Polskie faktury pod lupą zagranicznych gigantów? Ustalenia wokół KSeF przerażają. Oddaliśmy konkurencji na tacy polski biznes!
Czym są metadane i dlaczego są kluczowe?
Dla większości użytkowników systemu KSeF kluczową informacją jest treść faktur przetwarzanych przez system. Jednak KSeF generuje również potężne zbiory tzw. metadanych. Co się w nich znajduje?
Choćby informacje o tym, kiedy, skąd, przez kogo i za pomocą jakiego urządzenia dokument został wysłany. Choć nie są to „surowe” kwoty z faktury, ich analiza pozwala na precyzyjne odtworzenie relacji biznesowych, częstotliwości transakcji i kondycji całych sektorów gospodarki.
Kto w Ministerstwie Finansów podjął decyzję, aby na tacy oddać zagranicznej korporacji te wszystkie dane o polskim biznesie? Próbujemy się tego dowiedzieć od dwóch tygodni.
Imperva i Thales: Francuski łącznik w polskim systemie
Z ustaleń naszej redakcji wynika, że API systemu KSeF korzysta z infrastruktury dostarczanej przez firmę Imperva. Urzędnicy MF nie ukrywają tego faktu i tłumaczą, iż jest to globalny lider w dziedzinie cyberbezpieczeństwa, który od niedawna jest częścią francuskiego giganta zbrojeniowego i technologicznego – grupy Thales.
Problem polega na tym, że ruch sieciowy przechodzący przez systemy zabezpieczające Impervy może być widoczny dla operatora infrastruktury. Rodzi to pytania o suwerenność cyfrową Polski i faktyczną kontrolę nad obiegiem informacji gospodarczej.
Czy dane strategiczne dla polskiego biznesu są rzeczywiście „nasze”?
Pytania bez odpowiedzi: Milczenie Ministerstwa Finansów
Obawy dotyczące bezpieczeństwa narodowego i prywatności przedsiębiorców skłoniły naszą redakcję do skierowania oficjalnych pytań do resortu finansów.
Mimo że minęły już dwa tygodnie od ich wysłania (28 stycznia br.), Ministerstwo Finansów wciąż milczy.
Oto kluczowe kwestie, na które przedsiębiorcy czekają na odpowiedź:
Czy w ocenie Ministerstwa Finansów (MF) fakt, iż API KSeF korzysta z infrastruktury firmy Imperva, która należy do francuskiej korporacji Thales, daje zagranicznym podmiotom dostęp do danych lub metadanych polskich przedsiębiorców?
Czy MF ma wiedzę, jakie przesłanki decydowały o wyborze firmy Thales do współpracy w ramach systemu KSeF, kto dokonał wyboru tej właśnie firmy i czy MF próbowało znaleźć do realizacji tych zadań firmę w Polsce?
Czy zależność od ww. kontrahenta mogą generować potencjalny konflikt z RODO i zasadą suwerenności danych?
Czy w ocenie MF udział obcych podmiotów w systemie zwiększa podatność na cyberatak, lub umożliwia zablokowanie KSeF, a w najgorszym przypadku nawet utratę części danych na rzecz podmiotów trzecich?
Zagrożenie dla suwerenności danych?
Eksperci wskazują, że uzależnienie krytycznej infrastruktury państwowej od jednego, zagranicznego dostawcy zawsze niesie ze sobą ryzyko. W przypadku ewentualnych konfliktów politycznych lub awarii technicznej u dostawcy, polski system podatkowy mógłby zostać sparaliżowany. Co więcej, brak jasnych informacji o tym, gdzie fizycznie przetwarzane są metadane (czy np. nie opuszczają terenu UE), budzi poważne wątpliwości w kontekście zgodności z RODO.
Czy KSeF stanie się narzędziem nowoczesnego wywiadu gospodarczego? Dopóki Ministerstwo Finansów nie rozwieje wątpliwości dotyczących roli firmy Imperva, obawy o bezpieczeństwo polskiego biznesu będą tylko rosły.
Resort co prawda uspokaja, że treść faktur jest chroniona szyfrowaniem end-to-end (E2E), eksperci techniczni, tacy jak Grzegorz GPS Świderski, wskazują na drugie dno systemu.
Co dokładnie może analizować zagraniczny podmiot?
1. Mapa drogowa polskiego biznesu (IP i Lokalizacja)
Imperva widzi adres IP każdego przedsiębiorcy lub biura rachunkowego wysyłającego fakturę. Pozwala to na:
-
Geolokalizację aktywności: Tworzenie map aktywności gospodarczej region po regionie w czasie rzeczywistym.
-
Identyfikację infrastruktury: Rozpoznanie, czy firma korzysta z własnych serwerów, chmury, czy zewnętrznych platform SaaS.
2. Profil technologiczny firm
Dzięki analizie nagłówków HTTP i parametrów protokołu TLS, operator infrastruktury może stworzyć „odcisk palca” (fingerprint) każdego użytkownika.
-
Wiedza o systemach ERP: Nagłówek User-Agent często zdradza, jakiego oprogramowania księgowego używa firma.
-
Podatność na ataki: Wiedza o tym, kto korzysta z przestarzałych bibliotek lub systemów, to gotowa mapa celów dla cyberprzestępców lub obcych wywiadów.
3. Puls transakcyjny
Najcenniejszą informacją strategiczną nie jest pojedyncza faktura, lecz ich masowy zbiór mierzony czasem i rozmiarem.
-
Rozmiar ma znaczenie: Nawet bez deszyfrowania, Imperva widzi rozmiar pakietu danych, co pozwala odróżnić prostą usługę od ogromnej dostawy towarowej na tysiące pozycji.
-
Rytm dobowy: Analiza milisekund, w których spływają dane, pozwala monitorować kondycję całych branż. Nagły spadek liczby operacji w danej sekcji może być szybszym sygnałem kryzysu niż oficjalne raporty GUS.
-
Grafy relacji: Korelacja czasowa (podmiot A wysyła, podmiot B chwilę później pobiera) pozwala budować probabilistyczne mapy powiązań między polskimi kontrahentami.
4. Transparentność pod znakiem zapytania
Zarzuty Grzegorza GPS Świderskiego idą jeszcze dalej. Wskazuje on na brak transparentności resortu finansów:
„Ministerstwo Finansów ukrywa to, że firma Imperva realizuje usługę WAF. W systemie e-Zamówienia ani w BIP CIRF nie ma żadnego przetargu ani umowy dotyczącej Impervy”.
Brak publicznie dostępnych dokumentów określających warunki współpracy z francuską grupą Thales (właścicielem Impervy) uniemożliwia weryfikację, jakie zabezpieczenia umowne chronią polskie metadane przed wykorzystaniem ich do analiz wywiadowczych czy spekulacji rynkowych. Chętnie zadalibyśmy pytania o to, dlaczego taki stan rzeczy jest w ogóle możliwy, ale niestety MF nie jest skore do dialogu. Kluczowe pytanie: kto zgodził się oddać tak cenne dane zagranicznemu podmiotowi, wciąż pozostaje bez odpowiedzi.
źr. wPolsce24
Czytaj także
