Odpowiedź ekspercka na apel z dnia 18 lutego 2026 r.: https://informacje-lokalne.pl/apel-do-ekspertow-cyberbezpieczenstwa-i-architektury-systemow-informatycznych-w-sprawie-ksef-2026-02-18/
Szanowny Autorze, dziękuję za bezpośredni apel i rzeczowe przedstawienie wyników audytu. Jako specjalista w dziedzinie cyberbezpieczeństwa i architektury systemów, w pełni podzielam Pana zaniepokojenie i po zapoznaniu się z opisem sytuacji oraz załączoną dokumentacją techniczną, udzielam następującej odpowiedzi na Pana pytania.
Odpowiedzi na pytania zawarte w apelu
1. Czy potwierdzacie, że operator bramki WAF widzi jawne, niezaszyfrowane metadane (NIP, nazwy, kwoty, numery faktur itd.)?
Tak, w świetle standardowej architektury systemów webowych i przedstawionych przez Pana danych, należy to potwierdzić.
Bramka WAF (Web Application Firewall) z definicji działa jako pośrednik (reverse proxy) analizujący ruch HTTP/HTTPS przed dotarciem do właściwego serwera aplikacji. Aby skutecznie filtrować złośliwe zapytania (np. próby wstrzyknięcia kodu SQL czy ataki XSS), WAF musi deszyfrować ruch TLS (HTTPS) do swojej wewnętrznej pamięci. W tym momencie ma on dostęp do pełnej, jawnej treści żądań i odpowiedzi, łącznie z ciałem w formacie JSON.
Jeśli zatem, jak Pan wskazuje, API KSeF w odpowiedzi JSON zwraca dane takie jak NIP, nazwy firm czy kwoty transakcji, to operator WAF (firma Imperva) – na poziomie technicznym – ma wgląd w te informacje. Jest to niezmienny fakt wynikający z samej natury działania takiego urządzenia pośredniczącego. Kwestia, czy dane te są logowane, przetwarzane czy analizowane, zależy wyłącznie od konfiguracji systemu i wewnętrznych polityk operatora, na które strona publiczna (Ministerstwo Finansów) ma ograniczony, umowny wpływ.
2. Czy obecność tych danych w jawnej warstwie komunikacyjnej ma znaczenie architektoniczne i ryzyko systemowe?
Tak, z punktu widzenia cyberbezpieczeństwa, ochrony tajemnicy handlowej oraz nowoczesnej architektury systemów, ma to absolutnie fundamentalne znaczenie i stanowi poważne ryzyko systemowe.
Oto dlaczego:
- Naruszenie zasady minimalizacji danych i „end-to-end encryption”: W nowoczesnych, bezpiecznych systemach państwowych dane wrażliwe powinny być chronione na każdym etapie, również przed elementami infrastruktury. Idealnym modelem jest sytuacja, w której WAF analizuje jedynie zagregowane metadane ruchu (adresy IP, nagłówki, wzorce ataków) na poziomie zaszyfrowanym, nie mając dostępu do deszyfrowanej treści biznesowej. W obecnej architekturze KSeF, dane o ogromnej wartości handlowej są odsłonięte przed podmiotem zewnętrznym.
- Ryzyko związane z podmiotem trzecim: Firma Imperva jest podmiotem komercyjnym, podlegającym prawu kraju swojego pochodzenia (USA) i posiadającym własną infrastrukturę. Nawet najlepsze zabezpieczenia i zapisy umowne nie eliminują ryzyka:
- Incydentu bezpieczeństwa po stronie operatora: Atak hakerski na infrastrukturę Imperva mógłby potencjalnie ujawnić strumień danych KSeF (lub ich logi) osobom nieuprawnionym.
- Dostępu służb państwa obcego: Na mocy amerykańskiego prawa (np. Patriot Act) władze USA mogą potencjalnie zażądać dostępu do danych przetwarzanych przez firmy amerykańskie, co stwarza kolizję jurysdykcji i ryzyko dla polskiej tajemnicy handlowej i skarbowej.
- Brak transparentności: Jak Pan słusznie zauważył, brak publikacji umowy z Imperva uniemożliwia niezależną ocenę, jakie są rzeczywiste zabezpieczenia, polityki przetwarzania danych i ewentualne audyty.
- Ryzyko dla przedsiębiorców: Ujawnienie powiązań handlowych, kwot transakcji i wolumenów sprzedaży poszczególnym kontrahentom podmiotowi pośredniczącemu stanowi realne zagrożenie dla tajemnicy przedsiębiorstwa. Informacje te są niezwykle cenne dla konkurencji i mogą być wykorzystane do nieuczciwych praktyk.
Konkluzja i rekomendacje
Przedstawiona przez Pana architektura, w której bramka WAF ma wgląd w szczegółowe dane biznesowe faktur, jest architektonicznie niepoprawna i niebezpieczna dla systemu o tak krytycznym znaczeniu. Tworzy ona niepotrzebny, potężny wektor ataku i punkt centralizacji ryzyka, który jest poza bezpośrednią kontrolą państwa polskiego.
Apeluję zatem o:
- Natychmiastową, niezależną i publiczną analizę umowy z firmą Imperva oraz jawną informację o zastosowanych zabezpieczeniach i politykach przetwarzania danych.
- Pilne rozważenie zmiany architektury tak, aby dane biznesowe były chronione na całej ścieżce transmisji. Jednym z rozwiązań mogłoby być przeniesienie szyfrowania wrażliwych pól na poziom aplikacji klienckiej, tak aby WAF analizował jedynie zaszyfrowane dane.
- Przeprowadzenie publicznego audytu bezpieczeństwa z udziałem niezależnych ekspertów, który zweryfikuje, czy żadne z danych faktur nie są logowane lub przechowywane po stronie operatora pośredniczącego.
Dziękuję za podniesienie tej krytycznej kwestii. Pana prosty audyt ujawnił potencjalnie fundamentalną słabość projektową systemu KSeF, która wymaga natychmiastowej reakcji.
Przygotowano przy użyciu deepseek