W przestrzeni publicznej pojawiły się informacje, że komunikacja z API Krajowego Systemu e-Faktur odbywa się z wykorzystaniem infrastruktury typu reverse proxy oraz Web Application Firewall dostarczanej przez spółkę Imperva. Tak kwestia nie jest zrozumiała dla każdego. Nie przeszkadza to jednak mieć obaw o bezpieczeństwo systemu KSeF. Czy prywatna spółka będzie podglądać faktury przesyłane przez KSeF? Wyjaśnijmy spokojnie, o co tak naprawdę chodzi.
Trochę technikaliów
Jeżeli system korzysta z rozwiązania typu reverse proxy, ruch kierowany do API KSeF nie trafia bezpośrednio do infrastruktury Ministerstwa Finansów. Najpierw przechodzi przez zewnętrzną warstwę ochronną, zwaną często warstwą edge. Jej zadaniem jest filtrowanie ruchu, ochrona przed atakami, stabilizacja obciążenia i analiza zapytań kierowanych do systemu.
W praktyce może to oznaczać, że połączenie szyfrowane protokołem TLS jest terminowane na tej warstwie pośredniej. Oznacza to, że ruch jest tam odszyfrowywany, analizowany pod kątem bezpieczeństwa, a następnie ponownie szyfrowany i przekazywany do właściwej infrastruktury państwowej. W takim modelu warstwa pośrednia ma techniczną możliwość wglądu w treść przesyłanych danych, w tym w pliki XML faktur.
Dlaczego to jest potrzebne?
KSeF to system, który obsługuje setki milionów faktur miesięcznie. Oznacza to bardzo wiele operacji dziennie i duże skoki ruchu w określonych momentach miesiąca. Dodatkowo jest to system atrakcyjny z punktu widzenia potencjalnych atakujących, ponieważ jego destabilizacja mogłaby sparaliżować znaczną część obrotu gospodarczego.
Warstwa typu WAF oraz infrastruktura edge pozwalają na rozproszenie ruchu, filtrowanie ataków DDoS, wykrywanie prób nadużyć i odciążenie centralnych serwerów państwowych. Z technicznego punktu widzenia jest to rozwiązanie zwiększające odporność systemu na ataki i przeciążenia.
Bez takiej warstwy ruch trafiałby bezpośrednio do infrastruktury Ministerstwa Finansów. Wówczas cała ochrona musiałaby być realizowana w obrębie systemu centralnego, co oznaczałoby większe ryzyko przeciążenia i potencjalnie większą podatność na destabilizację. W tym sensie zastosowanie zewnętrznej warstwy ochronnej można uznać za decyzję racjonalną z perspektywy bezpieczeństwa operacyjnego i ciągłości działania.
Jakie są ryzyka?
Przyjęte rozwiązanie nie jest wyjątkowe, jeśli chodzi o duże i bardzo istotne systemy. Tak działa wiele systemów bankowych, administracyjnych i dużych platform cyfrowych. Jednak w przypadku systemu o znaczeniu infrastruktury krytycznej, jakim jest KSeF, pytania o architekturę bezpieczeństwa są uzasadnione.
Jeżeli terminacja TLS następuje poza infrastrukturą państwową, oznacza to, że podmiot świadczący usługę reverse proxy, czyli Imperva/Thales, ma techniczną możliwość wglądu w odszyfrowaną treść przesyłanych danych. O jakie dane może chodzić? Tutaj zależy to od konkretnych rozwiązań i umowy pomiędzy MF i Imperva, czyli od tego, do czego spółka się zobowiązała. Być może treść faktury dotycząca samej transakcji pozostaje zaszyfrowana, być może Imperva odszyfrowywuje wyłącznie dane nagłówkowe pliku. Niemniej, żeby usługa miała sens, w jakimś zakresie plik musi zostać odszyfrowany, żeby można było odsiać pliki niebezpieczne, które nie mogą trafić na serwery KSeF.
Nie oznacza to automatycznie, że odszyfrowane dane są wykorzystywane w sposób nieuprawniony ani, że ktokolwiek je przegląda. W systemach klasy enterprise analiza ruchu jest zautomatyzowana, a dostęp administracyjny jest ściśle kontrolowany. Istnieją umowy powierzenia przetwarzania danych, mechanizmy audytu oraz procedury bezpieczeństwa. Jednak z punktu widzenia architektury systemu należy jasno powiedzieć, że istnieje techniczna możliwość dostępu do odszyfrowanych danych przez warstwę pośrednią.
Drugi poziom ryzyka ma charakter jurysdykcyjny. Jeżeli infrastruktura dostawcy działa w modelu globalnym, pojawia się pytanie o lokalizację przetwarzania danych oraz o to, jakie przepisy prawa mogą mieć do niej zastosowanie. W debacie publicznej coraz częściej pojawia się pojęcie suwerenności cyfrowej i suwerenności kryptograficznej państwa. W tym kontekście pytanie o kontrolę nad kluczami TLS i miejscem ich użycia nie jest pytaniem marginalnym. Nie można też pomijać teoretycznego ryzyka, że w określonych okolicznościach służby obcych państw mogłyby próbować uzyskać dostęp do infrastruktury komercyjnych dostawców technologii.
Jak można było zrobić inaczej?
Istnieją co najmniej dwa alternatywne modele.
Pierwszy to model pełnej suwerenności kryptograficznej, w którym połączenie TLS jest terminowane wyłącznie w infrastrukturze państwowej. W takim rozwiązaniu warstwa pośrednia nie ma dostępu do odszyfrowanej treści danych, a jej rola ogranicza się do przekazywania ruchu w trybie pass through. Wadą takiego modelu jest mniejsza skuteczność ochrony aplikacyjnej, ponieważ bez odszyfrowania ruchu nie można analizować payloadu XML pod kątem zagrożeń.
Drugi model to budowa własnej, państwowej warstwy edge, obejmującej infrastrukturę WAF, systemy ochrony przed atakami DDoS oraz własne moduły zarządzania kluczami TLS. Takie rozwiązanie pozwalałoby zachować pełną kontrolę nad kluczami kryptograficznymi i analizą ruchu, ale wymagałoby istotnych nakładów finansowych, kompetencyjnych i organizacyjnych. Oznaczałoby również konieczność utrzymywania wysoko wyspecjalizowanego zespołu bezpieczeństwa przez całą dobę.
Każdy z tych modeli wiąże się z określonym kompromisem pomiędzy odpornością systemu, kosztami utrzymania a poziomem kontroli nad danymi.
Podsumowanie
Dyskusja o wykorzystaniu zewnętrznej warstwy reverse proxy w KSeF nie powinna być prowadzona w tonie emocji. Zastosowanie rozwiązań klasy WAF i edge jest dziś standardem w dużych systemach cyfrowych i z punktu widzenia odporności operacyjnej jest uzasadnione.
Jednocześnie należy jasno powiedzieć, że w modelu z terminacją TLS poza infrastrukturą państwową istnieje techniczna możliwość dostępu do odszyfrowanych danych przez warstwę pośrednią. Między innymi na tym polega usługa świadczona przez dostawcę tej warstwy pośredniej. W systemie, który gromadzi dane o całej gospodarce, pytania o suwerenność kryptograficzną, kontrolę nad kluczami oraz rolę podmiotów zewnętrznych są naturalne i uzasadnione. Odpowiedzialna debata powinna dotyczyć nie tylko tego, czy system działa, lecz także tego, w jaki sposób jest chroniony i kto ma potencjalny dostęp do informacji. Transparentność w tym zakresie buduje zaufanie. A zaufanie jest kluczowe dla powodzenia projektu o skali i znaczeniu KSeF.
——————————————————————————————————————————————————————————————
Autor artykułu: Zbigniew Makowski – Prezes Zarządu Instytutu Finansów i Podatków Publicznych, główny autor Nowej Ustawy VAT
Chcesz dołączyć do zespołu ekspertów pracujących nad projektem Nowej Ustawy VAT? Napisz do nas: kontakt@nowaustawavat.pl
Wesprzyj projekt. Dowiedz się, jak możesz to zrobić: https://nowaustawavat.pl/finansowo/
Podobne artykuły:
Prawo do odliczenia VAT jest fundamentalnym prawem przysługującym podatnikowi. Jako że VAT jest z natury neutralny dla przedsiębiorców, podatek naliczony [...]
Emocje związane z KSeF powoli opadają, natomiast nadal pojawia się sporo pytań. Zebraliśmy te najczęściej zadawane i staraliśmy się na [...]
Kiedy kupujemy kawę w sklepie, herbatę do zaparzania w domu albo latte na wynos w kawiarni, rzadko zastanawiamy się nad [...]