Ktoś przejął Twój token KSeF i pobiera faktury. Czy w ogóle możesz to sprawdzić?
KSeF gromadzi dane, które potrafią pokazać niemal cały obraz działalności firmy. Z faktur można wyczytać, od kogo kupujesz, komu sprzedajesz, za ile, jak często i na jaką skalę.
Dlatego token lub certyfikat dający dostęp do faktur w KSeF powinien być traktowany jak klucz do bardzo wrażliwych informacji biznesowych. Problem w tym, że jeżeli ktoś taki dostęp przejmie i zacznie pobierać dokumenty, przedsiębiorca może nie mieć prostego sposobu, żeby zobaczyć, co dokładnie się wydarzyło.
Historia sesji nie pokazuje historii pobierania faktur
Nazwa uprawnienia „przeglądanie historii sesji” może brzmieć tak, jakby przedsiębiorca miał dostęp do pełnej historii aktywności w KSeF. Można więc pomyśleć, że system pokaże, kto się logował, kiedy to robił, jakie faktury otwierał i co pobierał.
Z oficjalnej dokumentacji wynika jednak, że historia sesji dotyczy przede wszystkim wysyłania faktur. Widać tam informacje o sesjach, w ramach których dokumenty zostały przesłane do KSeF.
Można sprawdzić między innymi numer referencyjny sesji, jej status, datę rozpoczęcia, liczbę wysłanych faktur, liczbę dokumentów odrzuconych oraz pobrać UPO.
Źródło: Podręcznik użytkownika Aplikacji Podatnika KSeF 2.0
To przydatna funkcja, ale nie jest to pełny dziennik dostępu do danych. Dokumentacja nie opisuje miejsca, w którym przedsiębiorca mógłby zobaczyć, że konkretna osoba albo konkretny token pobrał określoną fakturę o danej godzinie.
Nie ma też opisanego widoku pokazującego adres IP, urządzenie, liczbę pobranych dokumentów ani zakres wykonanych operacji.
To bardzo ważne rozróżnienie. Historia sesji pozwala kontrolować wysyłanie faktur, ale nie daje pełnej odpowiedzi na pytanie, kto i kiedy pobierał dokumenty.
Token KSeF to realny dostęp do danych firmy
Token nie jest tylko technicznym identyfikatorem. Służy do uwierzytelnienia i może otrzymać konkretne uprawnienia, w tym prawo do przeglądania faktur.
Źródło: Informacja Ministerstwa Finansów o generowaniu tokenów
W praktyce oznacza to, że osoba posiadająca taki token może uzyskać dostęp do dokumentów firmy w zakresie nadanych uprawnień.
Sam token po wygenerowaniu trzeba gdzieś zapisać i przekazać do systemu, który będzie łączył się z KSeF. I właśnie na tym etapie może pojawić się problem.
W wielu firmach KSeF wdraża informatyk, zewnętrzna firma IT, księgowa, biuro rachunkowe, producent programu finansowego albo administrator serwera. Właściciel firmy często nie uczestniczy w szczegółach technicznych i po prostu przekazuje zadanie osobie, która ma uruchomić integrację.
Nie trzeba od razu zakładać złej woli. Wystarczy zwykły błąd.
Token może zostać wysłany pocztą elektroniczną, zapisany w komunikatorze, pozostawiony w pliku tekstowym albo umieszczony na współdzielonym dysku. Może też trafić do kopii zapasowej, starego laptopa, repozytorium kodu albo dokumentacji technicznej, do której dostęp ma zbyt wiele osób.
Czasem token zostaje również u byłego pracownika albo u firmy informatycznej, z którą przedsiębiorca już nie współpracuje.
Ministerstwo Finansów samo przypomina, że tokenów nie należy udostępniać osobom nieupoważnionym. Taki komunikat pokazuje, że utrata kontroli nad tokenem jest realnym ryzykiem, a nie tylko teoretycznym problemem.
Certyfikat KSeF również wymaga szczególnej ochrony
Podobnie wygląda sytuacja z certyfikatem KSeF. Osoba posiadająca certyfikat i klucz prywatny może działać w imieniu firmy w zakresie przypisanych uprawnień.
Na oficjalnej stronie KSeF wskazano, że certyfikaty należy chronić z podobną ostrożnością jak dane do bankowości elektronicznej.
Źródło: Moduł Certyfikatów i Uprawnień KSeF
Klucz prywatny nie powinien być nikomu ujawniany. Jeżeli firma straci nad nim kontrolę albo podejrzewa, że został skopiowany, certyfikat można unieważnić.
I tutaj pojawia się najważniejsze pytanie.
Skąd przedsiębiorca ma wiedzieć, że ktoś przejął token albo certyfikat?
Widać datę ostatniego użycia, ale to wciąż za mało
W Aplikacji Podatnika można zobaczyć datę ostatniego użycia tokena. Podobna informacja jest dostępna przy certyfikatach.
To przydatna funkcja, ponieważ pozwala sprawdzić, czy dany środek dostępu był ostatnio wykorzystywany. Nie pokazuje jednak pełnej historii.
Przedsiębiorca nie otrzymuje w tym miejscu odpowiedzi na pytanie, ile razy token został użyty, o jakich godzinach następowały połączenia, z jakiego adresu IP korzystano, jakie faktury otwierano i które dokumenty pobrano.
Nie wiadomo również, czy ktoś pobrał jedną fakturę, dziesięć dokumentów czy znacznie większy zbiór danych.
Wyobraźmy sobie prostą sytuację. Firma korzysta z programu księgowego, który regularnie łączy się z KSeF. Token jest więc używany legalnie każdego dnia.
Jeżeli ktoś skopiuje ten sam token i wykorzysta go wieczorem albo w nocy, data ostatniego użycia nadal będzie wyglądała normalnie. System księgowy połączy się rano i ponownie ją zaktualizuje.
Bez szczegółowych logów trudno będzie zauważyć, że pomiędzy prawidłowymi połączeniami pojawiła się dodatkowa aktywność.
Faktury mogą ujawnić model biznesowy firmy
Faktura to nie tylko kwota i numer dokumentu. Większy zbiór faktur może pokazać bardzo dużo na temat działalności przedsiębiorstwa.
Osoba posiadająca dostęp do dokumentów może poznać klientów firmy, dostawców, ceny zakupu, ceny sprzedaży, częstotliwość zamówień, skalę współpracy z poszczególnymi kontrahentami oraz sezonowość biznesu.
Może również próbować oszacować marże, koszty, kondycję finansową i znaczenie konkretnych klientów dla przedsiębiorstwa.
Takie informacje mogą zostać wykorzystane na wiele sposobów. Ktoś może próbować przejąć klienta, skontaktować się z dostawcą, podszyć się pod kontrahenta albo przygotować bardzo wiarygodną wiadomość wyłudzającą pieniądze.
Jeżeli oszust zna nazwę dostawcy, numer faktury, kwotę i termin płatności, jego wiadomość wygląda znacznie bardziej przekonująco niż przypadkowa próba oszustwa.
Dane z faktur mogą też pomóc w wyborze odpowiedniego momentu do ataku. Osoba przeglądająca dokumenty może zauważyć dużą transakcję, nowego kontrahenta albo okres zwiększonych zakupów.
Nie oznacza to, że każda kradzież tokena automatycznie doprowadzi do strat. Problem polega na tym, że przedsiębiorca nie wie, kto przejmie dane i jaki pomysł na ich wykorzystanie przyjdzie tej osobie do głowy.
Dzisiaj informacja sama w sobie jest wartościowym zasobem. Im bardziej kompletne, aktualne i uporządkowane są dane, tym łatwiej można wykorzystać je przeciwko firmie.
Czy to luka w KSeF?
Najbardziej precyzyjnie można nazwać ten problem luką audytową albo brakiem odpowiedniej widoczności po stronie przedsiębiorcy.
Nie ma podstaw, żeby twierdzić, że jest to podatność techniczna umożliwiająca włamanie do KSeF bez uprawnień.
Problem wygląda inaczej. Jeżeli ktoś zdobędzie prawidłowy token albo certyfikat, może działać w granicach przypisanych uprawnień. Firma może natomiast nie mieć dostępu do wystarczająco szczegółowej historii, żeby łatwo wykryć takie działanie.
Na podstawie oficjalnej dokumentacji można stwierdzić, że tokeny i certyfikaty służą do uwierzytelnienia, mogą dawać dostęp do faktur, mają widoczną datę ostatniego użycia i mogą zostać unieważnione.
Można też stwierdzić, że historia sesji dotyczy głównie wysyłania faktur i generowania UPO.
Nie znalazłem natomiast w oficjalnej dokumentacji opisu dostępnego dla przedsiębiorcy rejestru, który pokazywałby pełną historię pobierania faktur wraz z czasem, adresem IP i użytym środkiem uwierzytelnienia.
Trzeba przy tym zachować uczciwość. Brak takiej funkcji po stronie użytkownika nie oznacza, że Ministerstwo Finansów nie prowadzi żadnych technicznych logów we własnych systemach.
Oznacza jedynie, że przedsiębiorca nie ma opisanego i łatwo dostępnego narzędzia, które pozwoliłoby mu samodzielnie sprawdzić pełną historię odczytu dokumentów.
Co firma może zrobić już teraz?
Przede wszystkim nie warto używać jednego wspólnego tokena dla wielu osób i systemów. Każdy program, integracja albo podmiot zewnętrzny powinien otrzymać osobny dostęp i tylko taki zakres uprawnień, jaki jest mu naprawdę potrzebny.
Warto również regularnie sprawdzać listę tokenów i certyfikatów. Należy zwracać uwagę na ich status, zakres uprawnień, twórcę oraz datę ostatniego użycia.
Niepotrzebne tokeny i certyfikaty powinny być unieważniane. Szczególnie po zakończeniu współpracy z pracownikiem, informatykiem, biurem rachunkowym albo dostawcą oprogramowania.
Tokenów i kluczy prywatnych nie należy przechowywać w zwykłych wiadomościach, komunikatorach, plikach tekstowych ani ogólnodostępnych folderach.
Najlepiej przechowywać je w rozwiązaniach przeznaczonych do ochrony sekretów, z ograniczonym dostępem i własnym rejestrem operacji.
Firma powinna także prowadzić logi we własnym systemie. Warto zapisywać, kiedy program łączył się z KSeF, jakie operacje wykonywał, kto je uruchomił i ile dokumentów zostało pobranych.
Takie logi nie pokażą użycia skradzionego tokena poza firmowym środowiskiem. Mogą jednak pomóc porównać legalną aktywność z informacjami widocznymi w KSeF.
Przedsiębiorca powinien widzieć pełną historię dostępu
Możliwość unieważnienia tokena albo certyfikatu jest potrzebna, ale pomaga dopiero wtedy, gdy firma wie, że doszło do problemu.
Dlatego przedsiębiorca powinien mieć dostęp do czytelnego dziennika pokazującego uwierzytelnienia i operacje na fakturach.
Taki rejestr powinien zawierać czas zdarzenia, użyty token lub certyfikat, rodzaj wykonanej operacji, liczbę pobranych dokumentów oraz informacje o źródle połączenia.
Bez takiej funkcji firma może zobaczyć, że token był używany, ale nie musi wiedzieć, czy korzystał z niego tylko jej program księgowy, czy również ktoś nieupoważniony.
To realny problem, ponieważ kradzież danych dostępowych nie zawsze pozostawia widoczne ślady. Token nadal działa, faktury nadal się synchronizują, a przedsiębiorca może nie mieć żadnego powodu, żeby podejrzewać, że ktoś dodatkowo zagląda do jego dokumentów.
Właśnie dlatego dostęp do pełnych logów nie powinien być dodatkiem. W systemie przechowującym tak wrażliwe dane powinien być podstawowym narzędziem bezpieczeństwa.
Fakty kluczowe
- Historia sesji w KSeF według dokumentacji dotyczy głównie wysyłania faktur i generowania UPO, a nie pełnej historii pobierania dokumentów.
- W historii sesji można sprawdzić numer referencyjny sesji, jej status, datę rozpoczęcia, liczbę wysłanych faktur oraz liczbę dokumentów odrzuconych.
- Token KSeF służy do uwierzytelnienia i może mieć nadane uprawnienia obejmujące m.in. przeglądanie faktur w KSeF.
- W Aplikacji Podatnika widoczna jest data ostatniego użycia tokena i certyfikatu, ale brak informacji o liczbie użyć, godzinach i adresach IP.
- Na stronie KSeF wskazano, że certyfikaty należy chronić z podobną ostrożnością jak dane do bankowości elektronicznej.
- Dokumentacja opisuje możliwość unieważnienia tokenów i certyfikatów, ale nie opisuje rejestru pełnej historii pobierania faktur dla przedsiębiorcy.
- Firma powinna prowadzić własne logi połączeń z KSeF, zapisując czas połączenia, operacje oraz liczbę pobranych dokumentów.
FAQ
Co pokazuje historia sesji w KSeF według oficjalnej dokumentacji?
Historia sesji w KSeF dotyczy przede wszystkim wysyłania faktur. Można w niej zobaczyć numer referencyjny sesji, status, datę rozpoczęcia, liczbę wysłanych faktur, liczbę dokumentów odrzuconych oraz pobrać UPO. Nie jest to pełny dziennik dostępu do wszystkich danych.
Czy w KSeF można sprawdzić, kto i kiedy pobierał konkretne faktury?
W artykule wskazano, że dokumentacja nie opisuje miejsca, w którym przedsiębiorca mógłby zobaczyć, że konkretna osoba albo konkretny token pobrał określoną fakturę o danej godzinie. Brakuje także widoku z adresem IP, urządzeniem, liczbą pobranych dokumentów i zakresem operacji.
Jakie informacje o tokenach i certyfikatach są widoczne w Aplikacji Podatnika?
W Aplikacji Podatnika można zobaczyć datę ostatniego użycia tokena oraz podobną informację dla certyfikatów. Artykuł podkreśla jednak, że te dane nie pokazują pełnej historii: liczby użyć, godzin połączeń, adresów IP, otwieranych faktur ani zakresu pobierania dokumentów.
Dlaczego przejęcie tokena lub certyfikatu KSeF jest tak poważnym problemem?
Osoba posiadająca ważny token lub certyfikat może działać w imieniu firmy w zakresie nadanych uprawnień, w tym mieć dostęp do faktur. Z dużego zbioru faktur można odczytać klientów, dostawców, ceny, skalę współpracy, sezonowość czy kondycję finansową, co może zostać wykorzystane przeciwko przedsiębiorcy, np. do wyłudzeń lub przejmowania klientów.
Jakie działania ochronne wobec tokenów i certyfikatów rekomenduje artykuł?
Artykuł zaleca, aby nie używać jednego wspólnego tokena dla wielu systemów i osób, nadawać osobne dostępy z minimalnym zakresem uprawnień, regularnie przeglądać listę tokenów i certyfikatów, unieważniać niepotrzebne środki dostępu oraz bezpiecznie przechowywać tokeny i klucze prywatne w rozwiązaniach do ochrony sekretów, a nie w wiadomościach czy plikach tekstowych.
Co przedsiębiorca może zrobić, aby lepiej monitorować dostęp do faktur w KSeF?
Artykuł sugeruje prowadzenie logów we własnych systemach, gdzie zapisywany będzie czas połączeń z KSeF, rodzaj operacji, osoba inicjująca oraz liczba pobranych dokumentów. Choć nie pokaże to użycia skradzionego tokena poza środowiskiem firmy, pozwoli porównać legalną aktywność z informacjami widocznymi w KSeF i szybciej zauważać nieprawidłowości.