Trzęsą się portki pętakom...

Po­mi­mo mo­ich licz­ny­ch pu­bli­ka­cji miaż­dżą­cy­ch ar­chi­tek­tu­rę KSeF po­twier­dzo­ny­ch spe­cja­li­stycz­ny­mi au­dy­ta­mi kil­ku­na­stu kra­jów z ca­łe­go świa­ta oraz ostry­ch tek­stów oskar­ża­ją­cy­ch rząd o szpie­go­stwo i afe­rę groź­niej­szą niż za­bo­ry, od­dźwięk w głów­nym nur­cie me­ry­to­rycz­nej in­fo­stre­fy je­st ni­kły. Nikt nie za­prze­cza, a po­twier­dza nie­wie­lu i tyl­ko wy­ryw­ko­wo. W za­sa­dzie na fa­cho­wy­ch fo­ra­ch nie­zbi­cie po­twier­dzo­ne je­st tyl­ko to, że w sys­te­mie KSeF to Im­pe­rva ro­bi WAF i ter­mi­nu­je TLS, a za­tem wi­dzi me­ta­da­ne.

  Jed­nak klu­czo­wa mo­ja te­za brz­mi: "me­ta­da­ne JSON zwra­ca­ne przez API 2.0 KSeF, w tym: NIP sprze­daw­cy i na­byw­cy, na­zwy pod­mio­tów, kwo­ty net­to/VAT/brut­to, wa­lu­ta trans­ak­cji, nu­mer fak­tu­ry, da­ty ope­ra­cyj­ne i typ fak­tu­ry, nie są za­szy­fro­wa­ne apli­ka­cyj­nie tak jak ca­ła fak­tu­ra XML i są jaw­nie wi­docz­ne dla Im­pe­rvy". To je­st naj­waż­niej­sze, bo wła­śnie to wi­dzą ob­ce wy­wia­dy w ca­łej pol­skiej go­spo­dar­ce. Zro­bi­łem so­lid­ny au­dyt to po­twier­dza­ją­cy pod ty­tu­łem: "Au­dyt tech­nicz­ny: jaw­no­ść me­ta­da­ny­ch JSON w KSeF przy ter­mi­na­cji TLS przez Im­pe­rva" — wszyst­ko in­ne je­st dru­go­rzęd­ne. Do te­go nikt się nie od­no­si. Dla­cze­go eks­per­ci mil­czą?

  Moż­na tyl­ko spe­ku­lo­wać, więc to zro­bię. Więk­szo­ść re­no­mo­wa­ny­ch firm au­dy­tor­ski­ch, nie­za­leż­ny­ch rze­ko­mo por­ta­li spe­cja­li­stycz­ny­ch i ba­da­czy z ty­tu­ła­mi aka­de­mic­ki­mi ope­ru­je w ści­słej sym­bio­zie fi­nan­so­wej i pro­jek­to­wej z ad­mi­ni­stra­cją rzą­do­wą. Kry­ty­ka tak prio­ry­te­to­we­go pro­jek­tu rzą­du, jak KSeF, z tak głę­bo­ko udo­ku­men­to­wa­nym de­fek­tem w ar­chi­tek­tu­rze stra­te­gicz­nej, wią­że się z ry­zy­kiem wi­ze­run­ko­wym i biz­ne­so­wym — od­cię­ciem od gran­tów, kon­trak­tów dla spół­ek Skar­bu Pań­stwa czy mar­gi­na­li­za­cją śro­do­wi­sko­wą.

  Do­dat­ko­wo ist­nie­je zja­wi­sko tak zwa­nej "śle­po­ty kor­po­ra­cyj­nej" (ven­dor blind­ness). Po­nie­waż in­sta­lo­wa­nie chmu­ro­we­go WAF-a (od Clo­ud­fla­re, Im­pe­rva czy Aka­mai) z ter­mi­na­cją pro­to­ko­łu TLS je­st po­pu­lar­ną, wy­god­ną, po­wszech­ną i ta­nią prak­ty­ką w sek­to­rze czy­sto ko­mer­cyj­nym (np. w e-com­mer­ce), wie­lu spe­cja­li­stów pod­cho­dzi do zja­wi­ska KSeF z fał­szy­wą apa­tią. Za­po­mi­na­ją oni o fun­da­men­tal­nej róż­ni­cy: wi­docz­no­ść lo­gów ze skle­pu obuw­ni­cze­go to in­cy­dent biz­ne­so­wy, a gro­ma­dze­nie da­ny­ch przez ob­cy wy­wiad o fak­tu­ra­ch od pro­du­cen­ta amu­ni­cji dla Woj­ska Pol­skie­go to zdra­da sta­nu i wy­rwa w bez­pie­czeń­stwie na­ro­do­wym.

  Je­st jesz­cze bar­dzo cie­ka­wy aspekt praw­ny! W Pol­sce, gdy ba­da­cz in­fra­struk­tu­ry in­for­ma­tycz­nej zgło­si lu­kę w sys­te­mie rzą­do­wym, a ad­mi­ni­stra­cja uzna, że dzia­łał bez upo­waż­nie­nia, ope­ra­tor mo­że jed­no­cze­śnie zło­żyć za­wia­do­mie­nie o po­peł­nie­niu prze­stęp­stwa. Im po­waż­niej­sza lu­ka w sys­te­mie stra­te­gicz­nym, tym więk­sze ry­zy­ko dla te­go, kto ją znaj­dzie. Ro­bi się to przy uży­ciu art. 267 ko­dek­su kar­ne­go: "kto bez upraw­nie­nia uzy­sku­je do­stęp do in­for­ma­cji dla nie­go nie­prze­zna­czo­nej [...] pod­le­ga grzyw­nie, ka­rze ogra­ni­cze­nia wol­no­ści al­bo po­zba­wie­nia wol­no­ści do lat 2.". Dla­te­go mo­je wszyst­kie au­dy­ty są ro­bio­ne bez kon­ta w KSeF, bo le­piej nie ry­zy­ko­wać pod­pad­nię­cie pod ten pa­ra­graf.

  W 2022 ro­ku De­par­ta­ment Spra­wie­dli­wo­ści USA ogło­sił for­mal­ną po­li­ty­kę nie­ści­ga­nia ba­da­czy dzia­ła­ją­cy­ch w do­brej wie­rze (go­od fa­ith se­cu­ri­ty re­se­ar­ch). De­fi­ni­cja je­st pre­cy­zyj­na: ba­da­nie pro­wa­dzo­ne je­st wy­łącz­nie w ce­lu po­pra­wy bez­pie­czeń­stwa, re­se­ar­cher ujaw­nia wy­ni­ki od­po­wie­dzial­nie i nie ma za­mia­ru wy­rzą­dze­nia szko­dy ani uzy­ska­nia ko­rzy­ści ma­jąt­ko­wej. Więc tam in­for­ma­ty­cy nie bo­ją się ro­bić au­dy­tów na­wet du­żo głęb­szy­ch niż mo­je, z uży­ciem kont w sys­te­mie e-fak­tur.

  In­for­ma­ty­cy bo­ją się po­li­ty­ki i się od niej od­ci­na­ją, więc nie ana­li­zu­ją in­fra­struk­tu­ry sie­cio­wej pod wzglę­dem po­li­tycz­ny­ch za­gro­żeń, a po­li­ty­cy nie zna­ją się na szcze­gó­ła­ch tech­nicz­ny­ch In­ter­ne­tu, więc nie ro­zu­mie­ją isto­ty rze­czy. Dla­te­go tyl­ko ja to od­kry­łem tak do­głęb­nie i sze­ro­ko — i opu­bli­ko­wa­łem so­lid­ne au­dy­ty tech­nicz­ne i wnio­ski po­li­tycz­ne — bo je­stem pro­gra­mi­stą i in­te­re­su­ję się po­li­ty­ką. A na do­da­tek nie bo­ję się utra­ty żad­ny­ch gran­tów czy kon­trak­tów, bo je­stem nie­za­leż­nym fre­elan­ce­rem, je­stem tyl­ko zwy­kłym ko­de­rem wi­bra­cyj­nym, nie je­stem eks­per­tem od cy­ber­bez­pie­czeń­stwa wplą­ta­nym w ukła­dy z pań­stwem i je­go ad­mi­ni­stra­cją.

  Le­cz ta­ki­ch jak ja je­st wię­cej i moc­no wie­rzę w to, że ten świat, nie zgi­nie ni­gdy dzię­ki nim. Ten świat, czy­li Pol­ska, na­sz kraj, któ­ry sprze­daj­ni po­li­ty­cy nisz­czą. Więc ape­lu­ję do nie­za­leż­ny­ch pro­gra­mi­stów, in­for­ma­ty­ków i sie­ciow­ców: nie bój­cie się spraw­dzać mo­je au­dy­ty! Nie bój­cie się pu­bli­ko­wać wnio­ski! Te­stuj­cie to i rób­cie swo­je ba­da­nia! I po­twierdź­cie lub za­przecz­cie mo­im od­kry­ciom — ale me­ry­to­rycz­nie, skru­pu­lat­nie, mą­drze, a nie na chyb­ci­ka, na in­tu­icję i na od­wal się. Po­mo­że­cie? Bo cer­ty­fi­ko­wa­ni eks­per­ci pew­nie nie, bo trzę­są por­t­ka­mi. Gdy wie­je wia­tr hi­sto­rii, lu­dziom jak pięk­nym pta­kom ro­sną skrzy­dła, na­to­mia­st trzę­są się por­t­ki pę­ta­kom.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65

PS. A tu ma­cie wszyst­kie od­cin­ki mo­jej se­rii, w któ­ry­ch to wszyst­ko do­kład­nie opi­su­ję:

• Czę­ść I. KSeF nie po­sze­rza in­wi­gi­la­cji. KSeF zwięk­sza roz­dziel­czo­ść. Po­rów­na­nie KSeF z JPK.
• Czę­ść II. Prak­ty­ka KSeF: Hurt­Pol kon­tra Ko­wal­ski i Sy­no­wie. Prak­tycz­ny przy­kład.
• Czę­ść III. Ad­mi­ni­stra­tor KSeF. Czy­li gdzie na­praw­dę le­ży wła­dza. O po­ko­sie dla ad­mi­ni­stra­to­ra sys­te­mu.
• Czę­ść IV. Tech­no­lo­gia KSeF – su­we­ren­no­ść koń­czy się tam, gdzie koń­czy się ka­bel! O su­we­ren­no­ści cy­fro­wej.
• Czę­ść V. KSeF i cią­gło­ść de­cy­zji. Im­pe­rva, czy­li su­we­ren­no­ść sprze­da­na na ra­ty! O tym, że za­czął to PiS.
• Czę­ść VI. KSeF — wy­ja­śnie­nie tech­nicz­ne i prak­tycz­ne przy­kła­dy z bran­ży mi­li­tar­nej i spo­żyw­czej.
• Czę­ść VII. Ja­kie me­ta­da­ne o ru­chu wi­dzi Im­pe­rva?
• Czę­ść VIII. Co jesz­cze wi­dzi Im­pe­rva? Wię­cej me­ta­da­ny­ch
• Czę­ść IX. Ludz­ko­ść od­ry­wa się od te­ry­to­rium i za­czy­na bu­jać w ob­ło­ka­ch! O tym że szyb­kie pin­gi o ni­czym nie świad­czą, bo to chmu­ra.
• Cze­ść X. Pol­ska ja­ko je­dy­na na świe­cie od­da­ła na ta­cy swo­ją su­we­ren­no­ść cy­fro­wą ob­cym wy­wia­dom
• A tu o tym, że fir­mę Im­pe­rva za­ło­żył Shlo­mo Kra­mer

Ta­gi: KSeF gps65, go­spo­dar­ka, biz­nes, wol­ny ry­nek, Im­pe­rva, cy­ber­bez­pie­czeń­stwo, Pol­ska, wy­wiad, szpie­go­stwo