Grzegorz Świderski Grzegorz Świderski
556
BLOG

Dlaczego branża IT milczy w sprawie architektury KSeF?

Grzegorz Świderski Grzegorz Świderski Gospodarka Obserwuj notkę 1
BLOG
O śle­po­cie kor­po­ra­cyj­nej, pra­wie kar­nym i bez­pie­czeń­stwie pań­stwa.

  Mi­mo mo­ich licz­ny­ch pu­bli­ka­cji wy­ni­ków au­dy­tów tech­nicz­ny­ch, któ­re wska­zu­ją na fun­da­men­tal­ne, za­pla­no­wa­ne i wdro­żo­ne pro­ble­my su­we­ren­no­ścio­we w ar­chi­tek­tu­rze Kra­jo­we­go Sys­te­mu e-Fak­tur, od­dźwięk w głów­nym nur­cie eks­perc­kim po­zo­sta­je nie­po­ko­ją­co ci­chy. Na fa­cho­wy­ch fo­ra­ch osią­gnię­to kon­sen­sus co do jed­ne­go: w sys­te­mie KSeF to fir­ma Im­pe­rva do­star­cza war­stwę WAF i ter­mi­nu­je ru­ch TLS. Jed­nak klu­czo­wa te­za, któ­ra z te­go wy­ni­ka, wciąż je­st omi­ja­na sze­ro­kim łu­kiem.

Isto­ta pro­ble­mu: jaw­no­ść me­ta­da­ny­ch

  Mo­ja głów­na te­za ana­li­tycz­na, opar­ta na ba­da­nia­ch ru­chu sie­cio­we­go, brz­mi: me­ta­da­ne JSON zwra­ca­ne przez API 2.0 KSeF nie są za­szy­fro­wa­ne na po­zio­mie apli­ka­cji (w prze­ci­wień­stwie do sa­mej fak­tu­ry XML).

  Ozna­cza to, że po ter­mi­na­cji TLS na węź­le ze­wnętrz­ne­go do­staw­cy, w in­fra­struk­tu­rze chmu­ro­wej jaw­nie wi­docz­ne są: NIP sprze­daw­cy i na­byw­cy, na­zwy pod­mio­tów, kwo­ty net­to/VAT/brut­to, wa­lu­ta, nu­mer fak­tu­ry, da­ty ope­ra­cyj­ne i jej typ. Z punk­tu wi­dze­nia ana­li­zy wy­wia­dow­czej (Thre­at Mo­de­ling), da­je to za­gra­nicz­nym pod­mio­tom do­stęp do peł­ne­go krwio­bie­gu pol­skiej go­spo­dar­ki w cza­sie rze­czy­wi­stym. Dla­cze­go za­tem in­sty­tu­cjo­nal­ni eks­per­ci mil­czą? Wy­ma­ga to zro­zu­mie­nia trzech zja­wi­sk.

Sym­bio­za fi­nan­so­wa i kon­flikt in­te­re­sów

  Więk­szo­ść re­no­mo­wa­ny­ch firm au­dy­tor­ski­ch, in­sty­tu­tów ba­daw­czy­ch i por­ta­li bran­żo­wy­ch funk­cjo­nu­je w sym­bio­zie pro­jek­to­wej z ad­mi­ni­stra­cją pań­stwo­wą. Kry­ty­ka prio­ry­te­to­we­go pro­jek­tu rzą­do­we­go — z tak głę­bo­ko udo­ku­men­to­wa­nym de­fek­tem w ar­chi­tek­tu­rze stra­te­gicz­nej — wią­że się z ogrom­nym ry­zy­kiem biz­ne­so­wym. Wy­ty­ka­nie błę­dów Mi­ni­ster­stwu Fi­nan­sów to pro­sta dro­ga do mar­gi­na­li­za­cji przy ko­lej­ny­ch gran­ta­ch i prze­tar­ga­ch dla spół­ek Skar­bu Pań­stwa.

Śle­po­ta kor­po­ra­cyj­na (Ven­dor Blind­ness)

  Wie­lu eks­per­tów oce­nia KSeF przez pry­zmat ko­mer­cyj­ne­go ryn­ku IT. In­sta­lo­wa­nie chmu­ro­we­go WAF-a (np. Clo­ud­fla­re, Im­pe­rva) z ter­mi­na­cją pro­to­ko­łu TLS to po­wszech­na, ta­nia i wy­god­na prak­ty­ka w e-com­mer­ce. Za­po­mi­na się jed­nak o fun­da­men­tal­nej róż­ni­cy ska­li ry­zy­ka. Po­ten­cjal­ny wgląd w lo­gi skle­pu obuw­ni­cze­go to naj­wy­żej in­cy­dent biz­ne­so­wy. Jed­nak struk­tu­ral­ny wgląd ze­wnętrz­ny­ch pod­mio­tów w lo­gi trans­ak­cji mię­dzy do­staw­ca­mi tech­no­lo­gii a pol­skim sek­to­rem zbro­je­nio­wym to wy­rwa w bez­pie­czeń­stwie na­ro­do­wym. Nie moż­na przy­kła­dać mia­ry skle­pu in­ter­ne­to­we­go do sys­te­mu kry­tycz­ne­go pań­stwa.

Pa­ra­liż praw­ny i efekt mro­żą­cy (Art. 267 KK)

  To bo­daj naj­cie­kaw­szy aspekt spra­wy. W Pol­sce pra­wo je­st opre­syj­ne wo­bec nie­za­leż­ny­ch ba­da­czy (tzw. Whi­te Hats). Zgło­sze­nie lu­ki w sys­te­mie pań­stwo­wym czę­sto koń­czy się za­wia­do­mie­niem o prze­stęp­stwie z art. 267 Ko­dek­su Kar­ne­go ("kto bez upraw­nie­nia uzy­sku­je do­stęp do in­for­ma­cji dla nie­go nie­prze­zna­czo­nej..."). Gro­żą za to 2 la­ta wię­zie­nia.

  Dla po­rów­na­nia: w 2022 ro­ku De­par­ta­ment Spra­wie­dli­wo­ści USA zre­wo­lu­cjo­ni­zo­wał pra­wo, przyj­mu­jąc po­li­ty­kę ochro­ny ba­da­czy dzia­ła­ją­cy­ch w do­brej wie­rze (Go­od Fa­ith Se­cu­ri­ty Re­se­ar­ch). Ame­ry­kań­scy ana­li­ty­cy nie bo­ją się au­dy­to­wać sys­te­mów, je­śli ro­bią to w ce­lu po­pra­wy bez­pie­czeń­stwa. W Pol­sce in­for­ma­tyk trzę­sie się przed pro­ku­ra­to­rem. Dla­te­go mo­je wła­sne te­sty bez­pie­czeń­stwa mu­sia­ły zo­stać prze­pro­wa­dzo­ne wy­łącz­nie z ze­wną­trz, bez za­kła­da­nia kon­ta w sys­te­mie, by nie na­ra­żać się na ten ab­sur­dal­ny pa­ra­graf.

Apel do nie­za­leż­ne­go śro­do­wi­ska IT

  Zbieg ty­ch czyn­ni­ków spra­wia, że tech­no­lo­gia roz­jeż­dża się z po­li­ty­ką. Cer­ty­fi­ko­wa­ni eks­per­ci uwi­kła­ni w kon­trak­ty mil­czą, a po­li­ty­cy nie ro­zu­mie­ją de­ta­li pro­to­ko­łów sie­cio­wy­ch, by do­strzec za­gro­że­nie dla su­we­ren­no­ści da­ny­ch.

  Ja­ko nie­za­leż­ny in­ży­nier-pro­gra­mi­sta nie je­stem zwią­za­ny rzą­do­wy­mi kon­trak­ta­mi, dla­te­go opu­bli­ko­wa­łem te wnio­ski otwar­tym tek­stem. Jed­nak bez­pie­czeń­stwo pań­stwa wy­ma­ga we­ry­fi­ka­cji (Pe­er Re­view).

  Zwra­cam się z ape­lem do śro­do­wi­ska Open So­ur­ce, nie­za­leż­ny­ch sie­ciow­ców i ar­chi­tek­tów IT: te­stuj­cie mo­je usta­le­nia! We­ry­fi­kuj­cie ar­chi­tek­tu­rę API 2.0 KSeF. Po­twierdź­cie (lub me­ry­to­rycz­nie obal­cie) te­zy z mo­ich au­dy­tów. Zrób­my to rze­tel­nie, opie­ra­jąc się na twar­dy­ch da­ny­ch z war­stwy sie­cio­wej. Mu­si­my za­peł­nić tę lu­kę ana­li­tycz­ną, za­nim ar­chi­tek­tu­ra te­go sys­te­mu bez­pow­rot­nie skom­pro­mi­tu­je pol­ską ta­jem­ni­cę han­dlo­wą.

Grzegorz GPS Świderski


PS1. Ponieważ tu działa chaotycznie kasujący komentarze bot, którego działanie tłumaczę tu: https://naszeblogi.pl/75398-algorytm-ktory-nie-rozumie-portalu, to poniżej można tylko krótko, emocjonalnie, bez sensu komentować, a jeśli komuś zależy na merytorycznej dyskusji, to zapraszam na X.

PS2. A tu ma­cie wszyst­kie od­cin­ki mo­jej se­rii, w któ­ry­ch to wszyst­ko do­kład­nie opi­su­ję:

Audyty techniczne:

Apel do ekspertów cyberbezpieczeństwa:

Odpowiedzi wirtualnych ekspertów cyberbezpieczeństwa:

__________________

Część IV — niewidzialna pętla KSeF: dlaczego utajniona umowa z Impervą jest nic niewarta <- poprzednia notka

na­stęp­na not­ka ->

__________________

Ta­gi: KSeF gps65, go­spo­dar­ka, biz­nes, Wol­ny Ry­nek, Im­pe­rva, c­yber­bez­pie­czeń­stwo, Pol­ska, wy­wiad, szpie­go­stwo

Grzegorz Świderski
O mnie Grzegorz Świderski

Bloger, sarmatolibertarianin, informatyk, żeglarz, futurysta AI, trajkkarz. Polemizuję, myślę, argumentuję, filozofuję, dyskutuję, uzasadniam, politykuję, prowokuję.

Nowości od blogera
Udostępnij Udostępnij Skomentuj1

Komentarze

Pokaż komentarze (1)

Inne tematy w dziale Gospodarka