Europa Gospodarka Polska Wiadomości

Thales i KSeF, czyli jak Polska cyfrową kolonią Francji

Podoba Ci się to co robimy? Wesprzyj projekt Magna Polonia!

Polska zbudowała Krajowy System e-Faktur jako jeden z najważniejszych elementów cyfrowej infrastruktury państwa. To przez niego mają przechodzić praktycznie wszystkie faktury wystawiane w polskiej gospodarce. Trudno więc znaleźć system, który lepiej odzwierciedlałby rzeczywisty obraz krajowej aktywności gospodarczej. I właśnie dlatego decyzje dotyczące jego architektury powinny być analizowane nie tylko przez informatyków, ale również przez specjalistów od bezpieczeństwa państwa.

Jednym z mniej nagłaśnianych elementów tej architektury jest wykorzystanie bramki bezpieczeństwa WAF obsługiwanej przez francuski koncern Thales. Z dokumentacji API 2.0 opublikowanej przez Ministerstwo Finansów wynika, że przez tę warstwę infrastruktury przechodzą metadane dotyczące komunikacji z KSeF. Nie trzeba przeprowadzać spektakularnych audytów ani snuć teorii spiskowych – wystarczy przeczytać oficjalną dokumentację techniczną.

Mowa o metadanych obejmujących między innymi numery NIP sprzedawców i nabywców, nazwy podmiotów, wartości netto, VAT i brutto, walutę, numery faktur, daty operacyjne czy typy dokumentów. Dla współczesnych systemów analitycznych przetwarzanie takich informacji stanowi praktycznie niezauważalne obciążenie. To nie są już czasy, gdy analiza milionów rekordów wymagała tygodni pracy superkomputerów. Dziś jest to rutynowa operacja wykonywana w czasie rzeczywistym.

Co więcej, sama architektura komunikacji budzi pytania. Dokumenty przesyłane przez podatnika do Ministerstwa Finansów są szyfrowane, jednak odpowiedzi zwracane przez system przechodzą przez warstwę WAF w postaci umożliwiającej ich przetwarzanie przez operatora tej infrastruktury. Nie oznacza to automatycznie, że dane są wykorzystywane w sposób nieuprawniony. Oznacza natomiast, że architektura systemu tworzy techniczną możliwość ich przetwarzania. W bezpieczeństwie państwa właśnie takie możliwości analizuje się najdokładniej.

I tutaj pojawia się zasadnicze pytanie: kim właściwie jest Thales? W debacie publicznej często przedstawia się go po prostu jako dużą firmę z branży cyberbezpieczeństwa. To wygodny skrót, ale równie dobrze można powiedzieć, że lotniskowiec to większa łódź. Formalnie wszystko się zgadza, tylko pomija się najważniejszy kontekst.

Thales jest jednym z filarów francuskiego przemysłu obronnego, lotniczego i kosmicznego. Po przejęciu Impervy w 2023 r. przejął również technologie z zakresu ochrony aplikacji, API, systemów WAF oraz zabezpieczeń przed atakami DDoS. Nie jest więc wyłącznie producentem oprogramowania. To koncern funkcjonujący w samym centrum francuskiego ekosystemu bezpieczeństwa.

Równie interesująca jest jego struktura właścicielska. Około 26,6% akcji posiada państwo francuskie, kolejne około 26,6% znajduje się w rękach Dassault Aviation. Dzięki mechanizmowi podwójnych praw głosu oba podmioty dysponują około dwiema trzecimi głosów na walnym zgromadzeniu. Formalnie mamy więc spółkę giełdową. W praktyce jest to przedsiębiorstwo o strategicznym znaczeniu dla państwa francuskiego, którego kierunek rozwoju pozostaje pod dominującym wpływem francuskiego bloku państwowo-przemysłowego.

To rozróżnienie ma zasadnicze znaczenie. Nie rozmawiamy o anonimowym dostawcy usług IT, który administruje serwerami w centrum danych. Rozmawiamy o podmiocie współtworzącym technologie dla francuskiego sektora obronnego, lotnictwa wojskowego i systemów rozpoznania.

Dobrym przykładem jest program CERES. To francuski satelitarny system rozpoznania SIGINT służący do wykrywania, lokalizowania i analizowania emisji radiowych oraz radarowych. W przedsięwzięciu uczestniczą między innymi DGA, CNES, Airbus Defence & Space oraz Thales poprzez swoje spółki odpowiedzialne za technologie kosmiczne i systemy misji. Nie jest to projekt marketingowy ani komercyjna usługa chmurowa. To element państwowego systemu rozpoznania strategicznego.

Jeszcze bardziej wymowny jest program Archange. Francuskie samoloty Dassault Falcon 8X wyposażane są w systemy SIGINT opracowane przez Thales, umożliwiające przechwytywanie, analizę i geolokalizację emisji elektromagnetycznych. Pierwszy egzemplarz wykonał loty próbne w 2025 r. Trudno o bardziej jednoznaczny przykład kompetencji tego koncernu w obszarze pozyskiwania i analizy informacji.

Dlatego warto zachować odpowiednie proporcje. Nie chodzi o twierdzenie, że operator infrastruktury automatycznie wykorzystuje wszystkie dane, które technicznie przez nią przechodzą. Chodzi o ocenę ryzyka wynikającą z architektury systemu. W świecie bezpieczeństwa państwa nie projektuje się rozwiązań w oparciu o założenie, że „na pewno nic się nie wydarzy”. Projektuje się je tak, aby nawet potencjalna możliwość niepożądanego dostępu była maksymalnie ograniczona.

A tu pojawia się pewien paradoks. Polska od lat mówi o suwerenności cyfrowej, budowie własnych kompetencji technologicznych i wzmacnianiu bezpieczeństwa infrastruktury krytycznej. Jednocześnie jeden z najbardziej wrażliwych systemów państwowych opiera swoją warstwę bezpieczeństwa na rozwiązaniu dostarczanym przez podmiot będący częścią strategicznego ekosystemu innego państwa. Widocznie suwerenność najlepiej buduje się… cudzymi rękami.

Równie istotne jak sam profil Thalesa jest szersze tło funkcjonowania francuskiego państwa. Francja od dziesięcioleci otwarcie traktuje bezpieczeństwo gospodarcze jako element bezpieczeństwa narodowego. W oficjalnych dokumentach Pałacu Elizejskiego ochrona i promocja interesów gospodarczych oraz przemysłowych stanowią jedno z zadań wspólnoty wywiadowczej.

Mowa nie tylko o przeciwdziałaniu zagrożeniom, lecz również o ochronie strategicznych aktywów, wspieraniu konkurencyjności francuskich przedsiębiorstw i wzmacnianiu pozycji gospodarczej państwa. Nie jest to tajemnica ani teoria – to element publicznie deklarowanej doktryny.

W tym kontekście warto przypomnieć historię działalności DGSE. Już w latach dziewięćdziesiątych były dyrektor tej służby, Claude Silberzahn, przyznał publicznie, że francuski wywiad pozyskiwał informacje dotyczące zagranicznych przedsiębiorstw, które mogły mieć znaczenie dla francuskiej gospodarki. Uzasadniał to specyfiką francuskiego modelu, w którym państwo nie jest jedynie arbitrem rynku, lecz również aktywnym uczestnikiem życia gospodarczego i właścicielem udziałów w strategicznych przedsiębiorstwach.

Nie był to zresztą jedyny sygnał. Amerykańskie opracowania z początku lat dziewięćdziesiątych opisywały przypadki, w których DGSE miała pozyskiwać informacje dotyczące technologii rozwijanych przez zagraniczne koncerny, między innymi IBM czy Corning. Według tych analiz informacje te miały następnie wzmacniać pozycję francuskich konkurentów. Niezależnie od ocen poszczególnych przypadków pokazuje to, że wywiad gospodarczy od dawna stanowi przedmiot zainteresowania państw i nie jest wyłącznie domeną literatury sensacyjnej.

To właśnie dlatego francuskie pojęcie intelligence économique nie oznacza jedynie monitorowania rynku czy analizowania raportów branżowych. Obejmuje znacznie szerszą filozofię działania, w której administracja publiczna, dyplomacja, służby, sektor obronny, przemysł i nowoczesne technologie tworzą wzajemnie wspierający się ekosystem. Francja od lat konsekwentnie buduje przewagę w oparciu o współpracę tych elementów, uznając informację gospodarczą za jeden z zasobów o znaczeniu strategicznym.

Na tym tle decyzja o powierzeniu istotnego elementu architektury KSeF zagranicznemu podmiotowi nabiera szerszego wymiaru. Nie jest to już wyłącznie kwestia przetargu informatycznego ani wyboru konkretnej technologii. Staje się pytaniem o sposób projektowania bezpieczeństwa państwa oraz o granice cyfrowej suwerenności.

KSeF nie przetwarza anonimowych statystyk ani zagregowanych wskaźników ekonomicznych. Tworzy dynamiczny obraz funkcjonowania polskiej gospodarki. Pozwala odtworzyć sieci powiązań między przedsiębiorstwami, analizować łańcuchy dostaw, identyfikować największych kontrahentów, obserwować zmiany w poszczególnych sektorach czy śledzić tempo aktywności gospodarczej. W dobie zaawansowanej analityki takie informacje mają wartość strategiczną.

Właśnie dlatego bezpieczeństwo podobnych systemów powinno być oceniane nie tylko przez pryzmat zgodności z wymaganiami technicznymi, lecz także z punktu widzenia interesu państwa. W architekturze bezpieczeństwa liczy się bowiem nie tylko to, co dzieje się dzisiaj, ale również to, jakie możliwości stwarza przyjęte rozwiązanie w perspektywie wielu lat.

To prowadzi do szerszej refleksji. Polska od lat deklaruje potrzebę wzmacniania suwerenności technologicznej i budowy własnych kompetencji cyfrowych. Jednocześnie kolejne strategiczne elementy infrastruktury państwa powierzane są podmiotom funkcjonującym poza krajowym ekosystemem. Być może każde takie rozstrzygnięcie da się uzasadnić osobno – ceną, doświadczeniem wykonawcy czy terminami realizacji. Problem polega na tym, że bezpieczeństwo państwa nie składa się z pojedynczych decyzji, lecz z ich sumy.

To właśnie ta suma powinna budzić największą refleksję. Jeżeli państwo chce zachować możliwie największą kontrolę nad strategicznymi zasobami informacyjnymi, powinno dążyć do ograniczania zależności od zagranicznych podmiotów wszędzie tam, gdzie jest to realnie możliwe.

W przeciwnym razie deklaracje o budowie suwerenności cyfrowej pozostaną jedynie atrakcyjnym hasłem, podczas gdy praktyka będzie prowadzić w przeciwnym kierunku. W XXI wieku suwerenność nie kończy się na granicach państwa – obejmuje również kontrolę nad danymi, infrastrukturą i technologią, na których opiera się funkcjonowanie całej gospodarki.

Polecamy również: Włamanie do wojskowej uczelni. Przypadek czy zwiad?

Podoba Ci się to co robimy? Wesprzyj projekt Magna Polonia!