Część VI — Niewidzialna pętla KSeF: manipulacyjna dezinformacja mediów

Ministerstwo Finansów w kwe­stii KSeF po­wta­rza Po­la­kom trzy rze­czy:

• wszyst­ko je­st w Pol­sce,
• za­gra­ni­ca nie ma do­stę­pu,
• to nie in­wi­gi­la­cja.

  Ze­bra­łem 18 ofi­cjal­ny­ch ar­ty­ku­łów Ministerstwa Finansów, PAP, De­ma­go­ga i innych me­diów, w któ­re po­wta­rza­ją tę pi­ja­ro­wą ście­mę. Ze­bra­łem wszyst­kie naj­waż­niej­sze ar­ty­ku­ły do­ty­czą­ce KSeF, któ­re ofi­cjal­nie tłu­ma­czą jak to ja­ko­by dzia­ła i pro­stu­ją rze­ko­me dez­in­for­ma­cje. Wy­bra­łem z ni­ch głów­ne te­zy, a na­stęp­nie na­pi­sa­łem do każ­dej spro­sto­wa­nie na pod­sta­wie mo­ich tech­nicz­ny­ch au­dy­tów. To je­st pe­łen ob­raz dys­kur­su pu­blicz­ne­go, ja­ki te­raz w Pol­sce się od­by­wa. Oto te artykuły:

• 👉A01 — Ministerstwo Finansów, „Bezpieczeństwo i dezinformacja w obszarze KSeF”: gov.pl
• 👉A02 — KSeF / podatki.gov.pl, „Dezinformacja w temacie Krajowego Systemu e-Faktur”: ksef.podatki.gov.pl
• 👉A03 — KSeF / podatki.gov.pl, „Bezpieczeństwo i dezinformacja w obszarze KSeF”: ksef.podatki.gov.pl
• 👉A04 — Demagog, „System KSeF. Czy nasze dane są bezpieczne?”: demagog.org.pl
• 👉A05 — Dziennik Gazeta Prawna, „KSeF chroniony, ale czy skutecznie?”: edgp.gazetaprawna.pl
• 👉A06 — GazetaPrawna / Podatki, „Czy faktury w KSeF będą bezpieczne?”: podatki.gazetaprawna.pl
• 👉A07 — PAP, „Eksperci o fałszywych narracjach z sieci: KSeF nie służy inwigilacji ani handlowi danymi”: pap.pl
• 👉A08 — XYZ, „Resort finansów ostrzega przed dezinformacją: do KSeF nie mają dostępu zagraniczne firmy”: xyz.pl
• 👉A09 — PIT.pl, „KSeF: uwaga na dezinformację i fałszywe narracje. Obalamy mity”: pit.pl
• 👉A10 — Bankier, „Czy amerykańskie służby przeglądają faktury? Prawda o zabezpieczeniach KSeF”: bankier.pl
• 👉A11 — INNPoland, „KSeF w rękach obcego wywiadu? Bosak rzuca oskarżenia, eksperci łapią się za głowy”: innpoland.pl
• 👉A12 — Security Magazine, „KSeF jest bezpieczny?”: securitymagazine.pl
• 👉A13 — SpySat, „Czy faktury w KSeF może odczytać zagraniczna firma?”: news.spysat.pl
• 👉A14 — PAP MediaRoom, „MF: Bezpieczeństwo i dezinformacja w obszarze KSeF (komunikat)”: pap-mediaroom.pl
• 👉A15 — PAP MediaRoom, „MF: Dezinformacja w temacie Krajowego Systemu e-Faktur (komunikat)”: pap-mediaroom.pl
• 👉A16 — Money.pl, „Rewolucja dla trzech milionów firm nadchodzi. Są już wątpliwości”: https://www.money.pl/gospodarka/rewolucja-dla-trzech-milionow-firm-nadchodzi-sa-juz-watpliwosci-7247474132678848a.ht
• 👉A17 — Bizblog / Spider’s Web, „Faktury w KSeF będą bezpieczne? Eksperci ostrzegają”: bizblog.spidersweb.pl
• 👉A18 — Gość.pl, przedruk / omówienie DGP, „Z klauzulą ‘tajne’, czyli szyfrowanie danych w KSeF”: gosc.pl

  Tu głów­ne te­zy sta­wia­ne w ty­ch ar­ty­ku­ła­ch:

✅ Te­za 1: Im­pe­rva je­st do­staw­cą WAF al­bo usług ochro­ny an­ty-DDoS dla KSeF.

  Tę te­zę po­wta­rza­ją przede wszyst­kim A04, A05, A07, A11, A13, a po­śred­nio tak­że ma­te­ria­ły rzą­do­we i ich omó­wie­nia.

  Wer­dykt: praw­da. To je­st punkt, któ­re­go wła­ści­wie nikt już nie ne­gu­je. Na­to­mia­st ma­ni­pu­la­cja za­czy­na się wte­dy, gdy ar­ty­kuł za­trzy­mu­je się na zda­niu „to tyl­ko WAF” i nie wy­ja­śnia, czym w prak­ty­ce je­st po­zy­cja ope­ra­to­ra na war­stwie brze­go­wej, ja­kie da­ne tech­nicz­nie wi­dzi i ja­ką wła­dzę da­je sa­mo po­śred­nic­two w ru­chu.

✅ Te­za 2: Im­pe­rva na­le­ży do fran­cu­skie­go kon­cer­nu Tha­les.

  Tę te­zę po­wta­rza­ją A04, A05, A07, A11, A13, A16 i A18.

  Wer­dykt: praw­da. Sam fakt wła­sno­ści je­st po­twier­dza­ny w wie­lu źró­dła­ch i nie ma sen­su się o to spie­rać. To, co wy­ma­ga spro­sto­wa­nia, to try­wia­li­zo­wa­nie tej in­for­ma­cji, tak jak­by cho­dzi­ło wy­łącz­nie o neu­tral­ny fakt kor­po­ra­cyj­ny, a nie o ele­ment waż­ny dla ana­li­zy ju­rys­dyk­cji, za­leż­no­ści in­fra­struk­tu­ral­ny­ch i kon­se­kwen­cji po­li­tycz­no-wy­wia­dow­czy­ch.

❌ Te­za 3: Wszyst­kie ele­men­ty sys­te­mu KSeF znaj­du­ją się w Pol­sce.

  Tę nar­ra­cję wpro­st lub po­śred­nio po­wta­rza­ją A01, A02, A03, A06, A08, A09, A14 i A15.

  Wer­dykt: nie­praw­da. Ta te­za mie­sza ser­we­ry wła­ści­we­go sys­te­mu z ca­łą ar­chi­tek­tu­rą ko­mu­ni­ka­cyj­ną i ochron­ną. Na­wet je­śli za­sad­ni­cze sys­te­my apli­ka­cyj­ne i ba­zy sto­ją fi­zycz­nie w Pol­sce, nie oba­la to fak­tu, że war­stwa brze­go­wa je­st roz­pro­szo­na glo­bal­nie i ob­słu­gi­wa­na przez za­gra­nicz­ny pod­miot, bo ru­ch do KSeF prze­cho­dzi przez chmu­ro­wy WAF. To je­st kla­sycz­na ma­ni­pu­la­cja de­fi­ni­cją ca­ło­ści przez czę­ść. Chmu­ra ob­li­cze­nio­wa w usłu­dze WAF, któ­rą świad­czy Im­pe­rva, opie­ra się przede wszyst­kim na me­cha­ni­zmie Any­ca­st oraz roz­pro­szo­nej sie­ci — ser­we­ry to ob­słu­gu­ją­ce są w wie­lu miej­sca­ch świa­ta, w tym też w Pol­sce.

❌ Te­za 4: KSeF opie­ra się na kra­jo­wej in­fra­struk­tu­rze i pol­skim za­ple­czu tech­no­lo­gicz­nym.

  Tę for­mu­łę for­su­ją głów­nie A01, A03, A06, A08 i A14.

  Wer­dykt: nie­praw­da. W prak­ty­ce je­st to slo­gan PRo­wy, któ­ry bu­du­je wra­że­nie peł­nej su­we­ren­no­ści in­fra­struk­tu­ral­nej, choć sam rząd nie pu­bli­ku­je tech­nicz­nej ma­py gra­nic za­ufa­nia. W isto­cie bram­ka WAF sys­te­mu KSeF je­st w chmu­rze, a więc in­fra­struk­tu­rze roz­pro­szo­nej, któ­rą utrzy­mu­ją i kon­tro­lu­ją pod­mio­ty za­gra­nicz­ne w sto­sun­ku do Pol­ski i pod­le­ga to ich ju­rys­dyk­cji. To są izra­el­skie ser­we­ry ana­li­tycz­ne, fir­ma Im­pe­rva za­re­je­stro­wa­na w USA i jej wła­ści­ciel, fran­cu­ska gru­pa Tha­les.

❓ Te­za 5: Ope­ra­tor usług bez­pie­czeń­stwa nie ma wglą­du w tre­ść da­ny­ch prze­sy­ła­ny­ch do KSeF.

  Tę te­zę eks­po­nu­ją A02, A03, A10 i A13, a po­śred­nio wspie­ra ją czę­ść tek­stów pra­so­wy­ch.

  Wer­dykt: nie wia­do­mo. We­dług mo­ich usta­leń to twier­dze­nie je­st co naj­mniej my­lą­ce. Na­wet przy za­ło­że­niu, że tre­ść XML fak­tu­ry je­st szy­fro­wa­na apli­ka­cyj­nie E2E i nie je­st czy­tel­na dla po­śred­ni­ka, nie ozna­cza to śle­po­ty ope­ra­to­ra. Po­zo­sta­ją me­ta­da­ne, war­stwa HTTP, pa­ra­me­try se­sji, iden­ty­fi­ka­to­ry ope­ra­cji, rytm ru­chu, wo­lu­me­ny i in­ne da­ne tech­nicz­ne, któ­re mo­gą mieć ogrom­ną war­to­ść ana­li­tycz­ną. Ar­ty­ku­ły, któ­re mó­wią tyl­ko: „nie wi­dzi tre­ści”, a prze­mil­cza­ją me­ta­da­ne, de fac­to uspo­ka­ja­ją czy­tel­ni­ka przez za­wę­że­nie pro­ble­mu. W isto­cie usta­li­łem nie­zbi­cie, że na bram­ce WAF wi­dać jaw­ne me­ta­da­ne (w for­ma­cie JSON), któ­re obej­mu­ją: NIP sprze­daw­cy i na­byw­cy, na­zwy pod­mio­tów, kwo­ty trans­ak­cji net­to, VAT i brut­to, wa­lu­ta, nu­mer fak­tu­ry, da­ty ope­ra­cyj­ne oraz typ do­ku­men­tu.

❌ Te­za 6: Za­gra­nicz­ne fir­my nie ma­ją do­stę­pu do KSeF.

  Tę for­mu­łę po­wta­rza­ją A02, A08 i A15.

  Wer­dykt: nie­praw­da. To zda­nie je­st se­man­tycz­nie śli­skie i przez to ma­ni­pu­la­cyj­ne. Je­śli rów­no­cze­śnie przy­zna­je się udział Im­pe­rvy ja­ko ope­ra­to­ra ochro­ny na wej­ściu, to nie moż­na uczci­wie mó­wić w spo­sób ab­so­lut­ny, że za­gra­nicz­ne fir­my nie ma­ją do­stę­pu, chy­ba że sło­wo „do­stęp” zo­sta­ło za­wę­żo­ne do bar­dzo spe­cy­ficz­ne­go sen­su, któ­re­go nie wy­ja­śnio­no od­bior­cy. W efek­cie czy­tel­nik otrzy­mu­je twar­de za­prze­cze­nie za­mia­st pre­cy­zyj­ne­go opi­su te­go, do cze­go do­stęp je­st wy­klu­czo­ny, a do cze­go nie.

❌ Te­za 7: Nie da się usta­lić z pu­blicz­ny­ch da­ny­ch, czy WAF dzia­ła w chmu­rze czy on-pre­mi­se.

  To te­za cha­rak­te­ry­stycz­na przede wszyst­kim dla A04.

  Wer­dykt: nie­praw­da. Klu­czo­wy pro­blem po­le­ga na tym, że De­ma­gog za­mie­nia wła­sną nie­zdol­no­ść lub nie­chęć do roz­strzy­gnię­cia kwe­stii tech­nicz­nej w su­ge­stię, że kwe­stia je­st nie­roz­strzy­gal­na obiek­tyw­nie. To bar­dzo czę­sty chwyt: „my nie usta­li­li­śmy” zo­sta­je sprze­da­ne ja­ko: „usta­lić się nie da”. Tym­cza­sem z mo­ich au­dy­tów wy­ni­ka nie­zbi­cie, że bram­ka WAF je­st w chmu­rze.

✅ Te­za 8: Szcze­gó­ły ar­chi­tek­tu­ry tech­nicz­nej KSeF nie są ujaw­nia­ne przez Mi­ni­ster­stwo Fi­nan­sów.

  Tę te­zę znaj­dzie­my przede wszyst­kim w A04, a jej echo wi­dać tak­że w tek­sta­ch pra­so­wy­ch, któ­re opie­ra­ją się na ogól­ny­ch ko­mu­ni­ka­ta­ch MF.

  Wer­dykt: praw­da. To bar­dzo waż­ny punkt, bo ozna­cza, że czę­ść ma­te­ria­łów me­dial­ny­ch uspo­ka­ja opi­nię pu­blicz­ną mi­mo przy­zna­nia, że nie zna peł­nej ar­chi­tek­tu­ry. Wła­śnie dla­te­go ich moc­ne wnio­ski są słab­sze niż ich ton su­ge­ru­je. To trze­ba sta­le pod­kre­ślać: brak jaw­no­ści ar­chi­tek­tu­ry je­st czyn­ni­kiem ob­cią­ża­ją­cym, a nie uspra­wie­dli­wia­ją­cym. Je­śli ukry­wa­ją ar­chi­tek­tu­rę, to zna­czy, że nie je­st ona bez­piecz­na.

❌ Te­za 9: KSeF nie słu­ży in­wi­gi­la­cji.

  Tę te­zę for­su­ją A01, A03, A07, A09 i A14.

  Wer­dykt: nie­praw­da. To nie je­st twier­dze­nie czy­sto tech­nicz­ne, tyl­ko po­li­tycz­no-in­ter­pre­ta­cyj­ne. Je­śli ro­zu­mieć „in­wi­gi­la­cję” w sen­sie no­mi­nal­ne­go za­kre­su usta­wo­we­go, rząd bę­dzie twier­dził, że to na­rzę­dzie ad­mi­ni­stra­cyj­ne. Je­śli jed­nak przyj­rzeć się rze­czy­wi­sto­ści tech­nicz­nej — roz­dziel­czo­ść da­ny­ch, cen­tra­li­za­cja, ko­re­la­cja, me­ta­da­ne, moż­li­wo­ść bu­do­wy map re­la­cji go­spo­dar­czy­ch — to spro­sto­wa­nie po­win­no brz­mieć: spór nie do­ty­czy wy­łącz­nie de­kla­ro­wa­ne­go ce­lu sys­te­mu, tyl­ko re­al­nej ar­chi­tek­tu­ry nad­zo­ru i asy­me­trii in­for­ma­cyj­nej.

❌ Te­za 10: KSeF nie zmie­nia za­kre­su da­ny­ch wzglę­dem te­go, co już ma ad­mi­ni­stra­cja.

  Tę li­nię znaj­dzie­my głów­nie w A01 i A03, a wtór­nie w ma­te­ria­ła­ch po­wie­la­ją­cy­ch sta­no­wi­sko MF.

  Wer­dykt: nie­praw­da. To je­st zda­nie for­mal­nie wy­god­ne, ale me­ry­to­rycz­nie my­lą­ce. Na­wet je­śli li­te­ral­ny za­kres pól al­bo no­mi­nal­na ka­te­go­ria da­ny­ch czę­ścio­wo się po­kry­wa z wcze­śniej­szy­mi obo­wiąz­ka­mi, zmie­nia się roz­dziel­czo­ść, czas do­stę­pu, ko­re­lo­wal­no­ść, kom­plet­no­ść stru­mie­nia i war­to­ść ana­li­tycz­na ca­łe­go za­so­bu. W efek­cie rząd od­po­wia­da na prost­sze py­ta­nie, niż to, któ­re na­praw­dę za­da­ją kry­ty­cy.

❌ Te­za 11: Za­rzu­ty o ła­two­ści wy­cie­ku da­ny­ch lub o za­gro­że­niu ze stro­ny urzęd­ni­ków są bez­pod­staw­ne.

  Tę nar­ra­cję bu­du­ją głów­nie A01, A03, A08, A09 i A14.

  Wer­dykt: nie­praw­da. Ko­mu­ni­ka­ty MF nie do­wo­dzą, że ry­zy­ko struk­tu­ral­ne nie ist­nie­je — one je­dy­nie za­pew­nia­ją, że obo­wią­zu­ją pro­ce­du­ry i że sys­tem zo­stał prze­te­sto­wa­ny. To nie roz­strzy­ga pro­ble­mu cen­tra­li­za­cji wie­dzy o ryn­ku, po­zy­cji ad­mi­ni­stra­to­rów, eko­no­micz­ny­ch bodź­ców ko­rup­cyj­ny­ch ani zna­cze­nia ope­ra­to­ra brze­go­we­go. Uczci­we zda­nie po­win­no brz­mieć: „MF nie wy­ka­za­ło bra­ku ry­zy­ka sys­te­mo­we­go, tyl­ko za­de­kla­ro­wa­ło za­ufa­nie do wła­sny­ch pro­ce­dur”.

❔ Te­za 12: Fak­tu­ry są szy­fro­wa­ne, więc pro­blem je­st roz­wią­za­ny al­bo zna­czą­co osła­bio­ny.

  Tę nar­ra­cję w róż­nej for­mie po­wta­rza­ją A02, A03, A10 i A13.

  Wer­dykt: pół­praw­da. Szy­fro­wa­nie tre­ści fak­tur mo­że ogra­ni­czać wgląd w pay­lo­ad, ale nie usu­wa pro­ble­mu me­ta­da­ny­ch, po­śred­nic­twa i wi­docz­no­ści war­stwy trans­por­to­wej oraz apli­ka­cyj­nej. To je­st je­den z naj­częst­szy­ch chwy­tów uspo­ka­ja­ją­cy­ch: przej­ście od „tre­ść mo­że być chro­nio­na” do „ca­ły pro­blem je­st wy­du­ma­ny”. Te­go wła­śnie nie wol­no im od­dać bez od­po­wie­dzi. Fak­tu­ry w sys­te­mie KSeF (w for­ma­cie XML) są szy­fro­wa­ne apli­ka­cyj­nie E2E co opi­su­je do­ku­men­ta­cja API 2.0, więc Im­pe­rva mo­że ich nie wi­dzieć (ale to nie je­st pew­ne, bo mo­że wy­ła­pać pod dro­dze kod au­to­ry­za­cyj­ny klien­ta i w je­go imie­niu po­brać ca­łą fak­tu­rę — tyl­ko wte­dy bę­dzie to już ak­tyw­ne zbie­ra­nie da­ny­ch, a nie pa­syw­ne ich lo­go­wa­nie). Nie­mniej istot­ne je­st to, że na bram­ce WAF wi­dać jaw­ne me­ta­da­ne (w for­ma­cie JSON), któ­re obej­mu­ją: NIP sprze­daw­cy i na­byw­cy, na­zwy pod­mio­tów, kwo­ty trans­ak­cji net­to, VAT i brut­to, wa­lu­ta, nu­mer fak­tu­ry, da­ty ope­ra­cyj­ne oraz typ do­ku­men­tu. Te da­ne po pro­stu prze­pły­wa­ją przez bram­kę WAF i ona mo­że po pro­stu to lo­go­wać. A na żą­da­nie wła­dz USA, w tym CIA, czy pra­cow­ni­ków Tha­les na­wet mu­si lo­go­wać.

❌ Te­za 13: Oba­wy o do­stęp do da­ny­ch przez ob­ce służ­by są prze­sa­dzo­ne, fał­szy­we al­bo nie­udo­wod­nio­ne.

  Tę nar­ra­cję znaj­dzie­my w A07, A09, A10 i A11.

  Wer­dykt: nie­praw­da. To nie je­st wy­nik ana­li­zy tech­nicz­nej, tyl­ko pu­bli­cy­stycz­ne do­mknię­cie opo­wie­ści. Z punk­tu wi­dze­nia mo­ich ba­dań brak do­wo­du na ak­tu­al­ne nad­uży­cie nie oba­la ry­zy­ka wy­ni­ka­ją­ce­go z ar­chi­tek­tu­ry, ju­rys­dyk­cji i sa­mej po­zy­cji pod­mio­tu sto­ją­ce­go na ścież­ce ru­chu. Ar­ty­ku­ły te­go ty­pu za­mie­nia­ją: „nie udo­wod­nio­no kon­kret­ne­go nad­uży­cia” na: „oba­wy są bez sen­su”. W isto­cie lo­gi z bram­ki WAF są w re­al­nym wła­da­niu (tech­nicz­nym i ju­rys­dyk­cyj­nym) wy­wia­dów ame­ry­kań­skie­go, fran­cu­skie­go i izra­el­skie­go.

Audyty Polski:

• ❌ 1. informacje-lokalne.pl
• ❌ 2. informacje-lokalne.pl
• ❌ 3. informacje-lokalne.pl
• ❌ 4. informacje-lokalne.pl

Audyty innych krajów świata:

• ✅ Francja informacje-lokalne.pl
• ✅ Węgry informacje-lokalne.pl
• ✅ Włochy informacje-lokalne.pl
• ✅ Rumunia informacje-lokalne.pl
• ✅ Hiszpania informacje-lokalne.pl
• ✅ Albania informacje-lokalne.pl
• ✅ Turcja informacje-lokalne.pl
• ✅ Rosja informacje-lokalne.pl
• ✅ Ukraina informacje-lokalne.pl
• ✅ Argentyna informacje-lokalne.pl
• ✅ Kolumbia informacje-lokalne.pl
• ✅ Chile informacje-lokalne.pl
• ✅ Meksyk informacje-lokalne.pl
• ✅ Brazylia informacje-lokalne.pl
• ✅ Grecja informacje-lokalne.pl

Seria "Niewidzialna pętla #KSeF"

• Część I — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Braci Kowalskich: x.com
• Część II — niewidzialna pętla KSeF: jak Kowalscy mogą obronić się przed inwigilacją: x.com
• Część III — niewidzialna pętla KSeF: o tym, jak metadane zniszczyły Stomil: x.com
• Część IV — niewidzialna pętla KSeF: dlaczego utajniona umowa z Impervą jest nic niewarta: x.com
• Część V — niewidzialna pętla KSeF: Wojna wywiadów, niemiecki szantaż i globalny odwet na polskim biznesie: x.com

Seria thrillerowa o KSeF: 

• Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: x.com
• Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: x.com
• Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: x.com
• Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: x.com
• Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: x.com
• Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady. Przykłady firm z branży militarnej i spożywczej: x.com
• Część VII. Jakie metadane widzi Imperva? O metadanych: x.com
• Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: x.com
• Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym, że szybkie pingi o niczym nie świadczą, bo to chmura: x.com
• Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: x.com

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65