Imperva - to ona "pilnuje" faktur KSeF. Czym jest ta zagraniczna firma?
KSeF stał się cyfrowym krwiobiegiem polskiej gospodarki. Na jego bramce pojawia się jednak nazwa zagranicznego dostawcy cyberbezpieczeństwa. Czym jest zagraniczna Imperva?
KSeF ma uporządkować faktury i dać państwu pełną kontrolę nad ich obiegiem. Tyle że na wejściu do tego systemu pojawia się nazwa, której większość przedsiębiorców nigdy wcześniej nie słyszała: Imperva. To zagraniczny dostawca cyberbezpieczeństwa, stojący przed cyfrową bramką do polskich faktur. Kto naprawdę pilnuje systemu, przez który przechodzi nasza gospodarka?
KSeF to tak naprawdę cyfrowy krwiobieg firm
Przez KSeF przechodzą obecnie wszystkie faktury ustrukturyzowane, czyli dokumenty zapisane w określonym, maszynowo czytelnym formacie. Dla zwykłej firmy oznacza to koniec modelu, w którym faktura była plikiem PDF wysłanym mailem, wydrukiem albo dokumentem wygenerowanym w programie księgowym i przechowywanym w segregatorach. W modelu KSeF faktura trafia do państwowego systemu, otrzymuje swój numer, może być pobierana przez uprawnione podmioty i staje się elementem centralnego obiegu danych o transakcjach.
Pamiętajmy, że na fakturach nie ma jedynie samych kwot. Są kontrahenci, towary, usługi, daty, terminy płatności, rytm współpracy między firmami, sezonowość sprzedaży, łańcuchy dostaw i bardzo dużo informacji o tym, jak naprawdę działa gospodarka. Gdy taki system staje się obowiązkowy, przestaje być zwykłym narzędziem administracyjnym. Zaczyna przypominać cyfrową infrastrukturę krytyczną, nawet jeśli formalnie opisuje się go spokojniejszym językiem podatkowym.
W tym całym mechanizmie bardzo ważna jest jedna firma, o której mało kto cokolwiek wie
Imperva to globalna firma od cyberbezpieczeństwa. Nie jest operatorem księgowym, nie jest polskim urzędem, nie jest też systemem do wystawiania faktur. Jej rolą jest chronić aplikacje internetowe, interfejsy API i serwisy przed atakami, przeciążeniem oraz złośliwym ruchem. Imperva należy obecnie do francuskiej grupy Thales, ale jej historia i korzenie są związane z rynkiem amerykańskim. Już ten międzynarodowy charakter wystarczył, żeby wokół KSeF pojawiły się pytania o jurysdykcję, kontrolę i zakres dostępu do danych.
Można powiedzieć, że Imperva działa jak mur ustawiony przed właściwym systemem. Zanim użytkownik, program księgowy albo system firmowy połączy się z usługą chronioną takim rozwiązaniem, jego ruch trafia do warstwy pośredniej. Ta warstwa może analizować zapytania, odrzucać podejrzane próby połączeń, blokować boty, filtrować ataki i chronić właściwy serwer przed zalaniem ruchem.
W świecie cyberbezpieczeństwa jest to tak naprawdę standardowe rozwiązanie. Nazywa się je WAF, czyli Web Application Firewall. W dużym uproszczeniu jest to zapora dla aplikacji internetowych. Nie chroni ona komputera użytkownika, tylko aplikację stojącą po drugiej stronie. Ma rozpoznawać niebezpieczne żądania, blokować próby wykorzystania luk i pilnować, żeby do właściwego systemu trafiał tylko ruch uznany za dopuszczalny.
Problem polega jednak na tym, że w przypadku KSeF nie mówimy o blogu, sklepie internetowym ani stronie ofertowej. Mówimy o systemie, który ma obsługiwać faktury całej gospodarki.
Bez takiej ochrony KSeF byłby wprost wymarzonym celem cyberataków
Użycie zewnętrznej warstwy ochronnej nie jest samo w sobie niczym dziwnym. Taki system jak KSeF po prostu musi mieć bardzo mocne zabezpieczenia. Gdyby publiczny interfejs państwowego systemu faktur był wystawiony bez odpowiedniego filtrowania, szybko stałby się celem automatycznych skanerów, botów, cyberprzestępców, aktywistów, grup szantażujących i obcych służb.
Wystarczy wyobrazić sobie skuteczny atak DDoS, czyli próbę zasypania systemu tak dużą liczbą żądań, żeby przestał odpowiadać legalnym użytkownikom. W przypadku zwykłej strony oznacza to po prostu przerwę w działaniu serwisu. W przypadku KSeF skutki mogłyby być znacznie poważniejsze, bo mówimy o potencjalnych problemach z wystawianiem faktur, opóźnieniach w obiegu dokumentów, nerwowości w firmach i ogólnych przeciążeniach całej infrastruktury.
Do tego dochodzą oczywiście także ataki na API, czyli interfejs, przez który z KSeF komunikują się programy. Tam nie ma przycisków i formularzy znanych ze zwykłej strony internetowej. Są za to zapytania wysyłane przez oprogramowanie księgowe, systemy sprzedażowe i integratory. To oczywiście bardzo wygodne dla firm, ale niestety także dla atakujących. API można testować automatycznie, szukać błędów w obsłudze żądań, próbować wymuszać nieprawidłowe odpowiedzi albo przeciążać wybrane funkcje.
WAF jest zatem jednym z elementów higieny bezpieczeństwa. KSeF bez ochrony przed atakami i przeciążeniem byłby jak urząd z jednymi drzwiami, bez ochrony, do którego nagle mają wejść miliony ludzi i tysiące automatów naraz. Ale co dokładnie ta bramka widzi, kto nią zarządza i jak państwo potrafi to wyjaśnić?
Czy Imperva widzi treść faktur? Tu tak naprawdę nie ma prostej odpowiedzi
KSeF API 2.0 zakłada lokalne szyfrowanie faktur po stronie klienta. Oznacza to, że dokument faktury powinien zostać zaszyfrowany jeszcze przed wysłaniem do systemu. Program korzystający z KSeF przygotowuje więc dane, szyfruje je odpowiednim kluczem i dopiero wtedy przekazuje dalej. Jeżeli ten model jest wdrożony zgodnie z dokumentacją, zewnętrzna warstwa ochronna nie powinna mieć wglądu w jawną treść faktury jako dokumentu XML. Imperva zatem widzi nasze faktury czy nie? I tak, i nie. Czym innym jest widzieć zaszyfrowany pakiet, a czym innym czytać fakturę z nazwą kontrahenta, numerem NIP, kwotą, opisem usługi i terminem płatności.
Nie oznacza to jednak, że tematu w ogóle nie ma. Nawet jeśli treść faktury jest szyfrowana, zewnętrzna warstwa ochronna może i tak mieć kontakt z innymi informacjami o ruchu. Może widzieć, kiedy następuje połączenie, z jakiego adresu, do jakiego endpointu, z jakim rozmiarem żądania i jak często dany system komunikuje się z KSeF. W zależności od konfiguracji takiej usługi znaczenie mogą mieć również nagłówki, dane sesyjne, tokeny, sposób terminacji połączenia TLS, zasady logowania oraz czas przechowywania logów.
I właśnie tu zaczyna się prawdziwy problem. Wyobrażenie, że po drugiej stronie ktoś ręcznie przegląda faktury za prąd czy materiały biurowe polskich firm jest zbyt dużym skrótem. Poważniejsze pytanie dotyczy tak naprawdę metadanych, konfiguracji, dostępu administracyjnego, audytów oraz granic zaufania między państwowym systemem a komercyjną usługą ochronną.
Ministerstwo uspokaja, ale nie zamyka wszystkich pytań
Resort finansów przekonuje, że korzystanie z zewnętrznych usług bezpieczeństwa jest standardem przy systemach tej klasy. To prawda, bo nawet największe instytucje i firmy na świecie używają rozwiązań WAF, ochrony DDoS, filtrów botów i usług brzegowych. Trudno oczekiwać, że państwo samo napisze od zera każde narzędzie cyberbezpieczeństwa, utrzyma je i będzie aktualizować szybciej, niż wyspecjalizowani dostawcy.
Resort podkreśla też, że operator usług bezpieczeństwa nie ma mieć wglądu w treść danych przesyłanych do KSeF, a bezpieczeństwo informacji zapewnia m.in. szyfrowanie. Pozostaje jednak pytania o to, kto, gdzie i na jakich zasadach zarządza kluczami deszyfrującymi. Bo to one, a nie same spakowane pliki, są prawdziwym skarbem dla każdego, kto chciałby dobrać się do tajemnic polskiego biznesu.
Przy tak ważnym systemie nie trzeba ujawniać wszystkiego. Nikt rozsądny przecież nie oczekuje publicznej mapy infrastruktury, adresów serwerów, szczegółów reguł bezpieczeństwa czy konfiguracji, które mogłyby pomóc atakującym. Jednak między niebezpiecznym ujawnianiem architektury a rzuceniem, że wszystko jest bezpieczne istnieje dużo miejsca na sensowną transparentność.
Największym ryzykiem nie jest sama Imperva, ale brak zaufania
Imperva to potężne narzędzie, a korzystanie z niego ma technologiczne uzasadnienie. Wpuszczenie zewnętrznej tarczy do ochrony aplikacji to sprawdzony w branży sposób na odpieranie zmasowanych ataków, z którymi wyłącznie państwowe serwery mogłyby sobie szybko nie poradzić. Jeśli dodamy do tego solidne szyfrowanie faktur po stronie klienta, ryzyko wycieku danych staje się marginalne. KSeF może być pod wieloma względami zaprojektowany rozsądniej, niż wynika to z najbardziej histerycznych wpisów w sieci.
Przeczytaj także:
To nadal jednak nie zamyka sprawy, bo obowiązkowy system wymaga nie tylko zabezpieczeń, lecz także zaufania. A zaufania nie buduje się samym zapewnieniem, że wszystko jest zgodne z normami i certyfikatami. Zwłaszcza wtedy, gdy mówimy o centralnym obiegu faktur, który dotyczy dużych firm, małych przedsiębiorców, księgowych, dostawców oprogramowania i administracji skarbowej.
