rozwiń

Internauta (autor posta) zwrócił uwagę na to, że resort finansów korzysta z rozwiązań oferowanych przez podmiot prywatny, który będzie miał dostęp do danych z faktur wystawianych przy użyciu KSeF. Chodzi o amerykańską spółkę Imperva (specjalizującą się w cyberbezpieczeństwie), która należy do francuskiego koncernu Thales.

MF uspokaja, że dane z faktur ustrukturyzowanych są odpowiednio zaszyfrowane i dzięki temu będą bezpieczne. Eksperci wskazują jednak na jeszcze inny problem - wybrany przez ministerstwo sposób szyfrowania danych zapisywanych w KSeF. System ten – jak twierdzi Adrian Lapierre, dyrektor zarządzający w ITrust – wcale nie zapobiega atakom hakerskim i potencjalnym wyciekom.

KSeF bezpieczny, czy jednak nie?

Ministerstwo Finansów oraz Centrum Informatyki Resortu Finansów (CIRF) wielokrotnie już uspokajały, że dane w KSeF będą chronione. W połowie stycznia 2026 r. przedstawiciele resortu tłumaczyli na spotkaniu z dziennikarzami, że faktury wysyłane do KSeF będą na wejściu szyfrowane i będzie wiadomo, skąd logowała się osoba, która uwierzytelniła się w systemie.

Zwracano też uwagę, że od początku grudnia system był testowany poprzez ataki DDoS (masowe zapytania mające zablokować serwery) i nie doszło do żadnego wycieku danych, tak jak nie doszło do nich w trakcie corocznych akcji składania elektronicznych zeznań PIT.

W miniony czwartek do obaw o bezpieczeństwo systemu oraz przechowywanych w nim danych odniósł się także Marcin Łoboda, szef Krajowej Administracji Skarbowej. Piszemy o tym szerzej w artykule „O bezpieczeństwie KSeF bez detali, w obawie przed hakerami”.

A jednak są wątpliwości

Dlaczego obawy o bezpieczeństwo KSeF nie cichną? Przyczynkiem stał się opublikowany 20 stycznia na portalu Github wspomniany niepokojący post. Jego autor wskazał, że klucze umożliwiające dostęp do wszelkiej poufnej komunikacji na linii podatnik – KSeF posiada prywatna firma. Będzie ona mogła w ten sposób składać zapytania w systemie bez wiedzy podatnika. W poście czytamy, że obecna architektura systemu daje dostawcy usługi (prywatnej firmie) praktycznie pełny dostęp do informacji w KSeF (w tym zakresu uprawnień, certyfikatów itd.).

Co z tajemnicą handlową…

W szczególności – jak napisał internauta – nieuprawnione osoby będą mogły sprawdzać, kto komu i na jakie kwoty wystawia faktury. Będą też mogły przeczytać, kto w danej firmie ma uprawnienia do KSeF i w jakim zakresie.

Obawy internauty szybko podchwyciły inne osoby, w tym politycy partii opozycyjnych. Zwracano uwagę, że nawet gdyby Imperva nie miała dostępu do faktur, to analizując dostępne jej metadane, będzie mogła „budować graf relacji biznesowych, określać wolumeny obrotu, widzieć częstotliwość i kierunki transakcji”.

…i danymi osobowymi?

Pojawiły się też pytania o bezpieczeństwo wrażliwych danych osobowych, które też będą zgromadzone w KSeF. Czy nie trafią poza Unię Europejską (do USA) w sposób niezgodny z unijnymi przepisami, m.in. z rozporządzeniem RODO, a także ze wskazówkami płynącymi z wyroku Trybunału Sprawiedliwości UE w sprawie Schrems II, który zapadł 16 lipca 2020 r. (sygn. C-311/18). Gdyby do tego doszło, to prezes Urzędu Ochrony Danych Osobowych powinien nałożyć karę.

Alarm na wyrost?

Internauci zaczęli więc prosić resort finansów o zajęcie stanowiska w tej sprawie. Część z nich, nie czekając na odpowiedź MF, sama zwracała uwagę, że zgłoszone dotychczas wątpliwości są zasadne, pod warunkiem że Imperva odpowiada za WAF (ang. "web application firewall"), czyli rodzaj zapory sieciowej chroniącej przed atakami. Innymi słowy, że deszyfruje cały ruch sieciowy. Jeden z komentujących stwierdził nawet, że alarmistyczny post miał na celu tylko wzbudzić niepotrzebne kontrowersje.

MF: klucz mamy tylko my

Redakcja DGP zwróciła się więc bezpośrednio do MF z prośbą o odniesienie się do zgłaszanych wątpliwości. W odpowiedzi resort zapewnia, że są one nieuzasadnione. „Komunikacja klientów z systemem KSeF opiera się o wykorzystanie protokołu HTTPS do szyfrowania transmisji oraz o własne, bezpieczne, wykorzystywane przez Ministerstwo Finansów, metody szyfrowania w oparciu o unikalny klucz w zakresie treści faktur” – czytamy w odpowiedzi MF.

Resort wyjaśnił, że „tylko system KSeF posiada możliwość odszyfrowania faktury poprzez metody szyfrowania wykorzystywane przez Ministerstwo Finansów z użyciem unikatowego klucza”. I – co najważniejsze – „żadne systemy bezpieczeństwa, w tym rozwiązania typu WAF Cloud (Web Application Firewall), nie mają dostępu do treści faktur, ponieważ mogą widzieć one wyłącznie zaszyfrowane dane i nie posiadają kluczy do ich odszyfrowania”.

Resort kolejny raz również zapewnił, że „wszystkie dostępy do faktur są autoryzowane, a każdy dostęp jest audytowany”. Faktury nie są i nie mogą więc być dostępne poza KSeF, co jest „bezpośrednim efektem zastosowanego procesu szyfrowania oraz rygorystycznych wymogów bezpieczeństwa” – podsumowało MF.

Szyfrowanie do poprawy?

Odpowiedź resortu finansów nie rozwiewa jednak wszystkich wątpliwości ekspertów. – O ile problem dostępu zewnętrznych dostawców infrastruktury był dla mnie raczej teoretyczny, o tyle sposób szyfrowania danych, na który powołuje się Ministerstwo Finansów, budzi moje realne zastrzeżenia. Faktury są szyfrowane (nieskutecznie) tylko przy zapisie. Gdy faktura jest pobierana przez nabywcę - nie ma szyfrowania – zwraca uwagę Adrian Lapierre.

Wyjaśnia, że w KSeF jest stosowany mechanizm szyfrowania, w którym te same dane inicjujące są używane wielokrotnie do ochrony różnych faktur. – W kryptografii jest to niedopuszczalne, ponieważ może prowadzić do ujawniania zależności pomiędzy dokumentami, nawet jeśli ich pełna treść pozostaje formalnie zaszyfrowana – tłumaczy Lapierre.

Podkreśla, że faktury mają stałą strukturę i wiele powtarzalnych elementów. – Taka przewidywalność treści umożliwiała już w przeszłości skuteczne ataki kryptograficzne – przypomina ekspert ITrust. Jako przykład wskazuje złamanie szyfru Enigmy, gdzie kluczową rolę odegrały formalny język komunikatów i powtarzające się schematy wiadomości. – W przypadku KSeF mechanizm ryzyka jest ten sam: powtarzalność danych wejściowych w połączeniu z masowym wolumenem dokumentów – zauważa ekspert. Podkreśla, że nie jest to problem hipotetyczny.