Czy Krajowy System e-Faktur będzie bezpieczny?
2021-09-30 13:47
Bezpieczeństwo Centralnego Rejestru Faktur © apops - Fotolia.com
Przeczytaj także: Centralny Rejestr Faktur - obowiązkowy od 2023 roku?
Chodzi tutaj przede wszystkim o cyberataki hakerskie, czy też duże zagrożenie nadmierną inwigilacją i możliwością szpiegostwa przemysłowego. Co na to resort finansów? W odpowiedzi na interpelację poselską nr 24922 organ ten udzielił następujących wyjaśnień:Pytanie 1. Czy w świetle ostatnich wydarzeń, świadczących, że Polska jest ofiarą udanych ataków hakerskich Ministerstwo może dać gwarancję polskim przedsiębiorcom, że nowy system ewidencji będzie całkowicie bezpieczny?
Na wstępie zwracam uwagę, że oceny bezpieczeństwa systemów teleinformatycznych określonych instytucji na mocy przepisów ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych dokonuje Agencja Bezpieczeństwa Wewnętrznego (ABW). Dodatkowo Szef ABW jest zobowiązany do prowadzenia rejestru zdarzeń naruszających bezpieczeństwo systemów teleinformatycznych, o których mowa w art. 5 ust. 1 pkt 2a ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu2. W przypadku odnotowania zdarzenia naruszającego bezpieczeństwo wskazanych systemów ich administratorzy obowiązani są do niezwłocznego zgłaszania incydentu do Zespołu CERT.GOV.PL za pomocą poczty elektronicznej (incydent@cert.gov.pl) lub telefonicznie (48 22 58 58 833).
Ponadto wszystkie podmioty publiczne realizujące zadania w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne zobowiązane są do wdrożenia systemu zarządzania bezpieczeństwem informacji, gwarantującego wysoki standard zapewnienia bezpieczeństwa danych.
fot. apops - Fotolia.com
Bezpieczeństwo Centralnego Rejestru Faktur
Natomiast rozporządzenie o Krajowych Ramach Interoperacyjności5 reguluje niezbędne działania wchodzące w skład takiego systemu – w tym zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegające m.in.: na minimalizowaniu ryzyka utraty informacji w wyniku awarii i ochronie przed błędami, utratą czy nieuprawnioną modyfikacją. Spełnienie wymogów określonych we wskazanym rozporządzeniu, daje odpowiedni poziom bezpieczeństwa dla Krajowego Systemu e-Faktur (KSeF).
Projektowany system będzie przechodził szczegółowe testy bezpieczeństwa. Podatność na potencjalne ataki będzie także obserwowana podczas planowanego okresu testowego – od października do grudnia br. oraz w trybie ciągłym w trakcie jego działania produkcyjnego. Gromadzone dane będą multiplikowane oraz zapisywane w kopiach zapasowych, aby zabezpieczyć się przed ich utratą (także w mało prawdopodobnych, nadzwyczajnych sytuacjach awarii sprzętowej). Zarówno dane, jak i komunikacja będą szyfrowane. Autoryzacja w systemie będzie zabezpieczona na najwyższych dostępnych poziomach. W celu uwierzytelnienia zakłada się bowiem bezpieczeństwo systemu certyfikatów kwalifikowanych, profilu zaufanego oraz dodatkowych mechanizmach kryptografii opartej o klucze symetryczne i asymetryczne.
Pytanie 2. Jakie kroki zostały podjęte, aby wykluczyć możliwość ewentualnego przekazywania przez urzędników informacji do konkurencji tego podatnika, który wystawia fakturę?
Dostęp do danych szczegółowych będzie możliwy w ściśle określonych sytuacjach – tj. w toku czynności kontrolnych, sprawdzających, w trakcie postępowania podatkowego oraz w celu prowadzenia działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk pozostających we właściwości Krajowej Administracji Skarbowej (KAS), jak również dla efektywniejszej analizy ryzyka, do których KAS zobowiązana jest ustawowo.
Należy zaznaczyć, że dostęp do danych KSeF będzie reglamentowany i każdorazowo poprzedzony koniecznością złożenia wniosku o nadanie określonych uprawnień w systemie dla wskazanego pracownika KAS. Wniosek o dostęp do tego rodzaju danych będzie podpisywany przez kierownika jednostki wnioskującej i warunkowany realizacją określonych zadań służbowych przez pracownika. Każdorazowy wgląd do danej faktury przez uprawnionego pracownika będzie na bieżąco monitorowany w systemie, opatrzony dodatkowo wyraźnymi zgodami przełożonych – po uprzednim uzasadnieniu celu poboru danych oraz będzie cyklicznie audytowany.
W tym miejscu należy też wskazać na rozwiązania już funkcjonujące na gruncie Działu VII ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa7, zgodnie z którymi pracownicy organów KAS są obowiązani do zachowania tajemnicy skarbowej. Zachowanie tajemnicy skarbowej obowiązuje również po ustaniu zatrudnienia. Dodatkowo do przestrzegania tajemnicy skarbowej obowiązane są odpowiednio inne osoby, którym udostępniono informacje objęte tajemnicą skarbową, chyba że na ich ujawnienie zezwala przepis prawa. Za ujawnienie informacje objętych tajemnicą skarbową, zgodnie z art. 306 Ordynacji Podatkowej, przewidziana jest kara pozbawiania wolności do lat 5, a gdy sprawca czynu działania nieumyślnie – do lat 2.
Pytanie 3. Jak Ministerstwo zamierza rozwiązać problem możliwych strat biznesowych, jakie mogą ponieść przedsiębiorcy, których dane zostaną ukradzione, lub nielegalnie przekazane?
Zgodnie z treścią art. 417 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny8 za szkodę wyrządzoną przez niezgodne z prawem działanie lub zaniechanie przy wykonywaniu władzy publicznej odpowiedzialność ponosi Skarb Państwa lub jednostka samorządu terytorialnego lub inna osoba prawna wykonująca tę władzę z mocy prawa.
Na podstawie wskazanego przepisu istnieje zatem możliwość wyrównania poniesionych strat jak również utraconych korzyści. W takich przypadkach niezbędne jest jednak zaistnienie ogólnych przesłanek, o których mowa w art. 361 Kodeksu cywilnego – czyli adekwatnego związku przyczynowego pomiędzy szkodą a zaistniałym zdarzeniem. Ciężar dowodu co do tych przesłanek spoczywa na poszkodowanym.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)