitikale – vt nt TK tabel 2 ning TK p-te 5, 6 ja 7. TK p-s 5. selgelt ning üheselt mõistetavalt öeldud, et „Hankes pakutava küberturbe platvormi hinnastusperioodiks on aastane litsentsi maksumus funktsonaalsuste ja mittefunktsionaalsete nõuete tasemete kaupa. Platvormi litsentsi arveldamine toimub kuupõhiselt. Eraldi hinnana tuuakse välja platvormi haldusteenus (vt punkt 2.4.8) kuupõhiselt. Küberturbe platvormi funktsionaalsused on jagatud kahte tasemesse tase I ja tase II, sealjuures tase II litsentse nõudev EPP/EDR/XDR agent sisaldab ka tase I funktsionaalsuseid. Pakkuja märgib platvormi funktsionaalsus- ja mittefunktsionaalsusnõuete tabelis vastava taseme litsentsi, mis selle funktsionaalsus- või mittefunktsionaalsusnõude täidab. Hind sisaldab EPP/EDR ja XDR maksumust.“ TK p-de 6. ning 7. pealkirjad on sõnastatud vastavalt „Küberturbe platvormi esindusõigused“ ja „Küberturbeplatvormi funktsionaalsed ja mittefunktsionaalsed nõuded“.

7 TE p 1.2. „Lahendus peab tuvastama ründed, andma visualiseeritud ülevaate rünnaku ulatusest ja soovitama võimalike vastumeetmeid rünnaku tõkestamiseks või kontrolli alla saamiseks 8 .TE p 1.8. „Intsidendi visualiseeritud vaatest peab olema võimalik rakendada intsidendiga seotud infovaradele vastumeetmeid sealhulgas isoleerida infovara võrgust, CLI sessiooni loomine, skriptide käivitamine (powershell, bash), faili või URL blokeerimine, e-maili karantiini saatmine jms.“ 9 TE p 2.8. „Lunavarakaitse – krüpteerimiskatsete automaatne tuvastamine ja tõkestamine.“ 10 TK p 2.7. „Pakkuja SIEM seirelahendus peab võimaldama koguda, korreleerida ja analüüsida küberintsidente vähemalt järgnevatest allikatest: /…/“

10 (27)

5.2.1.2. Hankija on riigihankes nõudnud küberturbe platvormi konkreetset nimetust, mis nähtub riigihanke TE p-st 1. TK p 2.14. sätestab, et pakkuja peab platvormihalduse teenuse koosseisus pakkuma samas hankes pakutud platvormile (XDR/EDR/EPP) haldusteenust, mis sisaldab lepinguperioodil vähemalt: 1) platvormi lansseerimist, uuendamist; 2) reeglite ja poliitikate muutmist; 3) nõustamist, tehnilist tuge ja veaotsinguid; 4) intsidentidele reageerimine ja eskaleerimine; 5) platvormi haldusega seotud protsesside loomist, dokumenteerimist ja koolitust ning tutvustamist. TK p-st 2.14. tuleneb, et XDR (inglise keeles ’Extended Detection and Response’, eesti keeles ’Laiendatud tuvastus ja vaste’11), EDR (inglise keeles ’Endpoint detection and response’, eesti keeles ’lõppseadme tuvastus ja vaste`) ning EPP (inglise keeles ’endpoint protection’, eesti keeles ’lõppseadme kaitse) on hangitava küberturbe platvormi juurde kuuluvad komponendid, mis peavad vastama TE p-des 1.-3. toodud tingimustele. Analoogia korras võib tuua näite, et EPP füüsilises maailmas on nt maja akendel või ustel olevad lukud. EDR on kaamerad tubades, mis jälgivad ja avastavad, kui maja akende või uste lukud on lahti murtud ja ustest või akendest on juba sisse tungitud. XDR laiendab kaitse teistesse kohtadesse (IT-maailmas kihtidesse), mis toimub maja ümber, kas väravast on keegi sisse tulnud, kas korstna kaudu üritab keegi sisse tungida jne. XDR, EDR ning EPP’i puhul on tegemist üksnes küberturbe platvormi juurde kuuluvate komponentidega, kuivõrd tegemist on küberturbeohtude vastu reaalselt võitlevate komponentidega. 5.2.2. SIEM teenus TK p 2.4. sätestab nõude, et „Pakkuja seireteenus sisaldab turbe teabe ja sündmuste haldust (edaspidi SIEM) teenusena (SaaS), kuhu on võimalik saata hankija alglogisid logide tekke kohast või hankija kesksest logihaldus süsteemist (nt ELK stack) hilisemaks küberturbe analüüsi teostamiseks. Lühend „SIEM“ tähendab inglise keeles „security information and event management“ ehk infoturbe teabe ning sündmuste haldus, mis aitab tuvastada potentsiaalseid turvasündmuseid ja haavatavusi. SIEM ise ei ole seega küberturbe platvorm, vaid üks komponent, mis haldab ja analüüsib infoturbe teavet ning sündmuseid. Vaidlustaja väidab, et tema poolt pakutav nn primaarne platvorm on [---] ning mitte [---], nagu on Vaidlustaja on TE p-s 1. nimetanud. Hankijale jääb täiesti arusaamatuks, mille alusel nimetab Vaidlustaja primaarseks platvormiks SIEM lahendust. [---] puhul ei ole faktiliselt tegemist küberturbe platvormiga, vaid infoturbe ja sündmuste haldamise komponendiga (SIEM teenusega), mis peab omakorda „suhtlema“ küberturbe platvormiga, so saatma ja vastu võtma küberturbe platvormi kogutud andmeid, mida SIEM lahendus analüüsib ja vastavalt reeglitele loob intsidendi teavituse ja/või käivitab küberturbe platvormis võimalikud automeeritud vastutegevused või reageerib teavitusele 24/7 valves olev seireteenuse meeskond. Vastutegevused realiseerib aga küberturbe platvorm ja

11 vaste tähendab siin kontekstis mingi konkreetse küberohu tõkestamist

11 (27)

tema komponendid (EPP/EDR/mõningal juhul ka XDR). Hankija ei ole kusagil RHAD-is nõudnud SIEM lahenduse esitamist Hankija arvutitesse ja/või serveritesse laetava tarkvaralise platvormina. TK p-st 2.4. tuleneb selgelt ja üheselt, et Hankija on soovinud hankida nn SIEM teenust nö pilvetarkvarana (SaaS). Tegemist on lühendiga, mis on IT-valdkonnas tegutsevatele isikutele üheselt selge ja mõistetav. TK p-s 2.4. sulgudes nimetatud lühend „SaaS“, inglise keeles „Software-as-a-service“ on pilvandmetöötluse pakkumine teenusepakkuja määratud tarkvara rentimisena, millisel juhul pakutakse tarkvara teenusena interneti vahendusel selliselt, et selle konkreetse teenuse tarbija ei pea rakendusi oma arvutitesse installima ja käitama, mis omakorda lihtsustab tarkvara hooldust. Kuivõrd Hankija on SIEM teenust soovinud hankida teenusena (SaaS), siis ei ole Hankija jaoks oluline ning Hankija ei ole RHAD-is pakkujate käest ka küsinud, millist platvormi pakkuja oma pakkumuses SIEM teenuse osutamiseks kasutab. Hankija ei ole pidanud vajalikuks pakkujate ringi sellise nõudmisega piirata, kuivõrd SIEM teenuse pakkumiseks on tehniliselt erinevaid võimalusi, sh platvorme (tarkvaralisi lahendusi). Kuna Hankija jaoks ei ole oluline, millist platvormi pakkuja SIEM teenuse osutamiseks kasutab, siis ei rakendu sellisel juhul TK p-des 4.2.3., 6.1. ning 6.2. toodud nõuded mitte SIEM teenuse osutamiseks kasutatavale platvormile, vaid justnimelt küberturbe platvormile. Vaidlustuses toodud viide TK p-dele 2.21. ning 3.21. on kontekstist välja rebitud, püüdes ilma igasuguse adekvaatse põhjenduseta väita, et kõikidest platvormidest, mida hankes pakutakse, on primaarseim just SIEM lahenduse platvorm. TK p 2.21. sätestab, et „Hankijale tagatakse vähemalt lugemisõigustega juurdepääsud seireteenuse kasutatavatele platvormidele (SIEM, XDR/EDR/EPP) sündmuste analüüsiks.“ ning TK p 3.21. sätestab, et „Hankijale tagatakse lugemisõigusega juurdepääsud vasteteenuses kasutatavatele platvormidele (SIEM, XDR/EDR/EPP, SOAR võimekusega) sündmuste analüüsiks.“ TK p-d 2.21. ning 3.21. kehtestavad pakkujale üksnes nõude, et Hankija soovib kõikidele platvormidele (vähemalt) lugemisõigustega juurdepääse ning seda selleks, et Hankija oleks ka ise pidevalt kursis, milline info neil platvormidel liigub ning millised küberturbeohud Hankijat igapäevaselt ohustavad. Tegemist ei ole punktidega, mis viitavad, milline platvorm on primaarseim. Selleks tuleb vaadata RHAD-i tervikuna. 5.3. TK p-d 4.2.3., 6.1. ning 6.2. kohalduvad pakutavale küberturbe platvormile Kuivõrd Vaidlustaja seisukohad tuginevad väärale eeldusele, justkui ei soovinud Hankija mingisugust konkreetset platvormi hankida, siis on väär Vaidlustaja seisukoht, mille kohaselt soovis Hankija, et pakkuja oleks mistahes hankes pakutava platvormi omanik või omaniku volitatud edasimüüja või lepinguline partner. Samal põhjendusel on väär Vaidlustaja seisukoht, mille kohaselt peab pakkuja olema mistahes platvormi kuuluvate toodete sertifitseeritud partner ning omama mistahes platvormi tootjapoolset tuge (TK p-d 6.1. ning 6.2.). Ka TK p-s 4.2.3. kirjeldatud nõudes peetakse silmas just küberturbe platvormi. TK p-d 6 ning 7 pealkirjad on sõnastatud vastavalt „Küberturbe platvormi esindusõigused“ ja „Küberturbeplatvormi funktsionaalsed ja mittefunktsionaalsed nõuded“.

12 (27)

TK p-d 6.1. ning 6.2. peavad olema täidetud pakkuja poolt küberturbe platvormi osas, mitte pakkuja poolt pakutava SIEM lahenduse osas. Vaidlust ei ole selles, et Vaidlustaja TE p-s 4.1. on Vaidlustaja küberturbe platvormina nimetanud [---]. Kuivõrd [---] puhul ei ole faktiliselt tegemist küberturbe platvormiga, vaid infoturbe ja sündmuste haldamise komponendiga (SIEM), siis ei vasta Vaidlustaja pakkumus RHAD-is sätestatud tingimustele. Vaidlustuses viidatud [---] ei ole samuti küberturbe platvorm, tegemist on automatiseerimis- ja reageerimisteenus ehk SOAR teenusega (TK p 3.21.), mis kuulub häirekeskuse vasteteenuse alla ning on osa mehitatud häirekeskuse SOC (inglise keeles ’Security Operation Center’) teenusest. TK p 4.2.3. sätestab, et vähemalt kahel kriitilise intsidendi meeskonna liikmel peab olema pakutava platvormi vajalikele haldustegevustele vastav tootja sertifikaat. Vaidlustaja väidab, et Vaidlustaja võis nõutava sertifikaadi esitada ükskõik millise platvormi kohta ning esitas selle oma SIEM lahenduse kohta. Siin puudub mistahes loogika, kuna Hankija hangib küberturbe platvormi keskse tarkvara lahendusena ning Hankija vajab tootjapoolset tuge ning platvormi vajalikele haldustegevustele vastavaid sertifikaate justnimelt küberturbe platvormi tarkvaralisele lahendusele, kuivõrd see on ainus platvorm, mis paigaldatakse reaalselt Hankija arvutitesse, osaliselt serveritesse ning üksnes küberturbe platvormi keskhaldust hangib Hankija pilveteenusena (vt TE p 4.1.) SIEM teenus on vaid üks komponent mehitatud häirekeskuse SOC (inglise keeles ’Security Operation Center’) teenusest, mida Hankija hangib vaid pilveteenusena ning mis sisuliselt teenindab häirekeskuse 24/7 mehitatud seire- ja vasteteenuse tööd (TK p-i 3 ning selle alapunkte). Hankijale on vajalik, et Vaidlustaja oleks justnimelt pakutava küberturbe platvormi omanik või omaniku volitatud edasimüüja või lepinguline partner (TK p 6.1.) ning pakkuja peab olema küberturbe platvormi kuuluvate toodete sertifitseeritud partner ja omama otsekontakti tootjapoolsete kinnitustega või väljavõttega tootja kodulehelt. Vaidlustaja oleks pidanud TK p 4.2.3. nimetatud sertifikaadid Hankijale esitama just küberturbe platvormi kohta ning TK p-des 6.1. ning 6.2. nimetatud tõendid samuti küberturbe platvormi kohta. Kui Vaidlustajale jäi arusaamatuks, millise konkreetse platvormi kohta pidi Vaidlustaja sertifikaadid või muud tõendid esitama, siis oli Vaidlustajal võimalik esitada Hankijale täpsustavaid küsimusi, seda Vaidlustaja paraku ei teinud. 5.4. Vaidlustaja poolt pakutud küberturbe platvormil [---] puuduvad RHAD-s nõutud funktsionaalsused Hankija on oma otsuses välja toonud, et Hankijale teadaolevalt puuduvad Vaidlustaja pakkumuse TE vormi p-des 2.11., 2.12., 2.13., 2.20. ning 2.30. nõutavad funktsionaalsused, mille osas Vaidlustaja on kinnitanud, et need funktsionaalsused eksisteerivad. Küberturbe platvormi [---] osas ei olnud Hankijal avalikest allikatest (nagu näiteks tootja kodulehekülg) võimalik leida platvormi täpseid spetsifikatsioone. Hankija sai avalikest allikatest (nagu foorumid, artiklid, blogi postitused jms) vihjeid, et [---] ei pruugi vastata teatud funktsionaalsustele, kuid millede osas on Vaidlustaja kinnitanud vastavust. Hankija on rahvusvahelise organisatsiooni Health ISAC (edaspidi H-ISAC) liige, mis koondab tervishoiusektori info- ja küberturbevaldkonna spetsialiste, eksperte, juhte ja

13 (27)

platvormide tootjaid ja tarnijaid, sealhulgas väga palju Ameerika Ühendriikide [---] kliente ja [---] ettevõttena on samuti H-ISAC liige. Hankija saavutas H-ISAC organisatsiooni vahendusel otsekontakti küberturbeplatvormi tootja [---] müügijuht [---] (edaspidi müügijuht) Ameerika Ühendriikides. Hankija esitas müügijuhile platvormi valideerimiseks riigihankes esitatud funktsionaalsuste kontrollimiseks päringu funktsionaalsuste kohta, mille osas oli Hankijal eelneva info kogumise käigus mittevastavuse kahtlus tekkinud. Kuna Hankijal ei ole sõlmitud [---] tootjaga konfidentsiaalsuslepingut, siis müügijuht ametliku dokumentatsiooni [---] platvormi osas esitada ei saanud. Küll aga luges Hankija piisavaks platvormi tootja müügijuhi poolt 26.11.2024 e-kirja teel (edaspidi e-kiri, lisa 1) kinnitused funktsionaalsuste osas, mis Hankijat huvitas. Hankija küsis müügijuhilt e-kirjas inglise keeles, kas [---] esinevad alltoodud TE-s toodud funktsionaalsused ning müügijuht vastas alljärgnevalt. TE vormi tabelis Tase I funktsionaalsustena märgitud p-is 2.11. „Analüüsitavate failide maksimaalset suurust on võimalik konfigureerida“. Müügijuhi vastus e-kirja p-s 3: „See ei ole konfigureeritav.“ (inglise keeles „This is not configurable.”. Sellest järeldub, et TE p-s 2.11. toodud nõue ei ole täidetud. TE vormi tabelis Tase I funktsionaalsustena märgitud p-is 2.12. „Arhiivifailide (pakitud, zip, rar jne) analüüsimine.“ Müügijuhi vastus e-kirja p-s 4: „Arhiivi faile ei skaneerita.“. Iinglise keeles: „Archive file types are not scanned.”. Sellest järeldub, et TE p-s 2.12. toodud nõue ei ole täidetud. TE vormi tabelis Tase I funktsionaalsustena märgitud p-is 2.13. „Arhiivifailidele on võimalik määrata pakkimistasemete piirang.“. Müügijuhi vastus e-kirja p-s 5: „Ei ole saadaval.“. Inglise keeles: „N/A” lühendina ehk sõnades välja kirjutatuna not available. Eeltoodu tähendab, et TE p-s 2.13. toodud nõue ei ole täidetud. TE vormi tabelis Tase I funktsionaalsustena märgitud p-is 2.20. „Tulemüüril on võimekus tuvastada ja blokeerida skanneeringuid (OS fingerprinting, null scan, SYN FIN scan, port scan jne).“ Müügijuhi vastus e-kirja punktis 2: [---].Sellest järeldub, et TE p-s 2.20. toodud nõue ei ole täidetud. TE vormi tabelis Tase I funktsionaalsustena märgitud p-s 2.30. „Lahendus võimaldab teostada toetatud operatsioonisüsteemides käivitatavate (executable) failide rakenduskontrolli, /…/“ on Vaidlustaja märkinud, et pakutav tarkvara vastab nendele nõuetele. Müügijuhi vastus e- kirja p-is 1: „Kuigi meil on võimalik blokeerida faile erinevate vahenditega, ei ole [---] näol tegemist rakenduste kontrollimisega. Nende nõuete täitmiseks teeme koostööd Airlockiga.“. Inglise keeles: „While we do have the ability to block files by various means, [---] is not an application control product. We partner with [---] for these requirements.”. Sellest järeldub, et TE p-s 2.20. toodud nõue ei ole täidetud, TE p-s 2.30. nõutud funktsionaalsuste täitmiseks peab [---] platvormile lisaks olema ka [---] platvorm, mida Vaidlustaja hankes ei pakkunud ega lisanud ka ühtegi viidet, mille kaudu Hankijal oleks võimalik olnud tuvastada, et pakkuja pakub lisaks ka [---] platvormi. 5.5. Osutatava teenuse töökeel TK-s on sätestatud, et kõiki pakutud teenuseid osutatakse üldjuhul töökeelena eesti keeles. s aktsepteerinud järgmisi olukordi - nt vastavat erialaeksperti, kes valdaks eesti keelt, ei ole võimalik saada, teenuse osutamisel on otstarbekas kasutada otse tootja tuge vmt.

14 (27)

Eesti keele seletava sõnaraamatu järgi tähendab sõna „erand“ milleski üldisest v. normaalsest kõrvalekalduvat v. erinev nähtus, omadus, asi, isik vms.12 Vaidlustaja on oma pakkumuse sisuga loonud Hankija jaoks olukorra, kus erandist on saanud üldreegel ning üldreegelist erand. Hankija on soovinud, et kogu pakutav meeskond kasutab töökeelena üldreeglina eesti keelt ning üksnes sellistel erandjuhtudel, kus mingit kindlat erialaeksperti võimalik ei ole võimalik nt Eestist leida, on lubatud sellise eksperdiga suhtlemine inglise keeles. Samuti ei ole erandjuhuks peetav ka Vaidlustaja poolt sisutühi väide, et x-keskkonda (platvormi) puudutavates küsimustes ongi alati mõistlik suhelda inglise keeles, jättes kõrvale tõsiasja, et Vaidlustaja pidi pakkuma sertifikaate ning tootjatuge küberturbe platvormile, mitte SIEM ega SOAR lahendustele. TK p-de 2.1., 3.5. ja 4.1. kohaselt peab pakkuja osutama teenuseid 24/7 (kaasa arvatud nädalavahetused ja riigipühad). Kui lähtuda eeldusest, et ühes aastas on 365 päeva, siis peab pakkuja olema valmis osutama teenust kokku ühes aastas vähemalt 8760 tundi (365*24). Vaidlustaja väidab, et kaks isikut, so [---], kelle emakeeleks on eesti keel, katavad ära suurema kui mitte kogu eestikeelse suhtluse vajaduse ning et ülejäänud tiimiliikmed on mõeldud peaasjalikult tegelema tehniliste raportite ja sündmuste teavitusega, millele väidetavalt eesti keele nõue ei kohaldu. Hankija ei nõustu sellise meelevaldse seisukohaga. Vaidlustaja vastusest võib välja lugeda asjaolu, et Vaidlustaja ei adu hästi, millisele asutusele ning millist kriitilise iseloomuga teenust ta Hankijale tervikuna pakub. Kui mõne vaenuliku riigi häkkerid tekitavad Eesti ühele juhtivale tervishoiuteenuse osutajale kriisiolukorra TK p 3.5. tähenduses ning pakkuja peab sellele reageerima 30 minuti jooksul, siis on hankija ootus, et pakkuja poolt pakutav kriitilise intsidendi meeskond koosneb vastava valdkonna vähemalt kuuest parimast võimalikust spetsialistist. Hankija ootus ei ole selline, et kuuest spetsialistist vaid kaks suudavad eesti keeles suhelda ning neli neist on mõeldud ja suutelised tegelema vaid tehniliste raportite ja sündmuste teavitustega ning reaalse kriisiolukorra tekkides, millele reageerimiseks on TK p 3.5. kohaselt ette nähtud 30 minutit, hakkab pakkuja kriisiolukorraga tegelemise asemel turult tõlketeenust otsima. Kriisiolukorrad võivad tekkida ka öösel, mis Hankija jaoks tähendab seda, et sellisel juhul on Hankija sunnitud suhtlema inglise keelt kõnelevate meeskonnaliikmetega inglise keeles, teadmata seejuures isegi seda, mis tasemel 4 eesti keelt mittekõnelevat meeskonnaliiget räägivad. TK p-des 4.2.1. ning 4.2.2. on esitatud nõuded meeskonna liikmetele. Sh peab viiest meeskonna liikmest vähemalt kolm olema kehtiva CISSP (Certified Information System Security Professional) või CASP+ (CompTIA Advanced Security Practitioner) sertifikaadiga ja 2 spetsialisti omama vähemalt 3-aastast IT valdkonna töökogemust. Lisaks peab meeskonnas olema vähemalt üks spetsialist, kes omab vähemalt ühte kolmest kehtivat sertifikaadist: CCISO (Certified Chief Information Security Officer), CISM (Certified Information Security Manager) või CISA (Certified Information Systems Auditor). Veelkord, kõik meeskonna liikmed peavad olema oma ala parimad spetsialistid ning ei ole realistlik, et vaidlustaja tagab kogu nelja aasta töömahu 24/7 vaid kahe eesti keelt kõneleva isiku abil. Samuti ei ole kooskõlas TK-s sätestatud tingimustega, et vaid kaks meeskonnaliiget kuuest räägivad töökeelena eesti keelt. Vaidlustaja on tõlgendanud TK-s toodud kohustusliku töökeele tingimusi liiga laialt eesmärgiga saavutada endale vaidlustuses meelepärane tulem. 5.6. Hankija täiendavad seisukohad.

12 https://arhiiv.eki.ee/dict/ekss/index.cgi?Q=reeglist

15 (27)

5.6.1. Hankija eelistuste või soovidega mingi konkreetse hangitava platvormi osas ei ole Vaidlustaja pakkumuse tagasilükkamine seotud. Samuti puudub Vaidlustaja pakkumuse tagasi lükkamisel seos antud riigihanke „track record’iga“. 5.6.2. RHAD on üheselt arusaadavad 5.6.2.1. Hankija poolt koostatud TK vastab täielikult RHS § 87 lg-s 1 toodud nõudele. Kaks teist pakkujat peale Vaidlustaja ehk vastavas valdkonnas tegutsevad isikud said Hankija poolt TK-s toodud terminoloogiast ja täpsusastmest üheselt aru ning esitasid Hankijale RHAD-ile vastavad pakkumused. Hankemenetluses lasub pakkujal kõrgendatud hoolsuskohustus, mille realiseerimiseks pidi Vaidlustaja enne pakkumuse esitamist veenduma, kas kõik TK-s esitatud mõisted ja nõuded on temale arusaadavad. Kui Vaidlustaja leidis, et TK-s on mõnes osas segadust tekitav, oleks Vaidlustaja pidanud Hankijalt küsima selgitusi segadust tekitava tingimuse ja/või mõiste kohta. Kui Vaidlustaja otsustas seda mitte teha, siis ei vastuta Hankija Vaidlustaja poolse hoolsuskohustuse mittetäitmise eest. Vaidlustaja suurendab teadlikult probleemi RHAD-s toodud mõistetega. Hankija ei õigusta siinjuures kuidagi Hankija enda poolt tehtud inimlikku eksimust, mis seisneb asjaolus, et Hankija on TK p-s 6.1. ekslikult küberturbe platvormi asemel nimetanud sõnapaari „inforturbe platvorm“. Küll aga ei saa sellest ühest inimlikust eksimusest tuletada Vaidlustaja poolt tuletatud ebaõiget järeldust, justkui oleks Hankija kogu TK-s pidanud silmas infoturbe platvormi küberturbe platvormi asemel. TK-s on kokku kahekümne kaheksal korral viidatud selgesõnaliselt mõistele „küberturbe platvorm“ või lihtsustatult „platvorm“ ning sellele esitatavatele tehnilistele nõuetele ja hinnastamispoliitikale – vt nt TK tabel 2 ning TK p-te 5., 6. ja 7. Teisisõnu, ühest inimliku eksitusena kasutatud mõistest „infoturbe platvorm“ ei saa teha ennatlikke ja mitte millelegi tuginevaid järeldusi kogu TK ja ülejäänud RHAD-i osas. 5.6.2.2. Küberturbe platvorm ja häirekeskuse teenus 5.6.2.2.1. Hankija peab vajalikuks enda poolt koostatud joonise näitel (lisa 1) ka illustreerivalt välja tuua, mida on Hankija küberturbe platvormi ning häirekeskuse teenuse all TK-s kui ka TE-s silmas pidanud ning millisel viisil soovib Hankija neid RHAD-i kohaselt hankida. Põhimõtteliselt saab küberturbe platvormi hankida mitmel viisil (sh ka täielikult pilveteenusena), kuid RHAD-i süvenedes saab vastava valdkonna spetsialist aru, kuidas on hange üles ehitatud ning millisel viisil soovis Hankija küberturbe platvormi ning häirekeskuse teenust hankida. Nii TK-s kui ka TE-s on küberturbe platvormina kirjeldatud üksnes XDR, EDR ning EPP komponente. Lisas 1 toodud joonisel on küberturbe platvormi komponendid toodud esimeses kastis, mis on pealkirjastatud „TE-s kirjeldatud küberturbeplatvorm ja TK-s kirjeldatud PLATVORMINA“. Küberturbe platvorm paigaldatakse Hankija arvutitesse, osaliselt serveritesse ning küberturbe platvormi keskhaldust hangib Hankija pilveteenusena (vt TK p 4.1.). Hankija poolt hangitava küberturbe platvormi alla kuuluvad üksnes XDR, EDR ning EPP komponendid.13 Hankija poolt TK-s ning TE-s küberturbe platvormile kehtestatud XDR, EDR ning EPP

13 https://www.crowdstrike.com/en-us/blog/our-customers-have-spoken-crowdstrike-delivers-the-best-in-edrepp-and-xdr/

16 (27)

nõuded on minimaalsed tingimused, mis pidid pakkujate poolt pakutaval küberturbe platvormil olema. Tegelikkuses võib erinevate ettevõtete poolt pakutavate küberturbe platvormide juurde kuuluvatel XDR, EDR ning EPP komponentidel olla väga palju teisi funktsionaalsusi, mida Hankija ei pidanud vajalikuks pakkujatelt nõuda, et võimalikult paljud pakkujad saaksid pakkumuse esitada. Seetõttu on Hankija TE-s esitatud 76-st XDR-i, EDR-i ning EPP-d komponente puudutavatest funktsionaalsuse nõuetest teinud pakkujatele kohustuslikuks vaid 27 (tehnilises ettepanekus märgitud „Tase I funktsionaalsus“, mille pakkujad pidid kindlasti täitma. TE p-s 3. on sätestatud, et „Pakutav toode peab vähemalt vastama Tase I funktsionaalsusele. Hankija ei tunnista vastavaks pakkumust, mis ei vasta vähemalt Hankija märgitud Tase I funktsionaalsusele (tabelis tähistatud „*Tase I“).“ TE p 2. sätestab, et: „Pakkuja täidab tabeli 1. märkides ära iga funktsionaalsuse litsenseerimise taseme.“ Kuivõrd TE tabelis 1 on „*Tase I“ litsenseerimise tasemed märgitud kohustuslikuks nii XDR-i, EDR-i kui ka EPP’d puudutavate komponentide osas, siis on ilmne, et nii XDR, EDR kui ka EPP komponendid peavad kuuluma Vaidlustaja poolt pakutava küberturbe platvormi juurde, mis paigaldatakse Hankija arvutitesse ning osaliselt serveritesse (välja arvatud küberturbe platvormi keskhaldus), kuivõrd vastasel juhul ei vajaks Hankija XDR-i, EDR- ning EPP litsentside tasemeid. Küberturbe platvormi hinnastamine on kujundatud justnimelt litsentside tasemete hinna järgi (vt TK p-i 5 ning selle alapunkte). Lisaks eeltoodule tuleneb TE p-dest 4.1. ning 4.2. kohustuslike nõuetena, et küberturbe platvormi keskhaldus peab olema veebipõhine ja töötama SaaS mudelil /…/ („*Tase I“), mis tähendab seda, et Vaidlustaja ei saa kuidagi väita, et [---] on tema poolt pakutav primaarne platvorm. Hankija ei ole SIEM lahenduse osas nõudnud mingisugust konkreetset lahendust/platvormi ega nõudnud selle lahenduse litsentside tasemeid. 5.6.2.2.2. Kui küberturbe platvormi soovib Hankija hankida Hankija arvutitesse ning osaliselt serveritesse paigaldatavana (välja arvatud küberturbe platvormi keskhaldus), siis häirekeskuse teenust soovib Hankija TK-st nähtuvalt tervikuna teenusena. Hankija soovis häirekeskuse teenust (mille alla kuulub seireteenus, küberintsidentide vasteteenus ning kriitilise intsidendi lahendamise teenus) tervikuna hankida teenusena. Seireteenuse alla pidi pakkuja poolt teenusena kuuluma ka TK p 2.4. kohaselt muu hulgas ka turbe teabe ja sündmuste haldus (edaspidi SIEM) teenusena (SaaS). Käesolevale vastusele lisatud lisas 1 toodud joonisel on kõik Hankija poolt riigihankes teenusena hangitavad komponendid toodud teises kastis, mis on pealkirjastatud „TK kirjeldatud teenusena“. Hankija ei ole TK-s ega mujal RHAD-is esitanud mitte ühtegi nõuet selle kohta, milliste lahenduste või konkreetsete platvormidena pakkujad häirekeskuse teenust peavad pakkuma. Järelikult ei ole Hankija jaoks oluline, milliste lahenduste või platvormidena pakkujad vastavat teenust pakuvad. Oluline oli Hankija jaoks vaid see, et pakkujate poolt pakutavad lahendused vastaksid TK-s häirekeskuse teenusele seatud nõuetele. Häirekeskuse teenuse hinnastamine on TK p-s 5. toodu kohaselt kuupõhine, mitte litsentsipõhine nagu küberturbe platvormi puhul, sealhulgas häirekeskuse teenuse alla kuuluvat SIEM teenuse maksumust hinnastatakse veel eraldi logiallikate suuruse järgi. Vastusele lisatud lisas 1 toodud joonise kolmandas kastis, mis on pealkirjastatud „Vaidlustaja poolt riigihankes pakutud komponendid TK-s kirjeldatud (TK-s punkt 2.4.) TEENUSE Vaidlustaja poolt riigihankes pakutud komponendid TK-s kirjeldatud (TK punkt 2.4.)

17 (27)

TEENUSE osutamiseks, millele kehtivad muu hulgas TK punktides 2.5-2.13. toodud tingimused“ on toodud kõik Vaidlustaja poolt häirekeskuse teenuse osutamiseks mõeldud komponendid, sh [---] ning [---]. Sellest järeldub, et Vaidlustaja ei saanud kuidagi järeldada, et SIEM teenuse lahendusena Vaidlustaja poolt pakutav [---] täidab RHAD-i tähenduses küberturbe platvormi rolli. Seda enam, et Vaidlustaja kinnitas TE p-s 4.1., et tema poolt pakutav küberturbe platvormiks on [---]. 5.6.3. Vaidlustaja poolt pakutud küberturbe platvormil [---] puuduvad RHAD-s nõutud funktsionaalsused Vaidlustaja poolt väidetu, mille kohaselt olevat Hankija poolt [---] müügijuhilt esitatud küsimused kontekstist välja rebitud, on asjakohatud. Nagu Hankija poolt 06.01.2025 esitatud vastuse lisast 1 nähtub, soovis Hankija [---] müügijuhilt selgesõnaliselt vastuseid sellele, kas [---] tootel on teatud funktsionaalsused olemas või mitte. Vaidlust ei ole selles, et Vaidlustaja TE p-s 4.1. on Vaidlustaja küberturbe platvormina nimetanud [---]. Hankija kontrollis justnimelt küberturbe platvormi [---] vastavust RHAD-is esitatud nõuetele, kuivõrd Vaidlustaja ei olnud küberturbe platvormina nimetanud lisaks [---] mingit muud lahendust, millega koostoimes täitnuks vaidlustaja hankes nõutud tingimused. Kui selline teadmine, et [---] kui Vaidlustaja poolt pakutav küberturbe platvorm täidab mõned TE-s nõutud tingimused üksnes koostoimes mingisuguse teise vaidlustaja poolt pakutava lahendusega, eksisteeris vaid vaidlustaja enda peas, siis ei saanud Hankija sellisest teadmisest kuidagi lähtuda. Hankija on seisukohal, et Vaidlustajal ei ole õigust vaidlustusmenetluse käigus esitada [---] poolselt kinnitust, mis kinnitab, et Vaidlustaja on [---] toodete ametlik edasimüüja Eestis. Vaidlustaja soovib sisuliselt oma pakkumuses esitatud dokumente täiendada täiesti uute andmetega, mitte parandada või selgitada olemasolevaid. Kuivõrd tegemist ei olnud olukorraga, kus Hankijal pidi tekkima põhjendatud kahtlus, et Vaidlustaja poolt pakkumuses esitatud andmed on ebaselged või ebapiisavad, siis on tegemist Vaidlustaja enda hoolsuskohustuse rikkumisega ning mistõttu kannab sellega seonduvat riski ja kaasnevaid tagajärgi Vaidlustaja, mitte Hankija. Lisaks eeltoodule seab Hankija kahtluse alla Vaidlustaja täiendavate seisukohtade lisa 2 autentsuse, kuivõrd esitatud dokumendist ei selgu, millal ja kelle poolt see on allkirjastatud. Kui avada digitaalse allkirja „DocuSign“ detailandmete vaade, siis nähtub sealt, et „The signer’s identity is unknown.“ (eesti keeles: „Allkirjastaja isik on teadmata“ ning „The signing time is from the clock on the signer’s computer.“ (eesti keeles: „Allkirjastamise kellaaeg on sama mis allkirjastaja arvutis olnud kellaaeg“), kuid allkirjastamise tegelikku kellaaega sealt ei nähtu. Eeltoodust tulenevalt palub Hankija vaidlustuskomisjonil täiendavate seisukohtade lisa 2 tõendina mitte aktsepteerida. Hankija seab samal põhjendusel kahtluse alla ka Vaidlustaja täiendavate seisukohtade lisa 1 autentsuse, kuivõrd ka sellest dokumendist ei selgu, millal ja kelle poolt see on allkirjastatud. Kui avada digitaalse allkirja „DocuSign“ detailandmete vaade, siis nähtub sealt, et „The signer’s identity is unknown.“ (eesti keeles: „Allkirjastaja isik on teadmata“ ning „The signing time is from the clock on the signer’s computer.“ (eesti keeles: „Allkirjastamise kellaaeg on sama mis allkirjastaja arvutis olnud kellaaeg“), kuid allkirjastamise tegelikku kellaaega sealt ei nähtu. Eeltoodust tulenevalt palub Hankija vaidlustuskomisjonil täiendavate seisukohtade

18 (27)

lisa 1 tõendina mitte aktsepteerida. Isegi, kui lähtuda eeldusest, et Vaidlustaja täiendavate seisukohtade lisa 1 on autentne, millega Hankija ei nõustu, ning Vaidlustaja oleks TE-s toonud lisaks [---] küberturbe platvormile lisaks välja mingi muu lahenduse või platvormi, millega koostoimes täidaks [---] küberturbe platvorm TE-s esitatud nõuded, mida Vaidlustaja faktiliselt teinud ei ole, siis ei vastaks ka Vaidlustaja täiendavate seisukohtade lisana 1 esitatud täiendavate selgituste alusel TE p-d 2.11., 2.12., 2.13., 2.20. ning 2.30. TE-s toodud nõuetele ning seda järgmistel põhjendustel: 1) TE vormi tabelis Tase I funktsionaalsustena märgitud p-s 2.11. „Analüüsitavate failide maksimaalset suurust on võimalik konfigureerida“. Vaidlustaja täiendavate seisukohtade lisas 1 toodud selgituste tõlge p 2.11. osas: „2.11 Lahendus võimaldab seadistada analüüsi maksimaalset failisuurust. –> Jah* *EDR-agendil on failisuuruse interaktsioonile pilveanalüütikaga seatud kindel ülempiir, mis on 4 GB. See katab enamiku klientide vajadustest, ohustamata ülejäänud EDR-platvormi tehisintellekti põhiseid ohuanalüüsi tegevusi.“ Hankija seisukoht: Vaidlustaja esitatud täiendavast selgitusest tuleb selgelt ja ühemõtteliselt välja, et Vaidlustaja poolt pakutaval lahendusel on maksimaalne kindel ülempiir 4GB, mis tähendab, et analüüsitavate failide mahtu ei saa suurendada vastavalt Hankijal tekkivatele tegelikele vajadustele, vaid analüüsitavate failide maksimaalne suurus on fikseeritud kindlale ülempiirile. Sellest järeldub, et TE p-s 2.11. toodud nõue ei ole faktiliselt täidetud. 2) TE vormi tabelis Tase I funktsionaalsustena märgitud p-s 2.12. „Arhiivifailide (pakitud, zip, rar jne) analüüsimine.“ Vaidlustaja täiendavate seisukohtade lisas 1 toodud selgituste tõlge p 2.12. osas: „2.12 Arhiivifailide (kokkupakitud ZIP, RAR jne) analüüs. –> Ei kohaldu - Jah alternatiivse meetodi abil* *Kaasaegsed EDR/XDR lahendused keskenduvad nii kasutajate identiteetide kui ka käivitatava koodi käitumismustritele. Staatilised, mitteaktiivsed andmed (näiteks arhiivifailides olevad andmed) loetakse vananenud andmesisenditeks, mida skannitakse vajadusel nõudmisel. Kui arhiivifailide sisu lahti pakitakse ja käivitatakse, analüüsitakse seda käivitamise ajal vastavalt rakendatud ennetuspoliitikale. Kokku pakitud failide sisu uurimist enne nende lahti pakkimist saab teha [---] toodet kasutades. [---] toetab arhiivifailide analüüsi kuni 7 tasandi rekursiooniga. MDR-teenuse osana viib [---], sõltuvalt intsidendi tüübile ja asjakohastest artefaktidest, arhiivifailide analüüsi läbi teenuse osana vastavalt kokkulepitud tegevusreeglitele ja SLA-dele.“ Hankija seisukoht: Nagu [---] enda selgitustest võib välja lugeda, konstateeritakse fakti, et [-- -] ei skaneeri arhiivifaile ning ta skaneerib nende sisu faile vaid juhul, kui arhiiv lahti pakitakse ning arhiivi sees olev fail käivitatakse. Arhiivifailide skaneerimiseks on vajalik lisatoodet, milleks on [---]. TE-s pidi Vaidlustaja vastama “Jah” või “Ei” vastustega ehk antud juhul, kas Vaidlustaja poolt pakutud küberturbe platvormil on arhiivifailide analüüsimise funktsioon või mitte. On fakt, et Vaidlustaja poolt TE p-s 1 küberturbe platvormina märgitud [---] ei täida TE p-s 2.12. toodud nõuet arhiivifailide analüüsimiseks. Kui Vaidlustaja nägi ette täiendavate tarkvarade või lahenduste pakkumist, mille kaudu ta soovis kõiki küberturbe platvormi funktsionaalsuseid täita, siis oleks pidanud kõik need lahendused, tarkvarad või platvormid TE p-is 1 lisaks [---] üles loetlema.

19 (27)

3) TE vormi tabelis Tase I funktsionaalsustena märgitud p-s 2.13. „Arhiivifailidele on võimalik määrata pakkimistasemete piirang.“ Vaidlustaja täiendavate seisukohtade lisas 1 toodud selgituste tõlge p 2.13. osas: „2.13 On võimalik seadistada arhiivifailide pakkimistaseme piiranguid.“ Hankija seisukoht: [---] ei täida nõuet pakkimistasemete piirangute seadmisel, kuna tal puudub arhiivifailide skaneerimise funktsioon. 4) TE vormi tabelis Tase I funktsionaalsustena märgitud p-s 2.20. „Tulemüüril on võimekus tuvastada ja blokeerida skanneeringuid (OS fingerprinting, null scan, SYN FIN scan, port scan jne).“ Vaidlustaja täiendavate seisukohtade lisas 1 toodud selgituste tõlge p 2.20. osas: „2.20 Tulemüür suudab tuvastada ja blokeerida skaneeringuid (OS-i tuvastamine, null-skaneering, SYN, FIN skaneering, pordiskaneering jne). –> JAH. [---] kasutab operatsioonisüsteemi sisseehitatud tulemüüri, mistõttu on sellel samad võimalused kui vastaval tarkvaratulemüüri versioonil, mis töötab hostarvutis (Windows, Mac või Linux). See hõlmab ka skaneeringute tuvastamise võimet. Lisaks sisaldavad dünaamiliselt uuendatavad Threat Hunting’i käsiraamatud tulemüüri telemeetriat, mis on sensori standardfunktsioonina saadaval. [---] võib soovitada spetsiaalset riistvaralist võrgu turvaseadet, mis paigaldatakse perimeetrisse ja kaitseb vastavat võrku süvapakettide inspekteerimise (Deep Packet Inspection) tehnoloogiate abil ning pakub tulemüüriteenuseid OSI-mudeli füüsilisest kihist (kiht 1) kuni andmekihini (kiht 7).”. Hankija seisukoht: Vaidlustaja täiendavate seisukohtade lisast 1 selgub, et tema poolt pakutaval [---] küberturbe platvormil endal ei ole tulemüüri funktsionaalsust, vaid see küberturbe platvorm kasutab Hankijal olemasolevaid operatsioonisüsteemi sisseehitatud tulemüüri funktsionaalsusi tulemüüri funktsioonide täitmiseks, kui need on olemas. Hankija ei ole TE-s küsinud Hankijal olemasoleva võimaliku operatsioonisüsteemi tulemüüri halduse funktsionaalsust, vaid tulemüüri olemasolu pakutaval küberturbe platvormil. Tulemüüri halduse funktsionaalsus tähendab, et küberturbe platvormil on eeldus, et kõikides operatsioonisüsteemides, mida Hankija kasutab, on olemas ja on võimalik operatsioonisüsteemi sisene tulemüür aktiveerida. Kuna Hankija kõikides operatsioonisüsteemides ei pruugi olla võimalik Hankijal olemasolevat tulemüüri sisse lülitada, on Hankija just seetõttu kehtestanud nõude, et pakutaval küberturbe platvormil endal peab olema tulemüüri funktsionaalsus. Sellest järeldub, et TE p-s 2.20. toodud nõue ei ole täidetud. 5) TE vormi tabelis Tase I funktsionaalsustena märgitud p-s 2.30. „Lahendus võimaldab teostada toetatud operatsioonisüsteemides käivitatavate (executable) failide rakenduskontrolli, /…/“. Vaidlustaja täiendavate seisukohtade lisas 1 toodud selgituste tõlge p 2.30. osas: „2.30 Lahendus võimaldab käivitatavate failide rakenduste juhtimist toetatud operatsioonisüsteemides, sealhulgas: –> JAH*

• luua käivitatavate failide valge- ja mustanimekirju –> ennetuspoliitikate raames (oob).

• lubada rakenduste juhtimist õppimisrežiimis, mille käigus lahendus koostab ja soovitab automaatset valgenimekirja –> tehisintellekti analüüsi mudeli raames,

20 (27)

mis määratleb, millised rakendused võivad olla haavatavad, kooskõlas poliitikate piirangutega.

• seadistada rakenduste juhtimist tsentraalselt ja programmeeritava liidese (API) kaudu –> JAH, vastavalt [---] tingimustele.

• Faile saab lisada valge- või musta nimekirja järgmiste kriteeriumide alusel: räsi, faili nimi, faili asukoht või tarkvara digitaalselt allkirjastatud sertifikaat. –> JAH

• Alternatiivselt, kui on vajalik sisseehitatud rakenduste juhtimine, pakub [---] teenuste lisandmoodul (millel on ühesuunaline integreerimine [---] juhtpaneeliga) vertikaalset rakenduste juhtimise lahendust. See lisaosa annab täiendavad selgitused konkreetsete hanke nõuete kohta, tagades selge arusaama sellest, kuidas pakutud lahendus vastab esitatud nõuetele.”

Hankija seisukoht: Nagu nõudes kirjas kehtib nõue kõikide käivitatavate failide osas sh inglise keeles “native application” juhtimiseks, mitte ainult tuvastatud pahavara failide blokeerimist. Kõikide käivitatavate failide osas peab olema võimalik luua valg- ja mustnimistu. Ennetuspoliitika rakendamine ei käsitle kõiki käivitatavaid faile, vaid ainult neid, mis on varasemalt ohtlikuna tuvastatud või märgitud. Ennetuspoliitika kasutamisel ei saa kasutada valgnimistu poliitikat, kus kõik käivitatavad failid, mis pole spetsiaalselt lubatud, on vaikimisi blokeeritud. [---] enda selgitustes on kirjas, et kõikide käivitatavate failide ehk Hankija nõutud tasemel rakenduskontrolli on võimalik teostada, kuid selleks on vaja kolmanda osapoole tarkvara [--- ] mida Vaidlustaja ei ole oma pakkumuses nimetanud. Sellest järeldub, et TE p-s 2.30. toodud nõue ei ole täidetud, TE p-s 2.30. nõutud funktsionaalsuste täitmiseks peab [---] platvormile lisaks olema ka [---] platvorm, mida Vaidlustaja hankes ei pakkunud ega lisanud ka ühtegi viidet, mille kaudu Hankijal oleks võimalik olnud tuvastada, et Vaidlustaja pakub lisaks ka [- --] platvormi. 5.6.4. Osutatava teenuse töökeel TK p-de 2.1., 3.5. ja 4.1. kohaselt peab pakkuja osutama teenuseid 24/7 (kaasa arvatud nädalavahetused ja riigipühad). Kui lähtuda eeldusest, et ühes aastas on 365 päeva, siis peab pakkuja olema valmis osutama teenust kokku ühes aastas vähemalt 8760 tundi. Kui lähtuda Eesti Vabariigis kehtivast töölepingu seadusest, siis üks inimene võib ühes aastas töötada orienteeruvalt 1952 tundi, kaks inimest seega orienteeruvalt 3904 tundi. Kahe inimese ühe aasta jooksul lubatud töötundide suurus ei kata ära isegi 50% nende tundide arvust, mida pakkuja peab olema valmis Hankijale ühe aasta jooksul minimaalselt osutama. 6. Kolmas isik, Security Software OÜ, oma seisukohti ei esitanud. VAIDLUSTUSKOMISJONI PÕHJENDUSED 7. Hankija on lükanud RHS § 114 lg 2 alusel tagasi Vaidlustaja (ühispakkujate ByteLife Solutions OÜ ja Obrela Security Industries GmbH) pakkumuse ja põhjendanud seda otsust järgmiselt: 1) Vaidlustaja pakkumuses esitatud TE vormi tabeli päisesse asjakohasesse lahtrisse on Vaidlustaja märkinud küberturbeplatvormi nimeks [---]. Oma vastuses päringule ID 911145 on Vaidlustaja kinnitanud, et pakutavaks rünnakute laiendatud tuvastust ja reageerimist võimaldav küberturbeplatvormiks (XDR) on [---].

21 (27)

TK p-is 4.2.3. on esitatud nõue, et vähemalt kahel kriitilise intsidendi lahendamise meeskonna liikmel peab olema pakutava platvormi vajalikele haldustegevustele vastav tootja sertifikaat. Vaidlustaja pakkumuses esitatud meeskonnaliikmete CV-des ja ka muudes pakkumust selgitavates dokumentides ei ole tuvastatav, et pakutud meeskonnaliikmetel oleks küberturbeplatvormi [---] haldustegevuste tegemiseks vajalik tootja sertifikaat. Samuti ei ole Vaidlustaja esitanud eelnimetatud tootja sertifikaati teabevahetuse kaudu täpsustavatele selgitustaotlustele vastamisel; 2) Vastavustingimuseks on küberturbeplatvormi ja sellega seotud toodete esindusõigus: „1) Pakkuja esitab tõendid, et tal on pakutava küberturbeplatvormi omanik või omaniku volitatud edasimüüja või lepinguline partner Eestis. 2) Pakkuja esitab tõendid, et ta on pakutava küberturbe platvormi kuuluvate toodete omanik ja omab tootja poolset tuge.“ Vaidlustaja on esitanud [---] 21.10.2024 kirja „Confirmation of partnership/ownership“, milles täpsustamata küberturbeplatvormi nime kinnitatakse muu hulgas, et [---] on pakutava küberturbeplatvormi omanik. Hankijale teadaolevalt, avalike allikatele tuginedes, on pakutud küberturbeplatvormi [---] omanik NASDAQ börsiettevõte [---]. Vaidlustaja on kinnitanud, et vähemalt osaliselt kavatseb oma teenuse osutamiseks kasutada küberturbeplatvormina [---]. Vaidlustaja ei ole oma selgitustes tõendanud nimetatud platvormi omandit või selle esindusõiguse olemasolu. 3) TE vormi tabeli p 3. kohaselt peab pakutav küberturbeplatvormi lahendus (XDR) vastama vähemalt „Tase I“ funktsionaalsusele. Tingimuse kohaselt ei tunnista Hankija vastavaks pakkumust, mis ei vasta vähemalt Tase I funktsionaalsusele (tabelis tähistatud „*Tase I“). Vaidlustaja pakkumuse TE vormi tabelis Tase I funktsionaalsustena märgitud p-des 2.11. „Analüüsitavate failide maksimaalset suurust on võimalik konfigureerida“; 2.12. „Arhiivifailide (pakitud, zip, rar jne) analüüsimine.“; 2.13. „Arhiivifailidele on võimalik määrata pakkimistasemete piirang.“; 2.20. „Tulemüüril on võimekus tuvastada ja blokeerida skanneeringuid (OS fingerprinting, null scan, SYN FIN scan, port scan jne).“ ja 2.30. „Lahendus võimaldab teostada toetatud operatsioonisüsteemides käivitatavate (executable) failide rakenduskontrolli …“ on Vaidlustaja märkinud, et pakutav tarkvara vastab nendele nõuetele. Hankijale teadaolevalt puuduvad pakutaval küberturbeplatvormil [---] nimetatud funktsionaalsused. Hankija hinnangul ei täida viidatud funktsionaalsuseid ka Vaidlustaja teised pakutavad tooted – [---] turbeteabe ja –sündmuste haldusteenus ehk SIEM teenus) ega [---] (automatiseerimis- ja reageerimisteenus ehk SOAR teenus). 4) TK esimeses lõigus on sätestatud nõue, et kõiki pakutud teenuseid osutatakse üldjuhul töökeelena eesti keeles ja vaid erandjuhul on aktsepteeritav töökeel inglise keel. TK p-de 2.1., 3.5. ja 4.1. kohaselt peab pakkuja osutama teenuseid 24/7 (kaasa arvatud nädalavahetused ja riigipühad). Vaidlustaja on esitanud pakkumuses küberturvalisuse häirekeskuse teenuse seire- ja vasteteenuse, kriitilise intsidendi lahendamise teenuse meeskonna liikmete nimekirja etteantud vormil. Meeskonnaliikmetest ainult kaks liiget [---] valdavad eesti keelt. Hankija ei pea tõendatuks, et Vaidlustaja on valmis osutama teenuseid nõutud kvaliteedis eesti keeles. Hangitavad teenused on oma olemuselt aegkriitilised ja intsidentide lahendamisel on oluline pakkuja meeskonna kiire tegutsemine ja suhtlemine hankija meeskonnaliikmetega sõltumata

22 (27)

ajast. Kehtiva tööõiguse nõudeid silmas pidades ei pea Hankija usutavaks, et kaks eesti keelt emakeelena valdavat meeskonnaliiget on võimelised 24/7 järgneva nelja aasta jooksul tagama kogu teenuse osutamisel vajaliku suhtluse. Ühtlasi ei pea Hankija ka usutavaks, et tagatakse paralleeltõlge eesti keelde, sest pakutud meeskonnas ei ole nimetatud ühtegi isikut, kellel võiks olla selline kvalifikatsioon (TK p-d 2.2., 3.2. ja 4.3.). Seega vaidlustatud Hankija otsuse põhjendustest tuleneb, et Hankija hinnangul on Vaidlustaja pakkumuses neli (4) sisulist puudust (mittevastavust). Otsuse lükata Vaidlustaja pakkumus tagasi õiguslikuks aluseks on RHS § 114 lg 2 esimene lause, mille kohaselt lükkab hankija pakkumuse tagasi, kui see ei vasta riigihanke alusdokumentides esitatud tingimustele. Vaidlustaja pakkumuse tagasilükkamise otsuse õiguspärasuse kontrollimiseks tuleb tuvastada, kas riigihanke alusdokumentides (RHAD) on sätestatud tingimused, mis tuli pakkumuses täita ja millele tuginedes lükkas Hankija Vaidlustaja pakkumuse tagasi, kui sellised tingimused on olemas, siis kas Vaidlustaja pakkumus nendele tingimustele vastab või mitte. Hankijal oli RHS § 114 lg 2 esimeses lauses sätestatud õigus pakkumus tagasi lükata juhul, kui Vaidlustaja pakkumus ei vasta vähemalt ühele RHAD-s esitatud tingimusele, see mittevastavus on sisuline ega ole selgitustega kõrvaldatav. Seega Vaidlustaja pakkumuse tagasi lükkamise otsuse õiguspärasuseks piisab ka ühest sisulisest mittevastavusest RHAD-le, Hankija otsus Vaidlustaja pakkumuse tagasilükkamiseks on vale vaid juhul, kui Vaidlustaja pakkumuses ei esine ühtegi Hankija otsuses väidetud sisulist mittevastavust RHAD-le. 7.1. Hankija on kolmel korral pöördunud Vaidlustaja poole pakkumuse kohta selgituste saamiseks - sõnumi ID-d 899404, 901492 ja 911145. Kokkuvõtvalt on Hankija soovinud teada:

1) TE p 3.3 kohta - kas tegemist on litsentsi taseme „Tase I“ funktsionaalsusega; 2) pakkumuses esitatud meeskonna liikmete eesti keele oskust ja seda, kuidas Vaidlustaja

on kavandanud täita nõude (TK esimene lõik), et kõiki pakutud teenuseid (sh 24/7 osutatavaid aegkriitilisi teenuseid) osutatakse töökeelena eesti keeles;

3) kuidas häirekeskuse ja küberturbe platvormi haldusteenust pakutud maksumusega on kavas teostada;

4) TK p 4.2.3 kohaselt peab vähemalt 2 (kahel) kriitilise intsidendi lahendamise meeskonna liikmel olema pakutava platvormi (nimetatud TE-s) haldustegevustele vastav tootja sertifikaat. Hankija ei ole pakkumuses tuvastanud nimetatud sertifikaatide olemasolu meeskonna liikmetel, millises pakkumuses esitatud dokumendis on võimalik sertifikaatide olemasolu meeskonnaliikmetel tuvastada;

5) „Vastavustingimuste“ ja TK p-i 6.1 järgi on nõutud pakutava platvormi omaniku või omaniku volitatud edasimüüja Eestis või lepingulise partneri Eestis kinnituse esitamine. TE-s on küberturbeplatvormiks [---]. Pakkumuse koosseisus on esitatud [-- -] kinnitus, et [---] on pakutava küberturbeplatvormi omanik;

6) pakkumuses on küberturbeplatvormiks [---], vastustes Hankija küsimustele on pakutavaks platvormiks (XDR/EDR/EPP) [---], päringu nr 901492 vastuses küsimusele 2 [---]. Seega on nimetatud vähemalt kolme erineva tootja erinevat infoturbega seotud toodet. Hankija soovib üheselt selget ja konkreetset arusaama, kuidas on üles ehitatud pakkumus ning kuidas seostuvad sellega pakutavad tooted.

23 (27)

Vaidlustaja on oma vastustes Hankijale selgitanud mh järgmist: 1) tegu on „Tase I“ funktsionaalsusega, nagu seda TE sissejuhatava osa p-s 3. nõutud on. 2) Vaidlustaja on selgitanud TK-s esitatud keelenõuete täitmist; 3) TK p 4.2.3. järgi nõutavate sertifikaatide olemasolu tõendavad asjaomaste isikute CV-

d, kus on välja toodud, et neil mõlemal on sertifikaat [---]; 4) pakkumuse järgi tuleb „pakutavaks platvormiks” pidada [---]; 5) hangitav teenus/platvorm koosneb mitmest osisest (SIEM/XDR/EDR/EPP) – TK p

2.21 ja 3.21. Neist primaarne on SIEM, mis pakkumuses on [---], TE tabelis 1 on kajastatud [---] andmed põhjusel, et Hankija ise on soovinud saada teavet justnimelt pakutava XDR’i kohta, ehkki XDR on vaid üks komponent kõigist nendest funktsionaalsustest, mida hange hõlmab, pakkumuses on XDR [---];

6) „Vastavustingimuste“ osa „Küberturbe platvormi ja sellega seotud toodete esindusõigus“ ja TK p-ile 6.1 vastavus tuleneb pakkumusest failinimega „[---] partnership“ (pakkumuses on „infoturbeplatvormiks“ [---]);

7) pakkumuses ei ole nimetatud [---] mitte kogu pakkumuses ette nähtud küberturbeplatvorm, vaid osa sellest, täpsemalt XDR, pakkumuse kohaselt võib „pakutavaks platvormiks“ pidada, kui tuleb determineerida üks niisugune (ehkki hangitav teenus/platvorm on mitmekihiline), [---] on SIEM, hangitava teenuse/platvormi primaarne osis;

8) [---] on pakkumuses „infoturbeplatvorm“, mida peab silmas TK p 6.1. 7.2. Vaidlustuskomisjon on seisukohal, et kõigepealt on vaidlus selles, mis RHAD kohaselt on selle riigihanke ese (mida Hankija soovib RHAD kohaselt hankida). RHS § 87 lg 1 kohaselt on tehniline kirjeldus RHS-i tähenduses hankelepingu eseme kirjeldamiseks vastavas valdkonnas tegutsevatele isikutele arusaadavat terminoloogiat ja täpsusastet kasutades hankija kehtestatud asjade asjade või teenuste hankelepingu esemeks olevate asjade või teenuste omaduste ja neile esitatavate nõuete loetelu. TK-st (tegemist on piiratud hankemenetlusega ja TK pole tundliku info tõttu riigihangete registris avaldatud) tulenevalt soovib Hankija soetada hankes kirjeldatud küberturbeteenuseid ja platvormi, mh:

1) küberturvalisuse häirekeskuse teenust; 2) küberturvalisuse häirekeskuse seireteenus (TK p 2.4 kohaselt pakkuja seireteenus

sisaldab turbe teabe ja sündmuste haldust (edaspidi SIEM) teenusena (SaaS) [---], p- ides 2.5 kuni 2.23 on toodud nõuded pakutavalt SIEM lahendusele);

3) küberturbeteenuse häirekeskuse vasteteenust; 4) häirekeskuse kriitilise intsidendi lahendamise meeskonda; 5) küberturbe platvormi (TK p-ide 6.1. ja 6.2. kohaselt pakkuja peab olema hankes

pakutava infoturbe platvormi14 omanik või omaniku volitatud edasimüüja Eestis või lepinguline partner Eestis. Pakkuja peab olema teenuse alusplatvormi kuuluvate toodete sertifitseeritud partner ja omama otsekontakti tootjapoolsete kinnitustega või väljavõttega tootja kodulehelt (neid nõudeid on korratud „Vastavustingimustes“ osas „KÜBERTURBE PLATVORMI JA SELLEGA SEOTUD TOODETE ESINDUSÕIGUS“).

TK p 7. on sõnastatud järgmiselt:

14 TK p-is 6.1 viitab Hankija ekslikult infoturbeplatvormile, kuid p 6 pealkirjast tuleneb, et p-d TK 6.1. ja 6.2. käivad pakutava küberturbe platvormi kohta

24 (27)

„7. Küberturbe platvormi funktsionaalsed ja mittefunktsionaalsed nõuded. Hankija eesmärk on soetada rünnakute laiendatud tuvastust ja reageerimist võimaldav lahendus (ingl.k Extended Detection and Response (XDR)). Hankija on eeltäitnud tabeli funktsionaalsustaseme tulba nende funktsionaalsustega, mida platvorm peab võimaldama tase I litsentsidega. Hankija ei aktsepteeri pakkumust, mis ei vasta vähemalt Hankija märgitud Tase I funktsionaalsusele (tabelis tähistatud tärniga *Tase I). Hankijal on õigus vajaduse korral nõuda pakkujalt funktsionaalsuse olemasolu demonstreerimist. Kui hankijal puudub võimalus veendumaks funktsionaalsuse olemasolust, siis hankija loeb nõude mittetäidetuks.“ Seega TK p-st 7. tuleneb, et nõuded pakutavale küberturbeplatvormile on esitatud Hankija poolt eeltäidetud tabelis (vormis). „Vastavustingimused“ osa „PAKKUMUSE TEHNILINE ETTEPANEK“ järgi tuli tehniline ettepanek (edaspidi TE) esitada sellel eeltäidetud vormi tabelis - Pakkuja esitab täidetult tehnilise ettepaneku etteantud vormil (Dokumendi vorm / 271909 tehniline ettepanek.docx) Vaidlustuskomisjon nõustub Hankijaga ja TK-st tuleneb selgelt, et selles riigihankes soovib Hankija: 1) mehitatud häirekeskuse SOC (inglise keeles ’Security Operation Center’) teenust, mis omakorda sisaldab SIEM teenust, ja 2) küberturbe platvormi pilveteenusena (TK p 4.1.). Vaatamata sellele, et Hankija on TK p-is 6.1 viidanud pakutavale infoturbe platvormile, siis TK ja TE teistest punktidest tuleneb selgelt, et pakkuja pidi pakkumuses esitama küberturbeplatvormi, mis vastab Hankija kehtestatud tingimustele. Mh on näiteks TK p-s 5. sätestatud mh järgmine: „[--] Hankes pakutav küberturbe platvormi hinnastusperioodiks on aastane litsentsi maksumus funktsonaalsuste ja mittefunktsionaalsete nõuete tasemete kaupa. Platvormi litsentsi arveldamine toimub kuupõhiselt. Eraldi hinnana tuuakse välja platvormi haldusteenus (vt punkt Tõrge! Ei leia viiteallikat.) kuupõhiselt. Küberturbe platvormi funktsionaalsused on jagatud kahte tasemesse tase I ja tase II, sealjuures tase II litsentse nõudev EPP/EDR/XDR agent sisaldab ka tase I funktsionaalsuseid. Pakkuja märgib platvormi funktsionaalsus- ja mittefunktsionaalsusnõuete tabelis vastava taseme litsentsi, mis selle funktsionaalsus- või mittefunktsionaalsusnõude täidab. Hind sisaldab EPP/EDR ja XDR maksumust.[--].“ Seega ka „Maksumuse vormist“ tuleneb, see, et Hankija soovib häirekeskuse teenust ja küberturbeplatvormi, sh küberturbeplatvormi haldusteenust ja litsentside maksumust. 7.3. TK p 2.21. kohaselt Hankijale tagatakse vähemalt lugemisõigustega juurdepääsud seireteenuse kasutatavatele platvormidele (SIEM, XDR/EDR/EPP) sündmuste analüüsiks ja TK p 3.21. kohaselt Hankijale tagatakse lugemisõigusega juurdepääsud vasteteenuses kasutatavatele platvormidele (SIEM, XDR/EDR/EPP, SOAR võimekusega) sündmuste analüüsiks ei tulene see, et kõige olulisem pakutav platvorm on SIEM. SIEM kuulub küberturvalisuse häirekeskuse seireteenuse juurde (TK p-id 2.4. kuni 2.13. eristavad SIEMi selgelt pakutavast küberturbeplatvormist), tegemist pole küberturbeplatvormiga. Seega nõustub vaidlustuskomisjon Hankijaga, et platvormile, mida pakkuja pakub SIEM teenuse osutamiseks, ei rakendu TK p-des 4.2.3., 6.1. ning 6.2. toodud nõuded - tegemist on

25 (27)

pakutavale küberturbeplatvormile esitatud nõuetega. Kuigi vaidlustuses jäädakse selle juurde, et SIEM on kogu hangitava teenuste-toodete paketi keskne osa, siis ei vaielda vaidlustuses vastu sellele, et SIEM pole küberturbeplatvorm. Enne pakkumuste esitamise tähtpäeva on Hankijalt küsitud selgitusi RHAD kohta, kuid mitte ükski küsimus ei seondu TK või TE ebaselgusega ega ka küberturbeplatvormile esitatavate nõuetega. 7.4. Vaidlustaja pakkumusest tuleneb järgmine:

1) TE järgi on küberturbeplatvormi nimi: [---]; 2) pakkumuses on esitatud [---] 21.10.2024 kinnitus, et [---] on pakutava platvormi

(platvormi polnud nimetatud) omanik ja ByteLife Solutions OÜ (sertifitseeritud partner) on [---] esindaja Eestis.

Vaidlustaja on Hankijale selgitanud, et:

1) pakutavaks platvormiks tuleb lugeda [---], SIEM teenust/platvormi; 2) pakkumuses on nimetatud [---] kui XDR-d, ühte komponenti kogu Hankijale

pakutavast süsteemist; 3) infoturbeplatvormiks on [---] (TK p 6.1. nõude kolmas alternatiiv).

Vaidlust pole selles, et ka vaidlustuses ja Hankijale antud selgitustes viidatud [---] ei ole samuti küberturbeplatvorm - tegemist on automatiseerimis- ja reageerimisteenus ehk SOAR teenusega (TK p 3.21.), mis kuulub häirekeskuse vasteteenuse hulka. Kõiki asjaolusid arvesse võttes on vaidlustuskomisjon seisukohal, et Hankija sai Vaidlustaja pakkumuse vastavust kontrollida lähtuvalt pakkumusest ja Vaidlustaja selgitustest. Kuna [---] ja [---] ei ole küberturbeplatvormid, siis Vaidlustaja on pakkumuses pakkunud küberturbeplatvormiks [---], mis peab vastama kõigile küberturbeplatvormile RHAD-s esitatud nõuetele/tingimustele. 7.5. ByteLife Solutions OÜ on täiendavate seisukohtadega koos esitanud Lisad 1 ja 2. Lisas 1 on [---] esindaja selgitanud, kuidas on TE nõuded täidetud [---] küberturbe platvormile lisaks mingi muu lahenduse või platvormiga. Lisas 2 on esitatud [---] 08.01.2023 kinnitus, et ByteLife on [---] toodete ametlik edasimüüja Eestis. Vaidlustuskomisjon on seisukohal, et Vaidlustaja pakutud küberturbeplatvormi [---] omanik [- --] saab anda selgitusi platvormi TE-s toodud nõuetele vastavuse kohta, seda ei saa teha [---] (Vaidlustaja täiendavate seisukohtade Lisa 1) ja seda isegi siis, kui [---] platvormi kasutatakse koos ingi muu lahendusega. Vaidlustuskomisjon nõustub Hankijaga, et Lisa 2, vaatamata selle kuupäevale, on esitatud hilinemisega - kui Vaidlustaja esitas TE-s pakutavaks küberturbeplatvormiks [---], oleks pakutava küberturbeplatvormi esindusõigus (TK p 6) olema tõendatud pakkumuses (või siis hiljemalt Hankija selgitustaotlustele vastates), aga mitte alles vaidlustusmenetluses koos täiendavate seisukohtadega. Hankija on seadnud need Lisad 1 ja 2 ka kahtluse alla. Tallinna Ringkonnakohus on oma 14.11.2023 otsuses haldusasjas 3-23-1783 (p 24.) märkinud, et kuigi pdf-faili loomishetke kajastavad metaandmed üldjuhul pelgalt teisele andmekandjale salvestamisega ei muutu [---], ei ole siiski tegemist andmetega, mida ei saaks

26 (27)

üldse muuta ja mis saaksid seetõttu olla „ümberlükkamatud“. Pdf-failide metaandmete (sh „Created“) muutmiseks on mitmeid programme ja veebilehti (nt https://pdfcandy.com/edit- pdf-meta.html), mis võimaldaksid senise [---] kuupäeva hõlpsasti (sh tasuta) asendada varasemaga [---]. Kuid kuna vaidlustuskomisjon asus eelnevalt seisukohale, et ei lähtu Lisadest 1 ja 2, siis ei ole Vaidlustaja serveris olevate failide loomise aeg vaidluse lahendamiseks oluline. 7.6. TK p-i 4.2.3. kohaselt pakkuja kriitilise intsidendi lahendamise meeskonnas peab olema vähemalt 6 liiget, vähemalt 2 (kahel) meeskonna liikmel peab olema pakutava platvormi vajalikele haldustegevustele vastav tootja sertifikaat. „Vastavustingimused“ kohaselt vähemalt 2 meeskonnaliikmel peab olema pakutava platvormi vajalikele haldustegevustele ja vastav tootja sertifikaat tulid pakkumuses esitada (meeskonna liikmete sertifikaadid (Vabas vormis dokument)). Kui pakkuma pidi küberturbeplatvormi, siis on TK p 4.2.3 täidetud, kui pakkuja kahel meeskonna liikmel on selle pakutava platvormi vajalikele haldustegevustele vastav tootja sertifikaat. See nõue ei käi mistahes platvormi kohta, vaid just selle küberturbeplatvormi kohta, mida pakkuja nimetab TE-s. Vaidlustaja meeskonda kuuluvad mh [---]. Vaidlustaja on selgitanud oma vastuses Hankija esimesele teabepäringule, et neil meeskonna liikmetel on [---] tootja [---] sertifikaadid. Vaidlustuskomisjon on seisukohal, et Hankija on õigesti tuvastanud, et Vaidlustaja pakkumuses esitatud meeskonnaliikmete CV-des ja ka muudes pakkumust selgitavates dokumentides ei ole tuvastatav, et meeskonnaliikmetel oleks küberturbeplatvormi [---] haldustegevuste tegemiseks vajalik tootja sertifikaat, mistõttu Vaidlustaja pakkumus ei vasta TK p-le 4.2.3. ja „Vastavustingimustele“. 7.7. TK p 6. „Küberturbe platvormi esindusõigused“ on sõnastatud järgmiselt: „6.1. Pakkuja peab olema hankes pakutava infoturbe platvormi omanik või omaniku volitatud edasimüüja Eestis või lepinguline partner Eestis. Pakkuja esitab vastavad tõendid. 6.2.Pakkuja peab olema teenuse alusplatvormi kuuluvate toodete sertifitseeritud partner ja

omama otsekontakti tootjapoolsete kinnitustega või väljavõttega tootja kodulehelt.“ Samad nõuded on „Vastavustingimustes“ osas KÜBERTURBE PLATVORMI JA SELLEGA SEOTUD TOODETE ESINDUSÕIGUS. Selles valdkonnas tegelev ettevõtja pidi aru saama, et pakkumuses ei olnud vaja esitada infoturbe platvormi – RHAD-st tulenes selgelt, et Hankija soovis pakkumuses küberturbeplatvormi ja selle pakutava küberturbeplatvormi esindusõiguse tõendeid. Vaidlustaja ei ole pakkumuses esitanud TE-s nimetatud platvormi [---] omaniku [---] kinnitusi ega väljavõtet tootja kodulehelt. Pakkumuses esitatud [---] 21.10.2024 kinnitus ei tõenda pakutava küberturbeplatvormi esindusõigust, vaid [---] (SIEM teenus/platvorm) esindusõigust. Vaidlustuskomisjon on seisukohal, et Hankija on õigesti tuvastanud, et Vaidlustaja pakkumuse

27 (27)

puudusid pakutava küberturbeplatvormi [---] esindusõigust tõendavad dokumendid, neid ei esitatud ka vastuseks Hankija selgitustaotlustele, mistõttu Vaidlustaja pakkumus ei vasta TK p-le 6. ja „Vastavustingimustele“. 7.8. Tulenevalt eespooltoodust on vaidlustuskomisjon seisukohal, et Hankija on õigesti tuvastanud Vaidlustaja pakkumuse mittevastavused TK p-dele 4.2.3. ja 6. ning „Vastavustingimustele“, mistõttu Hankija otsus Vaidlustaja pakkumuse tagasilükkamise kohta RHS § 114 lg 2 esimese lause alusel on õige ja selle kehtetuks tunnistamiseks alused puuduvad. Vaidlustuskomisjon rõhutab, et Hankija otsus oleks õige isegi juhul, kui Hankija oleks eksinud Vaidlustaja pakkumuse vastavuse kontrollimisel teisele kahele tingimusele, millest Hankija on Vaidlustaja pakkumuse tagasilükkamise otsust tehes lähtunud, mida vaidlustuskomisjon ei väida, kuna vastava kontrolli tegemine ei ole Hankija otsuse õiguspärasuse kontrollimiseks enam vajalik. 8. Kolmanda isiku pakkumuse edukaks tunnistamise ja Kolmanda isiku kvalifitseerimise ja kõrvaldamata jätmise otsused on vaidlustatud üksnes põhjendusel, et Vaidlustaja pakkumust ei oleks tohtinud tagasi lükata. Kuna vaidlustuskomisjon on seisukohal, et Vaidlustaja pakkumuse tagasi lükkamise otsus on õiguspärane, siis puudub alus Kolmanda isiku pakkumuse edukaks tunnistamise ja Kolmanda isiku kvalifitseerimise ja kõrvaldamata jätmise otsuste kehtetuks tunnistamiseks. 9. Vaidlustusmenetluse kulud Kuna vaidlustusmenetlus lõpeb RHS § 197 lg 1 p-i 4 alusel vaidlustuse rahuldamata jätmisega, kuuluvad vaidlustusmenetluse kulude osas kohaldamisele RHS § 198 lg-d 3 ja 8. RHS § 198 lg 3 alusel jäävad Vaidlustaja kulud tema enda kanda. Hankija ja Kolmas isik pole kulude välja mõistmist taotlenud. (allkirjastatud digitaalselt) Ulvi Reimets