Na czym polega problem?
W KSeF 2.0 użytkownik uwierzytelnia się certyfikatem, a następnie wybiera "kontekst logowania" – czyli NIP podmiotu, w imieniu którego chce działać. Z dokumentacji Ministerstwa Finansów wynika, że jeden certyfikat można wykorzystywać do pracy w kontekście wielu różnych podmiotów.
I tu zaczyna się problem.
Scenariusz ataku – całkowicie legalny i trudny do wykrycia
Wyobraźmy sobie następującą sytuację:
- Księgowa Anna pracuje w firmie A (powiedzmy: gmina, elektrownia lub inny podmiot krytyczny). Ma uprawnienia do przeglądania i wystawiania faktur w KSeF.
- Ta sama Anna legalnie dorabia w firmie X – małym biurze rachunkowym. Tam również ma uprawnienia w KSeF.
- Firma X, dla wygody i automatyzacji, przechowuje certyfikat Anny w swoim systemie księgowym. To standardowa praktyka – tak działają popularne programy jak Symfonia, Infakt, wFirma, Comarch czy iFirma.
- Teraz firma X może użyć certyfikatu Anny, zalogować się do KSeF "jako ona", a następnie wybrać kontekst NIP firmy A – i uzyskać pełny dostęp do jej faktur.
Firma A nie ma szans tego wykryć. Logowanie następuje prawidłowym, ważnym certyfikatem osoby uprawnionej. System nie widzi niczego podejrzanego.
Powyżej screen pana Jarosława z wersji demo z przykładowego pracownika raz zalogowanego na nip 6xxxxxxxx8 a poniżej na 6xxxxxxxx9; w liście certyfikatów widać, że pracownik dla obu firm ma ten sam numer seryjny certyfikatu: 013xxxxxxxxxxx28
Dlaczego to jest tak groźne?
Pan Jarosław słusznie wskazuje, że mamy do czynienia z ryzykiem systemowym:
Naruszenie poufności – podmiot trzeci uzyskuje dostęp do pełnej dokumentacji fakturowej innej firmy, bez jej wiedzy i zgody.
Ryzyko integralności – możliwe jest nie tylko przeglądanie, ale też wystawianie faktur w imieniu podmiotu A.
Brak rozliczalności – firma A nie jest w stanie ustalić, że dostęp nastąpił z zewnątrz, bo technicznie wszystko wygląda legalnie.
Skala problemu – w KSeF będą operować podmioty krytyczne: elektrownie, wodociągi, gminy, szpitale, firmy zbrojeniowe. Jeden pracownik z uprawnieniami w dwóch miejscach może otworzyć drogę do masowego wycieku danych.
Certyfikaty bez ograniczeń – konstrukcyjny błąd systemu
Kluczowy problem polega na tym, że certyfikaty KSeF nie posiadają możliwości ograniczenia do konkretnego podmiotu. Jeden certyfikat = dostęp do wszystkich kontekstów, w których użytkownik ma uprawnienia.
Jednocześnie nie istnieją przepisy zakazujące pracy w kilku firmach. Trudno sobie wyobrazić, by pracodawca mógł zabronić pracownikowi używania jego własnego certyfikatu w innym miejscu zatrudnienia – byłoby to naruszenie konstytucyjnego prawa do pracy.
To sprawia, że obecna architektura certyfikatów imiennych jest – jak ujął to nasz czytelnik – "całkowicie bezsensowna" z punktu widzenia bezpieczeństwa.
Komentarz redakcji
Problem zgłoszony przez pana Jarosława to nie teoretyczna dywagacja, lecz realne zagrożenie wynikające z oficjalnej dokumentacji i działającej wersji testowej systemu. Nasz czytelnik załączył screeny pokazujące, że ten sam certyfikat (identyczny numer seryjny) umożliwia logowanie w kontekście różnych podmiotów.
Ministerstwo Finansów wielokrotnie zapewniało o bezpieczeństwie KSeF. Czas, by odniosło się do tego konkretnego scenariusza – zanim system ruszy na pełną skalę, a dane tysięcy firm trafią w niepowołane ręce.
Obserwuj nas w Google Discover
Podobają Ci się nasze treści?
Google Discover
