Nawet do 100 mln faktur dziennie ma obsługiwać Krajowy System e-Faktur (KSeF). Ministerstwo Finansów zapewnia, że ze sporym naddatkiem przygotowało się na nawet największy ruch. No i super. Gorzej jednak, że jak dotąd system nie został zbadany przez jakiekolwiek służby bezpieczeństwa, dajmy na to ABW, pod kątem podatności na cyberataki, ewentualnych luk czy choćby zarządzania dostępem do danych. Ma to nastąpić dopiero teraz, gdy do użytku została oddana wersja testowa. Pytanie tylko, czy nie jest za późno? Eksperci są zgodni, że nadzór powinien być prowadzony od samego początku tworzenia systemu. Nawet najbardziej skrupulatne testy penetracyjne, czyli kontrolowane próby włamania się do systemu, mogą nie ujawnić błędów popełnionych na etapie projektowania systemu.
Czytaj więcej:
KSeF. Czy służby umywają ręce?
Pod względem prawnym teoretycznie wszystko jest w porządku. Nie ma bowiem przepisów, które zobowiązywałyby służby do nadzoru nad tworzeniem nawet najbardziej newralgicznych systemów informatycznych państwa. Nikt też nie myśli o uchwaleniu takich regulacji. Dlaczego? Prawdopodobnie dlatego, że mimo narastającego zagrożenia, jak dotąd nie odnotowaliśmy dużego cyberkryzysu. Najczęściej stosowano wobec administracji najprostsze ataki typu DDoS. Jak choćby w kwietniu tego roku, gdy w ostatnim dniu składania PIT cyberprzestępcom udało się zablokować niektóre usługi mObywatela.
Coraz większe zagrożenie cyberatakami
Nie oznacza to jednak, że jesteśmy bezpieczni. W zasadzie nie ma dnia, bez kolejnych skutecznych cyberataków, tyle że na mniejszą skalę. Jakiś czas temu na kanale prorosyjskich hakerów opublikowano nagranie z włamania do systemu stacji uzdatniania wody w Szczytnie, na którym pokazano manipulowanie parametrami cykli płukania filtrów. W 2023 r. ktoś zablokował działanie Śląskiej Karty Usług Publicznych, uniemożliwiając m.in. kupowanie biletów komunikacji miejskiej. W kolejnym roku wykradziono 250 GB wrażliwych danych zdrowotnych sportowców z bazy Polskiej Agencji Antydopingowej. Zagrożenie jest coraz większe – w 2024 r. CERT Polska odnotował ponad 600 tys. zgłoszeń cyberincydentów, czyli o 62 proc. więcej niż rok wcześniej. Dziś pytanie nie brzmi, czy poważny cyberkryzys nastąpi, tylko kiedy. A gdy już to się stanie, to politycy na wyścigi będą zgłaszać propozycje zmian w prawie, w tym pewnie również w sprawie objęcia systemów nadzorem służb już od momentu ich projektowania. Jak zwykle poniewczasie.
