Hlavní navigace

Nemocnice v Pardubickém kraji za dotace postaví síť na Huawei. Firma slíbila nejnižší cenu

 Autor: Jan Sedlák
Proti další vyhrané státní zakázce se ozvala konkurence, která chtěla Huawei vyloučit. Podle Nemocnice Pardubického kraje a NÚKIBu je ale vše v pořádku a stačí analýza rizik.
Jan Sedlák 8. 7. 2020
Doba čtení: 5 minut

Sdílet

Čínské technologické společnosti Huawei se podařilo uspět v další státní zakázce. Prostřednictvím svého partnera, firmy Altepro (dříve Huatech), vyhrála dodávku na rekonstrukci počítačové sítě společnosti Nemocnice Pardubického kraje (NPK), pod kterou spadá celkem pět nemocnic. Další veřejné instituce tak poběží na technologiích, proti kterým vydal bezpečnostní varování Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Čínské technologie nově poběží v Chrudimské, Orlickoústecké, Svitavské, Litomyšlské a Pardubické nemocnici. Součástí zakázky je vedle síťových prvků nasazení do datových center, propojení lokalit, zajištění integrity, poskytnutí potřebného softwaru a servis.

Huawei se vedle splnění technických požadavků podařilo vyhrát díky nejnižší nabídnuté ceně. Takzvaná ekonomická výhodnost byla hlavním kritériem veřejné soutěže. Původní předpokládaná cena zakázky byla 31 milionů korun bez DPH, Altepro vyhrálo s nabídkou 15 949 300 korun (19 298 653 s DPH). K tomu byla ještě uzavřena smlouva na tři miliony korun zajišťující poskytování servisních služeb.

Peníze z EU

Nemocnice Pardubického kraje peníze na pořízení technologií a služeb Huawei částečně získala od Evropské unie. A to v rámci operačního programu IROP a projektu „ochrany proti nežádoucím aktivitám v síťovém prostředí elektronického informačního systému“, který je součástí výzvy pro kybernetickou bezpečnost.

Schéma sítě centrální lokality v nemocnici v Pardubicích
Autor: NPK

Schéma sítě centrální lokality v nemocnici v Pardubicích

To u některých lidí vzhledem ke kyberbezpečnostnímu varování NÚKIBu vyvolalo pochybnosti. Možnost nasadit technologie od Huawei napadl i jeden z účastníků veřejného výběrového řízení. Ten uvedl, že zadávací dokumentace nezohledňuje rizika, která NÚKIB vůči Huawei uvedl ve svém varování. Podle této kritiky NPK spadá pod významné informační systémy a pod zákon o kybernetické bezpečnosti.

Zmiňovaný konkurenční dodavatel zároveň navrhl vyloučení Huawei ze soutěže. Argumentoval mimo jiné tím, že Pardubický kraj už dříve omezil působení Huawei a ZTE (povoleny jsou pouze pro transportní část) ve veřejné zakázce na rozšíření regionální datové sítě Pardubického kraje.

Vedení krajské společnosti Nemocnice Pardubického kraje ale tuto kritiku odmítlo. „Zadavatel má zpracovanou analýzu rizik, která není součástí zadávací dokumentace a ze které vyplývá, že riziko spojené s užíváním technických a programových prostředků společností Huawei a ZTE (které již mimochodem zadavatel ve své síti používá) je akceptovatelné nasazením již existujícího technického opatření eliminujícího zranitelnost(i) aktiva nebo hrozby spojené s používáním aktiva (firewally třetího výrobce). Pardubický kraj poskytuje spojovou síť (Regionální datovou síť Pardubického kraje) svým zřizovaným organizacím, na kterou působí zcela jiné hrozby,“ uvádí NPK.

S podobnou zprávou přichází i NÚKIB. „Varování v obecné rovině neznamená striktní zákaz používání konkrétních technologií. Nemocnice Pardubického kraje je provozovatelem základní služby, tudíž má ze zákona povinné provádění analýzy rizik. Právě ta je podkladem pro finální rozhodnutí o konkrétním použití daných technologií,“ řekl Lupě mluvčí kyberúřadu Radek Holý.

Schéma sítě v Chrudimské, Orlickoústecké, Svitavské a Litomyšlské nemocnici
Autor: NPK

Schéma sítě v Chrudimské, Orlickoústecké, Svitavské a Litomyšlské nemocnici

Nemocnice také s firmou Altepro podepsala smlouvu, ve které se uvádí, že není možné nakládat s osobními údaji, není možné data poskytovat třetím osobám, není možné provádět zásahy do aplikací či databází, rozkódovávat postupy a podobně.

Další z řady

Hlavní lokalitou pro dodávky hardwaru Huawei je Nemocnice Pardubice, kam přijdou síťové páteřní a přístupové přepínače (switche) z oblasti WAN, campus coreDC core a DC access. Do ostatních nemocnic pak přijdou campus core a DC access. Součástí dodávky jsou i záložní UPS a monitorovací software. Technický popis je přiložený níže.

„Předmětem plnění veřejné zakázky je provedení rekonstrukce počítačové sítě a zajištění integrity síťového prostředí prostřednictvím zavedení nového řešení páteřních a přístupových přepínačů jednotné počítačové sítě zahrnující všechny lokality,“ stojí v sumarizaci zakázky.

Duo Huawei a Altepro státní zakázky vyhrává poměrně často. V březnu to byla datová úložiště pro ministerstvo vnitra a státní IT podnik NAKIT, předtím síť pro ministerstvo financí nebo ochranné prvky a řada dalších technologií v České televizi. Huawei dodává také do ČEZuSŽDCŘSD, na ministerstvo kulturypolicejní prezidium a dalším.

Na co si NPK technologie od Huawei pořizuje?

Připojujeme sumarizaci toho, jak Nemocnice Pardubického kraje síť modernizuje. Podrobnější technické detaily jsou pak v zadávací dokumentaci.

Řešení počítá s vybudováním redundantních a dostatečně výkonných datových center založených na cenově dostupných stohovatelných přepínačích. Datová centra budou tvořena páteřními přepínači propojenými standardním 40 GE rozhraním. Vždy ucelená skupina páteřních přepínačů bude spojena do jedné logické jednotky tzv. „virtuální switch“, kdy se celý blok chová jako jeden logický přepínač tvořený několika fyzickými přepínači. V případě HW poruchy jednoho fyzického přepínače není dotčena funkcionalita datového centra, pouze může být snížena jeho propustnost. Takto navržené řešení je dále škálovatelné a finančně efektivní. Kromě zajištění dostatečné propustnosti budou na páteřní vrstvě sítě nakonfigurovány prioritní fronty pro důležité informační systémy a celá páteřní vrstva sítě bude náležitě zabezpečena.

Realizací tohoto opatření dojde k vytvoření redundantního připojení do páteřních přepínačů, tj. v případě výpadku jednoho z páteřních přepínačů nedojde k nedostupnosti služeb. Zároveň pro všechny přístupové přepínače pořizované v rámci opatření bude zajištěna podpora od výrobce (v rozsahu aktualizace SW, tj. bezpečnostní update + provozní update), možnost nasadit pokročilých síťových funkcí, které současné prvky nemají (detekce smyček, bezpečnostní standard 802.1× apod.). Díky uniformnímu řešení od jednoho výrobce přibude možnost síť centrálně řídit a monitorovat. Takto tedy bude spolu s navrženou architekturou umístění přepínačů zvýšena úroveň dostupnosti informací. Nové přístupové přepínače budou sestohovány pomocí standartních 10 GE portů do „virtuálního switche“ se společnou konfigurací a managementem. Tento bude připojen uplink porty do min. dvou různých fyzických páteřních přepínačů datového centra pro zajištění potřebné míry redundance. Všechny uplinkové spoje budou aktivní, tzn. sdružené do jednoho logického spoje. Případný výpadek jednoho přepínače neohrozí funkcionalitu celé sítě LAN a může být velmi rychle nahrazen prvkem novým (v rámci záruky) nebo náhradním z jiné lokality či skladu. Takto navržené řešení je dále škálovatelné ať již přidáním dalšího fyzického přepínače (navýšení počtu portů ve stohu) nebo navýšením počtu uplink spojů (zvýšení propustnosti). Na komunikační infrastruktuře budou kromě redundance konfigurovány nezbytné bezpečnostní funkcionality a kvalita služby s prioritou pro kritické informační systémy.