Trzęsą się portki pętakom...

Po­mi­mo mo­ich licz­ny­ch pu­bli­ka­cji miaż­dżą­cy­ch ar­chi­tek­tu­rę KSeF po­twier­dzo­ny­ch spe­cja­li­stycz­ny­mi au­dy­ta­mi kil­ku­na­stu kra­jów z ca­łe­go świa­ta oraz ostry­ch tek­stów oskar­ża­ją­cy­ch rząd o szpie­go­stwo i afe­rę groź­niej­szą niż za­bo­ry, od­dźwięk w głów­nym nur­cie me­ry­to­rycz­nej in­fo­stre­fy je­st ni­kły. Nikt nie za­prze­cza, a po­twier­dza nie­wie­lu i tyl­ko wy­ryw­ko­wo. W za­sa­dzie na fa­cho­wy­ch fo­ra­ch nie­zbi­cie po­twier­dzo­ne je­st tyl­ko to, iż w sys­te­mie KSeF to Im­pe­rva ro­bi WAF i ter­mi­nu­je TLS, a za­tem wi­dzi me­ta­da­ne.

  Jed­nak klu­czo­wa mo­ja te­za brz­mi: "me­ta­da­ne JSON zwra­ca­ne przez API 2.0 KSeF, w tym: NIP sprze­daw­cy i na­byw­cy, na­zwy pod­mio­tów, kwo­ty net­to/VAT/brut­to, wa­lu­ta trans­ak­cji, nu­mer fak­tu­ry, da­ty ope­ra­cyj­ne i typ fak­tu­ry, nie są za­szy­fro­wa­ne apli­ka­cyj­nie tak jak ca­ła fak­tu­ra XML i są jaw­nie wi­docz­ne dla Im­pe­rvy". To je­st naj­waż­niej­sze, bo wła­śnie to wi­dzą ob­ce wy­wia­dy w ca­łej pol­skiej go­spo­dar­ce. Zro­bi­łem so­lid­ny au­dyt to po­twier­dza­ją­cy pod ty­tu­łem: "]]>Au­dyt tech­nicz­ny: jaw­no­ść me­ta­da­ny­ch JSON w KSeF przy ter­mi­na­cji TLS przez Im­pe­rva]]>" — wszyst­ko in­ne je­st dru­go­rzęd­ne. Do te­go nikt się nie od­no­si. Dla­cze­go eks­per­ci mil­czą?

  Moż­na tyl­ko spe­ku­lo­wać, więc to zro­bię. Więk­szo­ść re­no­mo­wa­ny­ch firm au­dy­tor­ski­ch, nie­za­leż­ny­ch rze­ko­mo por­ta­li spe­cja­li­stycz­ny­ch i ba­da­czy z ty­tu­ła­mi aka­de­mic­ki­mi ope­ru­je w ści­słej sym­bio­zie fi­nan­so­wej i pro­jek­to­wej z ad­mi­ni­stra­cją rzą­do­wą. Kry­ty­ka tak prio­ry­te­to­we­go pro­jek­tu rzą­du, jak KSeF, z tak głę­bo­ko udo­ku­men­to­wa­nym de­fek­tem w ar­chi­tek­tu­rze stra­te­gicz­nej, wią­że się z ry­zy­kiem wi­ze­run­ko­wym i biz­ne­so­wym — od­cię­ciem od gran­tów, kon­trak­tów dla spół­ek Skar­bu Pań­stwa czy mar­gi­na­li­za­cją śro­do­wi­sko­wą.

  Do­dat­ko­wo ist­nie­je zja­wi­sko tak zwa­nej "śle­po­ty kor­po­ra­cyj­nej" (ven­dor blind­ness). Po­nie­waż in­sta­lo­wa­nie chmu­ro­we­go WAF-a (od Clo­ud­fla­re, Im­pe­rva czy Aka­mai) z ter­mi­na­cją pro­to­ko­łu TLS je­st po­pu­lar­ną, wy­god­ną, po­wszech­ną i ta­nią prak­ty­ką w sek­to­rze czy­sto ko­mer­cyj­nym (np. w e-com­mer­ce), wie­lu spe­cja­li­stów pod­cho­dzi do zja­wi­ska KSeF z fał­szy­wą apa­tią. Za­po­mi­na­ją oni o fun­da­men­tal­nej róż­ni­cy: wi­docz­no­ść lo­gów ze skle­pu obuw­ni­cze­go to in­cy­dent biz­ne­so­wy, a gro­ma­dze­nie da­ny­ch przez ob­cy wy­wiad o fak­tu­ra­ch od pro­du­cen­ta amu­ni­cji dla Woj­ska Pol­skie­go to zdra­da sta­nu i wy­rwa w bez­pie­czeń­stwie na­ro­do­wym.

  Je­st jesz­cze bar­dzo cie­ka­wy aspekt praw­ny! W Pol­sce, gdy ba­da­cz in­fra­struk­tu­ry in­for­ma­tycz­nej zgło­si lu­kę w sys­te­mie rzą­do­wym, a ad­mi­ni­stra­cja uzna, iż dzia­łał bez upo­waż­nie­nia, ope­ra­tor mo­że jed­no­cze­śnie zło­żyć za­wia­do­mie­nie o po­peł­nie­niu prze­stęp­stwa. Im po­waż­niej­sza lu­ka w sys­te­mie stra­te­gicz­nym, tym więk­sze ry­zy­ko dla te­go, kto ją znaj­dzie. Ro­bi się to przy uży­ciu art. 267 ko­dek­su kar­ne­go: "kto bez upraw­nie­nia uzy­sku­je do­stęp do in­for­ma­cji dla nie­go nie­prze­zna­czo­nej [...] pod­le­ga grzyw­nie, ka­rze ogra­ni­cze­nia wol­no­ści al­bo po­zba­wie­nia wol­no­ści do lat 2.". Dla­te­go mo­je wszyst­kie au­dy­ty są ro­bio­ne bez kon­ta w KSeF, bo le­piej nie ry­zy­ko­wać pod­pad­nię­cie pod ten pa­ra­graf.

  W 2022 ro­ku De­par­ta­ment Spra­wie­dli­wo­ści USA ogło­sił for­mal­ną po­li­ty­kę nie­ści­ga­nia ba­da­czy dzia­ła­ją­cy­ch w do­brej wie­rze (go­od fa­ith se­cu­ri­ty re­se­ar­ch). De­fi­ni­cja je­st pre­cy­zyj­na: ba­da­nie pro­wa­dzo­ne je­st wy­łącz­nie w ce­lu po­pra­wy bez­pie­czeń­stwa, re­se­ar­cher ujaw­nia wy­ni­ki od­po­wie­dzial­nie i nie ma za­mia­ru wy­rzą­dze­nia szko­dy ani uzy­ska­nia ko­rzy­ści ma­jąt­ko­wej. Więc tam in­for­ma­ty­cy nie bo­ją się ro­bić au­dy­tów na­wet du­żo głęb­szy­ch niż mo­je, z uży­ciem kont w sys­te­mie e-fak­tur.

  In­for­ma­ty­cy bo­ją się po­li­ty­ki i się od niej od­ci­na­ją, więc nie ana­li­zu­ją in­fra­struk­tu­ry sie­cio­wej pod wzglę­dem po­li­tycz­ny­ch za­gro­żeń, a po­li­ty­cy nie zna­ją się na szcze­gó­ła­ch tech­nicz­ny­ch In­ter­ne­tu, więc nie ro­zu­mie­ją isto­ty rze­czy. Dla­te­go tyl­ko ja to od­kry­łem tak do­głęb­nie i sze­ro­ko — i opu­bli­ko­wa­łem so­lid­ne au­dy­ty tech­nicz­ne i wnio­ski po­li­tycz­ne — bo je­stem pro­gra­mi­stą i in­te­re­su­ję się po­li­ty­ką. A na do­da­tek nie bo­ję się utra­ty żad­ny­ch gran­tów czy kon­trak­tów, bo je­stem nie­za­leż­nym fre­elan­ce­rem, je­stem tyl­ko zwy­kłym ko­de­rem wi­bra­cyj­nym, nie je­stem eks­per­tem od cy­ber­bez­pie­czeń­stwa wplą­ta­nym w ukła­dy z pań­stwem i je­go ad­mi­ni­stra­cją.

  Le­cz ta­ki­ch jak ja je­st wię­cej i moc­no wie­rzę w to, iż ten świat, nie zgi­nie ni­gdy dzię­ki nim. Ten świat, czy­li Pol­ska, na­sz kraj, któ­ry sprze­daj­ni po­li­ty­cy nisz­czą. Więc ape­lu­ję do nie­za­leż­ny­ch pro­gra­mi­stów, in­for­ma­ty­ków i sie­ciow­ców: nie bój­cie się spraw­dzać mo­je au­dy­ty! Nie bój­cie się pu­bli­ko­wać wnio­ski! Te­stuj­cie to i rób­cie swo­je ba­da­nia! I po­twierdź­cie lub za­przecz­cie mo­im od­kry­ciom — ale me­ry­to­rycz­nie, skru­pu­lat­nie, mą­drze, a nie na chyb­ci­ka, na in­tu­icję i na od­wal się. Po­mo­że­cie? Bo cer­ty­fi­ko­wa­ni eks­per­ci pew­nie nie, bo trzę­są por­t­ka­mi. Gdy wie­je wia­tr hi­sto­rii, lu­dziom jak pięk­nym pta­kom ro­sną skrzy­dła, na­to­mia­st trzę­są się por­t­ki pę­ta­kom.

Grzegorz GPS Świderski
]]>https://Twitter.com/gps65]]>
]]>https://t.me/KanalBlogeraGPS]]>