KSeF – 5 – Imperva, czyli suwerenność sprzedana na raty

KSeF nie je­st wy­pad­kiem przy pra­cy. Nie je­st też po­my­słem jed­ne­go rzą­du ani błę­dem wdro­że­nio­wym, któ­ry da się zrzu­cić na urzęd­ni­ków śred­nie­go szcze­bla. KSeF je­st pro­jek­tem cią­głym. De­cy­zją sys­te­mo­wą. A to ozna­cza, że od­po­wie­dzial­no­ść rów­nież je­st cią­gła. Od­po­wia­da­ją za to rzą­dy PiS i PO, Mo­ra­wiec­kie­go i Tu­ska. W tym od­da­wa­niu su­we­ren­no­ści są wy­jąt­ko­wo zgod­ni. Za­nim to zro­zu­mie­cie prze­czy­taj­cie po­przed­nie czę­ści se­rii o KSeF (część 1 – 2 – 3 – 4).

W ty­ch not­ka­ch po­ka­za­łem, że KSeF nie po­sze­rza for­mal­nie za­kre­su in­wi­gi­la­cji, le­cz ra­dy­kal­nie zwięk­sza jej roz­dziel­czo­ść. Że w prak­ty­ce ude­rza asy­me­trycz­nie w ma­ły­ch, a wzmac­nia du­ży­ch. Że re­al­na wła­dza nie le­ży w usta­wie, le­cz u ad­mi­ni­stra­to­ra sys­te­mu. I że su­we­ren­no­ść koń­czy się tam, gdzie koń­czy się ka­bel. Te­raz po­ra po­łą­czyć te wąt­ki w ca­ło­ść i na­zwać rze­czy po imie­niu.

Kwe­stia tech­nicz­na, o któ­rej wspo­mi­nam not­ce „Tech­no­lo­gia KSeF – su­we­ren­no­ść koń­czy się tam, gdzie koń­czy się ka­bel!” – czy­li wy­ko­rzy­sta­nie roz­wią­zań fir­my Im­pe­rva ja­ko ze­wnętrz­nej bram­ki WAF (Web Ap­pli­ca­tion Fi­re­wall) dla KSeF nie je­st no­wym ele­men­tem wpro­wa­dzo­nym przez obec­ną ko­ali­cję, le­cz in­te­gral­nym skład­ni­kiem ar­chi­tek­tu­ry KSeF od sa­me­go po­cząt­ku je­go pu­blicz­ny­ch te­stów. Za­nim przej­dzie­my da­lej, na­le­ży zro­zu­mieć, czym do­kład­nie je­st bram­ka WAF.

Dla­cze­go „Bo­un­cer” (WAF) mu­si zaj­rzeć do Two­jej fak­tu­ry?

Wy­obraź so­bie, że KSeF to pil­nie strze­żo­ny sejf w cen­trum War­sza­wy. Przed tym sej­fem stoi bram­ka bez­pie­czeń­stwa ob­słu­gi­wa­na przez ze­wnętrz­ną fir­mę (Im­pe­rva/Tha­les). Kie­dy wy­sy­ła­sz fak­tu­rę, wkła­da­sz ją do cy­fro­wej ka­set­ki (szy­fro­wa­nie SSL/TLS). To spra­wia, że nikt po dro­dze – np. Twój do­staw­ca in­ter­ne­tu – nie wi­dzi, co je­st w środ­ku.

Straż­nik (WAF/DDoS Pro­tec­tion) ma za za­da­nie za­trzy­mać ha­ke­rów. Jed­nak ha­ke­rzy są spryt­ni – oni też cho­wa­ją swo­je bom­by (zło­śli­wy kod) w ta­ki­ch sa­my­ch za­szy­fro­wa­ny­ch ka­set­ka­ch. Aby straż­nik mó­gł od­róż­nić uczci­wą fak­tu­rę od ata­ku ha­ker­skie­go, mu­si tę ka­set­kę otwo­rzyć na sa­mej bram­ce. W in­for­ma­ty­ce na­zy­wa się to SSL Ter­mi­na­tion. W tym krót­kim mo­men­cie, na brze­gu sys­te­mu (któ­ry ob­słu­gu­je Tha­les), Two­ja fak­tu­ra je­st od­pa­ko­wa­na. Sys­tem ana­li­zu­je: „czy to fak­tu­ra, czy wi­rus?”. Je­śli wszyst­ko je­st OK, pa­ku­je ją z po­wro­tem i wy­sy­ła da­lej do ser­we­rów Mi­ni­ster­stwa Fi­nan­sów.

Gdzie tu pro­blem z su­we­ren­no­ścią?

Gdy­by Straż­nik (WAF) nie otwie­rał prze­sy­łek, był­by śle­py. Nie wie­dział­by, czy prze­pusz­cza 100 fak­tur, czy 100 wi­ru­sów. Dla­te­go mu­si wi­dzieć ru­ch. To ozna­cza, że fir­ma Tha­les (pod­le­ga­ją­ca pod fran­cu­skie pra­wo i służ­by) po­sia­da tech­no­lo­gicz­ną moż­li­wo­ść roz­pa­ko­wa­nia ru­chu, za­nim tra­fi on do pol­skie­go urzę­du.

Me­ta­da­ne

Na­wet je­śli ad­mi­ni­stra­to­rzy nie czy­ta­ją i nie ana­li­zu­ją każ­dej fak­tu­ry (bo to by­ło­by nie­le­gal­ne, choć tech­nicz­nie moż­li­we), to ich sys­te­my wi­dzą me­ta­da­ne — kto wy­sy­ła, ile wy­sy­ła, jak czę­sto i skąd. To gi­gan­tycz­na wie­dza o kon­dy­cji ca­łe­go pol­skie­go biz­ne­su w cza­sie rze­czy­wi­stym. Nie da się fil­tro­wać ru­chu, nie wi­dząc go. Je­śli po­wie­rza­sz fil­tro­wa­nie za­gra­nicz­nej fir­mie, da­je­sz jej pra­wo do otwie­ra­nia każ­dej cy­fro­wej ko­per­ty, któ­rą pol­ski przed­się­bior­ca wy­sy­ła do swo­je­go pań­stwa.

Im­pe­rva

Roz­wią­za­nia Im­pe­rva by­ły obec­ne w ar­chi­tek­tu­rze KSeF już w mo­men­cie, gdy sys­tem był wdra­ża­ny przez rząd Pra­wa i Spra­wie­dli­wo­ści. Co naj­mniej od 2021 (śla­dy In­cap­su­la), gdy star­to­wał do­bro­wol­ny KSeF, ana­li­za re­kor­dów DNS oraz ru­chu sie­cio­we­go API wska­zy­wa­ła na ko­rzy­sta­nie z in­fra­struk­tu­ry ame­ry­kań­skiej fir­my Im­pe­rva (daw­niej In­cap­su­la). KSeF od po­cząt­ku był pro­jek­to­wa­ny w mo­de­lu, w któ­rym Cen­trum In­for­ma­ty­ki Re­sor­tu Fi­nan­sów (CIRF) oraz spół­ka ce­lo­wa Apli­ka­cje Kry­tycz­ne ko­rzy­sta­ły z ze­wnętrz­ny­ch do­staw­ców usług ochro­ny przed ata­ka­mi DDoS i za­bez­pie­czeń war­stwy apli­ka­cji (WAF). To wła­śnie za rzą­dów PiS za­pa­dły de­cy­zje o wy­bo­rze tech­no­lo­gii za­bez­pie­cza­ją­cy­ch sys­tem, któ­ry ma prze­twa­rzać mi­liar­dy fak­tur rocz­nie. Im­pe­rva by­ła wte­dy nie­za­leż­ną fir­mą ame­ry­kań­ską. Fran­cu­ska gru­pa Tha­les ogło­siła jej prze­ję­cie do­pie­ro w lip­cu 2023 ro­ku, a sfi­na­li­zo­wała je w grud­niu 2023.

War­stwa tech­no­lo­gicz­na KSeF — ta, któ­rej ofi­cjal­ne ko­mu­ni­ka­ty Mi­ni­ster­stwa Fi­nan­sów kon­se­kwent­nie nie opi­su­ją — od sa­me­go po­cząt­ku opie­ra­ła się na ze­wnętrz­nej bram­ce bez­pie­czeń­stwa ty­pu WAF/CDN. Nie je­st to roz­wią­za­nie wpro­wa­dzo­ne przez obec­ną ko­ali­cję w ja­kimś ak­cie zdra­dy czy na­głe­go zwro­tu. To ele­ment ar­chi­tek­tu­ry, któ­ry ist­niał już w fa­zie KSeF do­bro­wol­ne­go, w la­ta­ch 2021–2022 – gdy sys­tem star­to­wał, gdy był te­sto­wa­ny, gdy po­dej­mo­wa­no klu­czo­we de­cy­zje pro­jek­to­we. Za rzą­dów Pra­wa i Spra­wie­dli­wo­ści.

Wte­dy tę war­stwę ob­słu­gi­wa­ła Im­pe­rva — ame­ry­kań­ska fir­ma pry­wat­na, zna­na z roz­wią­zań ochro­ny apli­ka­cji we­bo­wy­ch i in­fra­struk­tu­ry brze­go­wej. To nie by­ła żad­na ta­jem­ni­ca tech­nicz­na dla lu­dzi, któ­rzy po­tra­fi­li spoj­rzeć w DNS i zo­ba­czyć, gdzie na­praw­dę koń­czy się po­łą­cze­nie. Ta­jem­ni­cą sta­ło się to do­pie­ro na po­zio­mie po­li­tycz­nym.

Pro­jek­tu­jąc KSeF w ta­kim mo­de­lu, pań­stwo pol­skie już wte­dy zre­zy­gno­wa­ło z peł­nej kon­tro­li nad brze­giem sys­te­mu. Nie nad da­ny­mi za­pi­sa­ny­mi w ba­zie. Nie nad ser­we­ra­mi sto­ją­cy­mi fi­zycz­nie w kra­ju. Nad brze­giem. Nad tym miej­scem, przez któ­re prze­cho­dzi ca­ły ru­ch. Nad punk­tem, w któ­rym da się fil­tro­wać, blo­ko­wać, ana­li­zo­wać i kształ­to­wać stru­mień ko­mu­ni­ka­cji. To tam le­ży re­al­na wła­dza w sys­te­ma­ch cy­fro­wy­ch.

Tha­les

Po­tem hi­sto­ria po­to­czy­ła się da­lej już bez udzia­łu III RP. W 2023 ro­ku Im­pe­rva zo­sta­ła prze­ję­ta przez Tha­les — kon­cern zbro­je­nio­wo-tech­no­lo­gicz­ny, ści­śle po­wią­za­ny z pań­stwem fran­cu­skim, dzia­ła­ją­cy w sek­to­rze obron­nym, kryp­to­gra­ficz­nym i wy­wia­dow­czym — de­cy­zja biz­ne­so­wa, glo­bal­na kon­so­li­da­cja ryn­ku, nic nad­zwy­czaj­ne­go. Z punk­tu wi­dze­nia Pol­ski — kom­plet­na zmia­na za­sad gry. To już nie by­ła pry­wat­na fir­ma ame­ry­kań­ska, ale gieł­do­wa fir­ma kon­tro­lo­wa­na przez pań­stwo fran­cu­skie, któ­ra zaj­mu­je się wy­wia­dem.

Od te­go mo­men­tu war­stwa brze­go­wa sys­te­mu, przez któ­ry prze­cho­dzi ca­ły stru­mień fak­tur w pol­skiej go­spo­dar­ce, zna­la­zła się pod kon­tro­lą pod­mio­tu za­gra­nicz­ne­go, funk­cjo­nu­ją­ce­go w ści­słym eko­sys­te­mie pań­stwo­we­go bez­pie­czeń­stwa Fran­cji. I nie je­st tu istot­ne, czy ktoś czy­ta tre­ść fak­tur, czy ma klu­cze, czy ma złe in­ten­cje. To są py­ta­nia dla na­iw­ny­ch. Wła­dza sys­te­mo­wa nie po­le­ga na czy­ta­niu tre­ści. Po­le­ga na kon­tro­li ar­chi­tek­tu­ry.

Rząd ukry­wa do­staw­cę WAF/CDN

I te­raz do­cho­dzi­my do punk­tu naj­bar­dziej kom­pro­mi­tu­ją­ce­go. Obec­ny rząd o tym wie. Wie, bo nie da się nie wie­dzieć. Wie, bo in­fra­struk­tu­ra się nie zmie­ni­ła. Wie, bo nie za­prze­cza. Wie, bo w ofi­cjal­ny­ch ko­mu­ni­ka­ta­ch mó­wi o kra­jo­wej in­fra­struk­tu­rze, ser­we­ra­ch w Pol­sce i WAF Clo­ud, ale kon­se­kwent­nie nie mó­wi, kto ten WAF ob­słu­gu­je. To nie je­st przy­pa­dek. To je­st świa­do­me prze­mil­cze­nie.

Gdy­by to by­ło po­li­tycz­nie obo­jęt­ne, pa­dła­by na­zwa. Tak jak pa­da­ją na­zwy SAP, Orac­le czy Mi­cro­so­ft w in­ny­ch sys­te­ma­ch pań­stwo­wy­ch. Sko­ro na­zwa nie pa­da, to zna­czy, że ktoś uznał ją za pro­blem. A sko­ro uznał za pro­blem, to zna­czy, że ro­zu­mie kon­se­kwen­cje su­we­ren­no­ścio­we. I mi­mo to wy­brał ma­ta­cze­nie.

Cią­gło­ść wła­dzy w Pol­sce

W ten spo­sób do­cho­dzi­my do me­cha­ni­zmu, któ­ry naj­le­piej opi­su­je ca­ły pro­jekt KSeF. PiS pod­jął de­cy­zje ar­chi­tek­to­nicz­ne, któ­re od­da­ły brzeg sys­te­mu w rę­ce ame­ry­kań­skiej fir­my pry­wat­nej, któ­ra zo­sta­ła ku­pio­na przez wy­wia­dow­czą fran­cu­ską fir­mę pań­stwo­wą. Obec­na ko­ali­cja ty­ch de­cy­zji nie od­wró­ci­ła. Nie zmie­ni­ła ar­chi­tek­tu­ry. Nie ze­rwa­ła za­leż­no­ści. Za­mia­st te­go po­sta­no­wi­ła ją ukryć pod war­stwą PR-u o rze­ko­mej dez­in­for­ma­cji i nie­uza­sad­nio­ny­ch za­rzu­ta­ch — ni­żej cy­tu­ję ca­ły ten ko­mu­ni­kat.

To nie je­st spór par­tyj­ny. To je­st cią­gło­ść pań­stwa w od­da­wa­niu su­we­ren­no­ści tech­no­lo­gicz­nej bez py­ta­nia oby­wa­te­li o zgo­dę. KSeF nie je­st na­rzę­dziem jed­ne­go rzą­du. Je­st na­rzę­dziem no­we­go mo­de­lu wła­dzy, w któ­rym pań­stwo sta­je się użyt­kow­ni­kiem wła­sne­go sys­te­mu, a nie je­go wła­ści­cie­lem w sen­sie peł­nej kon­tro­li.

Utra­ta su­we­ren­no­ści

Je­że­li ktoś po tym wszyst­kim na­dal uwa­ża, że su­we­ren­no­ść spro­wa­dza się do lo­ka­li­za­cji ser­we­ra, to zna­czy, że nie zro­zu­miał nic z ar­chi­tek­tu­ry in­ter­ne­to­wej w dzi­siej­szy­ch cza­sa­ch. Al­bo ro­zu­mie, ale ukry­wa istot­ne in­for­ma­cji. Su­we­ren­no­ść koń­czy się tam, gdzie koń­czy się ka­bel. A ka­bel KSeF od po­cząt­ku nie koń­czył się w Pol­sce.

W skró­cie

PiS od­dał su­we­ren­no­ść Pol­ski pry­wat­nej fir­mie ame­ry­kań­skiej, gdy rzą­dził Bi­den, a po cza­sie oka­za­ło się, że w USA rzą­dzi Trump, a fir­ma ame­ry­kań­ska sprze­da­ła się pań­stwo­wej fir­mie fran­cu­skiej po­wią­za­nej z wy­wia­dem. Tu­sk nie mu­siał się spe­cjal­ne sta­rać, by od­dać su­we­ren­no­ść Pol­ski Fran­cji, bo PiS od­da­ło Pol­skę USA, a te sprze­da­ły ją Fran­cji. Nie­mniej kon­tro­lę nad KSeF, a za­tem ca­łym biz­ne­sem w Pol­sce, ma­ją i USA, i Fran­cja po­przez swo­je fir­my i służ­by.

Autorstwo: Grzegorz GPS Świderski
Źródło: WolneMedia.net