Pamiętacie wielkie protesty przeciwko KSeF z lat 2022-2023? Związkowcy, organizacje pracodawców, księgowi i doradcy podatkowi ramię w ramię walczyli z Ministerstwem Finansów. I odnieśli gigantyczny sukces. Zmusili państwo do ustępstw.
Tyle że ten sukces uśpił naszą czujność. Wygraliśmy bitwę o prywatność pojedynczego obywatela, ale całkowicie przegapiliśmy moment, w którym na tacy oddano suwerenność całego państwa zagranicznym wywiadom.
Jak to możliwe? I dlaczego w tamtym gorącym okresie nikt nie zauważył, że na głównej bramce systemu stoi Imperva — amerykańska firma zajmująca się cyberbezpieczeństwem należąca dziś do francuskiego koncernu Thales, działającego również w sektorze obronnym i bezpieczeństwa państwowego?
Oto anatomia tego przeoczenia.
Pierwotny plan: totalna inwigilacja
Na początku Ministerstwo Finansów miało apetyt na wszystko. Projektanci KSeF chcieli, by do centralnej, państwowej bazy trafiały absolutnie wszystkie faktury. Również te konsumenckie.
Gdyby ten plan przeszedł, KSeF stałby się największym systemem inwigilacji w historii Polski. Państwo wiedziałoby dokładnie, że Anna Kowalska kupiła leki na depresję, Jan Nowak leczy się wenerycznie, a ich sąsiad zamawia gadżety w sexshopie. Każda prywatna faktura od lekarza czy prawnika lądowałaby na biurkach urzędników.
Do tego doszedłby całkowity paraliż handlu — pani w warzywniaku musiałaby czekać na odpowiedź z serwerów ministerstwa, żeby móc wydać klientowi imienny rachunek za pomidory.
Protesty były potężne i merytoryczne. Rzecznik MŚP, Lewiatan, organizacje księgowych i obrońcy praw obywatelskich uderzyli na alarm. Ministerstwo pod naporem argumentów o paraliżu gospodarki i łamaniu RODO w końcu ustąpiło. Faktury B2C, czyli faktury dla zwykłego konsumenta bez NIP, wyrzucono z obowiązkowego KSeF. Zwykłe paragony również.
Odtrąbiono wielki sukces. Indywidualna intymność została uratowana.
Dlaczego nikt nie zauważył Impervy?
Skoro problem dyskutowano na każdym forum podatkowym w Polsce, dlaczego nikt wtedy nie krzyczał o tym, że na bramce WAF stoi obca firma analizująca ruch, należąca dziś do francuskiego koncernu Thales, głęboko wpiętego w sektor obronny, bezpieczeństwa i infrastruktury państwowej Francji?
Odpowiedź brutalnie obnaża słabość dzisiejszej debaty o państwowym IT! Złożyły się na to trzy powody.
- Silosy kompetencyjne: przeciwko KSeF protestowali prawnicy, doradcy podatkowi i księgowi. Oni czytali ustawy, regulaminy i kary za opóźnienia. W ustawie nie ma zapisów o terminacji ruchu TLS czy routingach DNS. Prawnicy nie otwierają konsoli systemowej, żeby zbadać, przez czyje serwery brzegowe leci ruch. Oni zajmowali się literą prawa, a nie architekturą sieci.
- Teatr bezpieczeństwa: ministerstwo rzuciło magiczne zaklęcie: „Szyfrowanie asymetryczne!”. Wszyscy uwierzyli w bajkę o pancernej kopercie przy wysyłce faktur. Nikt z zewnętrznych ekspertów nie zrobił wtedy audytu całej ścieżki i nie sprawdził, że w drodze powrotnej, przy pobieraniu, system wypluwa faktury jako XML po HTTPS, prosto w obiektywy zagranicznego WAF-a.
- Kalendarz geopolityczny: Imperva przez lata była postrzegana po prostu jako dostawca chmurowy. Owszem, z zapleczem technologicznym w Izraelu, ale nadal jako komercyjna spółka z USA. Przejęcie Impervy przez Thales — francuskiego giganta obronno-technologicznego — sfinalizowało się pod koniec 2023 roku. Kiedy prawnicy kłócili się z MF o faktury B2C, ten geopolityczny argument jeszcze nie istniał w obecnej, groźnej formie.
Intymność uratowana? Wywiady i tak wiedzą wszystko
Udało się obronić Jana Kowalskiego przed tym, by jego imię i nazwisko nie figurowały na fakturze za leki psychiatryczne w państwowej bazie.
Jednak czy to oznacza, że zagraniczne podmioty stojące za Impervą, podlegające jurysdykcjom takim jak USA i Francja, z całym aparatem prawnym dostępu państwa do danych i infrastruktury, nie mają wglądu w nasze słabości? Absolutnie nie. Prywatność jednostki przetrwała, ale prywatność strategiczna narodu już nie.
Obce służby nie muszą wiedzieć, że Anna Kowalska wzięła antydepresanty. Im wystarczą dane z poziomu B2B.
Skoro faktury B2B przechodzą przez KSeF, a bramka WAF stoi na ścieżce pobierania i metadanych, zagraniczny operator technicznie może widzieć dane na poziomie makro. Widzi, ile ton leków na depresję zamawiają polskie hurtownie farmaceutyczne. Widzi, jakie zaopatrzenie ginekologiczne i medyczne kupują prywatne kliniki i państwowe szpitale. Widzi, jak rośnie lub maleje sprzedaż w branży zabawek erotycznych, leków na potencję, alkoholu czy specjalistycznej chemii.
Wywiad gospodarczy i wojskowy nie działa na poziomie pojedynczego obywatela. Działa na poziomie wielkich liczb. Mając dostęp do jawnych faktur B2B pobieranych z KSeF, obce mocarstwa otrzymują w czasie rzeczywistym pulsometr polskiego społeczeństwa.
Mogą z idealną precyzją mierzyć:
- Kiedy jako naród wpadamy w depresję, obserwując wzrost obrotów w B2B na linii hurtownie-apteki.
- Jakie są słabe punkty naszego łańcucha dostaw medycznych.
- W których regionach zamykają się lokalne biznesy, a gdzie pompuje się kapitał.
Obce wywiady nie wiedzą, na co choruje Kowalski, ale doskonale wiedzą, na co choruje cały naród.
Zamiast suwerennej, krajowej bramki cyfrowej obsługiwanej na przykład przez NASK, zafundowaliśmy sobie system, w którym obce służby mogą badać naszą odporność psychiczną, biologiczną i gospodarczą, mierząc ją strumieniem faktur hurtowych. KSeF to najpotężniejszy, darmowy radar wywiadowczy, jaki Polska mogła zainstalować obcym mocarstwom na własnym terytorium.
Grzegorz GPS Świderski
t.me/KanalBlogeraGPS
Twitter.com/gps65