1 godzina temu
Z początkiem lutego ma ruszyć Krajowy System e-Faktur, czyli rządowy system bieżącej rejestracji wszystkich transakcji biznesowych w Polsce. Jest pomyślany przede wszystkim jako narzędzie kontrolne dla służb skarbowych. Ale to także gigantyczna baza danych o całej polskiej gospodarce i to aktualizowana minuta po minucie. Urzędnicy skarbowi dowiedzą się z niej, kto z kim danego dnia handlował i po jakich cenach. W elektronicznych fakturach, podobnie jak w dzisiejszych, będzie też wiele innych danych, jak np. środek transportu towarów i miejsce dostawy.
Taka wiedza to jednak łakomy kąsek nie tylko dla fiskusa. Niejeden obcy wywiad chciałby się np. dowiedzieć, komu danego dnia zakłady Bumar sprzedały czołg – a w KSeF to się znajdzie. Będą też pojawiały się tam na bieżąco dane o tym, kto dostarcza Łucznikowi surowce do produkcji karabinów. A przecież obce służby będą chciały się dowiedzieć choćby tego, jaka firma w ciągu ostatnich dni zajmowała się cateringiem i sprzątaniem dla fabryki amunicji czy dostawą niszczarek dokumentów dla Łucznika czy Bumaru. Bo zwykle szukają słabych punktów w sieci partnerów handlowych takich firm.
Oczywiście dane z KSeF, niekoniecznie tylko te o militarnym znaczeniu, mogą posłużyć też do nielegalnego wykorzystania przez polskie i zagraniczne wywiadownie gospodarcze. Użycie tej wiedzy może zaszkodzić niejednemu polskiemu przedsiębiorcy.
Z kolei atak na KSeF powodujący jego blokadę może sparaliżować całą gospodarkę. Zastopuje to bowiem wystawianie faktur. Są one nie tylko dokumentem dla fiskusa, ale też podstawą biznesowych rozliczeń.
Służby jeszcze nie sprawdzały
Dotychczas taka wiedza o fakturach i transakcjach była rozproszona i niedostępna w czasie rzeczywistym. Teraz zgromadzi ją KSeF. Ministerstwo Finansów zapewnia, iż system ma zapewnioną obronę przed hakerami. Obsługujący go urzędnicy – a będzie ich około dwóch tysięcy – też będą podlegali kontroli. Jednak – co ustaliła „Rzeczpospolita” – dotychczas system nie został sprawdzony przez żadną z państwowych służb odpowiedzialnych za bezpieczeństwo państwa i gospodarki. Nie zajmowały się tym ani Wojska Obrony Cyberprzestrzeni, ani Centrum Zwalczania Cyberprzestępczości w policji, ani też NASK, czyli instytucja odpowiedzialna za bezpieczeństwo krajowych systemów informatycznych.
Agencja Bezpieczeństwa Wewnętrznego przyznaje, iż dotychczas jedynie opiniowała przepisy o wystawianiu faktur przez KSeF. „Oceną cyberbezpieczeństwa tego systemu Agencja zajmie się w momencie zakończenia prac wdrożeniowych przez KAS” – napisało nam biuro prasowe ABW. Jak ustaliliśmy, takie testy zaczną się po 15 listopada, gdy zostanie uruchomiona wersja testowa systemu. Tylko testowa, jeszcze niekoniecznie uwzględniająca prawdziwe transakcje.
Ryzykowna centralizacja
Pytani przez „Rzeczpospolitą” eksperci zajmujący się bezpieczeństwem państwa alarmują: to zabawa zapałkami na beczce prochu. – Nagromadzenie w jednym miejscu tak ogromnej ilości informacji istotnych dla tego bezpieczeństwa nie budziłoby może zastrzeżeń w czasach pokoju. Jednak dziś trwa wojna hybrydowa Rosji z Polską i Europą, której istotnym frontem jest cyberprzestrzeń – przypomina Grzegorz Małecki, były szef Agencji Wywiadu.
Z kolei Stanisław Żaryn, były zastępca ministra-koordynatora służb specjalnych i były pełnomocnik rządu ds. bezpieczeństwa przestrzeni informacyjnej RP, przypomina, iż w ostatnich miesiącach i tygodniach służby specjalne państw nieprzyjaznych Polsce intensywnie testują odporność wszystkich istniejących cybersystemów.
– Nie mam żadnych wątpliwości, iż zainteresują się także KSeF, zarówno aby pozyskać dane, jak też aby go sparaliżować – uważa Żaryn.
I dodaje, iż choćby jeżeli Ministerstwo Finansów dokłada wszelkich starań, by się przed tym zabezpieczyć, to nie ma stuprocentowo skutecznych zabezpieczeń przed hakerskimi atakami.
Eksperci zgodnie przyznają, iż w łańcuchu bezpieczeństwa systemu informacji najsłabszym ogniwem bywa człowiek. Czy urzędnicy skarbowi z dostępem do KSeF zostaną należycie przygotowani do tych wyzwań? Zapytaliśmy MF o to, czy szkolenia dla nich będą ujmowały aspekt bezpieczeństwa kraju. Dotychczas nie uzyskaliśmy odpowiedzi. Z nieoficjalnych rozmów z pracownikami Krajowej Administracji Skarbowej (KAS) wynika, iż szkolenia z używania KSeF dla urzędników już trwają, ale na razie nie dotyczą cyberbezpieczeństwa. Ograniczają się do przepisów o VAT i technicznej strony obsługi systemu.
– Jednak choćby jeżeli wszystkich urzędników pracujących z KSeF „prześwietli się” w celu wystawienia certyfikatu dostępu do informacji niejawnych, to i tak nie ma gwarancji, iż w tej kilkutysięcznej rzeszy nie pojawią się osoby nieuczciwe, które skuszą się na ofertę obcych służb czy choćby krajowych wywiadowni gospodarczych – ostrzega Grzegorz Małecki.
Ministerstwo Finansów: panujemy nad sytuacją
Zdaniem resortu finansów gra jednak jest warta świeczki, bo uruchomienie KSeF ma uszczelnić system podatkowy, zwłaszcza VAT. Z tytułu tego podatku w ciągu 2026 r. oczekiwany jest wpływ dodatkowych 1,65 mld zł do budżetu.
Roman Łożyński, dyrektor Centrum Informatyki Resortu Finansów (CIRF), przyznaje, iż są ryzyka związane z nowym systemem, ale po 15 listopada będzie on już działał na podobnych zasadach jak docelowa, pełna wersja. Ma to pozwolić na przeprowadzenie testów bezpieczeństwa przez adekwatne służby. – jeżeli podczas tych testów zostaną wykryte nieprawidłowości, będziemy pracowali nad ich usunięciem. Takie działania zostaną podjęte już teraz, jesienią, aby system był w pełni gotowy do uruchomienia 1 lutego 2026 r. – zapewnia Łożyński.
Przyznaje też, iż kooperacja z NASK i ABW nie ograniczy się tylko do testów KSeF przed uruchomieniem systemu, bo to te służby mają adekwatne środki, by reagować na zagrożenia bezpieczeństwa.
A co z ryzykiem wycieku danych za sprawą nieuczciwych urzędników? Dostęp do KSeF ma mieć bowiem po kilka osób w każdym z ponad 400 urzędów skarbowych, a ponadto w 16 Izbach Administracji Skarbowej i oczywiście w CIRF. Roman Łożyński zapewnia, iż w strukturach KAS są stale rozwijane systemy obrony przed ingerencją z zewnątrz, ale też przed nieuprawnionym wykorzystaniem danych przez pracowników i funkcjonariuszy KAS.
– Działa u nas system PAM, który będzie monitorował każde wejście do systemu przez urzędników. Każde takie użycie KSeF dla pozyskania danych będzie zostawiało ślad, za pomocą którego łatwiej będzie śledzić ewentualne nadużycia na tym polu – informuje szef CIRF.
Potencjalne straty trudno policzyć
– Co będzie większe? Wskazywane przez MF korzyści budżetowe z wdrożenia KSeF czy zagrożenie bezpieczeństwa polskiej gospodarki i państwa? – pyta retorycznie Grzegorz Małecki.
Prosty rachunek pokazuje, iż dodatkowe 1,65 mld z VAT to zaledwie dwa i pół promila wszystkich planowanych na 2026 r. wpływów budżetowych. Mają one sięgnąć 647,2 mld zł. Trudno wyliczyć potencjalne straty z kradzieży danych i ataków na KSeF.
Przypomnijmy, iż prace nad KSeF rozpoczęły się jeszcze za rządów Prawa i Sprawiedliwości, a dzisiejsza ekipa je kontynuuje. Pierwotnie system miał wystartować z początkiem lipca 2024 r., ale minister finansów Andrzej Domański odłożył jego uruchomienie do 1 lutego 2026 r. Okazało się bowiem, iż wersja przygotowana przez poprzedników była niedopracowana pod kątem bezpieczeństwa i wydajności.
Według zapewnień MF, po naprawie błędów system może przerobić średnio 5 mln faktur na godzinę, a w szczytowych okresach ich wystawiania – choćby 20 mln.
Systemy podobne do KSeF wprowadziły już Włochy i Rumunia, a szykują się do tego m.in. Francja i Niemcy. Jednak, jak pokazują ostatnie miesiące, Polska bardziej niż inne kraje jest narażona na cyberataki. Mówił o tym przed kilkunastoma dniami wicepremier i minister cyfryzacji Krzysztof Gawkowski.
– Jesteśmy najbardziej atakowanym państwem w UE. Odpieramy ponad 99 proc. ataków – przyznał minister w rozmowie na antenie radia RMF.
Hakerzy atakowali już aplikację mObywatel i system „Twój e-PIT”
Obiektem ataków były różne systemy, w tym służący do szybkich płatności BLIK, systemy odpowiedzialne za wodociągi i autostrady czy aplikacja mObywatel. Tylko we wrześniu Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający w ramach NASK otrzymał 57 tysięcy zgłoszeń o cyberatakach.
Wcześniej, bo wiosną br. hakerzy interesowali się także systemem rozliczeń podatkowych „Twój e-PIT”. W dorocznym sezonie rozliczeń tego podatku, czyli między 15 lutego a 30 kwietnia 2025, atakowali go niemal cztery miliony razy. Jak zapewnia Ministerstwo Finansów, wszystkie te ataki zostały zneutralizowane.
Równocześnie jednak rząd planuje cięcia w funduszach na cyberbezpieczeństwo. W najnowszym projekcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa zmniejszono z 4 mld zł do 3 mld zł wydatki w ramach 10-letniego planu realizacji ustawy.
EKSPERCI RADZĄ
Co można doszlifować w KSeF w ostatniej chwili
Czy na 80 dni przed startem KSeF coś się da w nim zmienić? Według ekspertów pytanych przez „Rzeczpospolitą”, jeżeli system ma być bezpieczny, to do rozważenia byłoby albo odłożenie jego startu i generalna przebudowa albo:
- wyłączenie z niego wrażliwych branż gospodarki takich jak sektor zbrojeniowy, paliwowy czy energetyczny;
- rezygnacja z obowiązku podawania na fakturach niektórych danych o transakcjach;
- objęcie danych KSeF ochroną kontrwywiadowczą i powierzenie zarządzania repozytorium tego systemu wyspecjalizowanej w bezpieczeństwie instytucji;
- wprowadzenie zaostrzonych procedur bezpieczeństwa dla użytkowników systemu (nie tylko urzędników skarbowych, ale także dla osób, które tworzyły i będą rozwijać oprogramowanie dla KSeF).
Janusz Janiszewski
ekspert ds. bezpieczeństwa z forum ekspertów Ad Rem
Zgromadzenie olbrzymiej ilości danych w jednym miejscu, takie jak w przypadku KSeF, określa się jako tzw. centralny punkt awarii (single point of failure). Stwarza to szereg ryzyk, takich jak ataki hakerskie, kradzieże danych przez osoby z legalnym dostępem do systemu, ataki typu ransomware (dla okupu) czy też ataki DDoS, będące zalaniem systemu żądaniami. W konsekwencji może nastąpić jego zablokowanie. W przypadku kradzieży kluczy uwierzytelniających może dojść do tzw. phishingu, czyli przejęcia kont firmowych albo kont administracji skarbowej. To z kolei może oznaczać dostęp do systemu bez śladów włamania. Zagrożenia z tym związane mogą być różnorakie. Znajomość cen, rabatów i dostawców może spowodować szereg wyniszczających zachowań nieuczciwych firm, polegających na sztucznym zaniżaniu cen czy kopiowaniu strategii handlowej w celu osłabienia konkurentów. Z kolei zagraniczne firmy i służby specjalne mogą, dzięki poznaniu sieci powiązań biznesowych w Polsce, zidentyfikować słabe punkty polskiej gospodarki. Nie neguję wartości KSeF dla celów skutecznego poboru podatków, ale być może warto zastanowić się nad innym rozwiązaniem, w którym informacje o polskiej gospodarce nie byłyby skupione w jednym miejscu. Nie tworzyłyby wtedy potencjalnego „single point of failure”.
Rafał Berliński
ekspert w zakresie technologii w podatkach, twórca platformy podatkowej AI Ziroly
Z punktu widzenia bezpieczeństwa polskiego państwa i gospodarki przerażające jest, iż tak wielka baza danych o tej gospodarce, jaką jest KSeF, dotychczas nie została przetestowana przez służby odpowiedzialne za bezpieczeństwo państwa. Obawiam się, iż choćby zapowiadane zbadanie tzw. środowiska przedprodukcyjnego, symulującego działanie KSeF, też kilka przyniesie. Jesteśmy przecież w stanie autentycznej cyberwojny z Rosją, a świadczą o tym częste ataki na różne polskie systemy informatyczne. Pamiętajmy, iż to przeciwnik o nieograniczonych praktycznie zasobach finansowych, analitycznych i ludzkich. Przecież KSeF będzie zawierał dane nie tylko o zwykłych transakcjach handlowych, ale też o dostawach broni, amunicji i innych towarach strategicznych. Będą tam też dane o półproduktach i surowcach używanych do produkcji wojskowej. Nietrudno sobie wyobrazić, iż po wykradzeniu dane te pozwolą określić nie tylko skalę produkcji, ale również miejsce i czas dostawy. Na podstawie takich informacji nieprzyjazne Polsce siły będą mogły dokonać fizycznych i precyzyjnych aktów sabotażu.
