Apel do ekspertów cyberbezpieczeństwa w sprawie KSeF

  Dla osób spoza branży potrzebne jest krótkie wyjaśnienie pojęć. API to techniczny interfejs komunikacyjny, przez który program księgowy komunikuje się z systemem KSeF przekazując mu dane i odbierając je. JSON to standardowy, tekstowy format zapisu informacji używany w nowoczesnych systemach informatycznych do przekazywania ustrukturyzowanych danych. WAF to bramka bezpieczeństwa stojąca przed właściwym systemem, której zadaniem jest filtrowanie ruchu sieciowego oraz ochrona infrastruktury przed cyberatakami, złośliwym oprogramowaniem i innymi próbami naruszenia bezpieczeństwa, zanim ruch trafi do systemów państwowych.

  W standardowej komunikacji z API KSeF, w jawnej odpowiedzi JSON, pojawiają się dane o charakterze biznesowym. Widoczny jest identyfikator podatkowy NIP sprzedawcy i nabywcy, pełne nazwy podmiotów, kwoty transakcji netto, VAT i brutto, waluta, numer faktury, daty operacyjne oraz typ dokumentu. Nie jest to interpretacja ani hipoteza. Jest to zwykła obserwacja odpowiedzi systemu w scenariuszu przewidzianym przez jego projektantów, zgodna zarówno z dokumentacją API KSeF 2.0, jak i z prostymi audytami technicznymi możliwymi do samodzielnego powtórzenia.

  Dane te są widoczne dla operatora bramki WAF w systemie KSeF, którą realizuje firma Imperva. Nie wiadomo, czy dane te są logowane lub w inny sposób utrwalane, natomiast z technicznego punktu widzenia istnieje możliwość ich przetwarzania. Jedyną potencjalną barierą ograniczającą takie działania mogą być zapisy umowne, których treść nie jest publicznie znana. Ministerstwo Finansów nie publikuje tej umowy ani nie informuje oficjalnie o wykorzystaniu konkretnego operatora WAF.

  Stawiam dwa pytania o charakterze wyłącznie eksperckim:

1. Czy potwierdzacie, że operator bramki WAF widzi jawne, niezaszyfrowane metadane opisane wyżej, czyli NIP sprzedawcy i nabywcy, nazwy podmiotów, kwoty transakcji netto, VAT i brutto, waluta, numer faktury, daty operacyjne oraz typ dokumentu?
2. Jeśli tak, to czy obecność opisanych danych biznesowych w jawnej warstwie komunikacyjnej systemu państwowego, widocznych dla operatora infrastruktury pośredniczącej, ma z punktu widzenia cyberbezpieczeństwa i ochrony tajemnicy handlowej znaczenie architektoniczne i ryzyko systemowe?

  Te pytania wymagają odpowiedzi specjalistów, nie publicystów.

  Dlatego zwracam się do osób zajmujących się bezpieczeństwem IT, projektowaniem infrastruktury państwowej i analizą protokołów komunikacyjnych. Proszę o samodzielną weryfikację. Proszę o wskazanie błędu metodologicznego, jeżeli istnieje. Proszę o potwierdzenie wyniku, jeżeli jest poprawny. Każda z tych odpowiedzi będzie cenna, pod warunkiem że będzie miała charakter techniczny i możliwy do sprawdzenia.

  Pełna dokumentacja moich testów i audytów technicznych znajduje się poniżej i stanowi materiał źródłowy przeznaczony do niezależnej oceny. Ale nie ma konieczności korzystania z nich. Można samodzielnie przeprowadzić swoje audyty i odpowiedzieć na moje dwa pytania. Bardzo proszę o pomoc.

• https://informacje-lokalne.pl/audyt-techniczny-polska-2026-02-05/
• https://informacje-lokalne.pl/audyt-techniczny-ksef-raport-pelny-2026-02-06/
• https://informacje-lokalne.pl/raport-techniczny-ksef-uzupelniajacy-2026-02-11/
• https://informacje-lokalne.pl/audyt-techniczny-jawnosc-metadanych-json-w-ksef-przy-terminacji-tls-przez-imperva-2026-02-15/

PS. A tu ma­cie wszyst­kie od­cin­ki mo­jej se­rii, w któ­ry­ch to wszyst­ko do­kład­nie opi­su­ję:

• Część I. KSeF nie poszerza inwigilacji. KSeF zwiększa rozdzielczość. Porównanie KSeF z JPK: https://x.com/gps65/status/2015871765449265250
• Część II. Praktyka KSeF: HurtPol kontra Kowalski i Synowie. Praktyczny przykład: https://x.com/gps65/status/2016184516973564198
• Część III. Administrator KSeF. Czyli gdzie naprawdę leży władza. O pokosie dla administratora systemu: https://x.com/gps65/status/2016570837877297349
• Część IV. Technologia KSeF – suwerenność kończy się tam, gdzie kończy się kabel! O suwerenności cyfrowej: https://x.com/gps65/status/2016802079839306028
• Część V. KSeF i ciągłość decyzji. Imperva, czyli suwerenność sprzedana na raty! O tym, że zaczął to PiS: https://x.com/gps65/status/2018702913363722476
• Część VI. KSeF - wyjaśnienie techniczne i praktyczne przykłady z branży militarnej i spożywczej: https://x.com/gps65/status/2019001534294503450
• Część VII. Jakie metadane o ruchu widzi Imperva?: https://x.com/gps65/status/2021301951787332041
• Część VIII. Co jeszcze widzi Imperva? Więcej metadanych: https://x.com/gps65/status/2023001255132434749
• Część IX. Ludzkość odrywa się od terytorium i zaczyna bujać w obłokach! O tym że szybkie pingi o niczym nie świadczą, bo to chmura: https://x.com/gps65/status/2023032191282733315
• Cześć X. Polska jako jedyna na świecie oddała na tacy swoją suwerenność cyfrową obcym wywiadom: https://x.com/gps65/status/2023332070253084940
• A tu o tym, że firmę Imperva założył Shlomo Kramer: https://x.com/gps65/status/2020933273078071423

__________________

SCENARIUSZ INTERWENCJI POSELSKIEJ — ARCHITEKTURA I BEZPIECZEŃSTWO KSeF <- poprzednia notka </p>

na­stęp­na not­ka ->

__________________

Ta­gi: KSeF gps65, go­spo­dar­ka, biz­nes, Wol­ny Ry­nek, Im­pe­rva, c­yber­bez­pie­czeń­stwo, Pol­ska, wy­wiad, szpie­go­stwo