Polski system KSeF jest chroniony przed cyberatakami bramką WAF firmy Imperva. By to było skuteczne, na tej bramce następuje odszyfrowanie ruchu sieciowego i firma ta może sobie zapisywać jawnie widoczne dla niej metadane, co pozwala w czasie rzeczywistym zmapować cały polski biznes.
Może to nie jest niebezpieczne, bo być może Ministerstwo Finansów podpisało umowę o poufności z firmą Imperva, która zakazuje jej gromadzenia tych danych. Ta umowa nie jest ujawniona publicznie, ale załóżmy, iż istnieje. Czy to wystarczy, by chronić polską gospodarkę? Wyjaśnię to, opierając się na faktach i prawie międzynarodowym.
Co to adekwatnie jest Imperva?
Żeby zrozumieć problem prawny i uwarunkowania geopolityczne, musimy najpierw zrozumieć, z jakim podmiotem Polska w ogóle ma do czynienia.
Imperva Inc. to spółka zarejestrowana w stanie Kalifornia, USA, założona w 2002 roku przez byłych oficerów izraelskiej jednostki wywiadowczej Unit 8200 — tej samej, która wyznacza globalne standardy cyberofensywy i inwigilacji (odpowiada m. in. za architekturę programów takich jak Pegasus). Centrum badawczo-rozwojowe Impervy, zatrudniające setki inżynierów, do dziś znajduje się w Izraelu. W 2018 roku firma została kupiona przez amerykański fundusz private equity Thoma Bravo za kilka miliardów dolarów. Następnie w grudniu 2023 roku Thales — gigantyczny francuski koncern lotniczo-obronny, jeden z kluczowych dostawców uzbrojenia i systemów dla armii francuskiej — kupił Impervę za około 3,6 miliarda dolarów.
Mamy więc podmiot z korzeniami w izraelskim wywiadzie wojskowym, z prawną rejestracją w USA i z właścicielem będącym filarem francuskiego kompleksu militarno-przemysłowego. Polska być może podpisała z nim umowę cywilnoprawną zakazującą ujawniania danych. Zobaczmy teraz, co ta umowa znaczy w zderzeniu z twardym prawem publicznym i interesami tych państw.
Pierwszy klucz: CLOUD Act i jurysdykcja USA
W 2018 roku Kongres Stanów Zjednoczonych uchwalił "Clarifying Lawful Overseas Use of Data Act", znany powszechnie jako CLOUD Act. Ustawa ta rozwiązała jeden z największych problemów prawnych ery cyfrowej rządu USA: co się dzieje, gdy dane fizycznie są przechowywane za granicą, ale ich dysponentem jest amerykańska spółka?
Odpowiedź jest prosta i bezwzględna: nie ma znaczenia, gdzie dane leżą. Liczy się to, kto je kontroluje.
Jeśli podmiot jest zarejestrowany w USA lub prowadzi tam działalność, rząd federalny może wydać nakaz sądowy zobowiązujący do wydania danych — niezależnie od tego, na jakiej ziemi fizycznie stoją serwery, i niezależnie od treści umów cywilnoprawnych zawartych z podmiotami zagranicznymi. CLOUD Act to prawo publiczne federalne, które w hierarchii źródeł prawa stoi nieporównywalnie wyżej niż każda umowa handlowa. Imperva Inc., jako podmiot podlegający amerykańskiej jurysdykcji, nie może przeciwstawić się nakazowi federalnemu, powołując się na klauzulę poufności z polskim rządem.
Co więcej, procedura ta może być objęta klauzulą tajności, co oznacza, iż Imperva nie tylko musi wydać dane, ale nie ma choćby prawa poinformować polskiego Ministerstwa Finansów, iż do przekazania doszło. Polska umowa być może leży bezpiecznie w szafie pancernej w Warszawie, jednak prawo federalne USA całkowicie zmiata ją z planszy.
Drugi klucz: Thales i bezpośrednia linia do Paryża
CLOUD Act daje klucz do drzwi rządowi USA. Jednak pozostało drugi wektor dostępu — w pewnym sensie groźniejszy, bo niewymagający choćby śladu postępowania sądowego.
Od grudnia 2023 roku Imperva należy do grupy Thales. Thales to nie jest zwykła prywatna spółka. Francuski Skarb Państwa, pośrednio przez Dassault Aviation i struktury państwowe, jest jej znaczącym akcjonariuszem. Firma ta jest jednym z głównych dostawców systemów wywiadowczych, radarowych i komunikacyjnych dla Direction Générale de la Sécurité Extérieure (DGSE) — francuskiego wywiadu. Thales to strategiczny kontraktor obronny Francji, ściśle zintegrowany z tamtejszym aparatem bezpieczeństwa.
Prawo francuskie — w szczególności "Loi de Programmation Militaire" (LPM) — daje organom Republiki Francuskiej potężne uprawnienia do żądania danych od podmiotów działających na terytorium Francji lub kontrolowanych przez podmioty tam zarejestrowane.
Co jednak najistotniejsze z perspektywy rynkowej: Thales i Imperva to w tej chwili jeden organizm korporacyjny. Przepływ informacji wewnątrz grupy kapitałowej nie wymaga wyroków — wymaga jedynie decyzji zarządczej. Zewnętrzny obserwator nie zobaczy nic: żadnego nakazu, żadnej notyfikacji dla strony polskiej. Z punktu widzenia ewentualnego audytu wyglądałoby to, jak rutynowy, wewnętrzny transfer danych operacyjnych lub diagnostycznych w ramach grupy.
Trzeci klucz: infrastruktura analityczna w Izraelu
Inżynierowie i systemy analityczne utrzymywane m. in. w Izraelu mogą posiadać techniczny dostęp do logów z metadanymi polskiej gospodarki. O jakich metadanych mówimy? NIP sprzedawcy i odbiorcy, pełne nazwy podmiotów, kwoty netto, VAT, waluta, numer i typ faktury, oraz dokładne daty. To wystarczy, by w czasie rzeczywistym zmapować cały krwiobieg biznesu w Polsce.
Mamy do czynienia z zapleczem wywodzącym się z wywiadu, który dysponuje najwyższej klasy zdolnościami technologicznymi i jest zdolny do bezprecedensowych operacji infiltracji globalnych łańcuchów dostaw (co dobitnie pokazały precyzyjne i wielkoskalowe operacje cyber-kinetyczne na Bliskim Wschodzie we wrześniu 2024 roku). Trudno zakładać, by państwo funkcjonujące w warunkach ciągłego zagrożenia ignorowało dostęp do tak potężnych strumieni danych gospodarczych.
Trzy klucze. Trzy rządy. I polska bezbronność.
Podsumujmy sytuację każdej polskiej firmy raportującej do KSeF:
Rząd USA ma legalny, wymuszalny sądownie dostęp do danych przechowywanych przez kalifornijską spółkę. Rząd Francji ma strukturalny, operacyjny dostęp poprzez sieć powiązań państwowej grupy Thales. Potężne centrum analityczne funkcjonuje na Bliskim Wschodzie. Te dostępy istnieją niezależnie od siebie i całkowicie poza kontrolą Ministerstwa Finansów.
Nie twierdzę, iż rządy te aktywnie, dzień w dzień przeglądają faktury polskich firm. Twierdzę coś znacznie precyzyjniejszego: Polska stworzyła system, w którym obce państwa dysponują techniczną i prawną zdolnością dostępu do pełnego obrazu naszej gospodarki, a polska umowa cywilnoprawna z dostawcą usługi WAF nie stanowi dla nich absolutnie żadnej przeszkody.
W profesjonalnej analizie ryzyka bezpieczeństwa narodowego (Threat Modeling) to wystarczy. Ryzyko nie polega na tym, iż w tej sekundzie trwa kradzież — polega na tym, iż zbudowano państwową infrastrukturę dostępu, której polskie służby nie mogą suwerennie zablokować.
Dlaczego to, co robi Polska, jest ewenementem na tle Europy?
Kontekst ten staje się jeszcze bardziej alarmujący, gdy spojrzymy na inne państwa europejskie wdrażające e-fakturowanie.
Francja obsługuje swój system fakturowania (Chorus Pro) poprzez AIFE — agencję rządową, a infrastruktura zarządzana jest przez podmioty całkowicie krajowe. Rumunia potraktowała e-faktury z pełną powagą jako kwestię bezpieczeństwa narodowego i powierzyła system wojskowej służbie łączności (STS). Włochy i Hiszpania korzystają ze ściśle nadzorowanych, państwowych platform.
Każde poważne państwo rozumie elementarną zasadę: system, przez który w czasie rzeczywistym przepływa obraz całej gospodarki, musi pozostawać pod ścisłą, suwerenną kontrolą krajową. Polska jest niechlubnym wyjątkiem, który powierzył strategiczny węzeł bezpieczeństwa podmiotowi o tak skomplikowanej, wielonarodowej i wrażliwej strukturze wywiadowczo-właścicielskiej.
Ironiczny szczegół: Francja chroni dane gospodarcze swoich firm, polegając na własnych agencjach. Jednocześnie ta sama Francja (przez Thales) obsługuje polski ruch sieciowy, mając potencjalny dostęp do danych o przetargach, zamówieniach publicznych i strategicznych kontrahentach naszego państwa.
Umowa, która nie chroni
Ministerstwo Finansów publicznie deklaruje kontrolę nad infrastrukturą. Jednak moje audyty techniczne (analiza DNS, nagłówków i terminacji TLS) jasno dowodzą, iż warstwa WAF działa w chmurze Impervy, a nie w modelu bezpiecznym on-premise w Polsce.
Kiedy Ministerstwo tłumaczy, iż Imperva nie jest operatorem danych, tylko dostawcą tarczy ochronnej WAF, ma rację tylko w połowie. WAF faktycznie nie czyta treści faktur XML (bo te są zaszyfrowane w modelu End-to-End). Jednak — jak solidnie udowodniłem szczegółowymi audytami technicznym — gigantyczny problem tkwi w metadanych JSON. Na węźle po terminacji szyfrowania TLS infrastruktura pośrednia ma podane na tacy pełne, jawne informacje: NIP-y, nazwy, daty i kwoty. A metadane, jak wiedzą eksperci od wywiadu, wystarczą do pełnego sprofilowania każdego biznesu.
Polskie firmy mogą być uspokajane, iż ich tajemnice handlowe są chronione umową z Ministerstwem. Niestety, w erze wojen gospodarczych, dane te są chronione tak samo, jak sejf zamknięty na kłódkę, do której zapasowe klucze posiadają potężne, obce państwa. jeżeli nie zaczniemy traktować suwerenności cyfrowej i własnych danych podatkowych jako twardego elementu bezpieczeństwa narodowego, nasz rodzimy biznes zawsze będzie o krok za globalną konkurencją, całkowicie bezradny wobec informacyjnej asymetrii.
Grzegorz GPS Świderski
]]>https://Twitter.com/gps65]]>
]]>https://t.me/KanalBlogeraGPS]]>
