Najvyšší kontrolný úrad zistil pri kontrole 53-miliónovej utajenej kybernetickej zákazky pochybenia, ktoré odstúpil polícii s podozrením na machinácie pri verejnom obstarávaní. Problém vidí pri tej časti zákazky, ktorú robil úrad podpredsedu vlády.
Ministerka pre informatizáciu Veronika Remišová (Za ľudí) nedávno upozornila na zistenia Najvyššieho kontrolného úradu (NKÚ), ktorý kontroloval utajený kybernetický projekt za 44 miliónov eur bez DPH (53 miliónov s DPH). Išlo o národný systém riadenia incidentov kybernetickej bezpečnosti.
Eurofondový projekt sa schválil počas vlády Petra Pellegriniho a z veľkej časti sa robil aj na úrade podpredsedu vlády, predchodcu súčasného ministerstva pre investície, regionálny rozvoj a informatizáciu (MIRRI).
„Oficiálne informácie od NKÚ uvádzajú aj také skutočnosti, ako sú napríklad možné machinácie pri verejnom obstarávaní, či porušovanie povinností pri správe cudzieho majetku,“ povedala Remišová. NKÚ na základe výsledkov kontroly podal trestné oznámenie.
„Ide o projekt, ktorý pripravovali experti v danej oblasti, pričom ministerka Remišová sa o kybernetickú bezpečnosť Slovenska nezaujímala 15 mesiacov od nástupu do funkcie a jediné, čo spravila, je, že za generálneho riaditeľa tejto mimoriadne dôležitej sekcie dosadila člena predsedníctva svojej strany,“ reagoval na Remišovú jej predchodca Raši (Hlas).
Cieľom projektu bolo pre štyri úrady vybudovať jednotky na riadenie bezpečnostných incidentov. NBÚ robil projekt aj pre SIS (nepriamo aj pre Vojenské spravodajstvo), úrad podpredsedu vlády, ktorý v tom čase viedol Richard Raši, zase pre NASES a týkalo sa to kybernetickej bezpečnosti vládnej siete. Kontrolóri zistili pochybenia pri tej časti projektu, ktorý zastrešoval úrad podpredsedu vlády.
„Túto kontrolu sme robili aj preto, lebo sa v tejto krajine stalo národným športom, že sa mnoho projektov financovaných z verejných zdrojov začalo dávať do režimu utajenia. Realizátori takých projektov tvrdili – to je v utajení, vy nemáte právo vedieť nič,“ hovorí podpredseda NKÚ Ľubomír Andrassy. Úrad závery z kontroly zatiaľ nezverejnil, no poskytol Denníku E niekoľko zistení.
Mal to byť dôležitý projekt, no nie je ukončený.
NKÚ začal kontrolovať projekt vlani v septembri, kontrola trvala do mája tohto roku. Národní kontrolóri sa zamerali na obdobie rokov 2018 až 2020. Keďže išlo o utajený projekt, aj kontrola prebiehala v režime dôverné.
Kybernetický projekt sa platil z eurofondov aj zo štátneho rozpočtu. Z eurofondov sa zaplatilo 34 miliónov, zvyšok z rozpočtu. Riadiacim orgánom bol úrad podpredsedu vlády (ÚPVII), dnes teda MIRRI.
Andrassy vraví, že bol rozdiel, ako pri projekte postupoval NBÚ a ako úrad podpredsedu vlády spolu s NASES. „NBÚ využil na základe vlastného rozhodnutia tie ustanovenia zákona o verejnom obstarávaní, ktoré preukazujú transparentnosť, hospodárnosť a nediskrimináciu, hoci im to zákon neukladal ako povinnosť, lebo išli v utajenom režime.“
Vysvetľuje, že NBÚ určil predbežnú hodnotu zákazky na základe posúdenia cien od viacerých dodávateľov, mal zdokumentované rokovania s potenciálnymi partnermi a rámcovú zmluvu so základnými dátami zverejnil v centrálnom registri zmlúv. Z nej napríklad vyplýva, že dodávateľom projektu je firma Alison Slovakia, ktorej meno sa spomína aj pri inom kybernetickom projekte na finančnej správe za 52 miliónov. S touto zmluvou súvisel nedávny zásah NAKA na finančnej správe.
Pokiaľ ide o tú časť projektu, ktorú zastrešoval úrad podpredsedu vlády, NKÚ zistil viacero nedostatkov už pri nastavovaní súťaže. „Práve v procese nastavovania súťaže a pravidiel sme identifikovali také nedostatky, ktoré sme odstúpili OČTK (orgánom činným v trestnom konaní, pozn. red) s podozrením na machinácie pri verejnom obstarávaní. Je tam aj riziko porušenia povinností pri správe cudzieho majetku a nedodržania princípov rozpočtových pravidiel,“ vysvetľuje podpredseda NKÚ.
Keď mal byť projekt na MIRRI v závere minulého roka ukončený, mal byť plne funkčný a odovzdaný, NKÚ zistil, že celý projekt je odovzdaný ani nie na dve percentá (hardvér aj softvér). No kľúčové rozpočtové položky už boli uhradené. „To vyvoláva podozrenie, že niekto, kto za to zodpovedal, nedodržal povinnosti pri správe cudzieho majetku. Veď predsa nemáte platiť za systém, ktorý ešte nie je nasadený do prevádzky,“ hovorí Andrassy.
V praxi to funguje potom tak, že sa zmluva predlžuje dodatkami a keď je projekt hotový, je v podstate zastaraný, lebo na trhu sú už modernejšie technológie. „Projekt, o ktorom sa hovorilo, že je dôležitý z hľadiska národnej bezpečnosti a mal byť ukončený v decembri 2020, už je jedným dodatkom predĺžený do 2021,“ podotkol podpredseda NKÚ.
NKÚ tiež zistil, že ÚPVII malo spracovanú projektovú dokumentáciu a napriek tomu, že všetko robili sami, štúdiu uskutočniteľnosti si nechali urobiť od konzultačnej firmy Ernst & Young za takmer 40-tisíc eur, hoci nemala prístup k utajeným skutočnostiam. „Popísali niekoľko strán všeobecných informácií o význame kyberbezpečnosti, ale nič nepovedali k tomu projektu. Takže 40-tisíc bolo zaplatené za niečo, čo ministerstvu absolútne nič nedalo,“ hovorí Andrassy.
„Utajované skutočnosti odborného charakteru majú tvoriť prílohu rámcovej zmluvy a rámcová zmluva má byť zverejnená aj so základnými informáciami, ako je opis zákazky, časový úsek, sumy položiek. V zmluve majú byť aj subdodávatelia a majú byť jasné sankcie za nedodržanie zmluvných podmienok nielen pre verejnú inštitúciu, ale aj pre dodávateľa,“ povedal Andrassy.