Spider's Web to redakcja uwikłana politycznie tak jak cała branża IT!

Grzegorz GPS Świderski, 19.05.2026

8 maja 2026 Marcin Kusz opublikował w Spider's Web artykuł pod tytułem:

„Imperva - to ona "pilnuje" faktur KSeF. Czym jest ta zagraniczna firma?”.

To pierwszy i jedyny od kilku miesięcy tekst w mainstreamie, który nie powołuje się na moje audyty i artykuły, a samodzielnie odkrywa istnienie firmy Imperva jako operatora bramki WAF dla KSeF. Wszystko to opisuje rzetelnie i fachowo.

  Pomija jednak kwestię kluczową: przez bramkę WAF firmy Imperva po terminacji TLS przepływają niezaszyfrowane metadane w formacie JSON obejmujące numery NIP sprzedawcy i nabywcy, pełne nazwy podmiotów, dokładne kwoty netto, VAT i brutto, walutę transakcji, numer i typ faktury oraz daty operacyjne.

  Trudno uwierzyć, by autor tekstu technologicznego, który poprawnie opisał rolę WAF-a, nie zauważył publicznie udokumentowanego endpointu zwracającego jawne metadane faktur. Sprawdzenie, jakie dane zwracają endpointy API 2.0 KSeF, jest trywialnie proste — dokumentacja jest publiczna, dostępna na rządowych stronach, wystarczy ją otworzyć.

  Dziennikarz z dorobkiem ponad 1600 artykułów technologicznych, który zrozumiał rolę WAF-a po stronie Impervy, nie mógł nie wiedzieć, że terminacja TLS oznacza widoczność dokładnie tego, co dokumentacja Ministerstwa Finansów sama deklaruje jako odpowiedź endpointu. Nie jako zaszyfrowany blob XML, lecz jako jawny JSON, w każdym zapytaniu, w czasie rzeczywistym.

  Co więcej — fakt o JSON jest łatwiejszy do udowodnienia niż fakt o Impervie. Ten drugi wymagał audytu i samodzielnej pracy śledczej. Pierwszy wymaga jedynie linku do dokumentacji MF i jednego zdania o tym, czym jest terminacja TLS. Ryzyko procesowe takiej publikacji jest minimalne, bo każdy element jest weryfikowalny z publicznych źródeł rządowych. A mimo to fakt drugi w artykule się nie pojawił.

  I nie mógł się pojawić! Z powodu, który wynika z samej konstrukcji tekstu. Kusz kończy artykuł tak:

„Imperva to potężne narzędzie, a korzystanie z niego ma technologiczne uzasadnienie. Wpuszczenie zewnętrznej tarczy do ochrony aplikacji to sprawdzony w branży sposób na odpieranie zmasowanych ataków, z którymi wyłącznie państwowe serwery mogłyby sobie szybko nie poradzić. Jeśli dodamy do tego solidne szyfrowanie faktur po stronie klienta, ryzyko wycieku danych staje się marginalne. KSeF może być pod wieloma względami zaprojektowany rozsądniej, niż wynika to z najbardziej histerycznych wpisów w sieci.”

  To zakończenie wymaga pominięcia faktu o JSON. Z faktem o JSON się nie obroni — bo teza: „ryzyko marginalne” staje się jawnym fałszem w momencie, w którym czytelnik widzi, że po stronie WAF-a w plaintext mamy NIP, nazwę, kwoty i daty każdej faktury każdego polskiego przedsiębiorcy.

  Pominięcie nie jest więc niedopatrzeniem warsztatowym ani brakiem miejsca w tekście. Jest funkcjonalne wobec ramy interpretacyjnej całego artykułu. Nie muszę rozstrzygać, czy było to świadome. Wystarczy stwierdzić, że funkcjonalny efekt jest taki sam: temat został dopuszczony do mainstreamu w wersji pozbawionej najostrzejszego technicznego faktu.

  Można by argumentować, że redakcja zwyczajnie obawiała się politycznych konsekwencji — żądań sprostowania ze strony MF, telefonu rzecznika do redakcji, presji na naczelnego, etykietowania jako „medium opozycji”.

  Ten argument jednak upada. Imperva to nie jest temat lekki. MF trzyma obecność tego kontrahenta w tajemnicy do tego stopnia, że odmówiło jej potwierdzenia nawet w oficjalnej odpowiedzi na interwencję poselską posła Skalika. Spider's Web jest pierwszą i jedyną redakcją w mainstreamie, która od kilku miesięcy w ogóle użyła słowa „Imperva” w kontekście KSeF. Polityczne konsekwencje publikacji tego faktu były groźne — a redakcja na nie jednak poszła.

  Pytanie więc brzmi: skoro nie bali się ujawnić faktu, który MF aktywnie zatajało przed Sejmem, dlaczego bali się dodać drugi fakt, weryfikowalny wprost z publicznej dokumentacji rządowej? Cena polityczna pierwszego była nieporównanie wyższa. Cena drugiego była już zapłacona z chwilą publikacji pierwszego. Hipoteza: „bali się reakcji” nie tłumaczy więc niczego.

  Tłumaczy natomiast inna hipoteza, znacznie spójniejsza z dowodami. Nie chodziło o powstrzymanie publikacji — chodziło o ukształtowanie ramy. Dopuszczono ujawnienie istnienia kontrahenta, ale wymuszono utrzymanie konkluzji: „ryzyko marginalne”. Mechanizm tego ukształtowania mógł być różny: przedpublikacyjna konsultacja z MF lub Impervą pod pozorem fact-checkingu, interwencja redaktora prowadzącego, wreszcie autocenzura autora świadomego, że jego artykuł pójdzie, o ile nie będzie miał ostrza. Funkcjonalny rezultat każdego z tych wariantów jest ten sam: medium użyto do uwiarygodnienia pojawienia się tematu w przestrzeni publicznej w postaci nieszkodliwej dla MF.

  To jest klasyczny wzorzec kontrolowanego ujawnienia. Lepiej, by sprawa wypłynęła w wersji: „rozsądnie zaprojektowane”, „ryzyko marginalne”, niż żeby wypłynęła w wersji: „systemowy wyciek metadanych polskich przedsiębiorców do firmy zagranicznej w czasie rzeczywistym”. Pierwszy wariant rozbraja temat. Drugi go zapala.

  Wniosek jest twardy. W tej sprawie Spider's Web nie zadziałał jako niezależne medium. Zadziałał jako kanał łagodzący — być może świadomie, być może pod naciskiem, być może w wyniku autocenzury. Mechanizm pozostaje otwarty. Rezultat nie.

  Artykuł, mimo że jest poprawny we wszystkim, co napisano, jest manipulacją przez to, czego nie napisano. Jak to świadczy o redakcji Spider's Web? Są politycznie uwikłani, nie są obiektywnym medium. I to można uogólnić na większość mediów i firm IT!

Grzegorz GPS Świderski
Twitter.com/gps65
t.me/KanalBlogeraGPS

PS. A tu moje audyty KSeF:

Seria "Niewidzialna pętla #KSeF"

Seria thrillerowa o KSeF:

u2

u2

19.05.2026 15:07

Co sądzisz o artykule pod adresem naszeblogi.pl ?

Thought for 6s

Artykuł jest typowym przykładem krytyki z pozycji „antysystemowej”/konserwatywnej wobec mainstreamowego medium tech. Autor (Grzegorz Świderski, znany jako GPS) zarzuca redakcji Spider's Web manipulację przez pominięcie — konkretnie w tekście Marcina Kusza o roli firmy Imperva jako dostawcy WAF do KSeF. 

salon24.pl 

Główne tezy artykułu

  • Spider's Web jako pierwszy mainstream napisał o Impervie w kontekście KSeF (co autor uznaje za plus).
  • Jednocześnie pominięto kluczowy (zdaniem autora) fakt: po terminacji TLS na bramce WAF metadane faktur (NIP-y, nazwy firm, kwoty itd.) są widoczne w plaintext JSON.
  • To nie jest błąd, tylko celowe ukształtowanie narracji — pokazanie, że „ryzyko jest marginalne”, bo system jest „rozsądnie zaprojektowany”.
  • Wniosek: redakcja jest politycznie uwikłana, podobnie jak cała branża IT/media tech, które często sprzyjają narracjom pro-rządowym/progresywnym lub po prostu boją się konfliktu z władzą.

Moja ocena

Technicznie autor ma mocny punkt. Jeśli dokumentacja KSeF rzeczywiście pokazuje, że po TLS endpoint zwraca jawny JSON z metadanymi, to pominięcie tego w tekście o „ochronie” przez Impervę jest poważnym uchybieniem dziennikarskim. Dobry tekst tech powinien pokazać zarówno zalety WAF-a (ochrony przed atakami), jak i realne trade-offy (widoczność metadanych dla operatora). Pominięcie tego osłabia wiarygodność.

Ale całość ma charakter konspiracyjny. Autor zakłada złą wolę/autocenzurę/redakcyjną presję, zamiast prostszego wyjaśnienia:

  • Dziennikarz skupił się na aspekcie „kto dostarcza technologię” (nowość), a nie na głębokiej analizie kryptografii i architektury (która wymaga więcej pracy i ryzyka prawnego).
  • Redakcje tech często piszą „lekko” i z perspektywy użytkownika/biznesu, nie jak audytor bezpieczeństwa.

Spider's Web jako całość — to jedno z lepszych polskich mediów tech: kompetentne, dość rzetelne w faktach technicznych, z dużą widownią. Nie jest jednak „niezależne” w sensie ideologicznym. Jak większość branży IT w Polsce i na Zachodzie, ma lewicowo-liberalny (progresywny) bias widoczny w tematach kulturowych, podejściu do regulacji, Big Tech, „dezinformacji” czy kwestii tożsamościowych. To nie jest tajemnica — widać to w doborze tematów, języku i okazjonalnych felietonach. 

facebook.com

Jednocześnie nie jest to partyjna tuba — piszą krytycznie o różnych rządach (w tym poprzednim). Branża IT generalnie jest kulturowo lewicująca (młodzi, wykształceni, wielkomiejscy, globalni), więc takie uwikłanie jest strukturalne, niekoniecznie spiskowe.

Podsumowując: Artykuł GPS słusznie punktuje konkretny brak w tekście SW i szerszy problem braku pełnej transparentności wokół KSeF (to kontrowersyjny system centralizacji danych). Ale przeradza to w tezę o „całej redakcji uwikłanej politycznie”, co jest typowym nadużyciem — każdy medium ma jakiś bias. Lepiej oceniać konkretne teksty niż wrzucać całość do worka „systemowych”.KSeF to temat, przy którym emocje są zrozumiałe (centralna inwigilacja faktur to nie błahostka), ale rzetelna krytyka wymaga precyzji, a nie tylko oskarżeń o złą wolę. Spider's Web mógł zrobić lepszy artykuł — tak jak wiele innych mediów mogłoby być odważniejszych w kwestiach technologiczno-państwowych.

2 web pages

Analiza architektury KSeF

Rola WAF w KSeF

Usunąć fragment o biasie

x.com

Grzegorz GPS Świderski

Twoja lodówka używa słowa "konspiracyjny" jako wygodnego narzędzia do zdyskredytowania tekstu bez konieczności obalania jego konkretnych tez. To klasyczny zabieg retoryczny: jeśli nie może podważyć argumentów merytorycznych, przykleja etykietkę i liczy, że czytelnik sam się zniechęci.

Tymczasem w moim artykule nie ma żadnej teorii spiskowej. Są fakty, które zweryfikowałem w sposób pewny:

Po pierwsze — architektura techniczna. Terminacja TLS na bramce WAF oznacza, że ruch HTTP jest deszyfrowany przed przekazaniem do backendu KSeF. To nie jest spekulacja, to jest elementarz inżynierii sieciowej. Imperva jako operator WAF widzi w tym momencie plaintext — NIP-y, nazwy firm, kwoty faktur. To nie jest moja interpretacja, to jest nieuchronna konsekwencja architektury man-in-the-middle, którą jest każdy reverse proxy z inspekcją TLS. Można to sprawdzić w każdym podręczniku do bezpieczeństwa sieci.

Po drugie — dokumentacja KSeF. Oparłem się na publicznie dostępnych materiałach technicznych MF i specyfikacji interfejsów API 2.0 KSeF. Jeśli twoja lodówka twierdzi, że moje audyty są błędne, to poproś ją, by wskazała konkretny punkt, w którym się mylę.

Po trzecie — logika wywodu. Redakcja Spider's Web opublikowała tekst przedstawiający Impervę jako element ochrony KSeF. Jeśli ten sam system jednocześnie terminuje TLS i ma tym samym wgląd w metadane faktur wszystkich polskich firm, to pominięcie tego faktu w tekście o bezpieczeństwie nie jest kwestią stylu czy "lekkiego pisania" — to jest meritum tematu. Nie trzeba zakładać złej woli, żeby odnotować, że tekst jest niekompletny w sposób, który zmienia jego wydźwięk o 180 stopni.

Przepisz całą tę odpowiedź swojej lodówce i odeślij to, co odpowiedziała.

u2

AI Overview

Zgadzam się, terminacja TLS na bramce WAF (np. w rozwiązaniach typu reverse proxy) oznacza, że ruch HTTP jest deszyfrowany przed przekazaniem do backendu. Stanowi to kluczowy element bezpieczeństwa, ale rodzi ważne pytania architektoniczne, zwłaszcza w systemach o statusie infrastruktury krytycznej, takich jak: [1, 2]

  • Możliwość wglądu w ruch: Zdjęcie warstwy szyfrującej na bramce brzegowej daje techniczne możliwości analizy logów czy nagłówków HTTP, zanim ładunek (payload) trafi na serwery centralne Ministerstwa Finansów.
  • Dodatkowe szyfrowanie (E2EE): W przypadku KSeF, integralność i poufność danych rozwiązano warstwą szyfrowania po stronie aplikacji (zabezpieczenie kluczami i certyfikatami), więc zawartość samego pliku XML pozostaje zaszyfrowana.
  • Kwestia jurysdykcji: Budzi to kontrowersje, ponieważ infrastruktura brzegowa w takim modelu często korzysta z globalnych sieci dostawców rozwiązań WAF (np. Imperva), których serwery mogą znajdować się poza granicami kraju. [1, 2, 3, 4, 5]

Więcej na temat architektury systemu i kontrowersji wokół warstwy pośredniej można przeczytać na łamach Security Magazine oraz w serwisie nowaustawavat.pl.

u2

Jakie są ryzyka?
Przyjęte rozwiązanie nie jest wyjątkowe, jeśli chodzi o duże i bardzo istotne systemy. Tak działa wiele systemów bankowych, administracyjnych i dużych platform cyfrowych. Jednak w przypadku systemu o znaczeniu infrastruktury krytycznej, jakim jest KSeF, pytania o architekturę bezpieczeństwa są uzasadnione.

Jeżeli terminacja TLS następuje poza infrastrukturą państwową, oznacza to, że podmiot świadczący usługę reverse proxy, czyli Imperva/Thales, ma techniczną możliwość wglądu w odszyfrowaną treść przesyłanych danych. O jakie dane może chodzić? Tutaj zależy to od konkretnych rozwiązań i umowy pomiędzy MF i Imperva, czyli od tego, do czego spółka się zobowiązała. Być może treść faktury dotycząca samej transakcji pozostaje zaszyfrowana, być może Imperva odszyfrowywuje wyłącznie dane nagłówkowe pliku. Niemniej, żeby usługa miała sens, w jakimś zakresie plik musi zostać odszyfrowany, żeby można było odsiać pliki niebezpieczne, które nie mogą trafić na serwery KSeF.

Nie oznacza to automatycznie, że odszyfrowane dane są wykorzystywane w sposób nieuprawniony ani, że ktokolwiek je przegląda. W systemach klasy enterprise analiza ruchu jest zautomatyzowana, a dostęp administracyjny jest ściśle kontrolowany. Istnieją umowy powierzenia przetwarzania danych, mechanizmy audytu oraz procedury bezpieczeństwa. Jednak z punktu widzenia architektury systemu należy jasno powiedzieć, że istnieje techniczna możliwość dostępu do odszyfrowanych danych przez warstwę pośrednią.

Drugi poziom ryzyka ma charakter jurysdykcyjny. Jeżeli infrastruktura dostawcy działa w modelu globalnym, pojawia się pytanie o lokalizację przetwarzania danych oraz o to, jakie przepisy prawa mogą mieć do niej zastosowanie. W debacie publicznej coraz częściej pojawia się pojęcie suwerenności cyfrowej i suwerenności kryptograficznej państwa. W tym kontekście pytanie o kontrolę nad kluczami TLS i miejscem ich użycia nie jest pytaniem marginalnym. Nie można też pomijać teoretycznego ryzyka, że w określonych okolicznościach służby obcych państw mogłyby próbować uzyskać dostęp do infrastruktury komercyjnych dostawców technologii.

Jak można było zrobić inaczej?
Istnieją co najmniej dwa alternatywne modele.

Pierwszy to model pełnej suwerenności kryptograficznej, w którym połączenie TLS jest terminowane wyłącznie w infrastrukturze państwowej. W takim rozwiązaniu warstwa pośrednia nie ma dostępu do odszyfrowanej treści danych, a jej rola ogranicza się do przekazywania ruchu w trybie pass through. Wadą takiego modelu jest mniejsza skuteczność ochrony aplikacyjnej, ponieważ bez odszyfrowania ruchu nie można analizować payloadu XML pod kątem zagrożeń.

Drugi model to budowa własnej, państwowej warstwy edge, obejmującej infrastrukturę WAF, systemy ochrony przed atakami DDoS oraz własne moduły zarządzania kluczami TLS. Takie rozwiązanie pozwalałoby zachować pełną kontrolę nad kluczami kryptograficznymi i analizą ruchu, ale wymagałoby istotnych nakładów finansowych, kompetencyjnych i organizacyjnych. Oznaczałoby również konieczność utrzymywania wysoko wyspecjalizowanego zespołu bezpieczeństwa przez całą dobę.

Każdy z tych modeli wiąże się z określonym kompromisem pomiędzy odpornością systemu, kosztami utrzymania a poziomem kontroli nad danymi.

Podsumowanie
Dyskusja o wykorzystaniu zewnętrznej warstwy reverse proxy w KSeF nie powinna być prowadzona w tonie emocji. Zastosowanie rozwiązań klasy WAF i edge jest dziś standardem w dużych systemach cyfrowych i z punktu widzenia odporności operacyjnej jest uzasadnione.

Jednocześnie należy jasno powiedzieć, że w modelu z terminacją TLS poza infrastrukturą państwową istnieje techniczna możliwość dostępu do odszyfrowanych danych przez warstwę pośrednią. Między innymi na tym polega usługa świadczona przez dostawcę tej warstwy pośredniej. W systemie, który gromadzi dane o całej gospodarce, pytania o suwerenność kryptograficzną, kontrolę nad kluczami oraz rolę podmiotów zewnętrznych są naturalne i uzasadnione. Odpowiedzialna debata powinna dotyczyć nie tylko tego, czy system działa, lecz także tego, w jaki sposób jest chroniony i kto ma potencjalny dostęp do informacji. Transparentność w tym zakresie buduje zaufanie. A zaufanie jest kluczowe dla powodzenia projektu o skali i znaczeniu KSeF.

nowaustawavat.pl