Spider's Web to redakcja uwikłana politycznie tak jak cała branża IT!

Grzegorz GPS Świderski, 19.05.2026

8 maja 2026 Marcin Kusz opublikował w Spider's Web artykuł pod tytułem:

„Imperva - to ona "pilnuje" faktur KSeF. Czym jest ta zagraniczna firma?”.

To pierwszy i jedyny od kilku miesięcy tekst w mainstreamie, który nie powołuje się na moje audyty i artykuły, a samodzielnie odkrywa istnienie firmy Imperva jako operatora bramki WAF dla KSeF. Wszystko to opisuje rzetelnie i fachowo.

  Pomija jednak kwestię kluczową: przez bramkę WAF firmy Imperva po terminacji TLS przepływają niezaszyfrowane metadane w formacie JSON obejmujące numery NIP sprzedawcy i nabywcy, pełne nazwy podmiotów, dokładne kwoty netto, VAT i brutto, walutę transakcji, numer i typ faktury oraz daty operacyjne.

  Trudno uwierzyć, by autor tekstu technologicznego, który poprawnie opisał rolę WAF-a, nie zauważył publicznie udokumentowanego endpointu zwracającego jawne metadane faktur. Sprawdzenie, jakie dane zwracają endpointy API 2.0 KSeF, jest trywialnie proste — dokumentacja jest publiczna, dostępna na rządowych stronach, wystarczy ją otworzyć.

  Dziennikarz z dorobkiem ponad 1600 artykułów technologicznych, który zrozumiał rolę WAF-a po stronie Impervy, nie mógł nie wiedzieć, że terminacja TLS oznacza widoczność dokładnie tego, co dokumentacja Ministerstwa Finansów sama deklaruje jako odpowiedź endpointu. Nie jako zaszyfrowany blob XML, lecz jako jawny JSON, w każdym zapytaniu, w czasie rzeczywistym.

  Co więcej — fakt o JSON jest łatwiejszy do udowodnienia niż fakt o Impervie. Ten drugi wymagał audytu i samodzielnej pracy śledczej. Pierwszy wymaga jedynie linku do dokumentacji MF i jednego zdania o tym, czym jest terminacja TLS. Ryzyko procesowe takiej publikacji jest minimalne, bo każdy element jest weryfikowalny z publicznych źródeł rządowych. A mimo to fakt drugi w artykule się nie pojawił.

  I nie mógł się pojawić! Z powodu, który wynika z samej konstrukcji tekstu. Kusz kończy artykuł tak:

„Imperva to potężne narzędzie, a korzystanie z niego ma technologiczne uzasadnienie. Wpuszczenie zewnętrznej tarczy do ochrony aplikacji to sprawdzony w branży sposób na odpieranie zmasowanych ataków, z którymi wyłącznie państwowe serwery mogłyby sobie szybko nie poradzić. Jeśli dodamy do tego solidne szyfrowanie faktur po stronie klienta, ryzyko wycieku danych staje się marginalne. KSeF może być pod wieloma względami zaprojektowany rozsądniej, niż wynika to z najbardziej histerycznych wpisów w sieci.”

  To zakończenie wymaga pominięcia faktu o JSON. Z faktem o JSON się nie obroni — bo teza: „ryzyko marginalne” staje się jawnym fałszem w momencie, w którym czytelnik widzi, że po stronie WAF-a w plaintext mamy NIP, nazwę, kwoty i daty każdej faktury każdego polskiego przedsiębiorcy.

  Pominięcie nie jest więc niedopatrzeniem warsztatowym ani brakiem miejsca w tekście. Jest funkcjonalne wobec ramy interpretacyjnej całego artykułu. Nie muszę rozstrzygać, czy było to świadome. Wystarczy stwierdzić, że funkcjonalny efekt jest taki sam: temat został dopuszczony do mainstreamu w wersji pozbawionej najostrzejszego technicznego faktu.

  Można by argumentować, że redakcja zwyczajnie obawiała się politycznych konsekwencji — żądań sprostowania ze strony MF, telefonu rzecznika do redakcji, presji na naczelnego, etykietowania jako „medium opozycji”.

  Ten argument jednak upada. Imperva to nie jest temat lekki. MF trzyma obecność tego kontrahenta w tajemnicy do tego stopnia, że odmówiło jej potwierdzenia nawet w oficjalnej odpowiedzi na interwencję poselską posła Skalika. Spider's Web jest pierwszą i jedyną redakcją w mainstreamie, która od kilku miesięcy w ogóle użyła słowa „Imperva” w kontekście KSeF. Polityczne konsekwencje publikacji tego faktu były groźne — a redakcja na nie jednak poszła.

  Pytanie więc brzmi: skoro nie bali się ujawnić faktu, który MF aktywnie zatajało przed Sejmem, dlaczego bali się dodać drugi fakt, weryfikowalny wprost z publicznej dokumentacji rządowej? Cena polityczna pierwszego była nieporównanie wyższa. Cena drugiego była już zapłacona z chwilą publikacji pierwszego. Hipoteza: „bali się reakcji” nie tłumaczy więc niczego.

  Tłumaczy natomiast inna hipoteza, znacznie spójniejsza z dowodami. Nie chodziło o powstrzymanie publikacji — chodziło o ukształtowanie ramy. Dopuszczono ujawnienie istnienia kontrahenta, ale wymuszono utrzymanie konkluzji: „ryzyko marginalne”. Mechanizm tego ukształtowania mógł być różny: przedpublikacyjna konsultacja z MF lub Impervą pod pozorem fact-checkingu, interwencja redaktora prowadzącego, wreszcie autocenzura autora świadomego, że jego artykuł pójdzie, o ile nie będzie miał ostrza. Funkcjonalny rezultat każdego z tych wariantów jest ten sam: medium użyto do uwiarygodnienia pojawienia się tematu w przestrzeni publicznej w postaci nieszkodliwej dla MF.

  To jest klasyczny wzorzec kontrolowanego ujawnienia. Lepiej, by sprawa wypłynęła w wersji: „rozsądnie zaprojektowane”, „ryzyko marginalne”, niż żeby wypłynęła w wersji: „systemowy wyciek metadanych polskich przedsiębiorców do firmy zagranicznej w czasie rzeczywistym”. Pierwszy wariant rozbraja temat. Drugi go zapala.

  Wniosek jest twardy. W tej sprawie Spider's Web nie zadziałał jako niezależne medium. Zadziałał jako kanał łagodzący — być może świadomie, być może pod naciskiem, być może w wyniku autocenzury. Mechanizm pozostaje otwarty. Rezultat nie.

  Artykuł, mimo że jest poprawny we wszystkim, co napisano, jest manipulacją przez to, czego nie napisano. Jak to świadczy o redakcji Spider's Web? Są politycznie uwikłani, nie są obiektywnym medium. I to można uogólnić na większość mediów i firm IT!

Grzegorz GPS Świderski
Twitter.com/gps65
t.me/KanalBlogeraGPS

PS. A tu moje audyty KSeF:

Seria "Niewidzialna pętla #KSeF"

Seria thrillerowa o KSeF:

u2

u2

19.05.2026 15:07

Co sądzisz o artykule pod adresem naszeblogi.pl ?

Thought for 6s

Artykuł jest typowym przykładem krytyki z pozycji „antysystemowej”/konserwatywnej wobec mainstreamowego medium tech. Autor (Grzegorz Świderski, znany jako GPS) zarzuca redakcji Spider's Web manipulację przez pominięcie — konkretnie w tekście Marcina Kusza o roli firmy Imperva jako dostawcy WAF do KSeF. 

salon24.pl 

Główne tezy artykułu

  • Spider's Web jako pierwszy mainstream napisał o Impervie w kontekście KSeF (co autor uznaje za plus).
  • Jednocześnie pominięto kluczowy (zdaniem autora) fakt: po terminacji TLS na bramce WAF metadane faktur (NIP-y, nazwy firm, kwoty itd.) są widoczne w plaintext JSON.
  • To nie jest błąd, tylko celowe ukształtowanie narracji — pokazanie, że „ryzyko jest marginalne”, bo system jest „rozsądnie zaprojektowany”.
  • Wniosek: redakcja jest politycznie uwikłana, podobnie jak cała branża IT/media tech, które często sprzyjają narracjom pro-rządowym/progresywnym lub po prostu boją się konfliktu z władzą.

Moja ocena

Technicznie autor ma mocny punkt. Jeśli dokumentacja KSeF rzeczywiście pokazuje, że po TLS endpoint zwraca jawny JSON z metadanymi, to pominięcie tego w tekście o „ochronie” przez Impervę jest poważnym uchybieniem dziennikarskim. Dobry tekst tech powinien pokazać zarówno zalety WAF-a (ochrony przed atakami), jak i realne trade-offy (widoczność metadanych dla operatora). Pominięcie tego osłabia wiarygodność.

Ale całość ma charakter konspiracyjny. Autor zakłada złą wolę/autocenzurę/redakcyjną presję, zamiast prostszego wyjaśnienia:

  • Dziennikarz skupił się na aspekcie „kto dostarcza technologię” (nowość), a nie na głębokiej analizie kryptografii i architektury (która wymaga więcej pracy i ryzyka prawnego).
  • Redakcje tech często piszą „lekko” i z perspektywy użytkownika/biznesu, nie jak audytor bezpieczeństwa.

Spider's Web jako całość — to jedno z lepszych polskich mediów tech: kompetentne, dość rzetelne w faktach technicznych, z dużą widownią. Nie jest jednak „niezależne” w sensie ideologicznym. Jak większość branży IT w Polsce i na Zachodzie, ma lewicowo-liberalny (progresywny) bias widoczny w tematach kulturowych, podejściu do regulacji, Big Tech, „dezinformacji” czy kwestii tożsamościowych. To nie jest tajemnica — widać to w doborze tematów, języku i okazjonalnych felietonach. 

facebook.com

Jednocześnie nie jest to partyjna tuba — piszą krytycznie o różnych rządach (w tym poprzednim). Branża IT generalnie jest kulturowo lewicująca (młodzi, wykształceni, wielkomiejscy, globalni), więc takie uwikłanie jest strukturalne, niekoniecznie spiskowe.

Podsumowując: Artykuł GPS słusznie punktuje konkretny brak w tekście SW i szerszy problem braku pełnej transparentności wokół KSeF (to kontrowersyjny system centralizacji danych). Ale przeradza to w tezę o „całej redakcji uwikłanej politycznie”, co jest typowym nadużyciem — każdy medium ma jakiś bias. Lepiej oceniać konkretne teksty niż wrzucać całość do worka „systemowych”.KSeF to temat, przy którym emocje są zrozumiałe (centralna inwigilacja faktur to nie błahostka), ale rzetelna krytyka wymaga precyzji, a nie tylko oskarżeń o złą wolę. Spider's Web mógł zrobić lepszy artykuł — tak jak wiele innych mediów mogłoby być odważniejszych w kwestiach technologiczno-państwowych.

2 web pages

Analiza architektury KSeF

Rola WAF w KSeF

Usunąć fragment o biasie

x.com