Są tematy, które łatwo podpalić jednym zdaniem. Wystarczy powiedzieć, że "oddaliśmy wszystkie faktury zagranicznej firmie", a wyobraźnia robi resztę. Pojawia się obraz cyfrowego krwiobiegu gospodarki wyprowadzanego poza granice kraju, gdzieś między Paryżem a Tel Awiwem. Brzmi poważnie. Problem w tym, że poważne tezy wymagają równie poważnych dowodów.
Właśnie taką narrację chciał zbudować Krzysztof Bosak wokół Krajowego Systemu e-Faktur. Padają słowa o "outsourcingu danych", o "wywiadach gospodarczych", o utracie kontroli. Sprawdziliśmy, co na to fakty i eksperci od cyberbezpieczeństwa.
Co Bosak powiedział o KSeF?
– Pojawia się informacja wprowadzająca w błąd, że to rząd realizuje KSeF, a okazuje się, że realizuje to prywatna firma. Co ciekawe firma zagraniczna. W mediach podaje się,że to część francuskiego Thalesa, ale dużo osób mniej wie, że do 2023 roku była to firma izraelska, która posiadała całe swoje zaplecze badawczo-rozwojowe w Izraelu – mówił na antenie Polsat News Krzysztof Bosak.
– W tym momencie przekazujemy wszystkie swoje faktury do operowania prywatnej firmie, która nawet nie spolonizowała procesu logowania – opowiadał. Zarzuty to poważne, ale czy prawdziwe?
Cóż, nie bardzo. Ministerstwo Finansów podkreśla, że serwery od KSeF są w Polsce i że system powstał u nas. Faktycznie jednak ruch jest przepuszczany przez amerykańskie serwery. O co chodzi?
Co naprawdę robi Imperva i Thales
W centrum zarzutów znalazła się spółka Imperva, dziś należąca do francuskiego koncernu Thales. To firma dostarczająca rozwiązania typu WAF i ochronę anty-DDoS. W uproszczeniu: ma chronić system przed zalaniem sztucznym ruchem i atakami, które mogłyby go sparaliżować.
Według ekspertów, m.in. Łukasza Olejnika, konsultanta i badacza z Department of War Studies na King’s College London, dostęp do ruchu sieciowego nie oznacza dostępu do treści faktur. Dane w KSeF są szyfrowane, a klucze znajdują się po stronie państwa. Rozwiązania ochronne widzą zaszyfrowany strumień danych, a nie jego zawartość. To fundamentalna różnica, ale w debacie publicznej pomijana.
Ministerstwo Finansów podkreśla, że systemy bezpieczeństwa nie posiadają kluczy do odszyfrowania dokumentów. Oznacza to, że nawet jeśli infrastruktura ochronna jest dostarczana przez zagraniczny podmiot, nie daje to automatycznie wglądu w treść faktur.
Polityczna teza kontra techniczna rzeczywistość
Narracja o "wyprowadzaniu danych" działa politycznie, bo trafia w czuły punkt. Suwerenność i bezpieczeństwo przedsiębiorców, ale technicznie sprawa wygląda inaczej. Serwery KSeF znajdują się w Polsce, a dostęp do danych jest logowany i objęty procedurami kontrolnymi.
Oczywiście, każdy system państwowy powinien podlegać krytyce i audytowi. KSeF nie jest wolny od problemów wdrożeniowych. Ale czym innym jest dyskusja o jakości wdrożenia, a czym innym sugestia, że państwo oddało pełną kontrolę nad fakturami prywatnej firmie z zagranicy.
Skontaktowaliśmy się z Krzysztofem Bosakiem, prosząc o wskazanie konkretnych ekspertyz lub dokumentów, na których opiera swoje tezy. Do momentu publikacji nie otrzymaliśmy odpowiedzi. Telefon pozostaje nieodebrany, a pytania bez reakcji.
W debacie o KSeF stawką jest zaufanie przedsiębiorców. Warto więc oddzielić realne ryzyka od efektownych, lecz słabo udokumentowanych tez. Cyfrowy krwiobieg gospodarki zasługuje na chłodną analizę, nie na polityczne podkręcanie temperatury.
Zobacz także
Nie przegap żadnej ważnej wiadomości i obserwuj nas w Google News!