Twoje faktury trafią do zagranicznej firmy? Niepokój wokół KSeF tuż przed startem
Według pojawiających się w internecie informacji, to nie Ministerstwo Finansów będzie bezpośrednim odbiorcą danych, które zostaną wprowadzone do systemu KSeF. Ruch pomiędzy podatnikiem a systemem ma przechodzić przez infrastrukturę Imperva (Thales). Jak podaje „Dziennik Gazeta Prawna”, jest to spółka specjalizująca się w cyberbezpieczeństwie, należąca do francuskiego koncernu Thales.
Za stronę informatyczną systemu odpowiada głównie Centrum Informatyki Resortu Finansów (CIRF), które projektuje i utrzymuje architekturę systemu.
Jak udało nam się dowiedzieć, system - zaprojektowany jeszcze w czasie rządów Zjednoczonej Prawicy - wybrał do obsługi polską firmę, ale po zmianie rządu nowe władze uznały, że start Krajowego Systemu e-Faktur jest opóźniony i zagrożony.
Wówczas do gry wkroczyli Francuzi.
Formalnie, KSeF wystartuje 1 lutego. Resort zapewnia, że system jest bezpieczny i nie ma zagrożenia wycieku danych. Jednocześnie, politycy nie tłumaczą się ze zmiany operatora i tłumaczą jedynie ogólnikowo, iż celem jest to, by system był odporny na ataki i działał bez przerw, przy jednoczesnym zapewnieniu, iż państwo ma pełną kontrolę nad danymi o fakturach.
KSeF wypiera RODO?
Jak zauważają eksperci, w przypadku KSeF pojawia się konflikt z RODO oraz zasadą suwerenności danych. Wynika to z faktu, że jeśli dane będą przepływać rzez zewnętrzną firmę, może ona jako podmiot trzeci mieć do nich dostęp bez zgody Ministerstwa Finansów.
Czy firma Thales będzie miała dostęp do faktur pojawiających się w KSeF? Ministerstwo uspokaja, że nie ma takiej możliwości, ale sam fakt współpracy z prywatną firmą spoza Polski - która będzie częścią systemu obiegu faktur - budzi niepokój podatników.
Kto ma klucze do systemu?
Ministerstwo uspokaja przedsiębiorców i zapewnia, że „żadne systemy bezpieczeństwa, w tym rozwiązania typu WAF Cloud (Web Application Firewall), nie mają dostępu do treści faktur, ponieważ mogą one widzieć wyłącznie zaszyfrowane dane i nie posiadają kluczy do ich odszyfrowania”.
- Klucze mamy tylko my. Tylko system KSeF posiada możliwość odszyfrowania faktury poprzez metody szyfrowania wykorzystywane przez Ministerstwo Finansów z użyciem unikatowego klucza – przekonuje MF w odpowiedzi udzielonej na pytania „DGP”.
Również Agata Jagodzińska, działaczka związkowa Krajowej Administracji Skarbowej wyjaśnia, że „dostęp do danych konkretnej firmy w KSeF będzie objęty szczególnymi zabezpieczeniami i możliwy wyłącznie na podstawie uzasadnionego wniosku”.
Treść faktur nie jest jednak jedyną kwestią, której zabezpieczenie budzi obawy. Wątpliwości pojawiają się także w przypadku tzw. metadanych. Zawierają one cały szereg dodatkowych i cennych informacji, choćby o tym, jaki przedsiębiorca, kiedy i jak często wystawia faktury.
Takie informacje mogą pozwolić na odtworzenie sieci relacji gospodarczych, bez zawartości samych dokumentów. Mogą też być cenne dla konkurencji i innych podmiotów zainteresowanych danym przedsiębiorcą.
Polska nie jest w stanie zabezpieczyć systemu
Ministerstwo Finansów, tłumacząc rolę zewnętrznej firmy w systemie księgowym, zapewnia, że kluczowym aspektem było zapewnienie jego bezpieczeństwa.
Informuje jednocześnie, że "28 stycznia o godzinie 15:00 odbędzie się briefing prasowy z udziałem Podsekretarza Stanu w Ministerstwie Finansów, Zastępcy Szefa Krajowej Administracji Skarbowej Zbigniewa Stawickiego oraz Dyrektora Centrum Informatyki Resortu Finansów Romana Łożyńskiego na temat doniesień medialnych na temat KSeF".
Dodatkowo, wiceszef resortu Marcin Łoboda zapewnia, że KSeF, który działa już od 2022 roku, jest celem tysięcy prób ataków dziennie. To wymaga zaawansowanej ochrony, bez której mógłby zostać sparaliżowany w kilka minut. Jak przyznaje, Polska nie dysponuje obecnie własną infrastrukturą, która byłaby w stanie chronić KSeF wystarczająco skutecznie.
- Faktury nie są i nie mogą być dostępne poza systemem KSeF – jest to bezpośredni efekt zastosowanego procesu szyfrowania treści faktur wykorzystywanego przez Ministerstwo Finansów oraz rygorystycznych wymogów bezpieczeństwa – zapewnia resort finansów.
Ministerstwo uspokaja również przedsiębiorców i ekspertów wskazujących na sprzeczność systemu i jego podmiotów z przepisami RODO. Zapisano w nich, że dane osobowe mogą być przetwarzane wyłącznie na terenie Unii Europejskiej.
Jak zaznacza resort właścicielem firmy zabezpieczającej jest unijny, a dokładnie francuski koncern Thales związany z sektorem obronnym NATO. Właśnie ten czynnik, w ocenie decydentów z resortu finansów, ma być gwarantem bezpieczeństwa danych.
Pytania do resortu
Wysłaliśmy do przedstawicieli MF kilka pytań dotyczących tej sprawy, jak tylko uda nam się uzyskać odpowiedzi, to bez wątpienia wrócimy do opisywanych tu kwestii.
1. Czy w ocenie Ministerstwa Finansów (MF) fakt, iż API KSeF korzysta z infrastruktury firmy Imperva, która należy do francuskiej korporacji Thales; daje zagranicznym podmiotom dostęp do danych lub metadanych polskich przedsiębiorców?
2. Czy MF ma wiedzę, jakie przesłanki decydowały o wyborze firmy Thales do współpracy w ramach systemu KSeF, kto dokonał wyboru tej właśnie firmy i czy MF próbowało znaleźć do realizacji tych zadań firmę w Polsce?
3. Czy zależność od ww. kontrahenta mogą generować potencjalny konflikt z RODO i zasadą suwerenności danych?
4. Czy w ocenie MF, udział obcych podmiotów w systemie zwiększa podatność na cyberatak, lub umożliwia zablokowanie KSeF, a w najgorszym przypadku nawet utratę części danych na rzecz podmiotów trzecich?
źr. wPolsce24 za DGP/MF/filarybiznesu.pl
Czytaj także
