Czy nasze faktury są bezpieczne? Kolejne szokujące ustalenia wokół KSeF

Zagraniczna brama do polskich danych

Jedna z głównych kontrowersji to firma Imperva, dostawca rozwiązania WAF (Web Application Firewall), które w teorii chroni KSeF przed atakami hakerskimi. Choć Ministerstwo Finansów zapewnia, że dane są bezpieczne i przechowywane w Polsce, diabeł tkwi w szczegółach technicznych. O tych MF mówić nie chce, choć wcześniej zapewniało o pełnej transparentności podejmowanych przez siebie działań. 

Zgodnie z analizą Świderskiego, aby ochrona była skuteczna, ruch sieciowy musi zostać odszyfrowany na bramce Impervy. Oznacza to, że prywatna firma ma techniczny wgląd w tzw. metadane.

• Co widzi system? NIP-y kontrahentów, nazwy firm, kwoty netto/VAT oraz daty transakcji.

• Dlaczego to groźne? Zbiór tych danych pozwala w czasie rzeczywistym „zmapować” cały krwiobieg polskiej gospodarki – od strategicznych kontraktów zbrojeniowych po kondycję małych przedsiębiorstw.

Trzy klucze, trzech graczy: USA, Francja i Izrael

Ekspert wskazuje na unikalną i skomplikowaną strukturę właścicielską Impervy, która tworzy trzy wektory ryzyka:

1. Klucz Amerykański (CLOUD Act): Imperva jest zarejestrowana w USA. Prawo federalne (CLOUD Act) zmusza amerykańskie firmy do wydania danych na żądanie rządu, nawet jeśli serwery fizycznie znajdują się w Polsce. Co więcej, taka procedura może być objęta klauzulą tajności – Polska mogłaby nawet nie wiedzieć, że dane wyciekły.

2. Klucz Francuski (Thales): W 2023 roku Imperva stała się własnością giganta Thales, w którym udziały ma państwo francuskie. Thales to filar tamtejszego wywiadu. Przepływ danych wewnątrz jednej grupy kapitałowej nie wymaga wyroków sądowych – to zwykła operacja biznesowa.

3. Klucz Izraelski (Unit 8200): Imperva została założona przez byłych oficerów elitarnej jednostki wywiadu Izraela, a jej główne centrum badawcze wciąż tam operuje. To specjaliści od najbardziej zaawansowanej cyberofensywy na świecie.

Polska ewenementem na tle Europy?

Podczas gdy polskie Ministerstwo Finansów polega na rozwiązaniach chmurowych zagranicznego dostawcy, inne kraje UE przyjęły zupełnie inną strategię:

• Francja: System Chorus Pro jest zarządzany przez agencję rządową i infrastrukturę krajową.

• Rumunia: E-faktury powierzono wojskowej służbie łączności (STS).

• Włochy i Hiszpania: Korzystają z rygorystycznie nadzorowanych platform państwowych.

Polska jawi się tu jako kraj, który „wyjął klucze z zamka” i przekazał je podmiotom powiązanym z obcymi administracjami.

Odpowiedź resortu: „Dane są zaszyfrowane”

Oficjalnie MF odpiera zarzuty, argumentując, że treść faktur (pliki XML) jest szyfrowana metodą End-to-End, a klucze posiada tylko państwo. Jednak eksperci ostrzegają: metadane JSON, które nie podlegają temu samemu rygorowi na etapie przesyłu przez WAF, są wystarczające do prowadzenia wywiadu gospodarczego na masową skalę.

„Ryzyko nie polega na tym, że w tej sekundzie trwa kradzież – polega na tym, że zbudowano infrastrukturę dostępu, której polskie służby nie mogą suwerennie zablokować” – podsumowuje swoją analizę Świderski.

źr. wPolsce24 za X