KSeF od wielu tygodni budzi wątpliwości przedsiębiorców związane z bezpieczeństwem. Sen z powiek spędzają m.in. takie kwestie jak nieuprawniony dostęp do faktur firm czy ewentualny wyciek danych. Ministerstwo Finansów ustosunkowało się do tych wątpliwości w odpowiedzi na pytania Biznes Enter.
- Teza. Przedsiębiorcy mają szereg obaw związanych z funkcjonowaniem KSeF-u. Obawiają się m.in. wycieku wrażliwych danych czy nieuprawnionego dostępu do nich osób niepowiązanych z ich działalnością. Ministerstwo Finansów jednak zapewnia, że system jest właściwie zabezpieczony.
- Dowód. Za bezpieczeństwo odpowiadają takie narzędzia, jak m.in. WAF Cloud. Cała infrastruktura KSeF-u (serwery, oprogramowanie itd.) jest zlokalizowane w Polsce lub pochodzi z naszego kraju. Ponadto system ma wbudowane zabezpieczenia ograniczające nieuprawniony dostęp.
- Efekt. Gdyby jeszcze obowiązywała estetyka z lat 2016-2023, to można by mówić o „Narodowym” Systemie e-Faktur.
Zabezpieczenia KSeF. Resort finansów odsłania karty. Spis treści
Na początku miesiąca w Biznes Enter opisaliśmy obawy przedsiębiorców związane ze wdrożeniem Krajowego Systemu e-Faktur (KSeF). Jedną z ważniejszych jest fakt, że jest to system cyfrowy, a te z natury rzeczy są narażone na ataki hakerskie, których następstwem jest masowy wyciek danych. – Historia zna przypadki, w których dochodziło do niepowołanego dostępu nawet w najlepiej strzeżonych systemach – punktował w rozmowie z nami Kamil Sobolewski, główny ekonomista Pracodawców RP.
KSeF chroniony przez „zaawansowane usługi bezpieczeństwa”
Dlatego też zwróciliśmy się z pytaniami do Ministerstwa Finansów dotyczącymi m.in. zakresu ochrony systemu, jak i odpowiedzialności za jego bezpieczeństwo. W odpowiedzi otrzymanej od wydziału prasowego MF (nikt się pod nią nie podpisał), dowiadujemy się, że resort wykorzystuje „wiele systemów do zabezpieczenia danych, w tym zaawansowane usługi bezpieczeństwa od dostawców zewnętrznych”.
Są to między innymi narzędzia typu WAF Cloud (Web Application Firewall). Wszystkie usługi spełniają restrykcyjne normy i certyfikacje.
Wydział prasowy Ministerstwa Finansów dla Biznes Enter
Szczegółów jednak nie poznamy. MF podkreśla bowiem, że nie nie udziela szczegółowych informacji w zakresie wykorzystywanych zabezpieczeń. Motywuje to troską o odpowiedni poziom bezpieczeństwa systemów informatycznych resortu oraz danych w nich przetwarzanych.
„Narodowy” KSeF łatwo do danych nie dopuści
Pisząc nieco żartobliwie, gdyby obowiązywała estetyka znana z lat 2016-2023, to pełną nazwę systemu trzeba by było rozszerzyć o przedrostek „narodowy”. KSeF bowiem – jak deklaruje Ministerstwo Finansów – jest zbudowany przez resort i „działa wyłącznie na serwerach znajdujących się w Polsce”. Opierać się też ma na krajowej infrastrukturze oraz polskim zapleczu technologicznym.
„Do zabezpieczenia danych w KSeF użyliśmy narzędzi szyfrowania i kryptografii, które są częścią infrastruktury Ministerstwa Finansów. KSeF był regularnie poddawany licznym testom, w tym testom wydajnościowym, bezpieczeństwa oraz odporności na awarie. Został także przetestowany w zakresie cyberbezpieczeństwa oraz był testowany we współpracy ze służbami bezpieczeństwa państwa. KSeF spełnia również wymogi w zakresie ochrony danych osobowych” – zapewnia MF.
Dane nie są dostępne publicznie
Co szczególnie ważne dla przedsiębiorców, informacje w systemie nie są dostępne publicznie. Deklaracja ta jest istotna, gdyż zaniepokojeni właściciele firm wielokrotnie głośno wyrażali niepokój, iż tajemnice związane z ich działalnością, które można wyczytać z wystawianych przez nich faktur, wyciekną.
– Ich ewentualne nieuprawnione wykorzystanie mogłoby poważnie naruszyć fundamenty funkcjonowania przedsiębiorstw. W branżach opartych na unikalnych recepturach czy rzadkich źródłach dostaw taka scentralizowana baza danych może budzić obawy – przestrzegał Sobolewski.
MF jednak zapewnia, że „przetwarzanie, udostępnianie i wykorzystanie” informacji „odbywa się w ściśle kontrolowany sposób, według jasno określonych procedur”.
Oznacza to, że uprawniony urzędnik, który chce uzyskać dostęp do informacji z systemu, musi to odpowiednio uzasadnić i posiadać wielostopniowo zatwierdzone uprawnienia.
Ministerstwo Finansów w odpowiedzi na pytania Biznes Enter
Nowa rzeczywistość fakturowania
Od 1 lutego przedsiębiorstwa z obrotami w 2024 r. przekraczającymi 200 mln zł są zobowiązane do korzystania z KSeF-u. Od 1 kwietnia dołączą do nich pozostałe firmy (także jednoosobowe działalności gospodarcze). Z kolei mikroprzedsiębiorcy z obrotami rzędu do 10 tys. zł miesięcznie nowy obowiązek „nabędą” od początku 2027 r. To, o czym trzeba pamiętać, to że od 1 lutego wszystkie podmioty gospodarcze są zobowiązane do odbioru faktury w KSeF-ie.
Wątpliwości związanych z systemem e-faktur jest na tyle dużo, że jeden z posłów opozycji wysłał kilkanaście interpelacji do Ministerstwa Finansów. Dotyczyły one m.in. równoległego obieg faktur elektronicznych i papierowych, konieczności generowania kilku dokumentów do jednej transakcji czy wreszcie braku okresu przejściowego dla mikrofirm oraz ryzyka awarii całego systemu. Biznes Enter przeanalizował odpowiedzi resortu na nie i zebrał je dla was w jednym miejscu.
Krystian Rosiński, dziennikarz i wydawca Biznes Enter
Zdjęcie główne: KPRM / Flickr