W dyskusjach o szpiegowskim systemie #KSeF spotykam się często z takim argumentem: „No i co z tego, iż polski rząd oddaje trzem obcym wywiadom na tacy mapę całej polskiej gospodarki i pełne powiązania biznesowe wszystkich firm działających w Polsce, jeśli i tak od dawna używamy rozwiązań Microsoftu i Google, ich Windowsów na PC czy Androida na smartfonie i w ten sposób oddajemy tym firmom wszelkie dane o sobie, w tym intymne i wrażliwe?”. I tak wszystko oddajemy, więc te dane o fakturach to nic strasznego i nowego.
- 1⃣. Po pierwsze, różnica dotyczy rodzaju danych. Dane zbierane przez Big Tech to w dużej mierze dane behawioralne: co klikasz, co wyszukujesz, gdzie jesteś, jakie masz nawyki. To oczywiście bywa wrażliwe, ale ma charakter probabilistyczny i rozproszony. Tymczasem KSeF tworzy centralną, kompletną, ustrukturyzowaną bazę transakcji gospodarczych — kto, komu, za co, kiedy i za ile. To nie są ślady, tylko pełna mapa relacji ekonomicznych kraju w czasie rzeczywistym.
- 2⃣. Po drugie, różnica dotyczy wiarygodności i kompletności. Dane Google czy Microsoftu są fragmentaryczne i często wymagają korelacji, estymacji i zgadywania. KSeF to system obowiązkowy i prawnie wiążący — dane są w nim z definicji kompletne i prawdziwe (bo ich fałszowanie grozi sankcjami). To przeskok z poziomu analizy heurystycznej do poziomu pełnej wiedzy operacyjnej.
- 3⃣. Po trzecie, różnica dotyczy kontroli i przymusu. Korzystanie z usług Big Techów jest — przynajmniej formalnie — dobrowolne i można je ograniczać: używać alternatyw, szyfrować komunikację, segmentować swoją obecność cyfrową. KSeF jest systemem przymusowym. Nie możesz z niego zrezygnować, jeżeli chcesz legalnie prowadzić działalność. To zmienia relację z rynkowej na administracyjno-przymusową.
- 4⃣. Po czwarte, różnica dotyczy punktu agregacji. Firmy Big Tech mają gigantyczne zasoby danych, ale są one rozproszone między różnymi podmiotami i systemami. KSeF centralizuje najważniejszy segment informacji gospodarczej w jednym miejscu. Z punktu widzenia wywiadu czy aparatu kontroli to sytuacja idealna: jeden dostęp daje pełny obraz, bez konieczności skomplikowanej analizy, by dane powiązać ze sobą. Od razu wiemy kto z kim, kiedy i za ile.
- 5⃣. Po piąte, dochodzi kwestia interoperacyjności z państwem. Dane Big Techów trzeba pozyskiwać, negocjować, wyciągać, często wykradać — w ramach procedur prawnych lub nielegalnych operacji wywiadowczych. KSeF to system państwowy, który z definicji jest dostępny dla administracji i dane z niego są oddawane na tacy amerykańskiej firmie Imperva, której właścicielem jest francuski, wywiadowczo-zbrojeniowy koncern Thales, a dane są zbierane na serwerach w Izraelu. To zupełnie inna jakość ryzyka.
Najprostsza analogia: korzystanie z Google to jak zostawianie śladów na śniegu — ktoś może je analizować i coś z nich wywnioskować. KSeF to oddanie księgi rachunkowej całego kraju w jednym egzemplarzu, aktualizowanym na bieżąco.
Zrównywanie tych dwóch zjawisk to błąd kategorii. Jedno jest problemem prywatności w gospodarce cyfrowej. Drugie jest budową infrastruktury totalnej wiedzy ekonomicznej — i to już nie jest tylko kwestia prywatności, ale suwerenności i kontroli systemowej.
Nazywam KSeF systemem szpiegowskim nie dlatego, iż używam metafory, ale dlatego, iż w moich licznych audytach technicznych wykazałem architekturę, w której ruch do centralnego systemu fakturowego przechodzi przez zagraniczną warstwę WAF Imperva/Thales, a przez tę warstwę przechodzą również jawne metadane w formacie JSON pozwalające rekonstruować relacje gospodarcze.
A to, iż pełne faktury XML są szyfrowane, nie zamyka problemu, bo najważniejsze metadane fakturowe są powielane i obsługiwane w jawnych strukturach JSON. Do odtworzenia mapy relacji gospodarczych nie trzeba czytać całej faktury. Wystarczy wiedzieć: kto, komu, kiedy, za ile i w jakim typie operacji.
Grzegorz GPS Świderski
]]>https://t.me/KanalBlogeraGPS]]>
]]>https://Twitter.com/gps65]]>
Tagi: Cyberbezpieczeństwo, PaństwoZDykty, KSeF, GPS65.
